保険会社の二人の若い従業員が独創的な横領の手口を考えた。書類が「画像」に取り込まれる前に紙の申込書に外部の共謀者の名前を記入し、正式な電子記録を作った。CFEがこの同時進行する不正について、いかにして容疑者を分析、面接し、多くの部門長と協調して社内手続きの調査をしたかについて学ぶ。
今回の事例は、公認不正検査士協会ジョセフ T.ウェルズ(Joseph T. Wells)、FEC、CPA編集、ジョン・ワイリー&サンズ(John Wiley & Sons Inc.)社発行の「不正の事例集: ビジネスの負の側面から学ぶ」(Fraud Casebook: Lessons from the Bad Side of Business)より過去のケースを抜粋し、設定を変更したものである。
不正を行ったアレックス・ベッドフォード(Alex Bedford)、ヴァン・グエン(Van Nguyen)、パーヴィス・シャー(Parviz Shah)は、学士またはそれ以上のレベルの学位を合わせて5つ取得していたかもしれないが、この20代の若者は、米国でも有数の医療保険会社であるセンターストーン・ヘルス・システムズ社(Centerstone Health Systems)の経験豊な特別調査部門(Special Investigative Unit, SIU)から逃れることはできなかった。この3人組は、同社から横領する手口に、それぞれ役割をもって関与していた。アレックスとヴァンはセンターストーン・ヘルス社の社員だったが、シャーは外部の共犯者だった。3人は親しい友人関係にあり、ロサンジェルス北部にある富裕層地域で、共にバスケットボールを楽しみ、ナイトライフを経験し、大きな家や高級車を持ちたいという野望について語り合う仲だった。
多様な性格 (DIVERSE CHARACTERS)
不正行為の主犯格であるアレックスは、たくましい体型と持って生まれた知性に自信を持っていた。陽気で仲間からも尊敬されていたアレックスであるが、自分が(不正に)関与していたことを周囲に隠そうとしなかった。幼い娘の父である彼は、子供の母親とはすでに別れていたが、立派な両親が彼の娘が通う私学の学費を支払っていた。アレックスは、昼間は経営学士取得のため勉強し、夜は夜勤をこなしていた。学士取得後すぐに高額な学費の私立大学で財務を専攻し、MBA取得に向け勉強を始めた。
アレックスは、センターストーン・ヘルス社で8年間同じ部署に勤務しており、所属部門のリーダーとして頭角を現した。彼は、カスタマーサービス、加入手続き、そしていろいろな監督機能を任されていた。アレックスはあらゆることに精通していると思われており、実際、彼は所属部門の業務の裏と表を知り尽くしていたが、次第に今の仕事に飽きるようになった。営業部門への社内異動を希望して、生命保険および医療保険取扱許可を取得することにした。許可取得後、希望職種に応募したが叶わなかったため、引き続き同じ職に留まることになった。
外見や態度においてアレックスとは対照的だったヴァンは、物静かでリーダーというより追随者タイプだが、知性面で劣っていたわけではない。カリフォルニア大学の一流校のひとつで歴史学の学士号を取得し、ロースクールへの進学を考えていた。結びつきの強い家庭で育ち、ヴァンは移民の両親がアメリカで生計を立てるのにどれほど身を粉にして働いてきたかを見てきた。彼のヒーローである父親は製造業のマネージャーで、いつも失職することを恐れていた。両親は不動産が信頼できる投資と信じていたため、数年間で、3軒の一戸建て住宅を購入し、そのうち一軒をヴァンが借りていた。
パーヴィスは、きわめて傲慢だった。筋肉質の体型で、両耳に金の輪のピアスをこれ見よがしにつけ、髪をブロンドに染め、高価な衣服を身につけて大量のコロンをふりかけていた。彼も移民の出であったが、高校で知り合ったヴァンとは違い、彼の家族はかなり贅沢な暮らしぶりだった。母親は不動産業で大成功しており、父親は地元でいくつかの小さな会社を経営するエンジニアであった。高校時代、パーヴィスはコンピュータプログラムについて相当詳しく学んでいたので、高校卒業後はすぐに大学には進学せずに、父親の会社でソフトウェアエンジニアとして働いていた。この間、インターネット上で車の広告ビジネスも始めた。彼はSF映画「マトリックス」3部作の熱烈なファンで、MATRIXというナンバープレートを付けた黒のインフィニティG35クーペを所有していた。
父親のもとで2年働いた後、パーヴィスは米国で最もエリート校である技術系大学のひとつに入学した。経済学とコンピュータサイエンスの2学科を専攻して卒業した。調査時には、彼は同じ大学で数学の修士課程を終了するところだった。
センターストーン・ヘルス社は、大小企業の従業員、個人、家族向けに医療保険を提供しており、40,000名以上の従業員をかかえて、いくつかの州で主要な業務を展開している。独立系保険代理店のネットワークと社内営業チームが同社の商品を販売しており、医療保険を探している個人は、取扱許可をもつ独立系保険代理店に連絡するか、同社の社内営業課に電話するか、オンライン申込書に記入するか、もしくは保険加入申込書に記入し提出することにより、保険の申し込みができる。
SIUはセンターストーン・ヘルス社での社内外のホワイトカラー犯罪すべてに対応しておりその多くは医師や病院の不正だが、代理店、取引業者、従業員による不正も含まれている。元連邦検察官がSIUを率いている。調査担当ディレクターが、地理的に分けられた同社の4地域の各エリアをそれぞれ管理しており、ディレクターのうち2名は、FBIの退職者である。私の上司であるジム・グリア(Jim Greer)は、FBI退職時には、地域のFBIオフィスで担当捜査官の監督官であった。
各調査担当ディレクターは、調査アナリスト1名と調査担当者数名を部下に持っている。私は、西部地域の調査アナリストとしてセンターストーン・ヘルス社に10年間勤務しており、3年前からSIUの所属となった。私の基本的な業務のひとつは、主要な大規模データマイニング研究を指導し、医療請求支払いについての統計的分析を行うことであるが、時々調査任務が与えられると私はいつも張り切る。
秘密諜報員 (SECRET AGENT)
9月にはめずらしくさわやかなある朝、センターストーン・ヘルス社の加入課のマネージャーであるグレイシー・レオナード(Gracie Leonard)から電話があった。彼女によれば、所属部署に怒った数社の保険代理店と新規加入者の1人から連絡があり、最近彼らが提出した保険申込書の代理店として、センターストーン・ヘルス社の公式記録に正しくない代理店が入力されているという苦情であった。代理店は手数料の小切手を受け取っていないと怒っていた。新規加入者のドナルド・ストリックランド(Donald Strickland)は、誰かが不正に個人情報を入手していると不審に感じていた。グレイシーには何かが間違っているとわかっていた。彼女は、私にパーヴィス・シャーという名の代理店がこの件に共通して出てくると話した。パーヴィスの名前は、これらの加入申し込みの代理店として登場しており、センターストーン・ヘルス社に保険取扱理店として指定されて以来、5ヶ月で莫大な手数料を手にしていた。
ストリックランドはグレイシーに宛てて、長年保険の相談をしてきた家族ぐるみで親しく付き合いのある友人とどのように保険の契約を結んだかを詳細に説明した長い手紙を送った。彼はパーヴィス・シャーなる人物は知らず、どのようにその人物が加入申し込み記録に代理店として記載されたのか知りたいと要求していた。パーヴィスのものではないストリックランドの代理店のサインが、申込書原本にあった。ストリックランドと彼の代理店はパーヴィスと対峙すべく電話した。そして、パーヴィスはストリックランドの保険契約の代理店からパーヴィスの名を外すようセンターストーン・ヘルス社に書簡を送った。ストリックランドによれば、パーヴィスは何らかの取り違えがあっただろうとのことで、本来の代理店に手数料を渡すことを了承したという。誰もこの「取り違え」がどうして起こったか知らされなかったが、ストリックランドは問題が解決したので、とりあえずそれで満足した。
保険の販売において、代理店が彼らの仕事の生命線である手数料を放棄することはほとんどない。グレイシーは私に、経営陣が2週間かけてこの状況を調査したが、彼女はセンターストーン・ヘルス社の社員では無く、代理店業者であるパーヴィスがどのように問題になった加入申込書のコピーを入手できたか全くわからないと言った。グレイシーは不正行為を疑った。しかし、経営陣は誰がどのような不正を行ったのかを特定できなかった。彼女は私の助けが必要であり、急を要した。
メールルームの怪 (MAILROOM MYSTERY)
私は、これは内部犯行であるとにらんだ。最初に考えたのは、パーヴィスにはセンターストーン・ヘルス社に勤務する共犯者がいるに違いないということだった。そうでなければ、保険加入者がパーヴィスの名前を聞いたことも無いというのに、どうして彼が一連の保険加入記録の公式代理店になることができるだろうか。
SIUの新メンバー、ゲリー・パルツァー(Gary Pultzer)は、カリフォルニア州保険庁のウェブサイトでパーヴィスの保険取扱許可について調べた。彼は新しく生命保険および医療保険取扱代理店許可を取得し、BN&S保険代理店LLC(BN&S Insurance Agency LLC)の代理で取引業務を委任されていた。ゲリーはBN&Sを調べたところ、パーヴィスが同社の登録代理店であり、私書箱番号と実際の住所を登録していることが判明した。私は住所の検索をし、それがアレックス・ベッドフォ-ドが占有する住居の住所と一致することを突き止めた。
ベッドフォードは容疑者か。従業員名簿は、彼がグレイシーと同じ加入課に勤務していることを示していた。カリフォルニア州保険庁のウェブサイトには、アレックスがパーヴィス同様、生命保険および医療保険取扱許可を持つ代理店と掲載されていた。アレックスは、センターストーン・ヘルス社と競合する2社から保険販売の代理店に指定されていた。同社は、この明らかな利益相反だけでも彼を解雇することができた。私は、アレックスが年に一度、利益相反について自ら申告する報告書でこの情報を開示したか考えた。恐らくしていないだろう。そして、BN&Sがアレックス・ベッドフォード、パーヴィス・シャー、そして苗字の頭文字が「N」で始まる知られざる第三者のイニシャルを表しているという理論を立てた。
我々はすぐにこのケースの解明に取り掛かった。アレックスとパーヴィスがセンターストーン・ヘルス社から手数料を着服するために共謀していると確信していたが、パズルを完成させなければならなかった。まずは、彼らの手口を正確に組み立てる必要があった。グレイシーに電話し、翌日彼女と会う予定を入れた。彼女とアレックスは私のオフィスから北西に20マイルにあるセンターストーン・ヘルス社ビルで働いていた。
グレイシーはアレックスの上司ではなかったが、2人が勤務する部門の運営やアレックスの担当業務についての詳細な説明を入手することができた。彼女によると、所属部署では、すべての加入申込みの検索や手続きに画像システムを採用しているため、社内業務はペーパーレスとのことだった。加入申込書は、署名や未回答の質問など書類の不備を確認するため電子データで待ち行列(キュー)に転送される(処理待ち状態となる)。書類不備の無いものは、加入手続き処理の待ち行列に置かれる。
私は、画像化される前の加入申込書をアレックスが入手し、パーヴィスの名前と代理店許可番号を記入した後、申込書を社内便に戻していたに違いないと気づいた。メールルームの従業員だけが紙の申込書を取り扱うことができ、毎朝郵便で受け取る申込書をスキャナーで読み込む部署に配達する。担当部署は、毎日、メールルームのシフトが終わる午後3時30分まで、申込書を受け取りスキャナーで読み込む。ゲリーと私は、メールルーム従業員が帰った後、いつもドアは施錠されていないことを知った。我々は、アレックスが午後4時から午前0時30分までの夜勤勤務であることをすでに知っていた。私は、アレックスが地下のメールルームに忍び込み、紙の加入申込書にパーヴィスの代理店情報を記入するか、申込書を家に持ち帰って同様のことをしたと推測した。
アレックスの職場を去る前に、彼の年間業績評価と利益相反開示を含む従業員記録のコピーを入手するためセンターストーン・ヘルス社の人事課に電話を入れた。大部分でアレックスの評価は毎年上がっており、平均以上の昇給を受けていた。彼の上司はアレックスを「頭の切れる若者」と言っていた。アレックスは新しい業務もすぐに習得し、こなせるようになるためすぐに飽きてしまい、他の部署の友人との必要以上の無駄話で何度か注意を受けていた。しかし、アレックスの評価は、ほとんどの人に彼が優秀な従業員にほかならないことを信じさせるものであった。さらに重要なのは、彼の利益相反報告書では、ちょうど1年前に生命保険および医療保険取扱代理店許可を取得したことや、センターストーン・ヘルス社と競合する2社と保険販売の契約を結んでいたことが開示されていなかったことだ。
ゲリーと私は人事課をあとにし、アレックスの住居の写真を撮るために出かけた。そこはBN&S保険代理店の事務所の住所でもあり、最終調査レポートに含める目的であった。
翌朝、何時間かの交渉のあと、アレックスのEメールアカウントを含め、彼が使用していたITシステムへのアクセスを許可された。私は、書類の不備が無いにもかかわらず、アレックスの部署の何人かの従業員が、なぜ電子データで転送された申請手続き待ちの申込書を保留に戻しているのかを問いただす他の従業員からの1通のEメールを発見した。アレックスは、私が見た2日前にそのメールを受信し見ていたが、まだ返答していなかった。私は自分で画像システムを見てみることにした。ログインして、ITスタッフから教えられたパスワードが、私が通常使っているネットワークのログインIDと同じで、変更する方法がないことに気づいた。ITスタッフは、すべての画像システムのユーザーパスワードはネットワーク接続IDと同じものが設定されていると言った。つまり、従業員は誰でも他の従業員として画像システムにログインすることが可能ということだ。したがって、システムの監査ログは、誰が申請書を取り扱っているかを正確に反映していなかったことになる。これは、深刻な内部統制問題だった。
私は申請手続き待ちから保留に転送されたすべての申込書を調べた。私が発見したことの中で1つの共通点があった。そのほとんどが代理店を使っていない加入者、つまり仲介無しの申込みの中にあった。センターストーン・ヘルス社にとっては、同社が手数料を支払う必要が無いので、これは利益の多い取引である。毎月、本人または家族のために申し込みをする何千もの保険加入者のうち、約15%が代理店を通さない。わたしは事態を理解した。我々が承知のとおりアレックスが賢ければ、こうした申込書にだけパーヴィスの名前と代理店許可番号を書き込むだろう。でなければ、手数料を受け取っていない本当の代理店が苦情を言ってくるはずだ。ではなぜパーヴィスの名前がストリックランドの申込書に書かれていたのか。
私は、センターストーン・ヘルス社の営業マネージャーに電話をし、加入者名、証書ID番号、支払い済み手数料などのパーヴィスの顧客情報リストである「取引簿」を入手した。パーヴィスは、5ヶ月間、センターストーン・ヘルス社の商品を販売するためだけに認可を受けていたが、驚くべきことに、250もの加入契約から手数料を受け取っていた。パーヴィスには、この5ヶ月間で13,072米ドルが支払われていた。翌1日半の間に、ゲリーと私は、パーヴィスの顧客から50人をサンプル抽出して電話をかけた。全員がパーヴィスの名前を聞いたことが無いと言い、代理店を通さず自身の保険に加入していた。
この時点まで私は、代理店を通していない加入申込書がスキャンされる前にパーヴィスの名前を原本に書き加えるため、アレックスがメールルームに忍び込んで申込書の原本を手に入れていたと思っていた。しかし、今は他のユーザーIDで画像システムにログインしていた可能性も考慮しなくてはならなかった。私は、こうした申込書があまり多く無いため、アレックスにとっては画像システムで探す方が簡単だと考えた。では、アレックスはいかにしてすでに画像化されたものにパーヴィスの名前とライセンス番号を挿入することができたのか。後に私は、アレックスが画像システムで申込書原本を取り消す方法を見つけ出していたことを知った。彼は、申込書をキャンセルしたあと、パーヴィスの名前とライセンス番号を入れて再び画像に取り込んだコピーを持っていた。アレックスはこの脆弱性を悪用するだけの十分な技術的知識を持っていた。次の調査段階に進む時が来た。
調査は実りあるものだったが本件は棄却
(FRUITFUL INTERVIEWS BUT CASE DISMISSED)
我々の任務をまとめるために、最近センターストーン・ヘルス社内の別の部署で新しいポジションに就いたアレックスの元上司、ポーラ・リー(Paula Lee)と面接したいと思った。そしてもちろんアレックスとも話したいと思っていた。しかし、まずは人事、法務そして倫理・コンプライアンス課から有益な情報を得る必要があった。私はマネージャーたちと電話会議をアレンジした。人事部マネージャーのニール・ホナ(Neil Honna)は、これまでのポーラとの付き合いから、彼女の誠実さを懸念していた。彼は、アレックスの面接の前にポーラがアレックスに情報を伝えてしまうであろうことを心配していたので、私は、彼らの仕事場で同時に面接を行うことを提案した。予定では、もう一人のSIU調査員、ランディと私がポーラを面接し、ゲリーと私の上司であるジム・グレアがアレックスを面接することになった。法務課の弁護士はこの手筈に満足したが、アレックスの面接にはニールも同席させるべきだと勧めた。最後に、倫理・コンプライアンス課が面接結果をすぐに知らせて欲しいと要求し、私は彼らに連絡することを承諾した。
ランディと私は4時きっかりに、抜き打ちの面談でポーラと会った。驚いたことに、彼女は全面的に協力的であり、非常に有益でもあった。彼女は、アレックスが「チームの中で大きな存在」であり、部署が人手不足の時には他の仕事をカバーするために、彼が「臨時労働者」として使われていたと話した。彼女はまた、アレックスはすべての部署の業務過程や処理に非常に詳しかったと述べた。我々がアレックスについての容疑について触れた時、彼女は、前の部下の中で入会申込書を途中で入手している人物がいるとしたら、アレックスを疑うと言った。彼にはばれないと思っているとしても不思議ではないような自信に満ちたオーラが滲み出ていた。ポーラは、数年前の画像システムの初期テストとその後の導入にアレックスが関与していたと説明した。実際、彼女はアレックスを「画像システムの王」と表現した。
それから私は、容疑者に苗字が「N」で始まる友人が社内にいるかどうかポーラに尋ねた。すぐさまポーラはヴァン・ニュヤンの名を挙げた。彼女は、ヴァン・ニュヤンが3年前にセンターストーン・ヘルス社の入会課で働き始めていると説明した。その後、彼は生命保険および医療保険取扱代理店許可を取得し、翌年7月に同社の社内営業課に移動になった。ポーラは、ヴァンとアレックスの2人が営業のポジションに応募したが、ヴァンだけが異動となったことをさらに詳しく話した。ヴァンは心筋梗塞を患う父の看病のため、その年の4月にセンターストーン社を辞めた。同僚の営業担当の間でヴァンの信じられない営業成績が色々な憶測を呼ぶ中、ヴァンは退職したのだった。ポーラは、ヴァンが「不適切な営業委託」を受けていたと前の所属部署の友人たちが噂していたと述べた。ここでも、わたしは「なるほど」と思った。それまでわからなかったパズルの一片がまさに正しい場所に置かれようとしていた。ヴァンが社内営業担当として働いていた時、アレックスは代理店を通さない加入申込書を途中で入手し、それらをヴァンに渡していた。つまり、現在、アレックスとパーヴィスの間で行われていることと同じことが行われていたのだった。私は頭の中で時系列に事の成り行きを考え、ヴァンの退職した後の月からパーヴィスに最初の手数料が小切手で支払われていたことに気がついた。ヴァンについてのうわさが証明されることはなかったとポーラは語った。
ポーラは、ヴァンがちょうど3週間前、営業課に異動になる前に勤務していたセンターストーン社の入会課に再び採用されたと言った。ここは、アレックスと同じ部署であった。ランディと私は面接を終了し、我々が得た情報をジムとゲリーに話すべく急いでアレックスの仕事場に向かった。
15分後、我々が到着した時、アレックスはまだ面接中であった。私は携帯電話を取り出し、「N」で始まる名前の未確認の第三者について重要な情報を得たとのメッセージをジムに送った。数分後、ジムは面接している部屋から現れ、私とランディはポーラとの面接で得たことをすべてジムに説明した。この情報はまさにグッドタイミングだった。というのも、ジムによるとアレックスは「のらりくらり」と対応し、不正行為を認めるどころかパーヴィスなんて知らないと言い続けていた。FBIで30年の経験を持つジムは面接の部屋へと戻って行った。
数分後、人事のマネージャー、ニールが小走りに出てきた。彼が言うには、ジムがヴァンについて触れるとアレックスは5ヶ月前にセンターストーン・ヘルス社を辞めた奴だと語ったとのことだった。ただ、アレックスは、ヴァンが3週間前に再び採用され、今は同じ職場で働いていることは言わなかった。私はニールに続き、彼がヴァンの従業員情報ファイルを調べている間に、ヴァンが最近採用されたことを確認した。それからニールはヴァンの小部屋に行き、ニールのオフィスで待つよう告げた。そして、ニールは、アレックスとヴァンが働いていた部署に行き、彼らの私物を押収した。彼はアレックスのブリーフケースを持って面接の部屋に戻り、アレックスにこの中にセンターストーン・ヘルス社の書類があるか尋ねた。アレックスは、加入者からの加入申込書と保険料の小切手が入っていると言い、さらに、自分は家に仕事を持ち帰ることを許されているとも言った。しかし、実際には、会社の規定で彼がこれらの書類を取り扱うことは禁止されていた。ニールが書類を押収すると、アレックスは弁護士を呼ぶ必要がありそうだと言った。ニールは、アレックスはいつでも会社から出ることができることを告げ、しかし、センターストーン・ヘルス社の社員として面接を終らせた方がいいだろうとアドバイスした。この時アレックスは、パーヴィスを知っていること、ヴァンが2人を引き合わせたことを話した。残りの面接ではアレックスはほとんどしゃべらなかったが、不正行為を認めないまま、自身が「ベンチャー企業の投資家」であり、BN&S保険代理店を興す資金としてパーヴィスに3,000米ドルを渡したことは述べた。ニールはただちにアレックスを休職扱いにし、会社の警備員に付き添われ、アレックスはビルから出て行った。
ジム、ニールそして私は次にヴァンを面接した。彼は激しく怯えた表情を見せていた。自分が尋問される本当の理由がわかっていた。ジムと私はSIUの調査員であると自己紹介するとヴァンはお手洗いに行ってもいいかと聞いた。ニールがご親切にもヴァンに付き添った。彼らが戻ってくると、ジムと私はすぐに本題に入った。ヴァンはパーヴィスとは高校時代からの友人であることを認めたが、手数料支払いの横領に関する不正行為については過去も現在も含めて、認めようとしなかった。ニールはヴァンを休職扱いとし、その先の調査を保留にした。
彼らに対する処分が下される前に、アレックスとヴァンが面接の翌日に退職したことに私は驚かなかった。私は営業マネージャーと共に、センターストーン・ヘルス社の販売代理店としてパーヴィスとの契約打ち切りを通知する書面を作成した。その中で、これまでの手数料をすべて返還するよう求めた。その間にゲリーは、この3人組について報告し、彼らのライセンス取り消しについてのミーティングをカリフォルニア州保険庁と設定した。同庁が本件を「証明困難」として却下を決めた後、ジムは地区検察局に連絡したが、そこでも「他にもっと重要な案件がある」との理由で却下された。最後に、国民医療不正対策協会(National Health Care Anti-Fraud Association, NHCAA)との協力でレクシスネクシス(LexisNexis)が開発したオンライン情報検索システムに本件の要約を入力した。この電子データベースでは、センターストーン・ヘルス社のようなNHCAAの法人会員や多様な法執行機関が、不正の手口や傾向、不正行為者について検索することが可能となっている。
得られた教訓 (LESSONS LEARNED)
次の月曜日の朝、私のパソコンにログインした時、非常に皮肉なことを偶然目にした。アレックスが退職してほんの数日後に、彼の所属部署の部長が四半期における優秀な社員としてアレックスを表彰していたのだった。彼の写真はセンターストーン・ヘルス社の企業内ネットワークのホームページに掲載され、彼がどれほど同社の業績に貢献したかの記事もあった。この表彰で、アレックスに1,000米ドルのボーナスが支給された。ゲリーと私は、SIU不名誉賞を作って、今までの不正調査より明らかになった不正行為者とともにヴァン、パーヴィス、そしてアレックスの写真を掲示しなければと冗談を言い合った。我々は、アレックスが同僚や経営陣たちからそれほど高い評価を得ていたことにショックを受けていた。しかし、着服を知った後に、今回の不正によって個人情報漏洩の危険にさらされた250名もの個人と家族宛てに通知を出さなければならなかった(アレックスを表彰した)部長のほうが、よりショックを受けていたに違いなかった。
さらに皮肉なことに、アレックスが退職した翌月、入会課のディレクターから、センターストーン・ヘルス社と競合するある企業がアレックスを採用したとの電話があった。SIUの調査員は定期的に競合企業と情報交換をしている。私は、アレックスの再就職先の調査関係者にオンライン情報検索システムにある私の記入事項を読むよう助言した。アレックスはいまやマネージャーで、センターストーン・ヘルス社の時より破格に高い給料を稼いでおり、友人であり不正行為の共犯者のヴァンを採用していた。彼らの勤務先の調査関係者はアレックスとヴァンへの調査を開始したが、応募書類に虚偽が無かったため、最終的には彼らを免職処分にはできなかった。彼らは賢くも、正式に解雇される前にセンターストーン・ヘルス社を自ら辞めていた。したがって、これまでに解雇されたことがあるかどうかという応募先の企業による質問に対し、嘘を付くことなく「ありません」と答えることが出来たのであった。
今回学んだ最も重要な教訓は、私には告発に係る決定にほとんど権限が無かったということである。私の調査は専門的に遂行されたにもかかわらず、法執行機関がそのケースを取り上げるという保証はどこにも無い。アレックスが前より良い条件で新しい会社に移ったという事実を受け入れるのは容易ではなかった。その上、13,072ドルの返還を要求した我々からの書簡に対し、パーヴィスからは、なしのつぶてだったことも予想外だった。しかしながら、比較的早い時期にこの手数料の着服を食い止めることができたのは、個人的には満足していた。明敏な新規加入者であるドナルド・ストリックランドがいなかったら、この不正行為はもっと長い期間続いたであろう。(不正調査において、消費者の重要性を決して見くびってはならない。)私は単純線形回帰と呼ばれる統計技法を用いて、もしこの不正手口がもう12ヶ月続いていたとしたら、パーヴィスにおよそ200,000ドルが支払われていただろうと見積もった。
今後の不正防止へのアドバイス
(RECOMMENDATIONS TO PREVENT FUTURE OCCURRENCES)
Physical Safeguards
物理的な予防対策
センターストーン・ヘルス社では、就労時間後メールルームを施錠することにした。加入申込書には、医療保険の相互運用性と責任に関する法律(Health Insurance Portability and Accountability Act, HIPAA)に基づいて保護された医療情報(Protected Health Information, PHI)が含まれている。HIPAA条項には、(情報の)不適切な取得について、医療保険業者に対し、PHIへの物理的アクセスの制御を求めている。
Technical Safeguards
技術的な予防対策
アレックスの部署で使われていた画像システムのパスワードは、ユーザーIDと同じものが設定されていたため、自分以外の画像システムに誰でもログインできるようになっていた。システム監査のログは、加入申込書を処理する担当者を正確に反映するものではなかった。これは内部統制の重要な欠陥である。アドバイスはもちろん、適正なパスワードの設定である。
Processing of Non-brokered Applications
代理店を通さない申請書の処理
代理店を通さない加入申込書は、手数料を支払わないためセンターストーン・ヘルス社にとっていいビジネスである。代理店を通さない加入申込書は、申込書が画像システムに取り込まれる前に99999といったダミーの代理店番号を記入するよう勧める。そうすれば、全員が代理店を通していない加入申込者であることがわかる。
Segregation of Duties
職務の分離
アレックスは何でも屋だった。彼は部署内のあらゆる業務を経験していたためこの手口を実行することができた。たとえば、彼が画像システムの脆弱性を知っていたのは、彼が加入課とIT課との窓口だったからである。所属部署のリーダーとしてアレックスは、何か業務上の問題が発生した時の窓口でもあった。彼の業務範囲は単純に広すぎた。
デヴィッド A.シュナイダー氏 (CFE)
大手医療保険会社のSIUで調査アナリストである。データマイニングや統計分析を通して不正発見・調査を行っている。