[2018/12/15] グローバル内部通報制度の導入解説

グローバル内部通報制度の導入解説を致します。

こちらは#legalACイベントの投稿になります。


海外子会社の管理の1つの手法として海外子会社の社員を対象とする内部通報制度を導入したいですが、そもそも、どこに、どのような依頼をすればよいのか、どのような手順で導入を進めるべきかが分からない、というご相談があります。 
そこで、実際にグローバル内部通報制度を設計し、外部窓口を受任し、通報を受付け、内部不正の調査を行っている法律事務所の見地からグローバル内部通報制度の制度設計から導入・運用までを解説します。 

1  グローバル内部通報制の制度設計

Q  グローバル内部通報制度とは、どのような制度でしょうか?

その定義はどのようなものでしょうか?

A  まず、グローバル内部通報制度という制度は、法律上の制度でも、企業の方々に一般に共通認識のある制度でもありません。

その意味するところは、【スライドP2】の右手にあるレポーティングラインが示しているように海外子会社の社員が所属する子会社が設置する内部通報窓口に通報するルートとは別に、子会社・親会社の垣根を超えて、子会社の社員が、ダイレクトに親会社が設置する内部通報窓口に内部通報するレポーティングラインを指しています。

これに対し、スライドの左手にある図は、各海外子会社の社員が所属する子会社の窓口に通報し、その内、子会社が特に重要なインシデントだけをスクリーニングし、親会社に対しレポーティングする、エスカレーションする通常の内部通報制度の設計を示しています。

グローバルに展開する日本企業は、通常、このスライド左手の設計(これをローカル内部通報制度と呼びます)を導入しています。

2 グローバル内部通報制度とローカル内部通報制度

Q ローカル内部通報制度の欠点は何でしようか?グローバル内部通報制度を導入する意図はどのようなものでしようか?

A  グローバルにビジネスを展開する日本企業にとって、目の行き届く国内企業よりも、海外子会社の不祥事がリスクが大きく、近時の大きな会計不正や、不祥事は海外で発生しているという事実は看過できません。

そして、内部通報が各海外子会社が設置する窓口だけであると、海外子会社の社長や幹部が主導する海外子会社ぐるみの不正行為に対しては無力です。

なぜなら、仮に海外子会社の社員が内部通報をしたとしても、それは、海外子会社内部でもみ消されることになり、日本本社へエスカレーションすることなく、日本本社が対応する機会を逸してしまうからです。

グローバル内部通報制度を導入することにより、日本本社が主導し、不正調査チームの組成を行い、海外子会社ぐるみの内部不正とその隠蔽行為を調査することが可能となります。

3 グローバル内部通報制度の外部窓口を誰に依頼すべきか?

Q 通報窓口業務担うプレーヤーにはどのような形態が存在するでしょうか?

A  通報窓口業務担うプレーヤーには以下のようなプレーヤーが存在します。

(1)通報受付け受託会社

以下の2社に対するご相談頻度が高いです。いずれも多言語対応されています。

NAVEX Global

https://www.navexglobal.com/

ディー・クエスト

https://www.d-quest.co.jp/

(2)世界各国のローカル法律事務所

海外子会社の法律業務を請け負っている海外の事務所に通報窓口を依頼する方法もあり得ます。デメリットは日本本社が個々的に運用管理をしなければならない点です。

(3)監査法人系コンサルティング

デロイトトーマツさんが積極的です。https://www2.deloitte.com/jp/ja/pages/risk/solutions/cm/hl.html?gclid=Cj0KCQiAxs3gBRDGARIsAO4tqq1S47AJ4Joi3ORvCaz5Fi8UQIuJ87TA_-DCNVrWaiikswLMlNUNsZ4aAm-fEALw_wcB

(4) 海外支店やグローバルネットワークを有する日本の法律事務所

内部通報窓口を企業の内部者のみならず、外部に置く場合には、上記のような通報窓口業務担うプレーヤーにどのような機能を期待できるのかを考慮に入れながら選択することになります。

【通報窓口を選ぶ際の考慮要素】

①多言語対応、日本語への翻訳が可能か、

②通報を受け付けた後、実際に調査が必要な事案であると発覚した場合に、速やかに海外の現地にて調査チームや調査委員会を組成して、現地での事実調査に開始することが可能か、

③各国の法制度や内部通報制度に対する法的規制を踏まえた内部通報の受付けと事後処理が可能か(この点については、次の項目で解説します。)

この点、まずは、通報を受付けて日本語に翻訳をして企業に伝達するだけの機能で足りるのか、通報を受付けてから実際の調査を依頼することもあり得るのかで、通報受付け受託会社なのか、不正調査可能な法律事務所なのかを決定することになります。

そして、各国の法律事務所に個々的に窓口を依頼する場合と、1つのグローバル展開をしている事務所に窓口を包括的に依頼する場合があり得ます。

いずれも、依頼可能な業務・機能とそれに要するコストを勘案し、企業の内部的なリソースを踏まえて決定することになるでしょう。

4 グローバル内部通報制度の導入手順

Q グローバル内部通報制度の導入手順はどのように進めればよいでしょうか?

A まずは、どの現地法人・支店を対象にするかを決定する必要があります。海外子会社には、様々な形態や機能(購買機能、R&D機能、生産機能、営業機能)を持ち、また社員の規模もまちまちです。 

そこで、私の場合は、グローバル内部通報制度の導入および運用の負荷も考慮して、

「内部不正の起こり得る発生確率×社員規模」の相関でリスク度の高い現地法人・支店を優先的に導入しましょう、というアドバイスをしています。

例えば、タイの現地法人の社員数は、1000人いたとします。タイ現地法人には、工場の作業員ワーカーしかおらず生産機能のみを担っている、購買機能や営業機能がないとします。この場合、タイでは商取引にまつわる不正が起きにくい環境であると言え、その国の内部通報制度の導入の優先順位を下げても良いことになります。

逆に、シンガポール現法は、社員数は、100人で営業機能・調達・購買機能を有していることとします。この場合、商取引にまつわる内部不正が起きる可能性があると評価できましょう。

さらには、例えば、カンボジア現法では、王族系の企業との取引依存度が大きい、公務員との癒着が起きやすい文化的背景がある、などの事情があれば、このような定性的な事情も含めて判断していきます。

導入対象の現地法人・支店が決まると、次に当該現地法人・支店に適用される各国の内部通報法制などにしたがった内部通報制度設計の要求事項を抽出していきます。

Q 各国の内部通報法制などにしたがった内部通報制度設計の要求事項は具体的にどのようなものがあるでしょうか?

(1) 内部通報規制などの要求事項

【スライドP3】をご覧ください。各国の内部通報規制には、以下の制度設計についての要求事項があります。日本では、公益通報者保護法が存在しますが、海外でも日本同様、内部通報制度の制度設計の際に配慮する必要がある法規制があります。

適用法令要求事項

内部通報規制
・通報者の範囲は?
・通報内容の範囲は?
・匿名通報が許される?顕名が必要?
・フィードバック義務がある?
・内部通報制度の設置に届出義務ある?

労働法・通報者の保護策は?

個人情報保護法
・通報者・被通報者の個人情報の国外移転が許容される?
・国外移転の正当な利益が認められる?

(2) 要求事項を踏まえた内部通報制度の制度設計

上記の表のように主として3つの領域の要求事項がありますので、まずは、これらの適用法令のリサーチを行い、その要求事項に抵触しない範囲で、内部通報制度の制度設計をデザインしていきます。

5 内部通報規制からの制度設計に対する制約

Q 内部通報規制は制度設計にどのように影響するでしょうか?どのような内部通報規制があるのでしょうか?

A  第一に、最も重要なのが、各国の内部通報規制です。

全ての国がこの規制を課しているわけではありませんが、日本企業の海外拠点があるような欧米・アジアの主要先進国には、置かれていることが多いこと、また、この規制の存在を知らずに通報受付窓口業務だけを通報受付け受託会社に委託している企業が多いことに留意が必要です。

すなわち、各国の内部通報規制に照らして、その枠内で設計することが必要です。例えば、ある国の内部通報規制で、匿名での通報者も法律上保護されなければならないのに、企業の制度設計として顕名通報のみを受付けるといった制度設計は、現地の法令に抵触するリスクが発生するわけです。

同様に、通報内容の範囲として、企業内の不正には、不正会計、品質検査不正、セクハラ、パワハラ、取引先企業との癒着・価格協定・キックバック、公務員に対する贈賄、機密情報の持ち出しなど様々な不正類型がありますが、どこまでの通報内容を制度として保護するか、を決定する必要があります。

そのほか、通報者に対して、通報後になされた社内調査の結果および再発防止策の実行などについて通報者にフィードバックをする義務があるか、など

さらには、国よっては、内部通報制度の設置に届出義務があるケースもあるので注意が必要です。

6 労働法上の通報者の保護

第二に、通報者の労働法上の保護です。【スライドP4】をご覧ください。

通報者が社員である場合、通報したことによる不利益的取扱いを行ってはならないことは、世界共通の労働法の要求事項でありますが、企業に対する禁止の仕方は様々です。

例えば、内部通報制度によって企業不正を抑止・検知すべきだとするUSのSOX法は、内部通報に対する企業の報復措置に対しては、刑事罰が課されるなど通報者の保護を徹底しています。

7 個人情報保護法からの制約

第三に、個人情報保護法です。【スライドP5】をご覧ください。

社員が子会社・親会社の国を超えて、日本の窓口に通報する場合、通報者および被通報者の個人情報が現地国から日本所在の日本本社に移転する事象が発生します。

特に、被通報者の個人情報は、不正行為や当人の人事情報、過去の懲戒履歴など機微にわたる個人情報が日本本社に国外移転・第三者提供されることになるわけです。

何らかの不正行為が発生してから事後的に個人情報保護法の国外移転・第三者提供のクリアランスを行うわけにはいきません。

すなわち、不正行為者(被通報者)に対して「あなたの不正行為の疑いのある事実とあなたに関する個人情報を親会社に対して提供し、あなたを親会社で組成した調査チームで調査しますが、個人情報の国外移転と第三者提供に関して同意してもらえますか?」と問うのは現実的ではありません。

したがって、グローバル内部通報制度の導入する当初にこのような個人情報のフローを包括的にカバーするクリアランスを実行しておくことが必要になるわけです。

例えば、EUの個人情報保護法であるGDPRでは、EU域外移転規制のクリアランスは、SCCの締結であり、子会社から親会社間の第三者提供のクリアランスは、同意や正当な利益を正当化根拠として使うことがありますが、これらクリアランスの実装をグローバル内部制度の導入時点で、完了しておく必要があります。

8 各適用法令を踏まえた制度設計と内部通報規程への落とし込み

Q 各適用法令を踏まえた制度設計が決まったら、どのようなドキュメントが必要になりますか?

A  上記で見ました各適用法令を踏まえた制度設計を行うことができましたら、これを社内規程化、すなわち各国現地法人・支店で策定される「内部通報規程」へ落とし込みを行います。 

さらには、通報を受付ける窓口の連絡先メール・電話番号を決定し、内部通報規程の概要と説明文を付した社員や外部取引先に対して周知する文書の作成やウェブサイトを構築して導入手続きは完成です。

9 導入のための作業期間・コストと運用のためのコスト

Q 導入のための作業期間・コストと運用のためのコストはどのくらい見込んでおけばよいですか?

A  企業の皆様が気になると思われる内部通報制度の設計の初期費用と運用のための費用について解説します。

グローバル内部通報制度の設定に必要な「各国規制のリサーチ」については、100万円/国(法域)~、となるケースが多いです。これは、日本の弁護士費用と現地の弁護士費用(下請け費用を含みます。)を合算した費用です。期間にして、少なくとも1か月以上かかることが通常です。

そして、これらを踏まえて各国において策定される「内部通報規程および社員に対する説明文の作成」について、企業のご担当者の皆様と採り得る選択肢の中から最適な設計を会議セットの中でご相談して作り込み、それを規程化、さらには、ローカライズ(現地語への翻訳)を行っていきます。

次に、わたし大井とその他4、5名の日本人弁護士を中心として、海外オフィス、海外の提携事務所との合同チームを組成し、国内外の日本国・外国法弁護士の体制で外部窓口を受任するケースでは、会社規模、社員数、および国数に応じて、月額の固定の弁護士費用を決定しています。また、実際に通報を受け付けた件数に応じて、メールによる通報受付作業、通報者との連絡、通報者に対する質問、通報者の要望聴取、簡易な調査作業についてタイムチャージベースで費用を算出しています。

対応している国(法域)は、日本、米国、カナダ、ブラジル、イギリス、ドイツ、フランスなどEU各国、 中国、韓国、 シンガポール、カンボジア、ミャンマー、タイなどアジア各国、南アフリカ共和国、ケニアなどアフリカ各国となります。

(補足)  応用事例としてのGDPRに基づくEU代理人の設置

最後に内部通報窓口とは異なりますが、その応用事例としてGDPRに基づくEU代理人の設置についても触れておきます。

日本企業にGDPRが適用され、かつEUに拠点を有していないGDPR3条2項aが適用される場合で、EUに代理人を設置する必要があるケースで、EU代理人を依頼したいというご相談をよく受けます。

このようなEU代理人を受任するサービスは極めて少ないと言いますか、わたしは、他社さんがEU代理人業務をサービスメニューとして提供しているケースに未だ出会ったことがないのですが、当事務所の在東京のGDPR対応チームと、在イギリス、ドイツ弁護士と業務連携して、EU代理人業務(EU在住の個人の方からの問い合わせ受付け、EU当局からの問い合わせ受付け)も行っています。

長くなりましたので、こちらの詳細は、またの機会にお話したいと思います。