公的機関における不正・不祥事リスク対応支援

EYができること

EY Forensic & Integrity Services（Forensics）は、約80ヵ国、5,000名超のプロフェッショナルから構成される不正調査、不正・不祥事対策、コンプライアンスやサイバーリスク対応に特化したサービスを提供しています。

公認会計士や公認不正検査士、当局出身者に加え、サイバーセキュリティ、データ分析、eDiscoveryなどのテクノロジー人材など多様なメンバーが1つのチームに所属していることで、大規模かつ複雑な事案にもワンストップで迅速なご提案が可能です。

公的機関においても、大学などでの研究費不正、病院などでの臨床研究データの改ざんやねつ造、サイバー攻撃による患者の個人データの流出など、さまざまなインシデントが発生し、その対応が求められることがあります。

EY Forensicsでは、在籍する各分野のプロフェッショナルが数多くの企業や公的機関の不正・不祥事に対する調査、コンプライアンス態勢の構築・改善、サイバーインシデントへの対応支援などを通じて得た、プロフェッショナルとしての知見を活用することで、公的機関のクライアントを支援します。

EY Forensicsが公的機関のクライアントに提供できる主なサービスは、以下の通りです。

不正調査

公的研究費の使用制度に関して、近年、監督官庁より経費執行の弾力化に向けた各種制度改善がなされ、業者との共謀による研究費の預け金事例は減少している一方で、依然として、公的研究費の目的外使用や人件費関連に虚偽申請事例等が通報などにより発覚する事例が発生し続けています。研究者のみならず研究機関への罰則規定による影響も小さなものではありません。

また、昨今のコロナ禍において、各種補助金・助成金制度が設けられ、多くの組織が活用しましたが、所定の審査や通報などを契機として、立ち入り検査等により虚偽申請などの不正受給が発覚する事例が後を絶ちません。

さらに、公的機関の職員が外部業者との不適切な物品購入契約締結や、それに付随するキックバックの受領などにより、収賄罪で逮捕・起訴される事例も毎年数多く発生しています。

このような公的資金の不正使用、公的機関における不正取引事案がひとたび発覚すると、各組織内での規定に基づいて一定の調査を行い、当局への報告が求められます。EY Forensicsでは、組織内で実施する書類調査、ヒアリング調査、デジタルフォレンジック調査、アンケート調査、現物調査などの各種調査手続の立案および遂行補助を行い、組織の社会的信頼の早期回復を支援します。さらに、調査後の再発防止策の策定・遂行補助、各種研修、浸透度調査などを実施し、研究者・職員・組織のコンプライアンス意識のさらなる醸成を支援します。

CRC（Clinical Research Coordinator）業務モニタリングおよび各種コンプライアンスモニタリング

医療機関内部のリソース不足を背景に、臨床研究の外部への業務委託が増加しています。業務委託先である第三者による非倫理的行為やエラーについては、委託者である公的機関が直接関与しているか否かにかかわらず責任が追及されるリスクが生じます。非倫理的行為が生じるリスクの効果的かつ効率的な管理に加え、小さな不正・ミスの発生時に適時適切な対応を取ることができるような仕組みの整備・運用や組織風土の醸成が必要不可欠です。

EY Forensicsは、公的医療・研究機関のSOP（Standard Operating Procedures）や院内マニュアル、ガイドラインなどを基に、CRC業務の実態を把握した上で改善が必要なプロセスを洗い出し、さらなるコンプライアンス態勢の強化に向けた改善提案により、臨床研究に係るリスクの低減に向けたご支援をします。同様の手法を用いて、CRC業務以外の組織内業務プロセスのモニタリングも実施可能です。
 

CRC業務モニタリング・コンプライアンス態勢強化支援の流れ

サイバーセキュリティ対応支援

昨今、サイバー攻撃の多くが金銭目的で実行される傾向にあります。サイバー犯罪者は金銭的利益を得るために株価の下落（空売り）や不正送金をもくろむこともありますが、多くの場合、ステークホルダーからの信頼失墜や事業停止につながる重要な情報を狙い、それら情報の暗号化や窃取により脅迫行為に及んでいます。

公的機関では医療や市民サービスなど重要な機能を継続的に提供・保証する責務を担っており、この責務を遂行できないようにするため、サイバー犯罪者は攻撃を仕掛けてきます。

このようなサイバー攻撃による機能停止などの最悪の事態とならないようにするためには、平時と有事の両方の対応についてそれぞれの視点から検討を進める必要があり、EYはインシデント対応やセキュリティ評価などの知見により、その両側面から支援を行うことが可能です。

平時の段階では、昨今のプライバシー規制の強化や組織が保有する情報のDXによる多様化・オープン化を考慮し、保有する重要情報（医療や行政サービスの利用者情報など）をビジネスプロセスごと理解し、それらの情報が侵害されたり毀損（きそん）されたりする脅威や脆弱（ぜいじゃく）性の洗い出しやリスク評価を行い、リスクの最小化を図る支援を行っています（インフォメーションガバナンス・プライバシー対応支援サービス）。また、サイバーリスクをゼロにすることはできませんが、それが顕在化した際、迅速な対応により被害を最小化するためのインシデント対応支援サービスも提供しています（インシデント対応支援サービス）。さらに組織内におけるセキュリティ活動を継続的に実施するための柱となるセキュリティ人材の育成（サイバーセキュリティ・デジタルフォレンジックトレーニング）についても支援が可能です。