新年度にする話題ではないかもしれませんが、いろいろありまして、グループの内部通報制度の改善を探っています。

希望は、国内外の窓口業務を一括で外注することなのですが、どうも難しそう。海外の通報を日本で受ける選択をしている企業は、「現地法令逸脱リスク」と「コンプライアンス違反の早期発見」を天秤にかけた結果、後者をとったということでしょうか。。

内部通報制度に脚光

所属先は、通報件数が平均*1より少ないほうだと思うのですが、今年は例年と比べるとスタートダッシュがありました。
少人数で対応していると、少し続いただけでも通常業務が逼迫します。

また、2022年の公益通報者保護法改正を受けて、監査役を中心に制度に対する役員の注目も浴びており、法改正への対応状況や現行制度の問題・課題の説明を求められたりもしています。「ビジネスと人権」関係でも救済制度のひとつとして内部通報制度をカウントしているところがほとんどでしょう*2。

①自分の業務が逼迫している、②役員が法改正対応を気にしている、そして何より、③制度をきちんとワークさせる（＝（役）職員にとって信頼でき、使いやすい）ために、改めて制度全体を見直し…もとい、業務の外部委託の可否を探ってみました。

グローバル内部通報制度の必要性は説いても・・・

窓口の外部委託、国内は予算さえクリアできれば難しくなさそうです。パワハラ防止法への対応も兼ねて、公益通報とハラスメント相談をひとつの窓口で一緒に受けてくれる企業がほとんどで、こちらとしてはありがたい。違いは、専用回線（電話）を設けるか、対応時間、多言語対応の幅、弁護士コメントの有無といった点で、調べた限りはどこも利用料は対象者数による従量制（定額）。

問題は、海外グループ会社です。日本法上は、海外グループ会社の内部通報制度の整備までは求められていないけれど、制度趣旨からして設けたほうがいいのは言うまでもないし、ビジネスと人権に関する指導原則にまともに従おうとすれば整備が必要で、私がこれまで読んだり参加したりした少ない書籍・セミナーでもその必要性は説かれていました。

しかし、「必要だ」とは教えてくれても、「どうやって整備するか」のヒントはほとんどくれない。どんなハードルがあるかもロクに教えてくれなかったりしませんか？

現地法の壁

私も一応法務をやっているので、まずは個人情報保護法制が頭をよぎります。

たとえば欧州だとGDPRがありますが、現在は「十分性認定があるので日本で内部通報を受けてOK」という整理をしている事業者が多いみたいです*3。

よくわからないのが中国の個人情報保護法（PIPL）で、噂によればGDPRよりも厳しいらしいのですが、法律が施行されてまもないからか、標準契約のフォーマットも決まっていないし（案は公表されているらしい）、日本に持ち出していいものか。
また、中国の場合、「国家機密」が日本人がイメージするそれより幅広で、「日本への内部通報が国家機密漏洩に当たらないかスクリーニングが必要」と、ある事業者さんに説明を受けたのですが、そんなの絶対日本で受けられないじゃないか…*4

現地に置くのがベスト

うちくらいの規模の会社だと、進出国ひとつずつについて現地法の調査をするのは現実的ではないし、調べたところで「日本で受けるのはちょっと難しいかも」となる可能性も高そうです（なぜなら独裁国家に進出しているから…）。

というわけで、結局、「内部通報窓口は受付可能なものを絞った上で現地法律事務所に置いて、可能な範囲で共有してもらう」のがベストという結論に至るのですが、これ、10年くらい前に調べたときと同じ結論です。進歩ないんか、私*5。