欧州におけるコーポレートガバナンスと不正調査(1)− 概要編

危機管理・内部統制
中山 貴博弁護士 弁護士法人大江橋法律事務所 ミヒャエル・ヨハネス・ピルス(ドイツ弁護士) Taylor Wessing

 欧州に子会社を設置しています。不正調査を実施する際、どのような点に留意する必要がありますか。近時のルールについても教えてください。

 日本国内拠点における不正調査と欧州拠点における不正調査との相違点を整理することが重要です。また、欧州における法令を踏まえた対応が必要となります。

 本稿では、日欧における不正調査の相違点を検証し、欧州特有の留意点を整理します。また、別稿で、General Data Protection Regulation(GDPR)(※1) およびWhistleblower Protection Directive(EU公益通報者保護指令)(※2) を踏まえた、不正調査への対応について検討します。

※1: Regulation (EU) 2016/679, OJ L 119, 4.5.2016, p. 1−88.
※2: Directive (EU) 2019/1937, OJ L 305, 26.11.2019, p. 17−56.

解説

目次

  1. はじめに
  2. 日本と欧州における不正調査の相違点
    1. 社内体制および社外ネットワークの構築
    2. 文書・データの保全
    3. 調査体制
    4. 文書レビュー
    5. 監督機関への申告
  3. さいごに

はじめに

 事業者による法令遵守が必要不可欠であることは当然ですが、法令遵守の努力を反故にする不祥事は発生してしまいます。コーポレートガバナンスの一環として、このような不祥事が発生しない体制を構築することはもとより、発生した場合においても適切に対応できる体制を構築すべきであることは言うまでもありません。このような体制を通じて、事業者における不法行為責任(民法709条)や債務不履行責任(民法415条)、役員責任(会社法423条1項および429条1項)といった責任の発生防止または軽減を図る必要があります。

 本シリーズでは、全3回にわたり、欧州における不正調査を中心に、コーポレートガバナンス体制の構築に関する重要な点について検討します。

 第1回として、本稿では、欧州における不正調査の概要を解説します。

 第2回では、欧州における重要な法令であるGDPRへの対応について(「欧州におけるコーポレートガバナンスと不正調査(2)- 個人データ保護編」)、第3回では、EU公益通報者保護指令への対応について(「欧州におけるコーポレートガバナンスと不正調査(3)- 公益通報者保護編」)検討しますので、それぞれご参照ください。

 

日本と欧州における不正調査の相違点

社内体制および社外ネットワークの構築

 欧州子会社における不正調査の基本的な流れは、日本国内における対応と共通する点が多くあります。事実関係の把握、刑事・行政・民事といった各観点からの法令調査、監督機関への対応といった点は、地域を問わず重要となります。

 他方、欧州における不正調査では、日本本社との間において、言語や時差を理由とする意思疎通の乱れが生じるおそれがあります。子会社における管理体制・対応余力に応じて、本社と子会社間の所掌範囲を整理したうえで、必要な情報が適切なタイミングで本社に提供されるよう、現地子会社からの連絡系統を整備しておきましょう。その際、現地子会社とのコミュニケーションの充実、適切な人材の派遣といった対応も重要です。特に、監督機関による立入調査が実施された場合、現場に混乱が生じかねません。両拠点の所掌や連絡体制を構築する際には、このような場面も想定したうえで、日ごろから疑問点を解消し、両者における共通認識を醸造しておきましょう。

 また、不正調査に詳しい現地弁護士とのネットワークを築いておき、必要に応じて連絡を取れる体制を構築しておく必要があります。日本国内における不正調査においても外部専門家と協働することがよくありますが、欧州における専門家とのネットワークを構築することは特有の意義を有します。

 まず、当然のことながら、欧州各国における法令に精通している弁護士からの助言が必要となります。また、事業活動において現地語が用いられている場合、資料のレビューや関係者インタビューにおいてそれらの言語を使いこなせる必要がありますし、監督機関とのやり取りにおいて現地語の使用を求められるケースもあります。たとえば、個人データ保護の局面において、データ保護機関とのやり取りやデータ侵害通知において、各国の言語の使用を求められる場面が存在します。

 さらに、秘匿特権の存在も忘れてはなりません。たとえば独占禁止法の案件において、欧州委員会は、事実認定のための手段として、Request for Information(RFI)を発出することができます。これに対して事業者は、欧州における弁護士依頼者間秘匿特権(Legal Professional Privilege)に基づいて回答を拒むことがありえます。秘匿特権は、1980年代のAM&S事件 1 において解釈上認められているものであり、少なくとも以下の2点を充足する必要があります。

  1. 欧州経済領域(EEA)内の法曹資格を有する弁護士であること
  2. 当該弁護士が企業内弁護士でないこと

 したがって、欧州内の弁護士とのネットワークを持つことは秘匿特権の観点からも重要となります。なお、秘匿特権が認められるか否かについては、上記要件のほか、各国法によってさらなる要件が課せられる場合があるため、適用される法令に応じた対応が必要となります。

文書・データの保全

 親会社としては、子会社のどの部門・担当者が必要な文書・データを管理しているのかを速やかに把握する必要があります。そして、以下の点に留意しつつ、どのようにして当該文書およびデータを取得するかを検討します。

  • 文書・データのバックアップの有無
  • クラウドサービス上での取扱い
  • 親会社によるデータへのアクセスの可否(データベースやクラウド上における親会社のアクセス権の有無等)

 この際、関係しうる担当者宛てに、文書等を破棄しないよう通知することがあります。他方で、不祥事と利害関係を有している者への通知については、証拠隠滅の可能性を踏まえた対応が必要であり、場合によっては秘密裏に文書を確保することも検討に値します。

 これらは、日本における不正調査と大きく異なりません。しかし、欧州においては、GDPRを順守したうえで文書およびデータを取り扱う必要があります。GDPRによる規制の下で、従業員の個人データをどのように取り扱う必要があるかについては「欧州におけるコーポレートガバナンスと不正調査(2)- 個人データ保護編」で述べます。

調査体制

 欧州の監督機関は、不正調査の内容、および、監督機関への協力の程度といった点を執行において考慮することがあります。たとえば、GDPR83条2項(f)は、制裁金を決定するに際して “the degree of cooperation with the supervisory authority”(監督機関への協力の程度)を考慮すると明記しており、実際の執行事例においても、監督機関による調査への協力が、制裁金の減額要素として言及されることがよくあります。

 このような点からも、実効性ある調査を担保できる公正な体制を構築することは極めて重要です。利害関係のない者のみによってチームを構成することがその第一歩となりますが、さらなる公平性を担保するために、以下のような対応も検討に値します。

  • 顧問弁護士とは別の弁護士を用いる
  • 本社から調査チームを送る
  • 調査内容を記録し、調査の実効性を説明できるように準備しておく

文書レビュー

 文書レビューにおいては、膨大な資料の調査を現実的な範囲に限定すべくフォレンジックを用いることが通常ですが、ここでは、キーワードの設定が重要となります。欧州各国の言語での表現はもとより、地域によっては英語の癖や訛りがある場合もあるので、現地の従業員や弁護士とも相談しつつ、キーワードを設定する必要があります。また、各言語におけるレビュー担当者間でレビューの進捗を共有することで、漏れのないレビューを実現することが重要です。

監督機関への申告

 不祥事が発覚した場合、監督機関への申告を検討する必要があります。
 その際、法令上、どのような要求がなされているかを確認します。たとえば、個人データの侵害が発生した場合、原則として監督機関に通知しなければならず、これが不要となるのは、データ主体の権利および自由に対するリスクを発生させる恐れがない場合に限られます(GDPR33条1項)。このようなルールの有無を確認したうえで、監督機関への通知の要否を把握する必要があります。

 また、リニエンシーの申請、調査協力による執行の軽減といったメリットを享受することも検討します。たとえば、GDPRにおいては、制裁金の額を決定するに際して、事案発覚の経緯(自ら申告したのか、そうでないのか)が考慮されます(GDPR83条2項(h))。

 これらの局面においては、監督機関による調査への対応に伴うコストや、監督機関に提供した証拠が民事訴訟で利用されるリスクを考慮しつつ、監督機関への申告の是非を検討する必要があります。

さいごに

 本稿では、欧州における不正調査の相違点を通じて、不正調査の概要を検討しました。不正調査が必要となった際に適切に対応できるよう、別稿で解説するGDPR(「欧州におけるコーポレートガバナンスと不正調査(2)- 個人データ編」)やEU公益通報者保護指令(「欧州におけるコーポレートガバナンスと不正調査(3)- 公益通報者保護編」)に対する理解を含め、日頃から情報・体制をアップデートすることが重要となります。


  1. Case 155/79 AM&S Europe Limited v. Commission [1982] ECR 1575 ↩︎

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する