不正の早期発見機能としての内部通報制度の課題と提言 ~第三者委員会等の調査報告書の分析より~
本稿では、第三者委員会等で指摘されている内部通報制度に係る問題点を整理しつつ、KPMG FASの経験を踏まえた原因分析を行ったうえで、2022年6月に施行された改正公益通報者保護法への対応やグローバル通報制度の円滑な運用も含めて、実務上必要な取組みについて解説します。
本稿では、第三者委員会等で指摘されている内部通報制度に係る問題点を整理しつつ、KPMG FASの経験を踏まえた原因分析を行ったうえで、2022年6月に施行された改正公益通報者保護法
2006年4月の公益通報者保護法の施行、2009年3月期から導入された財務報告に係る内部統制報告制度等を契機に、多くの上場企業において内部通報制度が導入されました。さまざまな組織や団体のサーベイによると、今では不正発覚経路の第1位は内部通報と報告されています。一方で、多くの不正等の第三者委員会等の報告書では、内部通報で早期に不正等が発見できなかった、内部通報制度が周知されていなかったなどの問題点が指摘されています。消費者庁「内部通報制度に関する意識調査」1によれば、内部統制制度について、「知らない/名前は聞いたことがある」という回答は全体で6割を超え、従業員数5,000人超の企業の従業員でも4 割を超えているのが現状です。
本稿では、第三者委員会等で指摘されている内部通報制度に係る問題点を整理しつつ、KPMG FASの経験を踏まえた原因分析を行ったうえで、2022年6月に施行された改正公益通報者保護法への対応やグローバル通報制度の円滑な運用も含めて、実務上必要な取組みについて解説します。
なお、本文中の意見に関する部分については、筆者の私見であることをあらかじめお断りいたします。
Point
- 各種の組織・団体のサーベイによると不正の発覚経路の第1位は内部通報とされているが、重要な不正等の早期発見の機能が働かなかったなどの問題が、多くの第三者委員会等から指摘されている。
- 内部通報制度の主な問題点としては、リソース不足・周知活動の不足のほか、通報案件の調査・分析等の対応スキルの不足などがあり、その背景には、内部通報に対する信頼性の欠如や重要性判断基準の未整備などが挙げられる。
- 上記のほか、公益通報者保護法の要求事項(従事者の指定、守秘義務等)への対応不備やグローバル通報制度の運用不備などの諸問題もあるため、今後の内部通報制度の実効性確保と向上のためには、これらの問題を踏まえた取組みを図る必要がある。
Ⅰ.日本企業における内部通報制度
1. 内部通報制度のはじまり
(1) 内部通報窓口の誕生
ウォーターゲート事件に端を発し、米国では一般公務員からの内部告発を保護するため、1978年に連邦公務員制度改革 法(Civil Service Reform Act of 1978)が施 行されました。企業に対しては、2002年に成立した企業改革法(Sarbanes-Oxley Act of 2002:SOX法)により、会計不正に係る内部通報制度が確立していきました。
日本においては、2000年に入ってようやく、多くの上場企業がコンプライアンス体制の構築に着手し始めました。しかしながら、当時は「内部通報制度は日本企業(日本人)には馴染まない」という意見が多数派だったため、内部通報窓口とは明示せず、①上司に相談、②専門部署に相談、③ コンプライアンス担当部門に相談、というフローの明示にとどまった企業が多かったように思います。
しかし、2006年4月の公益通報者保護 法の施行、2009年3月期から導入された財 務報告に係る内部統制報告制度を契機に、内部通報制度の導入を図る企業は増えています。
(2) 上場・非上場企業における内部通報制度の整備状況
上場企業は、財務報告に係る内部統制報告制度において、全社的な内部統制の評価項目の1つとして内部通報制度の有無・機能が評価されることになっています。そのため、内部通報制度は上場企業のほとんどに導入されています。
一方、消費者庁「平成28年度民間事業者における内部通報制度の実態調査報告書」によると、内部通報制度が導入済の事業者は全体の約半数であるため、非上場企業の多くが未導入と考えられます。
(3) 通報内容の傾向
企業の通報窓口に通報・相談される内容は、ハラスメントまたはハラスメントに関連付けた通報者の不満・訴えが多いようです。もちろん、ハラスメント問題を解消することは内部通報制度の役割の1つです。しかし、通報者がハラスメントのみの窓口と勘違いしたり、内部通報窓口の関係者が従業員の不満の受け皿の機能と感じ、不正を告発する通報への対応が疎かになってしまえば、企業不正の早期発見機能という重要な役割を果たすことはできません。この点については、内部通報制度を運用する企業にとって重要な課題の1 つとして挙げられます。
2. 日本企業の内部通報制度の現状
(1) 公益通報者保護法の改正
2022年6月に改正公益通報者保護法が施行され、内部通報制度の構築は法的義務( 従業員が300人以下の企業は努力義務)となりました。これにより、今後、内部通報制度を導入する企業が増えると考えられます。
また、この改正は、事業者が不正を是正しやすくするために必要な体制を整備することによって、通報者がより保護されやすくすることが趣旨であるため、内部通報によって不正・不祥事やコンプライアンス違反( 以下、「不正等」という)が発覚する事例は増えると思われます。
(2) 不正発見機能としての課題
各種のサーベイ結果(「資料1」参照)によると、不正の発見経路の第1位は内部通報とされています。一方で、世間に公表されるような「重大な不正等」の事案では、内部通報制度が有効に機能したことによって不正等が発見されたというケースは少ないように感じます。
これは、日頃より内部通報制度を整備・運用している企業においても、重大な不正等の早期発見機能として内部通報制度が十分には機能していない可能性があるということです。そこで、公表されている第三者委員会等の調査報告書のうち内部通報に係る記述がある報告書を分析することにしました。
資料1:不正の発見経路に関する記載のあるサーベイ
|
Ⅱ.第三者委員会等の調査報告書か ら読み解く内部通報制度のポイ ント
1. 第三者委員会等の報告書の分析
(1) 分析対象とした報告書
日本弁護士協会のガイドラインに準拠して設置される「第三者委員会」、社外専門家が参画する「特別調査委員会」や「外部調査委員会」、また、主に社内関係者で構成される「社内調査委員会」等のうち、インターネット上に公開され、かつ「内部通報制度」に関する記述がある調査報告書を分析対象としました。対象期間は
2020年1月~2023年12月です。
( 2) 内部通報制度が有効に機能したと評価されたケースは0件
調査報告書において、内部通報制度に関する記述があったものは下記のとおりです。
- 2020年1~12月:10件
- 2021年1~12月:21件
- 2022年1~12月:27件
- 2023年1~12月:18件
このうち、内部通報制度が有効に機能し、不正等の発見に寄与したと評価された調査報告書は1件もありませんでした。もっとも、内部通報制度が機能せずに、不正が早期に発見されなかったからこそ、第三者委員会等が設置されたわけで、内部通報制度が有効に機能していれば、第三者委員会等が設置されるような事態には至らなかったとも言えます。
(3) 不正等の種類と内部通報の関係
前述のとおり、調査報告書における内部通報に関する記述は、程度に差はあれ、総じて「有効に機能しなかった」という評価がなされています。それでは、不正等の種類によって、内部通報が機能しないというケースがあるのでしょうか。
そこで、内部通報が機能しなかったと評価された調査報告書ごとに、不正の種類で分類してみましたが、特定の不正に偏っているような傾向は見られませんでした( 図表1参照)。つまり、どのような不正等であっても、複数人が関与または認知している場合、内部通報制度が十分に機能していれば、早期発見につながる可能性が高いと言えます。
それでは、どのように内部通報制度を整備・運用すればよいのでしょうか。実際の失敗事例に基づいて調査報告書に記載されている指摘内容をベースに整理してみましょう。
図表1 内部通報が機能していない事案における不正の種類の割合
2. 調査報告書で指摘された問題点
調査報告書によると、内部通報制度の整備状況について指摘された問題点はおおむね下記のとおりです。
(1) 内部通報制度の整備が不十分
上場企業では、内部通報規程がない、もしくは通報窓口自体が整備されていない事例は少ないですが、形式だけの対応になっており、実態が伴っていないなどの指摘がなされています。
① 独立性がある通報窓口の未設置
不正等の指示者・実行者が、経営幹部だった場合、内部通報制度が無効化されるリスクが高まります。このような場合を想定した、経営幹部からの独立性を担保した通報窓口が設置されていない旨が指摘されています( 詳細は後述するⅢ-2(4) 節「重要な不正等を想定した専門窓口」を参照)。
②グループ会社の通報窓口の未設置
グループ会社に通報窓口が未設置、または海外グループ会社を対象とした窓口にもかかわらず言語対応ができておらず、実質的に設置されているとはいえない旨が指摘されています( グローバル通報制度については、後述するⅢ-2(5)節「グローバル通報制度の確立」を参照)。
③ 対応ルール・手順の未整備
通報窓口はあるものの、通報を受け付けた後の対応手順等が文書化されていない、通報受付後の対応フローが明確にされていないなど、対応ルールや手順が未整備であるために、重要な不正行為に対する通報があったにもかかわらず、早期に適切な対応ができなかったことが指摘されています。
(2) 内部通報制度の運用状況
内部通報窓口が設置されていたとしても、通報実績がない、または極端に少ない場合には、内部通報制度の運用に問題があったと評価されます。
① 周知不足・認識不足
多くの調査結果報告書では、下記のように内部通報制度の趣旨・目的・範囲等を周知する活動が不十分であると指摘しています。
(ⅰ) 通報窓口の存在を知らない従業員が多い
(ⅱ) 通報窓口はハラスメントの相談窓口であり、会計不正や品質不正等は対象外と誤認されている
(ⅲ) 内部通報制度に関するトップメッセージ、教育研修など積極的な周知活動がない
② 信頼感の欠如
上記のほか、内部通報制度の信頼感の欠如に関しても、多くの調査報告書で指摘されています。
(ⅰ)通報しても問題解決は期待できないと考える従業員が多い
(ⅱ)通報すると不利益を被ることや報復を懸念する従業員が多い
Ⅲ.実務において考慮すべき ポイント
調査報告書には特段の記載はなかったものの、筆者がこれまでに携わった企業の傾向も踏まえた実務上のポイントは次のとおりです。
1. 改正公益通報者保護法への対応
2022年6月に施行された改正公益通報者保護法と同指針の要求事項(「資料2」参照)について、対応が遅れている企業は少なくありません。これらの対応不備は、今後、不正等が発覚した際に社会的な批判を招くおそれがあります。
資料2 改正公益通報者保護法と同指針の主な要求事項
|
出典: 公益通報者保護法および同指針に基づきKPMGが作成
https://www.caa.go.jp/policies/policy/consumer_partnerships/whisleblower_protection_system/overview/assets/overview_211013_0001.pdf
(1) 内部通報規程の未整備
親会社には内部通報規程を整備していても、国内グループ会社には当該規程を整備していない事例が少なくありません。消費者庁「公益通報者保護法に基づく指針( 令和3年内閣府告示第118号)の解説」の注釈13では、「子会社や関連会社において、企業グループ共通の窓口を自社の内部公益通報受付窓口とするためには、その旨を子会社や関連会社自身の内部規程等において『あらかじめ定め』ることが必要である( 法第2条第1項柱書参照)。また、企業グループ共通の窓口を設けた場合であっても、当該窓口を経由した公益通報対応業務に関する子会社や関連会社の責任者は、子会社や関連会社自身において明確に定めなければならない」と明記されていますが、グループ会社で規程未整備の企業は少なくありません。
(2) 従事者の指定
改正公益通報者保護法では、従事者をあらかじめ指定することを要求しています。これに対して十分に検討せず、通報窓口の受付担当者のみを従事者とする事例が多々あります。
内部通報の受け付け・調査・是正を行うため、従事者には通報者を特定できる情報が伝達されます。そのため退職後も法令上の守秘義務を負い、違反時には刑事罰が科されます。
通報内容の事実確認や対応方針の決定等のためには、通報の受付担当者だけでなく、コンプライアンス担当部門の責任者や通報事案の調査担当者なども通報者を特定できる情報を把握しなければならないケースが多いと思われます。そのような場合、それらの者をあらかじめ従事者として指定しておかないと、通報者から、その都度、通報者を特定できる情報を共有してよいかの同意を得る必要があります。
もし、通報者の同意を得ないまま、コンプライアンス担当役員・責任者等が通報情報を共有してしまうと、法令上のリスクが高まります。
(3) 保護される通報者の拡大
改正公益通報者保護法では、保護される通報者の範囲について、従業員だけでなく役員も対象に含めるとともに、退職後1年以内の従業員( 労働者)も対象に含まれるとしています。
この点については、内部通報規程において明確に定めていないケースや従業員の退職時に、退職後1年以内の内部通報窓口への通報方法等の説明が不十分なケースが見受けられます。
(4) 職制上の報告ラインでの取扱いの不備
「公益通報者保護法に基づく指針」では、職制上のレポーティングラインにおいて部下等から内部公益通報を受ける可能性があるとして、通報者保護のための秘密保持を行うなどの徹底を図るための周知・教育が必要という考え方を示してい ます。
これは、管理者は、部下からの相談内容によっては内部通報と同じような対応をしないといけない場面があり得ることを示すものです。しかし、通報対応を踏まえた部下からの相談対応スキルを管理者に習得させる取組みが不十分なケースは多々見受けられます。
2. 実務上の他の重要ポイント
改正公益通報者保護法と同指針の要求事項以外にも、下記のような対応を行うことで、内部通報制度を適切に運用することが求められますが、実施できている企業はまだ少ないと言えるでしょう。
(1) 重要性の判断基準の確立
前述のように、実態として通報案件の多くはハラスメント関連です。また、内部通報制度を周知するほど、通報件数は増加します。
このような状況では、通報案件への対応がマンネリ化してしまい、重要な通報案件を的確に把握できず、早期対応できないケースが生じかねません。実際に重要な不正を示唆する通報だったにもかかわらず、放置されてしまった事例も見受けられます。
こうした事態を未然に防ぐには、通報された時点で重要性を判断する必要があります。重要性の判断は、具体的な重要性判断基準をグループベースで定めます(「資料3」参照)。同時に、当該基準に抵触した場合は、遅滞なく速やかに親会社・本社に報告すべきことを、内外のグループ各社や拠点長・責任者に周知・徹底し ます。
資料3 重要性の判断基準の例
➣( 例1)提供している商品サービスの最終用途のエンドユーザーや利用者が広範囲にわたり、多くの大衆に情報が拡散するおそれがある ➣( 例2)マスコミ等の外部者に情報把握され、記者会見等を要する可能性がある |
出所:KPMG作成
(2) 内部通報対応の運営要領の整備
筆者の経験上、日本企業の内部通報関連業務は、特定のコンプライアンス責任者・担当者が担い、少しずつ対応ノウハウ・経験値を蓄積してきたため、属人化しているケースが少なくありません。内部統制関連業務を文書化しているケースでも、前述の重要性判断基準を明文化しているケースは少ないですし、内部通報の対応を含む業務フローを運営要領・マニュアル・手順書等として文書化しているケースは少数と思われます。
(3) リスクシナリオ想定の能力向上
多くの場合、内部通報で得られる情報は断片的です。そのため、通報で得られた断片的な情報から、最悪のシナリオにつながる可能性を検討するリスクシナリオの想定が非常に重要となります。しかし、リスクシナリオの想定力を向上させる取組みを常時実施しているケースは非常に少ないと思われます。
なお、内部通報業務を外部委託する場合も、自社としての重要性判断基準を含む対応手順を明確にして、外部委託先への業務仕様として指示することが望まれ ます。
(4) 重要な不正等を想定した専門窓口
重要な不正等の行為の多くは、経営幹部からの指示(暗黙の指示・示唆を含む) で管理者層が関与するケースです。その場合、従業員が主にハラスメントを訴える通報窓口に、管理者層が通報することにちゅうちょや抵抗を感じることが少なくない点には注意が必要です。
ある企業では、贈収賄やカルテル等の特定の専門窓口を管理者層向けに設置し、周知しています。米国SOX法に基づき会計不正の専門窓口を設置する事例はありますが、このような重要なコンプライアンス事項の管理者層向けの専門窓口を設置する事例はまだ少ないと思われます。
なお、「コーポレートガバナンス・コード原則」2-5の補充原則では、「経営陣から独立した窓口の設置( たとえば、社外取締役と監査役による合議体を窓口とする等) を行うべき」ことを定めていますが、周知活動や対応体制に課題がある企業が見受けられる点には注意を要します。
(5) グローバル通報制度の確立
国内子会社の内部通報は親会社で受け付けるものの、海外子会社の内部通報の受け付けは未対応というケースは少なくありません。
その場合、①海外子会社または地域統括会社に通報窓口を設置し、親会社に報告する制度を導入する、②外部委託等を活用し、多言語に対応したグローバル通報窓口を親会社に設置する、の2つの方法が多いようです。ただし、グローバル通報窓口を設置しても、海外子会社の従業員が利用するケースは少ない傾向にあり、整備・運用面での工夫が必要になります。
海外では、従業員との雇用契約書( 米国等での従業員ハンドブック、タイ等での就業規則を含む)に内部通報制度を明記しないと、従業員には十分に認知されません。
また、内部通報制度の趣旨・目的も明記する必要があります。そのため、グループ行動規範とともに、現地国の行動規範( 服務規律)の違反行為やその疑義のある場合に通報すべきことを、海外子会社各社の雇用契約等に反映させていく必要があります。
その際、海外現地国の法令等に準拠することも重要です。たとえば、EU各国においては、EU公益通報者指令に準拠する必要がありますし、内部通報制度の導入時には従業員代表等との同意・協議等を労働法で制定しています。さらに、内部通報の情報には個人情報を含むケースが多いので、通報内容をそのまま日本本社に移転することは、各国・地域の個人情報保護法に抵触する可能性が高くなります。現在、EU各国だけでなく、中国を含むアジア各国でも個人情報保護法が整備されており、注意が必要です。
(6) モニタリング体制の確立
内部通報制度の信頼性を確保するために、トップメッセージや各種の周知策の充実は必要ですが、頻繁に周知策を講じても、不利益を被る・報復を受けるというおそれを感じる従業員をゼロにすることは容易ではありません。
そのため、コンプライアンスアンケート等の従業員サーベイを定期的に実施して、内部通報窓口の信頼度やネガティブ回答の理由などを探り、随時、対策を講じることは非常に有用です。
また、通報案件について問題行為が明らかとなり、再発防止措置を講じても、しばらくは再発しないものの、1~2 年後に再発するケースは少なくありません。すべての通報案件に対応することは難しいかもしれませんが、少なくとも前述の重要性判断基準に抵触した通報案件については、再発防止措置を講じて「完了」とした後も、改善後の状況が継続しているかを定期的に確認するフォローアップ確認は必要であり、その制度化も求められます。
Ⅳ.筆者からの提案
前述したこれらの取組みを、単に内部通報制度だけへの対応として取り組むことは得策ではありません。内部通報制度への取組みを通じ、グループ管理体制を強化することで、より効果を発揮できると考えます。そこで、ここでは筆者が考える内部通報制度の取組みステップを提案し ます。
1. 早急に行うべき取組み
改正公益通報者保護法と同指針の要求事項を満たしていない企業は、早急に対応する必要があります。たとえば、下記のような取組みを行う余地があれば、早急に行うべきと考えます。
(ⅰ) 従事者の指定範囲の見直し
(ⅱ) 範囲外共有の禁止の徹底、職制上のレポーティングラインにおける注意点の周知
(ⅲ) トップメッセージ・社内報・教育研修等、信頼性確保のための継続的な周知活動
(ⅳ) 国内グループ会社の内部通報規程の整備
(ⅴ) その他、改正公益通報者保護法の要求事項を踏まえた内部通報規程の整備または見直し
2. グループ管理体制を向上させるため の取組み
前節「早急に行うべき取組み」で紹介した各取組みは、内部通報制度の最低限のインフラ整備のための取組みです。次のステップは、海外にも通用するグループ管理体制の向上とセットにした内部通報制度の向上・高度化のための取組みです。
たとえば、下記のような取組みを行う余地があれば、着実に実施すべきと考え ます。
(1) グループ行動規範の見直し
行動規範を整備している企業は多いと思いますが、具体性に欠け、就業規則で定める服務規律と泣き別れているケースが散見されます。
具体性のあるグループ行動規範として見直しを行い、グループ各社の就業規則・雇用契約書で定める服務規律に反映させることで、行動規範の違反の疑いのあるすべての行為は内部通報の対象となることを理解させることが重要です。
( 2) 海外現地国の現状把握
海外子会社の現地国の法制度・社内規程等の現状を把握し、現地国の規制( 特に個人情報保護法)に抵触しない形で、各社に内部通報制度を導入し、順次、グローバル通報窓口にも通報できる体制整備を進めていくことが重要です。
(3) モニタリング体制の確立
前述したように、内部通報制度の認知度・信頼度等を定期的に測定するための従業員サーベイや重要通報の改善状況のフォローアップ確認は、グローバルレベルにおいても着実に制度化することが重要です。
3. さいごに
2024年2月29日にリリースされた消費者庁「内部通報制度に関する意識調査」1によると、内部統制制度について、「知らない/名前は聞いたことがある」という回答は全体で6割を超え、従業員数5,000人超 の企業の従業員でも4 割を超えているのが現状です。
不正等を早期発見し、適切に対処できる仕組みとして内部通報制度を確立することができれば、グローバル・グループ全体でリスク管理を推進する一助になるとともに、各国当局のさまざまなガイダンス文書で具備を推奨されているコンプライアンス体制の構成要素の1つとして、有効に機能することが大いに期待できると考え ます
1 消費者庁「 内部通報制度に関する意識調査」2024年2月29日