© Business & Law LLC.

はじめに

内部通報制度の意義と現状

2020年6月12日に公布され、2022年6月までに施行予定の改正公益通報者保護法を受け、改めて、自社の内部通報制度の見直しを検討されている企業も多い。2021年4月21日、消費者庁は「公益通報者保護法に基づく指針等に関する検討会報告書」を公表し、これにより、改正法が事業者に求める体制整備の概要も明らかとなったところである。
事業者の法令遵守体制整備との関係で内部通報制度の果たす役割は大きい。消費者庁「平成28年度民間事業者における内部通報制度の実態調査報告書」(以下、「本報告書」という)によれば、不正発見の経緯として最も多いのが内部通報であり、内部通報制度を導入した効果についても、違法行為への抑止力として機能している、自浄作用による違法行為の是正機会の拡充に寄与しているとの回答がなされている。また、本報告書によれば、中小規模事業者では内部通報制度の導入が進んでいない面もあるが、従業員3,000人超の大企業においては内部通報制度の導入割合は99.2%にものぼる。このように、日本国内では、内部通報制度の意義は認知され、かつ、導入・運用も進んできているものと考えられる(目下、冒頭記載のとおり、改正公益通報者保護法への対応が必要とされている)。

グローバル内部通報制度

これに対して、本稿のメインテーマである“グローバル”内部通報制度については、まだまだ導入企業は少なく、認知度も低いように思われる。そもそもグローバル内部通報制度とはどのようなものなのか、以下の図表1を基に説明する。

図表1 グローバル内部通報制度と通常の内部通報制度の違い

※1 グローバル内部通報制度の受付窓口業務は難易度が高いことから外部の事業者に受付業務を委託する方法が一般的といえる。

グローバル内部通報制度とは、上記図表1左図にあるとおり、海外拠点の従業員等が、日本本社に対して、直接に、不正行為等の存在を通報できる制度をいう。

従来の各拠点における内部通報制度(以下、「ローカル内部通報制度」という)は、上記図表1右図にあるとおり、海外拠点の従業員等が、自らが所属する海外拠点の内部通報窓口に対して通報を行うものである。その結果、通報に伴う調査は基本的に海外拠点内部にて完結し、日本本社に対しては報告されないか、または、一部の重要事案のみが報告されることになる。しかしながら、かかるローカル内部通報制度では、海外拠点の経営陣の関与が疑われる重大な不正事案の把握は難しい。つまり、内部通報に伴う調査は基本的に海外拠点内部にて完結することから、経営陣等により適切な調査・処分が阻害される可能性や、最終的に海外拠点内部にて隠蔽される可能性が残る。また、海外拠点の従業員等としても、報復を恐れて通報を躊躇する側面が否定できない。

他方で、グローバル内部通報制度では、海外拠点の従業員等は、日本本社が設置するグローバル内部通報窓口に対して直接通報することも可能となるため、日本本社にて不正行為等の存在の端緒を把握することができ、結果として、日本本社がイニシアティブをもって調査等を進めることが可能となる。これにより、海外拠点の経営陣の関与が疑われる重大な不正事案の把握に資することになる。
このような仕組みは、贈収賄、独禁法違反、会計不正、品質偽装等といった、企業グループ全体に大きなインパクトを与える重大不正事案において有効である。

グローバル内部通報制度導入の実務

グローバル内部通報制度導入の法的留意点

グローバル内部通報制度導入にあたっては海外法令への対応が必要となる。基本的な考え方としては、制度を導入する海外拠点の所在国における法規制をカバーする必要があるが、主として、①個人情報保護法制、②労働関連法制、③内部通報関連法制を検討する必要性が高い。

(1) 個人情報保護法制

グローバル内部通報制度の導入により、日本本社は、海外拠点の従業員等から、直接、通報者自身や通報対象者の個人データを取得することになる。また、内部通報受領後においては、日本本社と対象海外拠点の連携が当然に想定され、連携や調査遂行の過程において、日本本社は、対象海外拠点から、さまざまな個人データを取得する可能性がある。このため、グローバル内部通報制度の運営においては個人データの越境移転が不可避であり、各国における個人情報保護法制に留意する必要がある。
たとえば、欧州拠点との関係では、GDPRにおける個人データの越境移転規制(十分性認定の枠組みに基づく移転やSCC締結に基づく移転等)を考慮する必要があり、中国拠点やロシア拠点等との関係では、データローカライゼーション規制(厳密には各国規制により異なるが、概要、個人データを含む特定の重要なデータの国内保管を義務付け、越境移転の場合に当局への通知を含む特定の手続の履行を求めるもの)を考慮する必要がある、といったように各国における法規制への対応が必要となる。
重要なポイントは、通報時点のみならず、その後の連携・調査時点において不可避となる日本本社と海外拠点のコミュニケーションにおける情報移転の可能性も見据えた対応を行う必要がある点である。確かに、グローバル内部通報制度導入時からただちに個人データの越境移転等が発生するものではなく、通報があって初めて発生するものであるが、通報を受けた段階で個人データの越境移転等に必要な体制整備を一から検討していたのでは遅きに失するため、導入時の検討が必要となる。

(2) 労働関連法制

グローバル内部通報制度導入は、海外拠点の従業員等に対し、社内規程をもってその遵守を要請するものである。もちろん通報は強制ではないが、通報する以上は規程に則った対応を実施してもらうことになり、労務管理の一環として現地の労働関連法制の遵守が必要になる。
たとえば、国によっては、制度導入にあたって労働組合等との協議や合意が要求される場合がある。このため、海外法令調査を実施のうえ、社内規程を策定した後に、各国法の定める手続に沿って、労働組合等との協議を進めていく必要がある。進め方は各国によって異なるが、通常は、社内規程とともに、グローバル内部通報制度の概要を説明するための周知文等を作成し、労働組合等の窓口に対して送付し、協議を始める、といった方法をとることが多いものと考えられる。その後、必要に応じて、会議を設定する等により、直接説明の場を設けることになる。
なお、法令上、労働組合等の合意が必要な国はもちろんであるが、必ずしも合意が必須とされない国でも、協議を適切に実施したプロセスは証拠化しておくべきである。このため、口頭での説明のみに終始することなく、メール等により、別途、説明経緯を残しておくべきことに留意が必要である。

(3) 内部通報関連法制

グローバル内部通報制度導入も、内部通報制度導入である以上は、導入拠点の国における内部通報関連法制を遵守する必要がある。
たとえば、国によっては、通報者の範囲、通報対象となる不正行為等の範囲、通報の方法、調査の方法、通報者の保護、匿名通報の可否など、さまざまな規制が存在する可能性がある。もっとも、これらを検討する際に重要なポイントとなるのは、当該規制が、ローカル内部通報制度の導入・運用のみならず、グローバル内部通報制度の導入・運用にあたっても適用されるものであるのかの見極めである。すなわち、前述のとおり、グローバル内部通報制度は、贈収賄、独禁法違反、会計不正、品質偽装等といった、企業グループ全体に大きなインパクトを与える重大不正事案を発見することが主眼であり、通常は、必ずしも、当該制度を海外拠点における微細なものも含む全不正行為等の通報窓口として機能させることは想定されていない。そこで、海外拠点において、既に適法なローカル内部通報制度が存在することを前提に、そのうえでなお、各国法との関係でグローバル内部通報制度の制度設計に影響するポイントを洗い出す必要がある。
なお、法令遵守は当然だが、仮に法令で義務付けられていない場合でも、制度の一括運用の観点から、たとえば、通報受領後のレスポンスのタイミング、調査結果報告のあり方等について、各国足並みを揃えた内容とすることも検討される。

(4) 基本的考え方

以上のとおり各国法令対応について述べてきたが、グローバル内部通報制度の制度設計における基本的考え方についても言及しておきたい。各国法においても義務付けられていることがほとんどであるが、以下については、各国における法規制にかかわらず、制度の健全な運営の観点から、当然に制度に盛り込まれるべきである。

① 通報者への不利益取扱いの禁止の徹底
② 通報に関する秘密保持・個人情報保護の徹底
③ 通報者への対応状況の通知

グローバル内部通報制度導入の進め方

続いては、グローバル内部通報制度導入の進め方の話に移りたい。以下の図表2に示すのが、制度導入までの一般的な流れと、各ステップにおけるハードルの一覧である。

図表2 グローバル内部通報制度導入へのステップ

図表2に示したとおり、プロジェクト中にはさまざまな疑問が発生し、制度導入までの道程は容易ではなく、それなりの期間・人員・予算を確保のうえ進める必要がある。さまざまな論点のそれぞれについて、“制度導入責任者→法務部→法律事務所→海外法律事務所”等の形でエスカレーションして解決を図ったのではプロジェクト推進はなかなか困難であるため、グローバル内部通報制度実装チームを組成のうえ、ワンチームで合理的に進めることができることが望ましい。

(1) グローバル内部通報制度を導入する海外拠点の選定

基本的には各企業の判断で選定することになるが、その際は、“海外拠点の規模感×内部不正発生の可能性”という考え方が一つの指標となる。
たとえば、“海外拠点の人数が1,000人を超える”“海外拠点の売上比率が高い”といったケースで、かつ、当該海外拠点のビジネスの内容からして不正リスクが否定できない場合や、海外で大規模な買収を行った場合の当該新拠点は導入対象とする必要性は高いと思われる。さらに、公務員等との癒着が起きやすい背景があるなど、規模にかかわらず当該海外拠点の特殊事情がある場合にも、当該拠点を導入対象とすべき方向に傾くと思われる。このような形で、実情に応じて海外拠点を選定することになる。

(2) グローバル内部通報受付窓口の選定

必ずしも自前で設置することが禁止されるものではないが、グローバル内部通報制度の受付窓口業務の難易度が高いことは念頭に置いておく必要がある。
すなわち、グローバル内部通報制度においては、受付窓口は多言語対応可能である必要があるところ、日本本社の自前リソースでかかる人材を揃えることは困難である場合が多い。また、“受付窓口のミスにより重大な内部通報を受付できない”“または受付したもののレポートラインが機能せず判断権者にうまくトスアップされない結果放置される”“受付窓口のミスにより情報が外部に漏洩する”といったトラブルが発生すると、グローバル内部通報制度の信頼性に影響する。そこで、制度導入にあたっては、外部の事業者に受付業務を委託する方法が一般的といえる。
なお、通報時点だけではなく、調査時点も見据えた社内体制を整備することも重要である。実際に通報を受領した場合に、具体的にどのような判断をし、いかなる対応を実施すべきかを事前に検討しておくことが望ましい。

(3) 導入先の海外法令調査の実施

前述のとおり、グローバル内部通報制度の導入にあたっては、個人情報保護法制、労働関連法制、内部通報関連法制を中心とした海外法令調査を実施することになるが、海外法律事務所を直接起用することの難易度の高さは念頭に置いておく必要がある。
まず、適切な調査スコープを確定しなければ合理的な調査は困難であるところ、各国において、グローバル内部通報制度導入・運用を専門の一つとする弁護士を起用することは困難を伴う。また、調査過程では、英語でのさまざまなコミュニケーションが発生する。さらに最終的には、導入対象となる複数海外拠点それぞれにおける法令調査結果を横串で検討し、具体的な対応を検討する必要もある。上記の点から、ハブの役割を果たす国内法律事務所を起用のうえ、プロジェクトを推進することが望ましい。

(4) グローバル内部通報規程等の作成・翻訳

導入先の海外法令調査が完了すると、続いて、当該調査結果を制度内容に反映のうえ、それを各国における現地拠点で適用されるグローバル内部通報規程その他のドキュメントに落とし込む作業を実施することになる。一般的なグローバル内部通報制度において通常作成することが多いドキュメントは以下のとおりである。

① グローバル内部通報規程
② 社内周知文
③ 同意書
④ 個人データ越境移転対応に必要な契約等

なお、このようなドキュメントを作成後は、これらを現地語に翻訳する作業が発生するので、当該翻訳作業にかかる期間・費用をスケジュール・予算に織り込んでおく必要がある。

(5) 現地の法令上必要とされる各種手続の履践

必要ドキュメント一式の完成後は、続いて、現地の法令上必要とされる各種手続の履践に移行する。基本的には、導入先の海外法令調査の実施結果に応じて、日本本社担当者と海外拠点担当者が適宜コミュニケーションしながら、以下に例示するような各種手続を履践することになる。

① 労働組合等との協議
② 当局への通知
③ 海外拠点従業員等からの同意取得
④ 日本本社と海外拠点との間における契約等の締結

本プロセスは、日本本社担当者と海外拠点担当者とのコミュニケーションが必ず発生するため、非常に手間と時間がかかる。特に、労働組合との協議や海外拠点従業員等からの同意取得にあたっては、十分な周知期間をおくことが必要となり、また、さまざまなQ&A対応が求められるのが通例である。そこで、適切なプロセスを適正に踏むための余裕を持ったスケジューリングが必須となる。

(6) 現地説明会の実施

法令の要請とは別に、導入先の海外拠点への丁寧な説明は欠かせない。グローバル内部通報制度の導入・運営には、海外拠点従業員等の協力が不可欠であり、いかに協力的に動いてもらえるようお膳立てできるかがポイントとなる。基本的には日本本社のグローバル内部通報制度の導入責任者が実施することになるが、制度導入が重大な内部不正防止に資するものであり、グループ各社全体での健全経営をアピールする良い手段となることを強調しつつ、単なる制度説明にとどまらないプレゼンとなるよう心がけることが望ましい。

(7) 導入・その後

以上が一連の手続だが、導入までは一定の困難が伴う。海外拠点における要望の取り込みの必要性や海外拠点における顧問弁護士のチェックに伴う対応、海外拠点からの反発への対応などが発生することは通例であり、都度、日本本社と海外拠点との密なコミュニケーションを図り、導入完了まで柔軟に粘り強く対応することが必要となる。

グローバル内部通報制度運用の実務

通報から完了報告までの流れ

グローバル内部通報制度運用の実務についても、簡単に触れておきたい。時系列に沿った通報から完了報告までのフローは図表3のとおりである。

図表3 グローバル内部通報制度の運用の流れ

図表3のとおり、内部通報後の初動対応から対応実施までの流れは、グローバル内部通報制度における通報事案と、一般的な内部不正の調査対応事案と大きく変わるものではない。
以下、グローバル内部通報制度特有のポイントに絞って簡単に解説する。

グローバル内部通報制度運用のポイント

(1) 通報から初動対応

通報内容の信憑性の見極め、対応方針の検討、調査チームの組成、証拠保全、情報管理、関係者への協力要請、調査実施といった流れ自体に特筆すべき点はないが、調査チームの組成については工夫の余地がある。
すなわち、グローバル内部通報制度担当部署は、程度の差はあれど基本的に全件関与することになるが、実際の調査につき、日本本社の調査チームを関与させるか、海外拠点における調査チームに任せるかは事案によって異なる。たとえば、“日本で流通する製品につき海外製造拠点での品質偽装があった”“欧州における独禁法違反行為があり、当局から多額の制裁金を科されるリスクがある”といった日本本社にも影響の大きいケースの場合、日本の調査チームの関与の必要性は高いが、海外拠点単体への影響にとどまるケースでは、主として海外拠点の調査チームが対応することも考えられる。また、証拠保全や情報管理については、日本本社側の適切なディレクションが望まれ、データアクセスやデータ移転については、グローバル内部通報制度導入時に想定・対応した範囲で実施されるよう適切に配慮する必要がある。
初動対応では、日本側担当者と海外拠点側担当者のコミュニケーションが重要であり、制度導入時の取り組みにより、両者間のホットラインを作っておくことが望ましい。

(2) 調査実施

実際の調査はケースバイケースの論点が発生するが、特にインタビューについては、正確な事実関係を聴取し把握するための通訳の手配の必要性や、時差や費用等の理由によりインタビュー機会が限定されること、海外拠点従業員等の協力を得ることに困難を伴う可能性があることについては、あらかじめ念頭に置いておくことが望ましい。

(3)是正対応の検討・実施

是正対応の検討・実施については、取引先への対応(無償交換・補償等)、社内処分の検討(通報対象者およびその上司、役員など)、刑事責任の追及(告訴するか)、民事責任の追及(損害賠償請求するか)、対外公表などの要否、対外公表の方法(ウェブサイト、適時開示、記者会見など)、対外公表のタイミング・内容など、検討すべきことが多々ある点は、通常のケースと同様である。

(4)その他の留意点

グローバル内部通報制度の運用にあたっては、通報から完了報告までのプロセスを、随時記録化しながら、着実に処理することが重要である。運用が杜撰であり、仮に、内部通報を受領したにもかかわらず、何らの対応もせず放置する等不適切に取り扱い、結果として重大な不正事案につながった等の場合には、これにより取引先や従業員等から損害賠償請求を受けるリスクがあることには留意が必要である(特に米国を筆頭に、海外においては、日本国内よりも当該傾向が強いように思われる)。

まとめ

ここまで、グローバル内部通報制度の導入実務について解説し、運用実務についてもポイントに触れてきた。グローバル内部通報制度導入・運用のリスクについて問われることがあるが、上記のとおり、適切に導入・運用すれば制度自体にリスクがあるものではなく、むしろ、グローバルコンプライアンス体制の強化に非常に効果的な制度である。グローバルビジネスを展開する日本企業にとって、海外拠点管理は重要課題である。海外拠点を含むグループ全体のコンプライアンス体制見直しの一つの施策として、グローバル内部通報制度の導入と運用を検討いただくことが有用と考える。

寺門 峻佑 氏

TMI総合法律事務所 パートナー弁護士

2007年一橋大学法学部法律学科卒業。2009年一橋大学法科大学院卒業。2010年弁護士登録。2011年TMI総合法律事務所入所。日本・ニューヨーク州弁護士、情報処理安全確保支援士、情報セキュリティ監査人補。内閣サイバーセキュリティセンタータスクフォース、経済産業省大臣官房臨時専門アドバイザー、防衛省陸上自衛隊通信学校非常勤講師、滋賀大学データサイエンス学部インダストリアルアドバイザーを歴任。
データ利活用における個人情報保護法・各国データ保護法対応・情報漏えいインシデント対応を中心としたデータ・プライバシー領域、eコマース・プラットフォーム/アプリ開発・ライセンス・ドメイン保護等を中心としたIT法務、不正調査案件、IT関連を中心とした国内外の紛争を主に取扱う。米国のQuinn Emanuel Urquhart & Sullivan, LLPおよびWikimedia Foundation, Inc.法務部、エストニアのLaw Firm SORAINENでの勤務経験も有する。

この記事に関連するセミナー