第20回 グローバル内部通報制度の機能と担当部門～その3～

第18回および第19回で内部通報の機能のうち「受付・評価」、「調査」、「保護」および「確認」のプロセスとその担当部門についてお話ししました。今回は残りの「報告」、「再発防止」、「終結」および「記録」について議論していきます。

報告

内部通報が重篤な内容で、かつそれが事実であった場合は、その顛末や再発防止策の行政等への報告を求められる場合があります。しかし、そういったケースではおおむね組織の危機管理体制が発動されていると考えられるため、“受付・評価”でも述べたとおり、危機管理体制へ案件対応を移行するという方法が考えられます。

影響度が“高”の場合は、経営者主導の下でプロジェクトチーム等を立ち上げ、報告内容を作成し、委員会による承認の後に、行政や外部の主要なステークホルダーを適切に選定して報告する方法がよいのではないでしょうか。

影響度が“低”の場合は、コンプライアンス部門が経営や委員会に報告を行うという方法が考えられます。

再発防止

内部通報が重篤な内容で、かつそれが事実であった場合は、“報告”と同時に、または少し時間をおいて、再発防止策を主要なステークホルダーに報告しなくてはならない場合があります。従って、この再発防止についても危機管理体制で定義された機能に移行するという方法が有効と考えられます。

影響度が“高”の場合は、再発防止策の策定は経営が、その承認は委員会が、その運用は不正行為の発生部門が、そして再発防止策の有効性の監視は本社の内部監査部門が行うか、もしくは外部の専門家に委託する方法が考えられます。

影響度が“低”の場合は、策定はコンプライアンス部門およびCP部門の支援の下で不正行為の発生部門が担い、その承認は経営が、その運用は不正行為の発生部門が、そして再発防止策の有効性の監視はCP部門が担うようにすればよいのではないでしょうか。

終結

あらかじめ内部通報制度の案件対応の終結の定義を定め、その定義に合致した場合に案件を終結し、対応に関係する様々な体制の任務を解除できるようにしておくべきです。案件終結の条件の例として以下が考えらえます。

◆ 通報内容が事実でないことが認定された、または通報内容が事実であることが認定され、以下が成立している

• 通報者・調査協力者が不利益取扱を受けていない、または通報者・調査協力者から不利益取扱を受けているという訴えがない
• 通報者や調査協力者に対する報奨が確定している
• 被通報者に対する懲戒、罰の減免が確定している
• 必要な報告が完了している
• 再発防止策の運用と監視の具体的な方法が決定されている

影響度が“高”の場合は、委員会が承認し経営に終結を通知するという方法が考えられます。また、終結の条件を危機管理体制の解除要件と整合させておくことも有効でしょう。

影響度が“低”の場合は、コンプライアンス部門が経営に終結の承認を申請し委員会に報告するという方法が考えられます。

記録

内部通報制度の対応の過程で収集される情報や、作成される資料のセキュリティは極めて重要です。そういった情報や資料は、機能的なフォーマットで使いやすい保管場所にあり、改ざんの心配がなく、漏洩のリスクから守られていなくてはなりません。組織の情報セキュリティを定めたルールの中で、機密性が高い、と分類された情報に対する施策と整合した対応策をとることが必要です。内部通報制度に関連する情報の管理策の例を以下に示します。

• 案件対応に必要となる情報の定義や記録の様式を定めておく
• 情報の保管場所を一元的に定めておく
• 紙の情報はすばやく電子化し保管場所に複写した後、即座に廃棄する
• メディアに保存された情報はすばやく保管場所に複写した後、即座に廃棄する
• 紙やメディアの保管場所への複写と廃棄の記録を残す
• “受付”から“終結”までの案件の進捗管理をシステム化し、できるかぎり担当者個人による文書作成や管理等のセキュリティ侵害のリスクを低減しておく
• 内部通報に関連する情報へのアクセス権限の付与手続を定めておく
• 内部通報に関連する情報へのアクセスログを定期的に検証する
• 案件が終結したら内部通報に関連する情報をすべてアーカイブする

影響度の“高”・“低”の別なく、通報の端緒から情報管理に関わるコンプライアンス部門が、情報セキュリティ部門や情報システム部門の協力を得ながらその責務を担う方法が合理的と考えます。