Q & A
Q| グローバル内部通報制度を導入すべき会社の規模などの基準はありますか?
グローバル内部通報制度を導入すべき会社の規模に関して、一律の基準があるわけではありません。しかし、グローバル内部通報制度は、海外拠点における経営陣の関与が疑われる重要な不正に関して内部通報制度を通じて情報を収集する有効な手段です。したがって、例えば、(1)海外拠点が10を超える場合、(2)中国、タイ、ベトナムなどの海外に大きな工場があり、それらが会社にとって重要な拠点である場合、(3)海外売上比率が伸びてきている場合、(4)海外で大規模な買収を行ったものの本社のグリップが十分ではない場合には、海外拠点に関するガバナンスを強化する必要があると言えます。このような場合には、グローバル内部通報制度を導入すべきでしょう。
Q| グローバル内部通報制度を導入するリスクはありますか?
グローバル内部通報制度そのものは、コンプライアンス体制の強化に繋がるもので、リスクはありません。
しかしながら、日本企業の中には各国の現地法を無視してグローバル内部通報制度を導入するケースもあります。これでは、コンプライアンス体制向上のための施策が現地の法令違反となり自己矛盾に陥ってしまいます。前述したとおり、主に、GDPR等の現地法上の個人情報保護法、労働関連法、内部通報制度規制の遵守が必須となります。
また、内部通報システム導入後、通報を受領した後に放置してしまうなど、通報に対して適切に対応しないことも大きなリスクとなります。通報に対しては、1件1件、適正に吟味して対応する体制を構築することが必要です。
Q| グローバル内部通報制度を適用するグループ会社の選定にあたって留意すべき事項は?
どのグループ会社に適用すべきかという基準はありませんので、会社のポリシーに従って適用するグループ会社を選定してください。
ただし、パートナー企業が過半数出資している合弁会社(合弁契約の役割分担としてパートナー企業がコンプライアンス対応を担当している場合等を含む)を適用対象とする場合には、当然のことながら、パートナー企業に丁寧に説明したうえでその承諾を得る必要があります。また、グローバル内部通報制度の導入は、当該合弁会社における取締役会等での決議事項に該当する可能性がありますので、導入に当たっては、パートナー企業のサポートも不可欠です。更に、パートナー企業との間で、調査情報の情報共有に関する協議も必要となります。
Q| 現地のローカル法律事務所に通報窓口を依頼するメリットとデメリットは?
1. メリット
現地のローカル法律事務所に通報窓口を依頼する最大のメリットは、現地言語で直接通報者とやり取りして通報内容を確認できる点です。
2. デメリット
しかし、多数の国地域に展開している企業において、それぞれの拠点ごとに内部通報窓口となる現地のローカル事務所を採用することは現実問題として困難です。
また、そのような現地のローカル事務所の多くは、内部通報のみを専門に扱っているわけではなく、他の業務と並行して扱うことになります。したがって、いつ来るか分からない通報に対し、常には適切な対応ができない可能性があります。例えば、通報者からの通報電話を取り損ねる、通報を受領したにもかかわらずしばらく放置してしまう、いつの間にか担当弁護士又は事務員が退職していた、という場合があります。このような場合には、グローバル内部通報制度そのものに対する信頼性が損なわれる危険性があるでしょう。更に、日本本社が各拠点の現地ローカル事務所を個々に運用管理する必要があるため、日本本社における法務コンプライアンス部門の限られたリソースを割かざるを得ません。
この意味で、現地のローカル事務所にグローバル内部通報の窓口を依頼することは、お薦めしません。グローバル内部通報の窓口には、その受付を専門とするNAVEX Globalなどのグローバルベンダーを起用し、統一的な通報制度を構築することをお薦めします。
Q| グローバル内部通報制度の導入費用・コストは?
グローバル内部通報システムの構築費用については、(1)各拠点の所在地、(2)各拠点の従業員数、(3)Webやメール受付のみにするのか、電話受付も含めるのか、(4)英語対応のみにするのか、現地語でも対応するのか、などといった要素で、費用が異なります。
さらに、導入に当たって日本の弁護士と現地の弁護士が行う現地法のレビュー、規程類の作成、各拠点に対する説明資料の作成、翻訳等の費用が発生します。
弊事務所までお問合せいただけましたら、費用の見積もりを作成させていただきます。
Q| グローバル内部通報制度に関し、GDPRの遵守のポイントは?
欧州子会社にグローバル内部通報制度を適用する場合、GDPRを遵守するための施策が不可欠になります。それは、従業員の不正という秘密性の高い個人情報を収集し、欧州域外に移転することになるからです。幸いながら、日本はGDPR第24条の十分性認定を受けておりますが、それは「GDPRを遵守しなくていい」という意味ではありません。すなわち、欧州子会社においてGDPRを遵守するために適切なPrivacy Noticeを通報者・被通報者に提供するなどの対策が必要となります。また、Navex Globalなどのベンダーを利用している場合には、同社は米国企業であり、米国は十分性認定を受けていないことから、特別の対策が必要です。さらに、2020年には欧州裁判所においてSchrems II判決のもと、これまで欧州と米国間の個人情報のやりとりを適法化する枠組みであるUS EU Privacy Shieldが無効になりましたので、この対応が別途必要となります。
Q| EU公益通報者保護指令(※)を遵守する必要はありますか?
※EU公益通報者保護指令:
連合法違反行為を通報した者の保護に関する 2019 年 10 月 23 日欧州議会及び欧州理事会のEU指令(DIRECTIVE (EU) 2019/1937 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 23 October 2019 on the protection of persons who report breaches of Union law.)
EU公益通報者保護指令(以下「EU指令」)は、EU加盟各国に対し、2021年12月17日までにEU指令を具体化する国内法の制定を義務付けるものです。その内容は、以下のような一般的な要求事項に留まり、必ずしもその要求事項に特化した特別な対応が必要となるわけではありません。もっとも、EU加盟各国における国内法制定の際に特別な要求事項が追加される可能性がありますので、注意が必要です。
-
50人以上を雇用する企業に対して通報・フォローアップのための内部通報窓口の設置(50人~249人の場合は、2023年12月17日まで猶予可能)
-
通報者への報復禁止
-
通報者の個人情報の保護
-
3か月以内の通報者へのフィードバック
【EU加盟各国における国内法制定状況(2021年4月5日現在の情報)】
ドイツにおいて、ドイツ国内法違反に関する通報内容も保護対象に含め(EU指令ではEU法違反に限定)、通報者へ報復を行った個人に対する最大100,000ユーロの罰金(企業に対する適用の可能性もあり)を定めるなど、その一部においてEU指令より内容を拡張した国内法案の審議が既に開始されています。
このように、今後、EU加盟各国における国内法制定の動向を注視する必要があります。
Q | ドイツにおける通報者保護法(Whistleblower protection in Germany)の概要は?
※2021年3月現在の情報
EU指令は、EU各国に対し、2021年12月17日までにEU指令の規定を国内法に導入するよう義務付けています。
各国法の中でも、2021年3月現在において公表されているドイツ通報者保護法の草案(以下、ドイツ法草案)は、EU指令よりも通報者を手厚く保護しています。以下、その概要です。
1. 人的保護範囲
EU指令は、通報すべき法令違反があることを「業務上知った者」を保護の対象としています。一方、ドイツ法草案は、通報すべき法令違反があることを「業務上知った者」及び「職業上知った者」を保護の対象としています。
2. 通報対象法令
EU指令は、EU法令に対する違反を通報した者を保護の対象としています。一方、ドイツ法草案は、EU法令・ドイツ法に対する違反を通報した者を保護の対象としています。
3. 通報者の保護内容
EU指令は、(1)通報者に対する停職・レイオフ・解雇等の報復行為の禁止などを定める他、(2)報復行為によって通報者が被った損害に対する救済措置、補償の規定を盛り込むことを各国法に求めています。さらに、裁判で報復行為が争われる場合、会社に対して、対応する措置を実施した正当な理由の立証責任を課すこと(立証責任の転換)を求めています。
これを受けて、ドイツ法草案は、EU指令に従って上記(1)(2)を定める他、(2)に関して、通報者が報復行為によって損害を被った場合、通報に関する事実が真実である場合又は通報者がそれを真実であると信じる合理的な根拠を持っている場合には、会社に対して損害賠償を請求することができることとしています。ただし、このような保護は、虚偽の情報を故意又は重大な過失で通報した通報者には適用されません。
4. 通報チャネル
EU指令、ドイツ法草案ともに、内部通報(社内の通報機関への通報)、外部通報(担当行政機関への通報)のいずれも利用することができるものとしており、両者に大きな差異はありません。なお、従前のドイツの判例は、外部通報を行う場合、その前に内部通報を行っている必要があるとしていましたが、EU指令に基づいてそのルールを変更しました。
5. 内部通報制度の確立義務
EU指令、ドイツ法草案ともに、50名以上の従業員が企業に対して内部通報制度の確立義務を課し、50名~249名の企業に対しては、2023年12月までこの義務を猶予しています。ただし、ドイツ法草案は、金融機関等の特定の企業に対しては、従業員数に関係なく内部通報制度の確立義務を課しています。
6. 通報受領者の義務
EU指令、ドイツ法草案ともに、通報受領から7日以内の受領報告、内部調査等の適切なフォローアップ、受領報告から3か月以内のフィードバック等の義務を定めており、両者に大きな差異はありません。
7. 罰則
EU指令は、各国法において具体的な罰則を設けることを求めています。これを受けて、ドイツ法草案は、通報を妨害又は通報者に対して報復を行った者に対する最高100,000ユーロの行政罰などを定めています。
8. 匿名通報の可否
EU指令は、各国に対して匿名通報を受領するか否かの判断を委ねています。これを受けて、ドイツ法草案は、匿名通報の受領義務を課していません。
もっとも、次のQで説明するように、ドイツ法草案においても、企業が独自に匿名通報の受け付け、それを保護することを禁止しているわけではありません。多くの不祥事が匿名通報から発覚していることなどを踏まえ、次のQを参考に、匿名通報を自社の内部通報制度に組み込むか否か判断すると良いでしょう。
まとめですが、ドイツ法草案は、総じてEU指令よりも通報者の保護が手厚く、逆に言えば会社にとって厳しい基準となっています。
EU各国に進出している企業にとって、各国法を全て調査し、各国の規制に応じて対応を変更することは現実的ではありません。このため、先ずはドイツ法をスタンダードな基準として自社の内部通報制度に落とし込み、仮にドイツ法よりも厳しい制限がある場合についてのみ別途対応していく、という手法を取ることをお薦めします。
Q| 匿名通報を受け付けるべきでしょうか?
匿名通報とは、通報者が自身の名前等を開示せずに通報することをいいます。
そのメリットは、通報者が報復を気にすることなく安心して通報を行うことができるので、内部通報の利用が促進される点です。他方、そのデメリットは、匿名ゆえに通報者との連絡が難しいため、十分な調査をすることができない可能性がある点です。
日本の公益通報者保護法は、保護の対象となる通報を顕名通報に限定せず、匿名通報も保護の対象に含めています(消費者庁が公表する「通報者・相談者向けQ&A」のQ4参照)。また、消費者庁の公表する「公益通報者保護法を踏まえた内部通報制度の整備・運用に関する民間事業者向けガイドライン」においても、内部通報制度の実行性を確保するために、匿名通報の受け付けを推奨しています。
一方、EUでは、匿名通報を好ましくないとする国が多くあります。ナチス時代とそれに続く旧東ドイツのシュタージによる通報・密告という暗黒の歴史を経験したことがその理由の一つであると言われています。
実際、EU指令においては、匿名通報を受け付けるか否か、保護の対象に含めるか否かを各国法に委ねています。そして、2021年3月現在のドイツ法草案は、匿名通報の受付を義務付けておらず、必ずしも保護の対象にしていません。
このように、匿名通報は各国で扱いが異なりますが、重要なのは、いずれの国においても匿名通報の受付が禁止されているわけではないということです。匿名通報のメリット・デメリットを総合評価して、自社の内部通報制度に組み込むか否かを判断すると良いでしょう。
なお、NAVEX Global等のグローバルベンダーは、匿名通報においても通報者と連絡を取ることができるシステムを提供しています。このシステムにより、通報者とのコミュニケーションが難しいという匿名通報のデメリットを解消することができます。
Q| グローバル内部通報に関する規程にはどのような内容を盛り込むべきですか?
必ず検討すべき事項としては、主に、1.通報対象事項、2.通報対象者の範囲、3.匿名通報の可否、の3点が考えられます。
1. 通報対象事項
国によっては、現地法で通報対象事項を限定している場合があるので、事前に現地法の調査が必要です。
2. 通報対象者の範囲
従業員や役員だけでなく、外部者も通報対象者に含めるか否かを検討する必要があります。この点の基準はありませんので、会社のポリシーに従って判断して下さい。
外部者からの通報を可能にすることはコンプライアンス体制の向上の観点からは望ましいものです。しかし、一競業他社等から嫌がらせ目的、業務妨害目的の通報がなされる可能性も否定できません。このようなメリット・デメリットを検討したうえで判断することが必要です。
3. 匿名通報の可否
一般的に匿名通報を可能とするか否かは会社のポリシーに従って判断することになりますが、国によっては、現地法で匿名通報も可能にすることを要求している場合があるので、事前に現地法の調査が必要です。
匿名通報を可能にした場合、通報に対する心理的障害を軽減して通報数を増やすというメリットもあります。しかし、他方で、いたずら目的での通報の増加、通報に基づいて調査を行う際に通報者にコンタクトできず、調査の初動に遅れが生じるなどの弊害が生じる恐れもあります。
Q| 通報情報に対する日本本社内のアクセス権者をどのように設定したらよいですか?
通報情報へのアクセス権者の設定については、通報者への報復防止や現地法の遵守のために、秘密保持の観点から検討することが重要です。
この観点から、会社との間で秘密保持契約を締結するなどした法務コンプライアンス部門の担当者に対してのみ、システムへのアクセス権限を付与する体制を構築することが考えられます。
なお、弊事務所の経験上、グローバル内部通報制度における通報内容は、日本と同様、セクハラ・パワハラ案件などの人事関連が多くのケースを占め、それらのケースの調査においては、HR部門(人事部門)が担当します。その関係で、HR部門の担当者にも予めシステム(生の通報情報)へのアクセス権限を付与することを検討しなければならない場合もあります。
しかし、HR部門が経営から独立していない場合にはアクセス権限の付与その他の情報共有は慎重に行う必要があります。
Q| 通報内容に対する調査は、日本本社が行うべきですか?現地の海外拠点で行うべきですか?
現地の海外拠点における経営陣の関与が疑われる重要な不正に関する通報など、現地担当者に任せることができない案件については、日本本社で主導して調査すべきです。一方、現地の経営陣の関与が疑われない比較的軽度のパワハラ・セクハラ等の案件については、現地にて直接関係者にヒアリングできるなどの観点から、現地で調査することが適切でしょう。
このように、現地経営陣の関与度合い、案件の重要性、調査の実効性などの観点から、個別的に判断することになります。
Q| 通報を受領した際に、通報内容を現地担当者に送付するにあたって留意すべき事項は?
日本本社で受領した通報を現地担当者に送付する場合には、日本から現地への個人情報の国外移転が生じますので、日本の個人情報保護法の国外移転規制の遵守が必要です。
また、現地担当者が被通報者等に対して情報を漏らすことがないように、現地担当者が当該通報内容に関係していないか等を事前に確認する必要があります。この点、国によっては、現地通報担当者との間で秘密保持契約等を締結することを要求する場合がありますので、事前に現地法を調査することも必要です。
通報を現地に送付する方法及び送付後の情報管理の方法については、通報に関する情報を1か所のサーバーに集約して保管・管理し、制御可能なアクセス権を現地担当者に付与するなどの方法が有効な手段となります。
Q| グローバル内部通報制度を導入しましたが、通報件数が伸びません。どうしたら良いですか?
通報件数が伸びない主な原因としては、1.周知徹底が不十分、2.現地従業員から信頼を得られていない、という2点が挙げられます。
1. 周知徹底が不十分
広報の方法としては、以下の方法があります。未実施の方法があればご検討ください。
-
導入時に現地説明会を実施
-
各種コンプライアンス研修の度に、制度の告知を併せて行う
-
目立つ場所に周知ポスターを掲示
-
社内イントラネットに掲示
-
ホットラインの連絡先を記載したカードを配布
2. 現地従業員から信頼を得られていない
現地従業員にとって日本本社は遠い存在であり、自身の通報がどのように扱われるのか分からずに不安を感じて、通報に躊躇することが往々にしてあります。
このような不安を解消するためには、日本本社のコンプライアンス部門が現地とは独立して主体的に対応し、報復の禁止措置、プライバシー保護を図る措置などを徹底的に講じていることなどを平時より周知していくことが必要です。
Q| 当社の通報件数は、他社に比べて少ないように感じますが、件数の目安はありますか?
前提:当社は100以上の海外拠点があり、従業員数は10万人を超えていますが、通報件数は年間30件です。
会社の規模、事業内容、従業員数、従業員構成などによっても通報件数は異なってきますので、一概に多いか少ないかの判断はできません。
しかし、㈱東洋経済新報社が発表した「CSR企業総覧(ESG編)2021年版」において各社の公表する内部通報件数(注:グローバル内部通報に限らない)などを参考にすれば、一般論として、従業員100人に対して年間1件の通報が目安と言われています。
貴社の事業規模であれば年間30件程度の件数は少ないと言えるでしょう。広報を充実させ、現地従業員からの信頼を得られるよう施策を充実することをお薦めします。
Q | イビデン事件(最高裁第一小法廷平成30年2月15日判決)とは?
(グループ通報窓口に対する子会社従業員からの通報と親会社の責任)
最高裁は、親会社に設置されたグループ内部通報窓口に対し、子会社従業員からセクハラの通報があった事案において、親会社は「申出の具体的状況いかんによっては、当該申出をした者に対し、当該申出を受け、体制として整備された仕組みの内容、当該申出に係る相談の内容等に応じて適切に対応すべき信義則上の義務を負う場合がある」と判示しました。
この判決は、親会社にグループ内部通報窓口を設けた場合において、子会社従業員からの通報につき、親会社に対して相談に適切に対応すべき信義則上の義務が生じ得ることを事例判断として示したもので、実務上参考とすべきものです。
しかしこの判決は、通報に対する適切な対応とは何であるかについて、その具体的な基準を明示しているわけではありません。そこで、この判決を踏まえ、具体的事案に即して何が適切か否かを通報毎に検討することが必要となります。
例として、結果的にこの判決において親会社の責任は否定されましたが、(1)被害者本人からの事実聴取をしなかったこと、(2)被害者と加害者双方が別のグループ会社に所属していたにもかかわらず、親会社が第三者的立場から調査をすることなく、双方のグループ会社に調査を任せてしまっていた点などは、不適切な対応と認定されかねない対応であったと考えられます。なお、実際に、控訴審では親会社の責任を認めていました。
このように具体的事案に即して、各通報に対して適切な対応をするために、通報窓口担当者への教育・訓練の実施、又は通報窓口への外部専門家を招聘することなどをお薦め申し上げます。
Q | ベトナム個人情報保護政令の内容はどのようなものでしょうか?
ベトナムでは、「個人情報保護政令」(番号13/2023/NĐ-CP、2023年政令第13号)が、2023年7月1日から施行されました。この政令は、ベトナムの機関、組織及び個人のほか、ベトナムにある外国の機関、組織及び個人、ベトナムにおける個人情報を直接取り扱う外国の機関、組織及び個人にも適用されるため、日本企業のベトナム現地法人、ベトナム法人からのグローバル内部通報を取り扱う日本の本社にも適用があります。
同政令を踏まえて、ベトナムを対象とするプライバシーポリシーを作成し、ベトナム現地法人を対象とするグローバル内部通報制度の構築を検討するにあたり、主に以下の点に留意することが必要です。
-
取扱いに特に注意すべき情報につき、同政令は、個人情報の中でも、特に個人の法的権利、利益に影響の大きい、取扱いに注意が必要なセンシティブ個人情報(ベトナム語:dữ liệu cá nhân nhạy cảm)の例として、日本の個人情報保護法上の「要配慮個人情報」でも対象とされるような人種・信条や処罰・違反歴に関する情報などのほか、性生活・性的嗜好に関する情報や銀行口座・取引に関する情報等をも対象としています。
-
情報を取り扱う際、本人の同意を得るための方法につき、明示的な同意を事後的に検証可能な方法で同意を取得することが要求されています。政令では、書面による同意のほか、チェックボックスに印をつける方法などが例示されています。
-
グローバル内部通報のための個人情報の域外移転につき、その影響評価書類を作成して公安省に提出しなければならないこととされています。もっとも、政令がまだ施行されたばかりであり、現在、その評価書類の具体的な書式等について当局からガイダンスがされていません。公安当局の今後の動向に留意する必要があります。
現在、原則的に、この政令違反の行為に対する具体的な処罰規定はなく、例外的に、コンピュータネットワーク上で個人情報を売買するなどして利益を得る行為が刑法で刑事罰の対象とされています。政府は、今後、この政令違反行為の行政罰に関する政令を作成する予定とのことです。