「内部通報」はいやだけど

ITpro

2008.07.08

　はなから告知で恐縮なのですが，以前に書いた「ミートホープ元社長の実刑確定が象徴するもの」（4月14日付け「記者の眼」）で予告したように，企業の全社的なリスク・マネジメントの取り組みに焦点を当てた情報サイトを立ち上げました。7月1日のITproリニューアルに合わせて新設した「ERM/危機管理」サイトです（「ERM」はEnterprise Risk Managementの略称）。

　このサイトを立ち上げる目的もあって，昨年以降，企業経営とITという2つの観点から，危機管理にかかわる情報に注意を払ってきたのですが，こと企業の不祥事に関しては話題に事欠かないという印象を強くしました。最近では飛騨牛にウナギ…。食品偽装の連鎖が止まりません。

　ここ数年にわたって相次いだ食品偽装事件では，様々なきっかけで偽装の事実が漏れ，報道を通じて白日の下にさらされました。実はその多くが，社員など内部からの告発・通報によって発覚したものです。

　そんな折，筆者の知り合いの会社にも，コンプライアンス強化の一環として「内部通報制度」が導入されたと聞きました。法律に通じた社外の第三者が窓口となり，社員などから不正に関する通報を受け付けるのですが，当然，“通報者”の氏名が会社に報告されることはありません。通報できるのは正社員だけでなく，契約社員や派遣社員，アルバイトなども含まれるそうです。

　この制度が導入されたとき，知り合いの周囲の反応は，総じて「いやな制度ができたな」というネガティブなものだったといいます。その理由としては，まず「通報」という言葉の響きが，あまり気持ちのいいものではない，ということがあるでしょう。社員同士が監視し合うような雰囲気を感じ取った人も多かったようです。

　実は，大手企業を中心に，こうした内部通報制度を導入する企業が増えています。その直接的なきっかけは，2006年4月に施行された「公益通報者保護法」でしょう。これは，社員が企業の法令違反を社内外に通報しても，それを理由に，解雇など社員に不利益な措置を取ってはならない，ということを定めた法律です。企業に対して，通報窓口の設置や事実調査，再発防止などの仕組みを整備することを求めています。

　確かに，こうした法的環境の変化が内部通報制度の導入を後押ししていることは間違いありません。ただ冒頭で書いたように，内部からの告発・通報によって不祥事が発覚し，その後に取り返しのつかない事態（経営破たんなど）に至るケースが多発したことも，制度導入が広がる大きな要因になりました。そもそも，公益通報者保護法が制定されたのも，2002年に日本ハムの子会社や雪印食品で，内部告発によって食肉偽装が明らかになったことがきっかけでした。

　業務の現場で不正を目の当たりにした社員は，当然，不安や不満を感じるはずです。不正が常態化するにつれて，そうした感覚は徐々に麻痺してくるかもしれませんが，不安や不満が完全に解消されることはないでしょう。特にその不正が，その社員に何のメリットももたらさず，ストレスを与え続けているような場合は，なおさらです。

　これは企業が，いつ爆発するか分からない大きなリスクを抱えている状態です。以前、ある会社の社員がマスコミに情報を流して自社の不正を告発したとき、「会社にダメージを与えることは本意ではないし、まして倒産することは望んでいない。しかし、不正をこのまま放置しては本当に取り返しがつかなくなると思い、ワラにもすがる思いでマスコミに訴えた」という趣旨のコメントをしていました。この社員の不安や不満が爆発したわけです。

　企業にとって内部通報制度は，こうしたリスクを軽減したり，リスクが突発的に顕在化する事態を回避するための取り組みと言えます。社員が「いやな制度」と感じることは，とてもよく理解できますが，本来は，会社にとっても社員個人にとっても，決して無益な制度ではないはずです。

　「本来は」と書いたのは，リスク・マネジメントに対する基本的な考え方が曖昧だったり，いい加減だったりする会社では，いつまでたっても社員から白い目で見られる制度であり続ける可能性が高いと思うからです。仮に考え方や取り組み方がしっかりしていても，それらが社員にきちんと説明されていなければ同様です。

　例えば，手当たり次第に目算のない新規事業に進出しては，失敗を繰り返している。あるいは，健康を害する社員が増え続けているのに，劣悪な労働環境を放置している。そんな会社が，日本版SOX法への対応（財務報告にかかわるリスク・マネジメント）については，現場に大きな負担をかけてでも徹底してやるとしたら，その取り組みは社員にどう映るでしょうか。内部通報制度にしても同様です。

　これは「内部統制や内部通報は法律だから仕方がない」といった単純な問題ではありません。会社が事業を続けるうえで，「何を価値と考え，何をリスクと考えるか」というメッセージを社員にきちんと伝えているかどうか，という問題だと考えます。すなわち「会社は経営戦略として，この事業（業務プロセス）をとても重視している。だから，そのリスクへの対応を徹底してやる」という説明があるかないかで，そのリスク対応を見る社員の目は違ってくるのではないでしょうか。

　このように、企業の目的（事業目標）に照らして，事業や業務プロセスに含まれるリスクの重みをとらえ直し，対応の仕方を考えるリスク・マネジメントのことを，一般に「ERM（Enterprise Risk Management）」と呼びます。ERMという呼称はさておき，その重要性が日本でも少しずつ理解されるようになってきました。冒頭で紹介したERM/危機管理サイトでも，こうした取り組みの一助になる情報を提供していきたいと考えています。