◇SH3749◇ISO 37002の使い方――WCMSとISO 37002の融合サービスへの期待 亀井将博(2021/09/10)

未分類

ISO 37002の使い方

WCMSとISO 37002の融合サービスへの期待

ISO/TC309 WG3 Whistleblowing Management System 日本代表
経産省ISO/TC309国内委員会委員
デロイト トーマツ リスクサービス株式会社

亀 井 将 博

 

1 はじめに

 2021年7月26日にISOから「ISO 37002:2021 Whistleblowing management systems — Guidelines」[1]が発行された。ISO 37002は内部通報制度のマネジメントシステム規格としてISOで初めて開発された規格であり、ISO以外の他の団体を含め、初めて作成された内部通報制度に関する国際規格ではないかと思う。おりしも、日本では8月20日に改正公益通報者保護法の第11条で策定が示されていた内部通報制度の体制整備のよりどころとなる、いわゆる“11条指針”「公益通報者保護法第11条第1項及び第2項の規定に基づき事業者がとるべき措置に関して、その適切かつ有効な実施を図るために必要な指針」[2]が公開された。改正公益通報者保護法の施行予定は2022年6月であり、従業員規模300名超の組織に義務付けられた内部通報制度の体制整備をどのように進めていくかは、多くの日本企業の具体的かつ喫緊の課題となっている。

 そして、その中でも海外進出している(あるいは目指している)組織、もしくは多くの外国籍従業者を雇用している組織にとっては、自組織の内部通報制度の体制整備の外見的な合理性を、国際的に説明できるようにしておく必要も生じるものと思われる。

 本項では、このISO 37002の開発作業に2016年から日本代表として携わってきた筆者のISO 37002活用法に関する考え方を述べさせていただく。なお、本書に記載の内容は筆者の所属する組織や参加する会議体の公式な見解ではなく、筆者の私的な意見に基づくものであり、また本書内に記載の筆者のコメントは法令や外部基準に関して何らかの保証を与えるものではないことをご承知おきいただきたい。

 

2 ISO規格の基本的整理とISO 37002

⑴ 5種類のISO文書

 ISOで開発する文書は、my ISO job 2020年版[3]に以下の5種類が例示されている。

  1.   国際規格(IS):ある状況下で最適な秩序を実現するために、活動又はその成果物についての規則、ガイドライン、又は特性を定める
  2.   技術仕様書(TS):技術開発中であるか、又は、ISの発行に関する合意が将来的には可能としても直ちには得られない著作物を扱う
  3.   技術報告書(TR):IS、TSとは異なる種類の情報を含む。例えば、調査で得られたデータ、参考になる報告書からのデータ、入手した“最新技術”の情報などである
  4.   公開仕様書(PAS):緊急の市場ニーズに対応するために発行され、ワーキンググループ(WG)内のエキスパート(開発参加国や団体から派遣された専門家)コンセンサス、又は、ISO以外の組織内でのコンセンサスを表す
  5.   国際ワークショップ認定(IWA):“開かれたワークショップ”の環境で市場参加者の交流を可能にするための、通常のISO委員会システムの外で開発された文書である

 ISO 37002はこの5つの中のIS:国際規格である。

⑵ 国際規格(IS)の規格例

 ISの中でも規格はいくつかに分類でき以下のような形態をとる。

  1.   製品規格
  2.   マネジメントシステム規格(MSS:Management System Standard)
  3.   試験方法の規格
  4.   行動基準の規格 等

 ISO 37002はこのうちのマネジメントシステム規格(MSS)である。

⑶ MSSのTypeAとTypeB

 MSSはさらに以下の2つに分類される。

  TypeA:適合性評価の対象となる規格(日本での一般的な呼称は「認証用規格」)

  TypeB:適合性評価の対象とならない規格

 TypeAの規格票内にはrequirementと呼ばれる要求事項が記載される。要求事項は規格票中で”shall(しなければならない)“を伴って記述されることで判別できる。日本でおなじみのISO 9001やISO 14001はTypeAのMSSである。

 一方でTypeBの規格票内にはrequirement(要求事項)は記載できない。規格票内の記載は規格を利用する組織への推奨事項“should(することが望ましい)”で表現され、”shall“を用いて表現することができない。
 

 ISO 37002はこのうちのTypeBである。つまりISO 37002をあえて一文で説明するとすれば「国際規格であるTypeBのMSSである」と記述することができるだろう。

 

 

3 ISO 37002の中身

 ISO 37002の規格票は箇条、細分箇条などで分類されているものの叙述的に記載されており、日本の内部通報制度認証であるWCMS(Whistleblowing Compliance Management System)[4]の審査基準のように表形式に整理されてはいない。ISO 37002は https://webdesk.jsa.or.jp/books/W11M0070/index  において販売されているので、知財トラブルを起こさないようにご購入のうえで実際をご確認されたい。

⑴ ISO 37002は細かい

 筆者がこのISO 37002を、もし組織が規格票に記載の内容の採否を選定することに活用するとしたら、という前提で選定作業を進めやすくなるような項目単位に分解してみたところ、以下のような項目数となった。

  1.   目次やタイトル等であり採否の対象ではない編集上の記載:336項目
  2.   理念、定義、解説事項などの読了が期待される記載:227項目
  3.   行為規範、規則の記載事項の候補であり、組織が採否を判断すべき記載:930項目

 一方で日本のWCMSの審査基準は、必須と任意の双方で38項目である(将来実装予定の第三者認証に使用されるであろう項目[5]を含めても44項目)。もちろん、WCMSの審査基準の1項目中には、行為規範や規則の記載事項の参照用としてはさらに詳細に分割されるべき記載も含まれているため、ISO 37002の930項目とWCMS審査基準の38項目という数値の大小を単純に比較するわけにはいかないが、それでもISO 37002が非常に多くの情報を含んでいるのだということはわかる。

⑵ ISO 37002とWCMSの共通点、相違点

 組織のマネジメントシステムにも、そのお国柄が反映されるであろうことはある程度想像できるものの、対象が内部通報制度ということになれば、どの国が規範となる基準を作成したとしてもそう極端に差や乖離が生じるものではないと思われる。

 その想定どおり、ISO 37002とWCMSはその骨格となるべき基本的な点、たとえば通報者保護、秘密保持、不利益取扱の回復、通報事案の是正措置など多くが共通している。

 一方で、それぞれに違いもある。たとえばISO 37002にあってWCMSに相当する直接的な記載が見当たらないであろうものの例として、

  1.   適用範囲の決定に先立ってのリスク評価
  2.   行政等の外部通報に関する適切な案内
  3.   被通報者保護
  4.   受付チャネルの選択肢の豊富さ(無料通話や多言語対応等) 等

がある。

 他方、WCMSにはあってISO 37002には相当する直接的な記載が見当たらないであろうものの例として、

  1.   通報者・調査協力者による貢献の評価
  2.   法令違反等に関与した者による問題の早期発見・解決への協力の促進(リニエンシー)

がある。

 

 

4 ISO 37002を利用するときの注意点

 前述のとおり、ISO 37002には930項目にも及ぶ採否を判定すべき記載があり、それらをすべて自組織の内部通報制度と比較して、「取り入れる」、「取り入れない」の判断を下していくことができれば、それなりにそつのない内部通報制度に仕立てていくことは可能ではないかと思われる。しかし、ISO 37002には利用するうえで注意しなければならない点がある。

⑴ 適用範囲の決定が前提であること

 筆者は、通報者自身が被害者であり、その被害軽減を訴求する類の通報を内部通報制度の対象通報から除外し、全く異なる他の制度、システム、ルールで対応すべきであると常々主張[6]している。その趣旨に沿ってISO 37002の開発における国際会議でもたびたび意見具申を行ったが、開発を行うワーキンググループの多数派の意見は「ISO 37002はTypeBのMSSであり、内部通報制度に対する組織の選択肢を狭めるべきではない。適切な対象範囲は組織が選択・決定すべきものであり、ISO 37002はできるかぎり多くの役立つ選択肢を組織に提供すべきである」というものであった。

 従って、ISO 37002に記載されている事項を漫然と眺め、より多くの項目を採用すればよりよい内部通報制度を構築できるのか、というとそういうわけではない。組織の内部通報制度の対象範囲を組織の目的に沿って明確化し、その対象範囲に従ってISO 37002に記載されている項目を取捨選択し、絞り込んでいかなければならない。

⑵ 必須項目がなく第三者評価ができないこと

 WCMSの審査基準には必須項目と任意項目がある。ときに“必須”は重荷になることもあるが、義務が明確になって対応すべきことがわかりやすくなるといったメリットもあり、そのメリットは外見的に何かを保証してもらおうと考えたときにより効果が高くなる。その点で、ISO 37002は前述のとおりTypeBのMSSでありrequirement(要求事項≒必須)がない。また、requirementが存在していないため、適合性評価(いわゆる「認証」)に関する用語規格であるISO 17000[7]の記載に沿って第三者に評価してもらう基準として利用することにも適していない。

 つまり、必須項目がなく、第三者による評価を含めた適合性評価の対象ではないISO 37002は、そもそも組織自身で合格ラインを定めて、組織自身が合否判定をするための規格であり、外見的な保証を示すことを目指して開発された規格ではない。

 

5 ISO 37002の活用法

 ISO 37002の開発過程で各国代表のエキスパートから得た情報によれば、どうやら内部通報制度に関する認証制度を既に運用している国は日本のみのようである。ということは、日本以外の多くの国がこれからISO 37002を活用したなんらかの制度設計を試みるものと思われ、今後海外進出している日本企業がISO 37002に関するなんらかの対応を求められる可能性は低くはないだろう。事実ISO 37002の開発幹事国である英国を母体として、ISOは様々な国際機関に対してISO 37002のマーケティング活動を進めている。

 しかし、日本のWCMS自己適合宣言登録制度には2021年8月27日現在ですでに119社[8]が登録しており、それらはほぼ海外進出企業である。この浸透が始まった日本の認証制度を上手に活用しつつ、ISO 37002をうまく利用する方法があるのではないかと思われる。

⑴ 得手と不得手を補い合うWCMSとISO 37002

図表3 WCMSとISO 37002の特徴比較

比較項目 WCMS ISO 37002
要求事項(必須項目)   ○:あり   ✕:なし
適合性評価(認証)の対象   ○:認証制度   ✕:対象外
第三者による評価、審査   ○:審査あり   ✕:対象外
国際的な認知度   ✕:国内制度   ○:国際規格
項目数   △:38項目   ○:930項目

 図表3は筆者が整理したWCMSとISO 37002の各々の特徴を比較したものである。それぞれ単独ではどうしても不足が生じてしまうが、もし両者の特徴を併せ持つことができれば、それぞれの不得意を補って強力な内部通報制度のよりどころとすることができるものと考える。

⑵ WCMSとISO 37002を融合した制度の検討

 図表2で示したとおり、WCMSとISO 37002は共通点が多い。たとえばそれぞれに共通している項目を具体的に結び付けて、WCMSの必須項目に紐づいているISO 37002の項目は間接的に実装できている、と評価する制度を設計、実装することはできるのではないだろうか。もしそれができれば、すでにWCMSの自己適合宣言に登録している事業者にとってはISO 37002を推奨事項として参照していることの外見的保証を、WCMSに紐づけて得ることがより容易になる。また、WCMSよりもどちらかというとISO 37002を活用した内部通報制度の構築を目指す事業者にとっても、客観的に定められたWCMSの必須項目に紐づいた内容を重視することで、より対応すべき項目がわかりやすくなる。

 しかし、こういったWCMSとISO 37002の融合サービスというアイディアを早期に実装するためには、少なくとも以下のような課題をクリアしていく必要があるだろう。

  1.   WCMS認証制度運営に関わる行政や組織、およびISO運営に関わる行政や組織からの協力
  2.   合理的な登録料金の設定
  3.   一時点の確実なお墨付きではなく、申請事業者の成長を促し見守ることができる制度の設計と運用

 これらは決して簡単な課題ではないが、関係各所が協力し合えば解決不可能なことではないはずである。SDGsやESGといった経営課題に取り組むことが常識となっている国際社会において、日本企業のソフト面の競争力を少しでも高く維持していくという点でも、WCMSとISO 37002の融合サービスの早期のリリースを期待したい。

以 上


[6] デロイトトーマツの連載ブログ「内部通報制度の有効性を高める」第13回「内部通報制度の有効性を高める方策」
https://www2.deloitte.com/jp/ja/blog/risk-management/2020/wcms-effectiveness.html

[7] ISO/IEC 17000:2020,Conformity assessment―Vocabulary and general principles

 

(かめい・まさひろ)

ISO/TC309 WG3 Whistleblowing Management System 日本代表、経産省ISO/TC309国内委員会委員、デロイト トーマツ リスクサービス株式会社
内部通報制度関連業務およびコンサルティング業務に従事。ISO/TC309 ISO 37002(Whistleblowing)日本代表兼国内委員会委員、元内閣府消費者委員会公益通報者保護専門調査会委員、金融機関、自動車関連、製造業、製薬業、保険業、食品製造業、サービス業など業種業態規模を問わず内部通報の外部窓口サービスの提供、および内部通報制度構築を支援。その他、リスクマネジメント体制構築支援、J-SOX関連業務支援、内部監査業務支援、事業継続計画(BCP)策定などを経験。
外部セミナー、インハウスセミナー講師を始め内部通法制度に関する寄稿記事の執筆多数。

【主な著書】
丸山満彦=亀井将博=三木孝則『統制環境読本』(翔泳社、2008)、(共著)監査法人トーマツ・税理士法人トーマツ 知的財産グループ編『攻めと守りのブランド経営戦略』(税務経理協会、2003)等

 

タイトルとURLをコピーしました