EU公益通報者保護指令の実施に関する実質的な課題

パート3 – ジェネラルカウンセルおよび最高コンプライアンス責任者に求められること

この三部構成のブログのパート1およびパート2では、新しいEU公益通報者保護指令(EU 2019/1937)(「本指令」または「EUWBD」)により変更されたこと、また変わらないことについて確認しました。さらに、本指令に照らし合わせて予想される通報者の振舞についても確認しました。

今回は、本指令への準拠においてジェネラルカウンセルおよび最高コンプライアンス責任者に求められる臨機応変な対応について検討します。さらに、本指令への具体的な準拠手順についても概要を示します。

ジェネラルカウンセルおよび最高コンプライアンス責任者の臨機応変な対応

法務およびコンプライアンスに携わる人であれば、本指令の一部の明瞭性を歓迎されることでしょう。

本指令は最初に内部通報を認めています。これは必須ではないものの、加盟国にはこの手段を「奨励」することを義務付けています(第7(2) 条)。これは多くの場合、組織の内部、つまり問題にできるだけ近い場所で告発に対応することが最も望ましいことを肯定しています。私としては、機関には、十分な内部プロセスを経ていないケースであれば、各組織に戻して対応するようにすることが望まれます。つまり、私たちは機関が関与したり、公共開示になる前に適切に問題に取り組むチャンスがあることを意味します。各加盟国が本指令をどのように実施するかはまだ明確化していないため、これがどのようになるかは不明です。

組織は、7日以内に通報を受領した旨を「通知」し(第9(1)(b) 条)、その後3ヶ月間という比較的短い期間内に通報者に「フィードバックを提供」する必要があります(第9(1)(f) 条)。これはほとんどのケースでは問題ありませんが、非常に複雑なケースの場合は、何らかの成果が得られるまで1年間以上かけて慎重な調査を行う必要があるため、不十分です。「フィードバック」が単に通報者との連絡体制を維持することを意味する場合でも、このような連絡は極めて慎重に管理する必要があります。

本指令におけるすべての対応は、恐らく複雑なケースを想定しており、単純に処理すればいいような通常のケースは当てはまらないことでしょう。「フィードバック」という用語や「想定される対応」(第5(13) 条)はさまざまな解釈ができます。

法務担当役員(GC)および最高コンプライアンス責任者(CCO)は、臨機応変さを示し、業務過程で自然なし方で問題を解明することが求められます。たとえば、定期監査、レビュー、リスク評価などを通じて、事実を確認し、通報者の身元を公表することなく(場合によっては通報があったことも明らかにすることなく)問題に対応することができるでしょう。

さらに、GCおよびCCOは、問題に最善の方法で対応し、それに関する説明責任にも臨機応変に対応する必要があります。管理職がケースの取扱いツールや本部のコンプライアンスリソースをより良く活用することが運用上の課題になりますが、組織内で発生するすべてのケースをとりまとめて、適切に処理するためにはこれが不可欠になります。

組織内では、従業員が管理職と協力して問題に対応してもらう必要があり、必要以上に物事を大きくしないようにする必要があります。もちろん、管理職の手腕が十分でない場合や、問題が大きすぎて適切に対応できない場合など、各地で対応できないようなケースも発生する可能性があります。そのため、コンプライアンスチームにとっては、問題への対応に関して管理職のトレーニングを行うことが優先事項になります。

次のステップは?

組織では、それぞれの状況、リスク、ニーズに応じて本指令を評価する必要があります。以降には、優先事項と思われるものの例を示しています。

  • 基本事項
    • 適切な不正行為通報システムを配備していることを確認します。システムに変更を加えることに恐れないこと – これが開眼するような体験につながる場合もあります。本指令の要件を満たすために十分な対応を行うだけでなく、組織で将来的に必要になる事項などに基づいて、さらに進めた対策を取るかどうかを検討します。
  • ガバナンス&ポリシー
    • ポリシーにより基本的な体制を正式に整備し、システムがこの決定に合わせて確立されていることを確認します。
    • 匿名性、通報者と対象者(被疑者)の権利、報復から通報者を保護するための正式手順、データ保護、他の法的要件との対立など、複雑な問題に関して検討を行うことが必要になります。経営陣、CEO、監査委員会、取締役会へのエスカレーション手順を明確に規定する必要があります。
    • 緊迫した調査の過程で予期せぬ事態に遭遇することがないよう、早期から組織内で整合性を取る必要があります。できれば早い段階で担当者および説明責任を決定する必要があります。
    • 自己保身については、さまざまな要因に十分に配慮する必要があります。自分の組織を守る必要があるのはどのような場合でしょうか?名誉棄損は内部通報に伴うものです。そして、特定の態度を示すことで善意が失われる場合があることも考慮する必要があります。
    • あらゆるポリシーと同様に、ポリシーが意図したとおりに機能していることを確認するための方策が必要になります。コンプライアンス管理フレームワークに何を追加したらいいでしょうか?エスカレーション、承認、責任の分離などを検討しましょう。さらに、新たに発生しているケースがないか、コミュニケーションチームがパブリックドメインを積極的にモニターすることも推奨されます。
  • コラボレーション
    • 通報プロセスおよび報復禁止の側面で重要な役割を果たす人々の協力を仰ぎます。組織内のすべてのリーダーや管理職、人事、データ保護責任者、業務委員会、組合などと密接に連携を行います。従業員やその代表者にも議論に参加してもらうことが、最も効果的な問題への対応方法にもなる場合があります。
  • 認識
    • 本指令は、どのような情報を提供すべきかを規定しており、トレーニングプログラムには、本指令に関する詳細も含める必要があります。
    • 同様に、コミュニケーションプログラムは、正式な要件を満たしたものにするだけでなく、組織の特定の社風やリスクに応じて必要な内容を含める必要があります。
    • 経営陣(またはリスクにさらされる職務)など、主要グループ向けに、相対する要因に関するトレーニングを行うことで、行く手に待ち受ける課題について人々が考えるきっかけになるかもしれません。
  • 過去のケース
    • 本指令は、過去のケースには適用されません。しかしながら、古いケースを蒸し返すような可能性も予想されます(第4.2条は、過去の業務関係からの通報も想定しています)。そのため、過去においても問題に確実かつ周到に対応したことを確認する必要があります。
    • 本指令に照らし合わせて過去の重要なケースを見直すことで、このようなリスクを確認することができます。
  • 観察
    • 既に言及したように特定の不確定性が存在するため、調査と観察を行う必要があります。
    • 各国で本指令以上のことを定めることになるかどうか(または既に定めているか)は時間が経たないとわかりません。英国独自の位置づけも不明です。
    • 地域によっては、データ保護と通報者の権利の間の対立が、より強く感じられることでしょう。
    • 別の法令のGDPRも、一部では過度に楽観的で、実用的でなく、部分的に行使不可能とみなされることがあります。データ処理契約(DPA)には役立たない情報が山ほど含まれ、すべてに対応するリソースもありません。本指令も、うまく施行しない限り、同じような結果になる可能性があります。
    • 判例を整備して、本指令の実用例のガイドにする必要があります。特に施行および刑罰の防止効果がどれだけあるかに関して、これが重要になります。

エキスパートにご相談ください

詳細について学んだり、アイディアについて話し合ったり、ご意見を共有することをお望みですか?

お問い合わせ

Share this page