前回では,金融商品取引法における内部統制の規定の実体と,会社法と金融商品取引法における内部統制の関係について解説した。今回から2回にわたり,内部統制に関連するその他の法律について論ずることとする。本稿では「個人情報保護法」と「公益通報者保護法」を取り上げる。
前回,前々回に解説した会社法と金融商品取引法は,内部統制システム自体が法律に規定されている法律である。こうした法律以外に,その規制目的あるいは規制手段が,内部統制の基本的要素である(1)統制環境,(2)リスクの評価と対応,(3)統制活動,(4)情報と伝達,(5)モニタリング,(6)ITへの対応を含む法律が存在する。内部統制の目的の1つに法令遵守があることからすれば,全ての法律が関連するといっても誤りではないが,ここでは特に内部統制と深く関わる「個人情報保護法」,「公益通報者保護法」,「不正競争防止法」について説明することにする。
◆個人情報保護法
個人情報保護法は,個人情報取扱事業者に対して,個人の特定が可能な情報の取得またはそのような情報の取り扱いについて制限を課す法律である。具体的には,以下の3点を個人情報取扱事業者に対して義務付けている。
| 安全管理措置: | 「その取り扱う個人データの漏えい,滅失又はき損の防止その他の個人データの安全管理のための必要かつ適切な措置を取らなければならない」(20条) |
| 従業者の監督: | 「従業者に個人データを取り扱わせるに当たっては,当該個人データの安全管理が図られるよう,当該従業者に対する必要かつ適切な監督を行わなければならない」(21条) |
| 委託先監督: | 「個人データの取扱いの全部又は一部を委託する場合は,その取扱いを委託された個人データの安全管理が図られるよう,委託を受けた者に対する必要かつ適切な監督を行わなければならない」(22条) |
これらの条文では,「必要かつ適切な措置または監督を・・・なければならない」としか規定されていないが,これらを受けて各業種に応じたガイドラインが監督官庁で策定され,それに基づく運用がなされている。つまり,いかなる場合に「必要かつ適切」か,という点は各業種により異なる部分もあるので,そのような場合には各業種に応じたガイドラインに従ってください,というのが法律の考え方なのである。
次に,個人情報保護法と内部統制との関係について論ずる。まず,上記のような個人情報保護法上の義務を遵守するということは,内部統制の目的である業務の有効性・妥当性,財務報告の信頼性,または法令などの遵守と資産の保全のすべてに関わってくる。また,個人情報の漏洩を防止することが内部統制の重要な役割の1つであると考えられることから,内部統制の基本的要素についても統制環境やリスクの評価と対応,統制活動,情報と伝達,モニタリング,ITへの対応の全てに関わってくる。個人情報保護法の制度目的および同法が求める保護のための手段・措置は内部統制と大きく重なるのである。
このように,個人情報保護法は内部統制の重要な構成要素の一部であることから,内部統制システムの構築にあたっては,同法を意識した体制づくりが求められる。
まず,統制環境においては,個人情報保護を経営者が強い意識を持ち,社内教育を施すことが求められる。また,リスクの評価及び対応においては,「情報漏洩リスク」というものが存在することを,まずきちんと認識する必要がある。そのうえで,各社におけるリスクを識別・分析・評価し,不正なアクセスなど,さまざまなリスクに対応することが必要である。
そして,統制活動においては,安全管理措置や従業員監督,委託先監督について必要かつ適切な措置を講じ,個人情報に関するガイドラインを参照しながら統制活動を組み込むことが必要である。さらに,情報と伝達においても,情報管理規定の整備,利用制限やアクセス制御,記録の保存などを徹底する必要がある。ITへの対応としても,ノートパソコンの持ち出し制限や,添付ファイルへのパスワード設定,暗号化などの対応を行うことが必要である。
このように個人情報と内部統制は非常に密接な関係にある。上記のポイントをまとめると次のようになる。
| 統制環境: | 個人情報保護を経営者が強い意識を持ち,社内教育を施す |
| リスクの評価と 対応: |
情報漏洩リスクを十分に識別・分析・評価し,不正アクセスなど様々なリスクに対応する |
| 統制活動: | 安全管理措置義務,従業員監督義務,委託先監督義務において求められている「必要かつ適切」な措置を行う(個人情報保護法に関するガイドラインも参照にしながら対応する) |
| 情報と伝達: | 情報管理規程の整備,利用制限,アクセス制御・記録の保存を徹底する |
| ITへの対応: | ノートパソコンの持ち出し制限,添付ファイルへのパスワード設定や暗号化などの対応を行う |
◆公益通報者保護法
公益通報者保護法は,今年4月1日から施行された新しい法律である。制度趣旨は,企業や行政機関の内部告発者を解雇などの不利益から守り,法令遵守(コンプライアンス)を促進するという点にある。
内部告発の対象となるのは,さまざまな法律に違反した事実である。具体的には,刑法,食品衛生法,証券取引法,JAS法,大気汚染防止法,廃棄物処理法,個人情報保護法,である。ただ,上記以外にも「その他政令で定める法律」に違反した事実が対象となっており規制対象は広い。
内部告発の内容が,公益通報者保護法の定める対象事実や他の要件に該当する場合,内部告発(公益通報)したことを理由とする解雇や労働者派遣契約の解除は無効となる。また,同法は内部告発者をできる限り保護するために,内部告発を理由とする降格・減給その他の不利益な取り扱いを広く禁止している。
さらに,公益通報者保護法は内部告発を理由とする不利益取扱いを禁止しているだけでなく,企業に対して積極的に内部告発者保護のための対応策を講じることを求めている。具体的には,内閣府がガイドライン「公益通報者保護法に関する民間事業者向けガイドライン」を発行し,以下のような対策を求めている。
| 仕組みの整備: | 通報受付から調査,是正措置の実施及び再発防止策の策定までを適切に行うため,経営幹部を責任者として,部署間横断的に通報を処理する仕組みを整備する |
| 通報窓口の整備: | 通報窓口及び受付の方法を明確に定め従業員に対し十分に周知させる。また,法律家など外部専門家を利用する |
| 相談窓口の設置: | 各事業者の通報処理の仕組みに関する質問などに対応するための相談窓口を設置する |
| 通知: | 査中は,調査の進捗状況について適宜,被通報者(法令違反等を行った者)や協力者の信用,名誉及びプライバシーに配慮しつつ,調査結果は可及的速やかにとりまとめ,通報者に対し,その結果を通知するよう努める |
以上のように,公益通報者保護法は,内部告発者の不利益取扱いを禁止しているだけでなく,法令遵守(コンプライアンス)を機能させるための仕組みを整備すること,通報窓口や相談窓口などのヘルプラインあるいは内部規定をきちんと作り,違法行為など不正の発見がより容易になるように,積極的に求めている。
不正が発覚する仕組みを作るという点は,まさに内部統制の制度目的であることから,公益通報者保護法と内部統制は非常に深い関係があるといえる。内部統制の目的および構成要素のすべてと関わってくるといって差し支えないであろう。また,公益通報者保護制度のヘルプラインの設置や規程は,まさに内部統制の基本的要素として求められているものであり,公益通報者保護法にも配慮することで内部統制の有効性・効率性を向上させることができるのである。
次回はいよいよ本連載の最終回である。不正競争防止法について解説し,そのうえで今後の内部統制の方向性について論ずる。
(次回へ)
|
