Posted: 17 Sep. 2021 5 min. read

第6回 ISO 37002の活用法

連載記事:内部通報制度の有効性を高めるために~体制整備の指針と基準~

第5回では11条指針[1]とISO 37002[2]を比較し、11条指針の各事項に対応する細分箇条がISO 37002の中でも整理されている点について触れました。今回は、さらにグローバル進出企業がグローバル内部通報制度を整備・運用していくための有効な方法を提案していきたいと思います。


海外の内部通報制度に関する認証制度やガイドライン

筆者は、2016年から2020年の12月までの間に開催されたISO 37002の開発会議に計10回参加しました。それらの会議に参加した各国代表の内部通報制度(Whistleblowing)の基準やガイドラインに関する公式、非公式を問わないコメントから得た筆者の印象は以下のようなものになります。

  • 認証制度を運用している国はなさそう
  • 基準やガイドラインがない国も相当数あり、ISOでWhistleblowingのスタンダードが開発されるのであればそれを利用したい、と考えている
  • Whistleblowingに関する基準やガイドラインがすでに発行されている国であっても、形骸化しているか十分に機能していないため刷新が必要と自覚しており、ISOが開発されるのであればそれを待ちたい、と考えている

つまり、すでに内部通報制度に関する認証制度の運用を開始している国はおそらく日本だけで、他国は今後ISO 37002に基づいたなんらかの制度をスタートさせる可能性が高い、ということになります。また、開発の幹事国であった英国の座長からは、様々な国際機関に対してISO 37002のマーケティングに着手しているという話も耳にしました。
海外進出している日本企業は、今後進出している国の顧客あるいはいずれかの機関からISO 37002に基づくなんらかの制度対応を求められることになるかもしれません。
 

ISO 37002に基づいた体制整備は有効か

本連載ブログ第5回[3]で解説したように、11条指針と共通した項目が含まれていて、国際的にも通用する規格であるならば、ISO 37002にのみ対応していれば内部通報制度については安泰かというと、そう簡単にはいかないようです。


「ISO 37002に基づく・・・」という発信が困難

ISO 37002はTypeBのMSS(マネジメントシステム規格)です。つまりISO 9001やISO 14001といったTypeAのMSSとは異なり、審査機関である第三者の客観的な審査を経てその適合性が評価(日本では一般的に「認証」)されることはないのです。もし、いずれかの事業者が「ISO 37002認証を提供します」というサービスを開始したとすれば、それはISOの枠組みに基づかない単なる私的なサービスの提供ということになります。


ISO 37002は930項目すべてが参照項目

本連載ブログ第5回で紹介していますが、ISO 37002を筆者が細分化したところ、その行為規範となるであろう細分箇条は930項目にのぼりました。また、ISO 37002の記載はすべて”Shall-しなければならない“ではなく、”Should-することが望ましい“で構成されています。
つまり930項目に必須、選択などの濃淡がないため、もしISO 37002をなんらかの外見的な保証に利用するのだとすれば、その企業はすべて自らの物差しで930項目の採否をひとつひとつ判断し、採用しなかった場合はその理由を明確にしておかなければならなくなります。


ISO 37002のすべての項目を採用したらどうなるか

では、思いきって930項目を全部採用して内部通報制度を構築すればこれらの問題は軽減されるのでしょうか。
筆者は、常々通報者自身の被害軽減を求める通報を内部通報制度の対象通報から除外し、内部通報制度で受信する通報は年間数件程度に抑えるべきだと主張[4]してます。その趣旨に沿ってISO 37002の開発会議でもたびたび「対象通報を公益通報に絞り込んだシンプルな内部通報制度を提案すべきだ」という意見を述べました。しかし、会議での多数派意見は「組織の選択肢を限定すべきではない。適切な対象範囲は組織が決定すべきであり、ISO 37002はできるかぎり多くの役立つ選択肢を組織に提供すべきTypeBのMSSである。」というものでした。
従って、もしISO 37002の細分箇条をすべて採用してしまえば、オーバースペックの重たい内部通報制度を背負うことになってしまうものと思います。ISO 37002を活用するのであれば、企業の目的に従って内部通報制度の対象範囲を明確に限定し、その対象範囲にふさわしいISO 37002の細分箇条のみに絞り込んでいくほうがより賢明であると考えます。


WCMSとISO 37002

ところでWCMSはご存じのとおり日本国内の認証制度です。そしてISO 37002は国際規格です。もしWCMSとISO 37002を上手に融合させることができれば、かなり役立つサービスを作ることができるのではないでしょうか。


WCMSとISO 37002の特徴

WCMSは、審査基準に必須項目がある認証制度であり、現在の自己適合宣言登録制度も指定登録機関による書類審査を受ける必要があります。一方でISO 37002には国際的な認知度と今後の国際的な浸透のポテンシャルがあり、行為規範の選択項目は930項目にのぼります。


図表9 WCMSとISO 37002の特徴比較

※画像をクリックすると拡大表示します


これらの特徴は互いに他を補い合うもので、WCMSとISO 37002の融合はそれぞれを単独で成立させるよりも魅力的なものになりそうな予感があります。


WCMSとISO 37002の共通点と差異

筆者の比較によれば、ISO 37002とWCMSには、その開発の経緯の違いから当然多少の差異はあります。しかしその骨格となるべき基本的な点、たとえば通報者保護、秘密保持、不利益な取扱いからの回復、通報事案の是正措置などの多くは共通しています。


図表10 WCMSとISO 37002の共通部分と相違部分のイメージ

※画像をクリックすると拡大表示します


WCMSとISO 37002を融合した制度の利点

WCMSの審査項目とISO 37002の細分箇条のそれぞれに共通している事項が具体的に紐づけられたチェック項目を作り、WCMSの必須項目に紐づいているISO 37002の細分箇条のいずれかを実装してWCMSの審査に合格したとすれば、ISO 37002を参照して内部通報制度を構築したことを間接的に証明できるのではないでしょうか。もしそれができればWCMSの自己適合宣言に登録する事業者は、半自動的にISO 37002を参照していることの外見的根拠を同時に得ることになります。それはその企業のソフト面での成熟度を日本だけでなく国際的にアピールする材料のひとつになるのではないかと思います。またWCMSよりもどちらかというとISO 37002を活用した内部通報制度の構築を目指す企業にとっても、客観的に定められたWCMSの必須項目に紐づいた内容の採否を優先的に検討することができるため、体制整備作業をより効率的に行うことができるようになるのではないでしょうか。
さらに、本連載ブログ第4回[5]に記載のとおり、WCMSの審査基準を少し改訂すれば11条指針への対応も容易に外部に訴求できるようになるものと思います。そして、WCMSの審査基準は公開されていますので、その改訂はWCMSの登録を目指しているような大規模な企業だけではなく、11条指針に基づく体制整備の義務が生じる従業員規模300名超の組織すべてにとって有益なことではないかと思います。


図表11 WCMSとISO 37002の融合サービスのイメージ

※画像をクリックすると拡大表示します


ここに記載したことはあくまでも筆者のWCMSとISO37002の融合サービスに関するごく基本的なアイディアであり、もし実装するとなれば実務的な課題が多く発生することは想像に難くありません。しかし、関係各所による課題解決のための負担は決して無駄にはならないと信じます。WCMSとISO37002の融合サービスの誕生を期待します。

本連載ブログは、今後もなんらかの内部通報制度に関するイベントの発生時に非定期で掲載してまいります。
 

[1] 公益通報者保護法第11条第1項及び第2項の規定に基づき事業者がとるべき措置に関して、その適切かつ有効な実施を図るために必要な指針:https://www.caa.go.jp/notice/entry/025523/

[2] https://www.iso.org/standard/65035.html

[3] 本連載ブログ第1部第5回:https://www2.deloitte.com/jp/ja/blog/risk-management/2020/wcms-disclaimer.html

[4] 本連載ブログ第3部第3回:https://www2.deloitte.com/jp/ja/blog/risk-management/2021/system-based-on-the-guidelines.html

[5] 本連載ブログ第3部第4回:https://www2.deloitte.com/jp/ja/blog/risk-management/2021/guidelines-and-iso37002.html

関連するリンク

デロイト トーマツ リスクサービスでは、グローバルホットライン(内部通報中継サービス)をご提供しています。

従業員、家族、取引先などからの内部通報を適切にお客様企業の担当部門へ中継し、お客様の回答を通報者へ伝達します。

本稿に関するお問い合わせ

本連載記事に関するお問合せは、以下のお問合せよりご連絡ください。

お問い合わせ

執筆者

亀井 将博/Masahiro Kamei

亀井 将博/Masahiro Kamei

デロイト トーマツ グループ シニアマネジャー

内部通報制度関連業務およびソーシャルメディアコンサルタント業務に従事 ISO/TC309 37002(Whistleblowing)日本代表兼国内委員会委員、元内閣府消費者委員会公益通報者保護専門調査会委員 金融機関、自動車関連、製造業、製薬業、保険業、食品製造業、サービス業など業種業態規模を問わず内部通報の外部窓口サービスの提供、および内部通報制度構築を支援 その他、リスクマネジメント体制構築支援、J-SOX関連業務支援、内部監査業務支援、事業継続計画(BCP)策定などを経験 外部セミナー、インハウスセミナー講師を始め内部通法制度に関する寄稿記事の執筆多数。主な著書 「統制環境読本」(翔泳社、共著)、「攻めと守りのブランド経営戦略」(税務経理協会、共著)等

和田 皇輝/Koki Wada

和田 皇輝/Koki Wada

デロイト トーマツ グループ マネジャー

J-SOX関連業務支援、内部監査業務支援、事業継続計画(BCP)策定などを経験 2010年より内部通報制度関連業務およびソーシャルメディアコンサルタント業務に従事 金融機関、自動車関連、建設業、製造業、製薬業、保険業、食品製造業、サービス業、ITなど業種業態規模を問わず企業の対応を支援 現在インハウスセミナー講師を始め内部通法制度構築助言や通報対応業務、ソーシャルメディア関連助言業務を担当 主な執筆 電気評論(寄稿)、「炎上リスク」に備えるWebモニタリングのすすめ方(共著)、マンガ 銀行員のためのSNS利用ルール(共著)