01 情報セキュリティ

本稿のPDF

今回は, EUにおける公益通報制度実施上の従業員データの処理について解説します。

【目　　次】

(各箇所をクリックすると該当箇所にジャンプします)

Q1: 公益通報と従業員データの処理の関係は?

Q2: EUにおける公益通報制度は?

Q3: EU公益通報指令の概要は?

Q4: EU公益通報指令とGDPRの関係は?

Q1: 公益通報と従業員データの処理の関係は?

A1: 公益通報(whistleblowing)とは, 例えば, 会社の社員が他の社員による違法行為を会社に通報し(内部通報)または会社の外部に通報(外部通報)・公表することをいいいます。公益通報においては, 会社は, 通報者や, その通報で違法行為を犯したと主張されている者の個人データを取得・処理することになります。従って, EUにおいては, GDPRとの関係で, この個人データの取得・処理をどのようにして行うべきかが問題となります。

page top

Q2: EUにおける公益通報制度は?

A1: EUでは, “Directive (EU) 2019/1937 of the European Parliament and of the Council of 23 October 2019 on the protection of persons who report breaches of Union law”(「EU法違反を通報する者の保護に関する 2019 年 10 月 23 日の欧州議会および理事会指令(EU)2019/1937」)(以下「公益通報指令」または「本指令」)が成立しており, EU加盟国は, 2021年12 月17日までに本指令を遵守するために必要な法律, 規則および行政規定を施行(国内法化)しなければならない(26(1))とされています。[1] [2]

【解　説】

EUでは, 従前から, 公益通報者の保護に関し包括的な法制度を有する加盟国もありました(例：フランス, イタリア, オランダ)が, 他の国では部分的にまたは特定の部門・カテゴリーの被用者のみ保護されていました。しかし, 「パナマ文書」(Panama Papers)事件^[3]等を背景に, このような加盟国間の保護の相違を調整するため, 公益通報指令が制定され, 加盟国は同指令の内容を自国国内法に反映しなければならないこととなりました。

page top

Q3: EU公益通報指令の概要は?

A3: 以下の通りです。

１. 通報対象のEU法違反

・本指令は, 以下の分野に関するEU 法(EUの規則,指令等)の違反(違反の隠ぺいを含む)の通報を対象とし, 具体的な対象法令が附則 Iに列挙されている(2(1), 5(2))。

—公共調達／金融サービス, 金融商品および金融市場並びにマネーロンダリングおよびテロ資金調達の防止／製品の安全および法令遵守／輸送の安全／環境保護／放射線防護および原子力安全／食品および飼料の安全, 動物の健康および福祉／公衆衛生／消費者保護／プライバシーおよび個人データの保護並びにネットワークおよび情報システムの安全／EU の財政的利益に影響を与える違反／競争等, EU域内市場に関する違反(競争法・国家援助・法人税法等の違反)。

・加盟国は, 通報対象を上記以外の分野の違反に拡大可能(2(2))。(例)デンマーク「重大犯罪その他重大な事項」／仏「公益に対する脅威または重大な危害」／スウェーデン「不正行為を明らかにすることが公益となる事項」／ポルトガル：「暴力犯罪および/または組織犯罪」追加。[4]

２．保護される(公益)通報者等

・本指令は, 民間部門[民間企業等]または公共部門[官庁・公的機関等]で就労し, その職務に関連して違反に関する情報を入手し通報した者(自然人)に適用される(4(1), 5(7))(EU域外の第三国国民を含む：前文37)。

—　(例)労働者(公務員を含む)／自営業者／株主／事業の管理・経営・監督組織に属する者[役員等]／ボランティア／研修生／請負業者・供給業者等の監督・指示下で働く者。パートタイム労働者, 有期雇用労働者, 派遣労働者等を含む(前文38)

—　退職者／採用応募者等を含む(4(2),(3))。

—　通報者を支援した者(支援者：facilitators)／通報者の同僚・親族等／通報者が所属・所有等する法人も保護される(4(4))。

以下, 本稿において, 以上の者全てを総称して「通報者等」という。

なお, 通報・公表において違反をした人物として言及されまたはその人物に関係する自然人または法人を「関係者」(person concerned)という(5(10))。

３．通報者保護の条件

・通報者は, 以下の(a)・(b)を満たすことを条件に本指令上保護を受ける(6(1))。

(a) 通報された違反に関する情報が通報時に真実であり, 当該情報が本指令の対象であると信じる合理的な理由があったこと。

(b) 本指令で定める「内部通報」, 「外部通報」または「公表」をしたこと。

・「内部通報」(internal reporting)とは, 民間部門または公共部門の法人内で, 違反に関する情報を口頭または書面で伝達することをいう(5(4))。「外部通報」(external reporting)とは, 違反に関する情報を所轄当局に口頭または書面で伝達することをいう(5(5))。「公表」または「公表する」とは, 違反に関する情報を公に利用可能にすること[SNS等での公開・報道機関への通報等]をいう(5(6))。

・違反に関する情報を匿名で通報・公表しその後に身元が判明し報復を受けた者も後記12～16の報復の禁止等の保護を受ける(6(3))。

４．内部通報と外部通報の優先・選択

・違反が民間企業, 官庁・公的機関等等の組織内部で効果的に対応され, かつ, 通報者が報復の危険がないと考える場合には, 外部通報前に内部通報するよう奨励される(7(1))。但し, 通報者は直接に外部通報することも可能(10)。

５．内部通報経路・手続の確立義務

・(i)労働者が 50 人以上の民間企業および(ii)金融・マネーロンダリング・テロ資金調達防止／輸送の安全／環境保護に関するEU法上内部通報経路設置を義務付けられている者, 並びに(iii)原則として全ての公共部門の法人は, 内部通報とそのフォローアップ(調査その他の対応)の経路(channels)・手続を確立しなければならない(また, 加盟国国内法上必要な場合は労使団体と事前協議・合意要)(8(1), (3), (4), (9))。

・通報経路は, 組織内部で運営しまたは運営を第三者に委託してもよい(8(5))。

・労働者数が 50～249 人の民間企業については, 通報の受領・調査に関して資源を共有可能(8(6))／加盟国は, これら企業の内部通報経路確立義務を課す国内法を2023年12月17日までに施行(26(2))。

・加盟国は, 労働者数が 50 人未満の民間企業に内部通報経路・手続確立を義務付けることも可能(8(7))。

６．内部通報・フォローアップ手続

同手続には以下を含めなければならない(9(1))。

(a) 通報者および通報で[違反をした人物等として]言及された第三者の身元の秘密保持, 無権限アクセスが防止される通報受付経路

(b) 通報者に対する, 通報受領後 7 日以内の通報受領通知

(d) 通報フォローアップ担当者・部署による誠実な(diligent)フォローアップ

(e) 加盟国国内法で規定している場合には匿名の通報に関する誠実なフォローアップ[匿名通報への対応義務を課すかは加盟国国内法による(ポルトガルは匿名通報許容)]　—　匿名通報許容が義務でない場合でも企業としては, 不祥事の外部通報防止のため匿名通報に対応することが考えられる。

(f) 受領通知から 3 か月以内の合理的なフィードバック期間

(g) 外部通報手続に関する情報提供

・通報は, 書面もしくは口頭またはその両方で可能でなければならない[但しスウェーデンは国内法で両方を要求]。口頭通報は, 電話その他の音声メッセージシステムにより, また, 通報者が要請した場合には対面で行わなければならない。(9(2))

７．(所轄当局への)外部通報とそのフォローアップ

加盟国による所轄当局の指定および所轄当局による独立した自律的な外部通報経路確立・フォローアップ義務(11)／外部通報経路の設計(12)／通報受付・フォローアップに関する情報の公表(13)／手続の見直(14)。—　内容省略。

８．公表

以下のいずれかの場合には通報対象事項を公表した者も保護される(15(1))。

(a)内部通報または外部通報に対し所定期間内(3か月内)に適切な対応がなされなかった場合

(b)通報者が, (i)公益に対し切迫または明白な危険を生じさせるおそれがある場合, または, (ii)外部通報において証拠隠蔽または当局と違反者間で結託・加担の可能性がある等, 報復の危険がありまたは適切な対応の見込みが低い場合であると信じる合理的な理由がある場合

９．通報者の身元の秘密保持

・通報者の身元に関する情報(身元を直接・間接的に推測できる情報を含む)は, 通報者の明示的同意なく, 通報受付・フォローアップ担当者以外の者に開示されないようにしなければならない(16(1))。但し, 当局の調査・司法手続上法的に義務付けられている開示は可(16(2))。

１０．個人データの処理

本指令上なされる[通報者等または関係者等の]個人データの処理は, 民間企業についてはGDPRに従い行わなければならない。通報への対応に明らかに関連性のない個人データは収集されてはならず, 誤って収集された場合は遅滞なく削除されなければならない。(17)。

１１．通報の記録保持

企業等は, 受付けた全通報の記録を, EU 法・加盟国法遵守に必要な期間, 保持しなければならない(18(1))。

口頭通報および通報者との会合は, 通報者の同意を条件として, 所定の要件のもとで, 録音によりまたは会話・会合記録の形で記録できる(18(2)～(4))。

１２．報復の禁止

以下を含め, 通報者等に対する報復(retaliation)(報復するとの脅し・報復の試みを含む)は禁止される(19)。

— 停職, レイオフ, 解雇または同等の措置／降格または昇格留保／職務異動, 勤務地変更, 賃金減額, 労働時間変更／研修参加の停止／否定的な勤務評価または雇用証明［employment reference］[5]／金銭的な懲罰を含む, 懲戒, 戒告またはその他の懲罰／強制, 脅迫, 嫌がらせまたは排斥／差別, 不利または不当な取扱い／労働者が常用雇用を提示されることへの合理的な期待を有していた場合における一時雇用契約から常用雇用契約への転換の不履行／一時雇用契約の更新不履行または早期終了／評判・名声毀損行為, 経済的損失を生じさせる行為／ブラックリストへの掲載／商品・サービス契約の早期終了・解約／許可・認可取消し／精神科・医療機関への紹介

１３．加盟国政府による通報者等に対する支援措置

加盟国は, 通報者等が, 利用可能な手続・救済, 報復からの保護に関する情報・助言等の支援を受けることができるようにしなければならない(20(1))。

１４．報復からの保護措置

・通報・公表をした者は, 違反を明らかにするために必要であったと信じる合理的な理由があった場合, 情報の開示制限に違反したとはみなされず, 当該通報・公表に関して如何なる責任も負わない(21(2))。

・通報者は, 通報・公表された情報の取得・アクセスに関する責任を負わない(但しその取得・アクセス自体が刑事犯罪に該当する場合を除く)(21(3))。

・通報者が不利益取扱いに関する裁判・手続上, 通報・公表をしたことおよび不利益取扱いを受けたことを立証した場合には, 当該不利益取扱いは通報・公表に対する報復として行われたものと推定され, それが正当理由に基づくことの立証責任は不利益取扱いをした者が負う(立証責任転換)(21(5))。

通報者等は, 本指令上の通報・公表の結果として, 名誉毀損, 著作権侵害, 秘密保持違反, データ保護違反, 営業秘密開示, 損害賠償等に関する責任を負わない(21(7))。[従って, 外部通報による営業秘密外部流出防止のためにも内部通報制度構築が重要]

通報者等は, 各加盟国法に基づき, その被った損害に対し救済・補償を受ける(21(8))。

１５．(通報された)関係者の保護

・(通報された)関係者は, 効果的な救済を受ける権利／公正な裁判を受ける権利／無罪を推定される権利／防御の権利を有する(22(1))。

１６．罰　則

加盟国は, 以下を行う自然人・法人に対する罰則を規定しなければならない(23(1))。

(a) 通報の妨害または妨害の試み

(b) 通報者等に対する報復

(d) 通報者の身元の守秘義務違反

加盟国は, 通報者が故意に虚偽の情報を通報しまたは公表した場合に適用される罰則およびかかる通報・公表から生じた損害の補償措置を規定しなければならない(23(2))

１７．加盟国国内法との関係

・加盟国は, 本指令よりも通報者に有利な規定を導入できる(25(1))。本指令は, 加盟国の既存の保護水準を低下させる根拠とされてはならない(25(2))。

page top

Q4: EU公益通報指令とGDPRの関係は?

A4: 上記A3-(10)の通り, EU公益通報指令上なされる[通報者等または関係者等の]個人データの処理は, 民間企業についてはGDPRに従い行わなければなりません。また, 通報への対応に明らかに関連性のない個人データは収集されてはならず, 誤って収集された場合は遅滞なく削除されなければなりません。(以上指令17)。

【解　説】

EU公益通報指令上民間企業によりなされる通報者等または関係者等の個人データの処理にGDPRがどのように適用されるか(特にデータ主体である関係者への情報提供やそのアクセス権等の行使)については, 参考となるガイドラインや参考資料があまりなく[6], 現時点で必ずしも明確ではありませんが, 以下のように考えられるのではないかと思われます(筆者私見)。

(a)関係者(通報される側)への通報者・通報内容に関する情報提供義務

関係者の個人データ取得は, GDPR第14条の間接取得(データ主体以外からの取得)に該当する。同条によれば, 管理者は, 個人データ取得後遅くとも1か月以内にその個人データの入手元(情報源)(source)(14(2)(f))を含む情報をデータ主体に提供しなければならない(14(2), (3))。従って, 社員等から匿名によらず通報を受けた会社は, その通報に含まれる関係者の個人データに関し, その個人データの入手元(情報源)である通報者の身元(氏名等)や通報の事実・内容を関係者に情報提供しなければならないか等が問題となる。

この点, GDPR第14条5項(b)では, 上記の情報提供義務を履行すれば「当該個人データの処理目的が達成できないかまたはその達成に重大な支障を生じさせるおそれがある場合」には, 当該義務の履行を要しない旨規定されている。

関係者に通報者の氏名や, 通報の事実および内容を開示することは, 当該通報内容に関する調査中のみならず, 関係者の処分等の完了後も半ば半永久的に, 公益通報制度自体の適切な運営(公益通報における個人データの処理目的の達成)に重大な支障を生じさせると思われる。

従って, 会社は, GDPR第14条5項(b)を根拠として, 関係者に通報者の氏名を含め通報の事実および内容について開示する義務はないと解することができるものと思われる。

また, GDPR第14条の情報提供義務の例外事由としては, 「EU法または加盟国法上当該個人データの取得または開示が義務付けられている場合」(14(5)(c))もある。

会社は, 公益通報指令に基づく国内法が既に施行されている加盟国に所在する場合には, 内部通報の受付およびフォローアップのために関係者の個人データの取得・担当者への開示が義務付けられるから, GDPR第14条5項(b)を根拠として, 関係者に通報者の氏名を含め通報の事実および内容について開示する義務はないと解することも可能と思われる。

更に, そもそも, 第13条および第14条に基づきデータ主体に提供すべき情報は, 会社の従業員(データ主体)について言えば, その会社(管理者)の従業員の個人データ取扱いポリシー等で予め提供(周知)しておくことができる。

そして, このポリシー等に, 会社は, 公益通報を受けた場合, その通報で言及されている関係者その他従業員の個人データを取得すること, その個人データを公益通報に対応するため処理すること, 必要に応じ外部弁護士等へ提供すること, これらの処理・提供は管理者の正当利益または法的義務等を処理の適法性の根拠として行うこと等も記載しておくこともできる。

この場合, 両条に基づく情報提供は既になされていることになる。従って, 実際に公益通報があった時点で, 関係者等に情報提供する必要はない。

なお, 個人データの入手元(情報源)(source)については透明性ガイドライン^[7]によれば, 具体的な入手元を記載できない場合は入手元の性質を記載すれば足るから, 上記の記載で十分である。

(b)関係者によるアクセス権行使への対応

GDPRは, データ主体(ここでは通報された関係者)は, 管理者(ここでは通報者から通報を受けた会社)に対し, 自己に関する個人データ(ここでは通報された関係者による違法行為等)が処理されているか否かを確認し, また, それが処理されている場合には, 当該個人データおよびその処理目的等に関する情報にアクセスする権利を有し(15(1)), 管理者は, データ主体から要求された場合, 当該個人データのコピーをデータ主体に提供しなければならない(15(2))と定める。しかし, 会社がこれらに応じることは公益通報の適正な実施および重大な支障を生じさせ, また, 会社は, 公益通報指令上要求されている, 通報者の身元の秘密保持義務に違反することは明らかである。

これに関し, GDPR上は, 第15条3項に「第3項に定めるコピーを取得する権利は, 他者の権利および自由を損なう(adversely affect)ものであってはならない。」との規定があるのみであるが, この規定を根拠に, 会社は, 関係者からのアクセス権(コピー請求権を含む)行使への対応を拒否できると解すべきであろう。

(c)関係者による消去請求権行使への対応

GDPRは, データ主体(ここでは通報された関係者)は, 管理者(ここでは通報者から通報を受けた会社)に対し, 一定の条件のもとで, 自己に関する個人データ(ここでは通報された関係者による違法行為等)の消去を請求できる旨定める(17)。これに対しては, 通報への対応期間中およびその記録保持期間中は, 処理目的(通報への対応・記録)との関係でいまだ必要なので, 消去請求権行使の条件(17(1)(a))を満たさないこと, または, 消去権適用除外事由(17(2)(b)：法的義務の遵守のため処理が必要)に該当することを理由として, 会社は, 関係者からの消去請求権行使への対応を拒否できるであろう。

(d)その他公益通報におけるGDPR上の義務の遵守

公益通報における個人データの処理は, 一般的に, 「個人の権利・自由に対する高いリスクを発生させるおそれがある」高リスクの処理であるから, 会社(規制対象)は, 特に, 次のような義務を遵守しなければならない。

(i)GDPR第35条のデータ保護影響評価(DPIA)義務

(ii)同第24条のリスクに応じたGDPR遵守およびその証明義務

(iii)同第32条のリスクに応じた適切なセキュリティー措置を講じる義務等

また, 社外の第三者に通報窓口を設けまたはこれに関与させる場合には, その第三者との間で以下のような対応が必要となる。

(i)個人データ処理委託契約の締結(28(3), (9))

(ii)日本の親会社・法律事務所等, EU域外への通報内容の移転が伴う場合は域外移転規制への対応(44～)。— EUの日本に対する十分性認定を, 移転先による補完的ルールの整備・遵守を条件として, 域外移転の法的根拠とすることも考えられる。しかし, 移転された通報内容の利用目的・取扱いの制限・秘密保持のための措置等を明確にしこれを厳格・確実に遵守させるためにはSCCを締結し, その別紙(Annex I, II)に, 処理目的, 処理内容, 技術的・組織的措置(個人データのセキュリティー確保のための技術的・組織的措置を含む) 等を明記し, これを域外移転の法的根拠とすべきであろう。

page top

今回はここまでです。

【筆者の最近の個人情報保護関連記事・書籍】

『中国「個人情報越境処理保護認証規範」の解説』2022/8/22

『9月1日施行の中国「データ越境移転安全評価弁法」の解説』2022/8/22

「改正電気通信事業法によるCookieに関する規律の概要と日米欧中比較」2022/6/23

「香港からの個人データ越境移転モデル契約条項(改訂版)の概要・全文訳」2022/6/6, 訳PDF

“China Data and Personal Information Laws” 2022/1/31

「中国におけるセキュリティ脆弱性情報の取扱い規制('21年9月施行)」2022/01/05

『中国「ネットワークデータ安全管理条例(意見募集稿)」の公表とその概要』2021/11/18

「中国個人情報保護法への対応事項リストと国外提供規制」2021/09/24

「中国データ・情報関連法」 2021/9/18

「改正個人情報保護法アップデート(ガイドラインの公表)」2021/08/10

「中国データセキュリティ法の成立とその概要」2021/06/18

「Q&Aで学ぶCPRA カリフォルニア州プライバシー権法」 2020年12月

「Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月

^[8]

【注】

[1] 【EUの公益通報指令の制定経緯・概要・訳等】 (参考) (1) 欧州議会サイト　"Protecting whistle-blowers: new EU-wide rules approved" 16-04-2019　(2)　WhistleB "New EU Whistleblower Protection Directive approved. What you can do now." April 16 2019, LEXOLOGY　(3) Crowell & Moring LLP "EU Parliament Approves Draft Whistleblowing Directive at First Reading" May 20 2019, LEXOLOGY, (4) 濱野恵「EU 公益通報者保護指令」国立国会図書館, 外国の立法 289(2021. 9)　—　指令の制定経緯・概要の他, p. 13以下に指令の抄訳がある。

[2] 【公益通報指令国内法化状況】 Whistleblowing International Network (WIN) "Implications of delayed transposition of EU Directive on whistleblowing & EU law ‘direct effects’" 19 April 2022. —この記事におけるDr Simon Gerdemannの解説によれば以下の通り。2022年4月時点で, EU加盟27カ国のうち, 2021年12月17日の期限前に国内法を施行したのは, デンマークとスウェーデン(一部)。ポルトガル, リトアニア, マルタ, キプロス, ラトビア, フランスも2022年中に施行予定。その他の国は国内法案審議中(国内法化の手続未開始1か国)。但し, 欧州司法裁判所(ECJ)の判例法上のEUの指令の「直接効果」(direct effect)原則によれば, 国内法が未施行の加盟国においても, EUの指令の各条項は, それが当該加盟国に直接適用され得る程無条件かつ十分に具体的であれば, 当該加盟国において自動的に発効する。従って, 公共部門における①公益通報部門の設置義務および②通報者への報復禁止は直接効果を有すと考えられる。

^[3] 【パナマ文書(Panama Papers)事件】パナマの法律事務所「モサック・フォンセカ」(Mossack Fonseca)から流出した同事務所の顧客の租税回避行為に関する膨大な量の機密文書を, 南ドイツ新聞が匿名の人物から入手し, 国際調査報道ジャーナリスト連合(ICIJ)とともに分析し, 2016年4月に, 21万以上の法人とその株主らの名前を公表した事件

[4] 【加盟国ごとの特例】 (参考) 上記Whistleblowing International Network (WIN)の記事。本文中の他の加盟国ごとの特例についても同記事を参照した。

[5] 【雇用証明［employment reference］】 転職等の際に, 前職の雇用主が転職希望者の人柄, 身元, 技量などを証明し, 転職希望先の企業に提供するもの。

[6] 【EU公益通報指令とGDPRの関係に関する資料】　若干参考になる参考資料としては以下のものがあったが, A4で取り上げた, データ主体である関係者への情報提供やそのアクセス権等の行使等の問題に関する法的分析はあまりない。(1) Jenna Thomas "The EU Whistleblower Directive and GDPR: How to Protect Whistleblowing Data" JULY 5, 2022, OneTrust, LLC. (2) Alja Poler De Zwart, Partner, Morriston & Foerster, with Practical Law Data Privacy Advisor "Whistleblower Programs and EU Data Protection Law Compliance:Overview" 2021, Thomson Reuters.

^[7] 【透明性ガイドライン】　Article 29 Data Protection Working Party (第29条作業部会)“Guidelines on transparency”(2018年4月11日採択)：PPCによる和訳(原文併記) — 82ページの表の記載参照。

[8]

＝＝＝＝＝＝＝＝＝＝

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては,自己責任の下,必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

【筆者プロフィール】

浅井敏雄 (あさいとしお)

企業法務関連の研究を行うUniLaw企業法務研究所代表／一般社団法人GBL研究所理事

1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格 (現在は非登録)。2003年Temple University Law School (東京校) Certificate of American Law Study取得。GBL研究所理事, 国際商事研究学会会員, 国際取引法学会会員, IAPP (International Association of Privacy Professionals) 会員, CIPP/E (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】

https://www.theunilaw2.com/

メルマガ会員登録