Skip to content.

2026年・セキュアな内部通報システム構築ガイド

セキュアな内部通報システムとは、受付から調査、解決に至るまで、通報内容を保護するものを指します。このシステムに接続される各チャネルは、利用者に対して機密性または匿名性を確保した形で懸念事項を報告する手段を提供するとともに、組織がケース情報を適切に管理し、安全にフォローアップを行うことを可能にします。

内製で構築する場合、組織は報告および調査プロセス全体を管理し、そのセキュリティを長期的に維持するために必要な統制も自ら担うことになります。一方、信頼できる第三者プロバイダーを利用することで、セキュアな インシデントおよびケース管理のための専用デジタル内部通報システムを活用でき、そういった基盤を社内で構築・維持する必要がなくなります。

A woman in a red turtleneck uses a tablet in a modern, blue-lit office environment, with motion blur effects in the background suggesting technology and speed.

内部通報システムのセキュリティとは

内部通報システムのセキュリティとは、通報の提出からフォローアップ、調査、そしてクローズに至るまで、通報プロセスのすべての段階に組み込まれた保護を指します。 システムがセキュアであれば、通報者に対して機密性または匿名性を確保した懸念表明の手段を提供するとともに、通報データへのアクセス権限を適切に管理し、明確かつ機密性の高いケース管理プロセスの中で通報を扱うことができます。

通報は、利用者がそのチャネルを信頼して初めて意味を持ちます。システムが「誰が通報したのか分かるのではないか」「管理が甘い」「本来見るべきでない人でも簡単に閲覧できそう」と感じられる場合、人々は通報をためらい、沈黙したり、組織外に通報したり、内容を控えめに伝えたりするかもしれません。その結果、組織はリスクを十分に把握できなくなり、不正行為や安全上の問題への対応が遅れ、法的リスクが高まるおそれがあります。

さらに、セキュリティの弱さとそれに伴う影響が積み重なることで、内部通報プログラムに対する信頼が低下し、長期的にはパフォーマンスのさらなる悪化を招く可能性があります。

セキュリティが内部通報者の信頼の基盤を築く理由

内部通報には、職場の中でも他では共有されることのない、非常に機微な情報が含まれることが多いもの。そのため、システムには、こうした情報が適切に管理されていることを明確に示し、かつ実際に担保することが求められます。具体的には、メールで無秩序にやり取りされたり、個人のファイルにダウンロードされたり、案件に関与しない人物に開示されたりしないよう、統制された形で取り扱われる必要があります。

NAVEXの 2026年版 内部通報・インシデント管理ベンチマークレポート によると、2025年における匿名通報率の中央値は55%であり、特にWebによる匿名通報に限ると71%に達しています。これは、多くの通報者が通報時に匿名性を重視し、匿名を選択していることを示しています。一方で、匿名で通報したからといって、その後に通報者が完全に姿を消すわけではありません。通報内容をより深く把握するためには、匿名通報者にフォローアップの質問に回答してもらうことが重要であり、そのためには、安心して容易にシステムへ再アクセスできる仕組みが不可欠です。2025年のNAVEXデータでは、匿名通報に対するフォローアップ回答率は31%でした。この数値は近年上昇傾向にあるものの、当該指標の追跡を開始して以来、全体の3分の1を超えたことはありません。

内部通報システムに不可欠なセキュリティ機能

懸念事項を受け付けるチャネルがあっても、それが必ずしも内部通報をセキュアに管理できるよう設計されているとは限りません。以下の対策は、チームが長期的に維持すべき内部通報システムのセキュリティ基準を定義するものです。

セキュアな多要素認証

多要素認証は、すでに基本的なセキュリティ対策として導入されているべきものです。内部通報においては、セキュアなログインに加え、ケース単位のアクセス制御を組み合わせることで、ユーザーには自分に割り当てられた通報しか閲覧できないようにする必要があります。

通報がコンプライアンス、人事、法務の担当者、または外部の専門家の間で共有される場合でも、システムは、必要に応じて適切な関係者のみを追加し、閲覧範囲を制限し、ケースにおける役割が終了した時点でアクセス権を削除できるようにする必要があります。

通信中および保存時データのエンドツーエンド暗号化

暗号化とは、正しいアクセスキーがなければ読み取れない形に内部通報データを変換することを指します。通信中のデータとは、提出された報告やフォローアップメッセージなど、システム内を移動している情報です。一方、保存時データとは、添付ファイル、ケースメモ、調査記録など、システム内に保管されている情報を指します。 

内部通報システムでは、これら両方のデータを暗号化で保護する必要があります。システムは、機微な個人情報、申し立て内容、証拠を受け取るため、すべてのデータ受付プロセスに保護が求められます。

IPアドレスの匿名化とメタデータの除去

IPアドレスの匿名化は、通報に関連付けられたネットワーク情報をマスクまたは削除するものです。メタデータの除去は、ファイルのプロパティ、デバイス情報、ブラウザデータなど、ケース担当者が閲覧する前に隠れた情報を取り除きます。

匿名通報においては、これらの情報が通報者の意図以上のことを明らかにしてしまう可能性があります。セキュアな内部通報システムは、氏名欄だけでなく、特に業務用デバイスや社内ネットワークから通報が行われた場合に、提出に伴う技術的な痕跡についても保護する必要があります。

セキュアな双方向の匿名コミュニケーション

セキュアな双方向の匿名コミュニケーションで、通報者がケースに安全に戻るための自分だけの経路を提供しましょう。通報者は、氏名を明かしたり、メールに移動してやり取りしたりすることなく、フォローアップの質問を閲覧・回答することができます。

ケース担当チームにとっては、内容の確認が必要な場合でも調査を円滑に進めることができ、通報者にとっては、質問に答えたり追加情報を提供したりするために身元を明かす必要がなくなります。

アクティビティログと監査証跡

アクティビティログは、ケース内で何が行われたかを記録します。誰が通報をオープンしたのか、誰がケース情報を変更したのか、誰がメモを追加したのか、そして重要なアクションがいつ行われたのかを可視化します。アクティビティログは、ケース内で何が行われたかを記録します。

監査証跡は、チームが、受信トレイやダウンロードされたファイルを一つひとつ確認することなく、後からケースの履歴を確認できるようにします。また、機微な通報が、プロセスの適切な段階で、適切な担当者によって取り扱われていたことを示す裏付けにもなります。 

冗長化とデータバックアップ

冗長化は、サービスの一部に障害が発生した場合でも、システムの可用性を維持するための仕組みです。バックアップは、通報内容、メッセージ、ケース記録の復元可能なコピーを作成します。

内部通報においては、ケース記録が常に利用可能で、かつ復元可能であることが重要であり、チームがローカルファイルや紙のメモ、メールといった代替手段に頼らざるを得ない状況は避けるべきです。システムがオフラインの間に通報が受理された場合でも、アクセスが復旧次第、速やかに内部通報システムへ取り込まれるプロセスが求められます。

役割ベースのアクセス制御

役割ベースのアクセス制御は、ケースにおける責任範囲に応じて、閲覧できる情報を制限する仕組みです。人事、法務、コンプライアンス、または管理職に属していたとしても、閲覧する必要のない特定の通報がある場合もあります。

内部通報においては、調査の進行を妨げない範囲で、アクセス権限を可能な限り限定することが重要です。担当者は割り当てられたケースのみを閲覧できるようにし、その役割が終了した時点でアクセス権は削除されるべきです。

技術的に内部通報者の匿名性を保護する方法

NAVEXの 2026年リスクおよびコンプライアンスの現状 調査データによると、2025年時点で匿名通報チャネルを提供していた企業は53%にとどまっていましたが、実際に受理された通報全体の55%は匿名通報でした。匿名チャネルを提供することで、より多くの通報を受け付けられる可能性が高まり、その結果、事業を守るために活用できるリスクシグナルも増えると考えられます。

匿名での通報ができる セキュアな内部通報システムには、以下の点が求められます。

  • IPアドレス、デバイス情報、ブラウザデータ、ファイルのメタデータなど、匿名提出に紐づく識別情報を記録・保存・表示しないこと  
  • アップロードされた証拠資料がケース担当者に表示される前に、作成者名などの隠れたファイルプロパティを削除すること  
  • 匿名でのフォローアップを報告プラットフォーム内で完結させ、通報者がメールに切り替えたり、特定の担当者に連絡したりすることなく、質問の確認、回答、追加情報の提出ができること 
  • 提出およびフォローアップのやり取り(翻訳を含む)において、セキュアで暗号化された通報チャネルを使用すること 
  • 特に少人数のチーム、特定のシフト、または限定された拠点に関する通報の場合、ケースの閲覧権限を担当者のみに限定すること  
  • ケースを閲覧・変更した人物を記録し、調査プロセス全体を通じて匿名性のコントロールが維持されるようにすること

GDPR、EU指令、データ・レジデンシー要件

多くの法域において、内部通報システムのセキュリティには法的義務が伴います。これらの義務は、以下のような具体的なシステム統制に影響を与えます。

  • 機密性の高い通報チャネル — EU指令で義務付けられており、通報者および通報内で言及された人物の身元を保護することが求められています。
  • アクセス制限 — GDPRのデータ最小化原則に基づき、ケースを実際に取り扱う担当者のみが通報内容を閲覧できるようにする必要があります。
  • セキュアなフォローアップ — EU指令で定められた「7日以内の受領通知」「3か月以内のフィードバック」というプロセスを、保護された通報チャネル内で完結させることが求められます。 
  • 保存期間のルール — GDPRの保管期間制限原則に従い、ケースデータをどの程度の期間保持するのかを明確に定義する必要があります。 
  • 暗号化 — GDPR第32条では、個人データを保護するための安全措置の一つとして暗号化が明示されています。 
  • 国境を越えたデータに対する復旧および保護措置 — インシデント発生後にデータを復元するというGDPRの要件に加え、法域をまたいでデータを移転する場合には、承認された移転メカニズムを用いる必要があります。

EU内部通報者保護指令の要件

欧州連合( EU)の内部通報者保護指令  の内部通報者保護指令は、通報者および通報内で言及された人物の機密性を保護するため、セキュアな通報チャネルの整備を求めています。 セキュアな内部通報システムにおいては、 機密性の高い受付、ケースへのアクセス管理 、そして安全なフォローアップ管理がこれに該当します。   

EU域内の複数の国・地域で事業を展開する組織は、国ごとに異なる 内部通報関連の法律・規制への対応を検討する必要があります。本指令はすべての加盟国で国内法化されていますが、その適用方法には差異があります。また、 欧州委員会の2024年報告書では、一部の国の国内法が指令の要件を十分に満たしていない点も指摘されています。

GDPRおよびデータ・プライバシー義務

GDPRが適用される組織においては、個人データを含むすべての内部通報がGDPRの規制対象となります。実際には、個人データが含まれないことはほとんどありません。通報には、通報者、証人、被申立人に関する詳細な情報が含まれることが多いため、プライバシー管理は、最初に提出された情報だけでなく、ケース記録全体に適用される必要があります。

GDPRコンプライアンス 要件を満たすためには、セキュアなシステムにおいて、個人データへのアクセス権限を制限し、保存期間を明確に定義し、暗号化、復旧対策、定期的なテストなどの措置によってデータを保護することが必要です。  

データ・レジデンシーおよび国境を越えたデータ移転の要件

データ・レジデンシーとは、内部通報データを「どの国・地域のサーバーに保存するのか」「どこから誰がアクセスできるのか」「どの拠点や担当者がシステムを運用・サポートするのか」といった点に関する要件を指します。多国籍組織においては、データのホスティング場所、サポート担当者の所在、下請事業者の関与などによって、通報データが所定の法域内に留まるか、あるいは承認された移転メカニズムの下で他国へ移転されるかが左右されます。 

これは、1つの内部通報プラットフォームで複数国のチームを支援している場合に特に重要です。法務、コンプライアンス、ITの各チームは、機微な通報がシステムに入力される前に、通報データがどこへ移転可能かを理解しておく必要があります。そうでない場合、様々なデータ保護法令への不遵守リスクが高まります。

2026年時点における国別の内部通報規則の違い

2026年現在、下記に述べるような主要な市場では、内部通報に関する規則が引き続き改正・見直しの途上にあります。これらの地域で事業を展開する多国籍組織には、制度改正に対応できる、通報、アクセス、フォローアップ、保存に関する統制が求められます。

オーストラリアでは、2026年6月にも内部通報制度の更新が行われました。これは、税務および企業分野における内部通報者保護法制について、現行の保護措置が有効に機能しているかを評価するための法律に基づく見直しを含むものです。 

カナダでは、2026年に「公務員情報開示保護法(Public Servants Disclosure Protection Act)」の見直しが行われ、軍関係者や主要な情報機関の職員にも制度を拡大することを含む、連邦レベルでの内部通報者保護の強化が勧告されました。 
 
英国では、ガレス・スネル議員(Gareth Snell MP)が2024年12月に提出した 内部通報者庁(Office of the Whistleblower)法案が、2026年現在も議会で審議中です。本法案は議員立法であるため、審議時間は保証されておらず、成立には政府の支持が必要となります。仮に可決された場合、内部通報案件の取扱いに関する基準を定め、これを執行する権限を持つ独立機関として「内部通報者庁」が設立されることになります。
 
この法案は未成立ですが、すでに施行されている法改正もあります。2026年4月6日から施行された2025年雇用権利法(Employment Rights Act 2025)により、セクシュアルハラスメントに関する開示は、英国の内部通報法制における「保護される通報」に該当することとなり、これを報告した労働者は、不利益取扱いや解雇から保護されます。

米国では、SEC内部通報者改革法案(SEC Whistleblower Reform Act of 2025、S.1149)」により、社内通報を行った内部通報者を含む、報復防止保護の強化が提案されましたが、同法案は成立には至らず、現在も議会で審議中です。一方、過去1年間は報奨金の支給件数が減少傾向にあったものの、制度自体は継続しており、2026年4月には、ドッド=フランク法に基づくSEC内部通報者プログラムの下で、5,000万ドルを超える報奨金が支給されています。ここでいう報奨金とは、証券取引法違反などに関する重要な情報を提供し、当局による制裁金の回収につながった内部通報者に対して、一定割合を金銭で支給する制度を指します。 

複数の国・地域で事業を展開する組織にとって、内部通報システムのセキュリティを、一度整えれば終わりの要件として捉えることはできません。各国の法令や規制は継続的に見直されており、それに伴い、通報の受付方法、アクセス管理、フォローアップ、データの保存方法に求められる要件も変化します。こうした変化に対応できない場合、不遵守による制裁や法的リスクが高まるおそれがあります。そのため、組織の各部門には、制度改正に応じて柔軟に見直し・調整できるセキュリティ統制が求められます。

内部通報プログラムについて周知する方法

通報ルートを明確にし、誰が利用できるかを説明し、懸念事項が報告された後の対応について明確な指針を示すことで、内部通報プログラムについて周知徹底する必要があります。当社の「 NAVEX 2026 リスク・コンプライアンス実態調査レポート」の回答者の21%が、職場における通報チャネルが「不明確である」、あるいは「信頼できない」と指摘しており、企業の規模や組織構造を問わず、改善の必要性が明らかになっています。

現在の内部通報に関する法律では、従業員への周知にとどまらず、より広範な周知が求められています。欧州連合(EU)加盟国で事業を展開している場合、EUの「内部通報者保護指令」により、労働者、株主、ボランティア、研修生、および請負業者、下請け業者、サプライヤーの下で働く人々を含め、業務に関連して得た情報を報告する人が保護されます。

内部通報に関する明確な情報を、従業員がすでに指針を求めている場所に組み込。具体的には以下のものが挙げられます。

  • 行動規範
  • 内部通報ポリシー
  • 研修および入社時オリエンテーション
  • 内部通報に関する管理職向け研修
  • 「声を上げる」キャンペーンの啓発資料やポスター
  • 第三者およびサプライヤー向け資料

信頼を最優先し、人々が安心して通報できる環境を整える

通報を責任ある行動として位置づけ、それに関連する保護措置について説明してください。 報復防止の文化を築くことは、善意に基づく通報が重視され、保護されていることを繰り返し保証することから始まります。

以下の点に留意したガイダンスを通じて、率直な意見表明を促進してください:

  • 善意に基づく通報を、懸念を早期に提起するための価値ある責任ある手段として位置づける
  • 利用可能な場合は、匿名通報チャネルの存在を明示する
  • 内部通報者への保護措置を強調する
  • 通報を「組織に忠実でないことである」「組織の混乱を招く」「極端なケースに限ってのみ使える」と受け取られかねない表現を避ける
  • 通報内容は安全かつ機密保持の下で取り扱われることを通報者に安心させる
  • リーダーや管理職は、難解な言葉遣いを避けてメッセージを繰り返す
  • 特に、 ハラスメント、差別、報復に関する懸念を提起するよう、従業員を積極的に促すことに注力する
  • 行動規範、研修、および方針において、内部通報者の保護措置を一貫して周知する

通報の種類とルートについて教育を行う

内部通報チャネルと他のプロセスのどちらを利用すべきかについて、明確な基準を従業員に示しましょう。当社の 最近のリスクおよびコンプライアンスに関する調査のデータによると、コンプライアンス担当者の53%が研修や啓発への投資増加を見込んでいる一方で、51%が従業員は依然として声を上げることを恐れていると回答しています。

単に通報チャネルの場所を伝えるだけでは、研修費の投入は本末転倒となります。効果的なガイダンスは、報告すべき不正行為を認識させ、どの通報ルートを利用すべきかを理解させることで、本来防げるはずの躊躇を軽減します。

ガイダンスでは以下の点に留意することが重要です。

  • どのような行動や兆候を報告すべきものとして認識すべきかを、従業員が理解できるよう支援する
  • 詐欺、報復、安全上の懸念、重大なポリシー違反など、内部通報の対象となり得る具体的な事例を用いる
  • ウェブ、電話、モバイル、オフラインの各報告手段について、その選択肢を明示する
  • 報告フォームに何を記入すべきか、またどのような詳細情報が調査チームによる懸念事項の評価に役立つかを説明する
  • 懸念を報告する際、不正行為を事前に立証する必要はないことを明確にする
  • どの問題を給与担当、ITサポート、人事、あるいはその他の社内ルートに報告すべきかを明確にする

報告がどのように安全に処理されるかを説明する

報告提出後の処理プロセスについて期待値を明確にし、報告者が報告が管理されたルートを通じて処理されていることを理解できるようにすることは重要です。

EU加盟国で事業を展開している場合、ガイダンスにはEUの内部通報者保護指令を反映させる必要があります。対象となる通報については、7日以内に受領確認を行い、3ヶ月を超えない合理的な期間内にフィードバックを提供する必要があります。

内部通報プロセスおよび、通報者が通報を提出した後に知っておくべきシステムのセキュリティ上のポイントについて説明するのも重要です。

  • 通報が内部通報システムにどのように安全に送信されるか
  • 通報者が受領確認やフィードバックをいつ受け取れるか
  • 匿名で通報した通報者が、質問や最新情報のために同じ案件に戻る方法は何か
  • コンプライアンス、人事、法務、または任命された調査担当者など、通報を処理する可能性のある役割
  • 通報が機微な人物や申し立てに関わる場合、アクセスがどのように制限されるか
  • 守秘義務、プライバシー、または法的特権によって共有できる情報が制限される場合、調査の詳細や最新情報のすべてを伝えると約束することは避ける

内部通報セキュリティ強化のためのデジタル化推進

デジタル内部通報システムは、機密性の高い通報を、脆弱でアナログなプロセスから、管理された環境へと移行させるのに役立ちます。受信トレイやローカルファイル、非公式な引き継ぎに頼る代わりに、チームは、機密保持のために設計された一元的なプラットフォーム上で、通報内容、証拠、通報者との対話、担当割り当て、および案件履歴を一元的に管理することができます。

このデジタル構造により、内部通報プロセスの完全性が保護され、事案のライフサイクル全体にわたって内部通報システムのセキュリティが強化されます。チームは、通報の受付、転送、調査、および解決を一貫した方法で実施できると同時に、日常業務の習慣によって機密情報が漏洩するリスクを低減できます。通報者にとっても、懸念事項が不適切に扱われたり見過ごされたりする可能性のある他の社内プロセスとは異なり、慎重に設計され、保護された通報チャネルを利用できることになります。

「自社開発か外部委託か」という判断は、安全な内部通報プログラムを導入する上で、最も重要な選択の一つです。多くの組織は、真に安全なシステムを社内で構築することに伴う技術的、法的、運用上の複雑さを過小評価しており、2026年のNAVEX調査の回答者のうち、自社が専門的なホットラインおよびインシデント管理技術を購入したと回答したのはわずか50%にとどまりました。

自社開発:メリットとデメリット

潜在的な利点セキュリティと運用上のトレードオフ
組織の構造に合わせて設計された、完全にカスタマイズされたシステム匿名性の確保、アクセス制御、安全なフォローアップの仕組みを各チームが構築し、その後も継続的に維持・更新していく必要あり
社内の報告プロセスに対する完全なオーナーシップ内部での管理体制は、報告が独立しているか、あるいは保護されているかについて疑念が生じた場合、機密性の問題を引き起こす可能性あり
接続したい社内技術やシステムを選択可能レポートデータが日常的に使用されるツールに連携される場合、統合によってセキュリティ、プライバシー、アクセスに関するリスクが生じる可能性あり
第三者やベンダーの関与を避けられる可能性保守、法務審査、ユーザーサポート、研修、要件の変化に応じた更新などに、にスタッフの高い専門知識が求められる

内部通報システム アウトソーシングのメリット

アウトソーシングを活用することで、組織は内部通報システムのセキュリティを強化し、独立性を高め、実績のある通報プロセスを導入することができます。これにより、システムのあらゆる部分を社内で構築する必要がなくなります。

  • より独立した通報体制 – 通報者に対し、社内限定のチャネル以外の通報手段を提供します。これは、上級幹部、小規模なチーム、または利益相反が関わる懸念事項がある場合に役立ちます。
  • 専門的な対応経験 – 問題の種類、業界、管轄区域を問わず、機密性の高い通報の受付、分類、および対応に関する経験を活用できます。
  • 安全な外部関与 – 法務、監査、人事、調査の専門家が、詳細を非公式なルートに移すことなく、案件を支援できるようになります。
  • 社内リソースへの負担軽減 – チームが報告および案件管理のインフラ全体を単独で構築、維持、更新する必要性を軽減するだけでなく、社内の専門家が退職した場合のリスク急増も抑えます。
  • 導入当初からの確立されたプロセス – 組織が、受付、ルーティング、フォローアップ、文書化のプロセスをゼロから設計する手間を省くことができます。

サードパーティプロバイダーの評価方法

サードパーティプロバイダーを選定するということは、組織の最も機密性の高い情報の一部を誰に委ねるかを決定することを意味します。適切なプロバイダーは、内部通報システムの利用に対する人々の信頼を高め、報告内容に基づいて対応するための安全で信頼性の高い手段をチームに提供すべきです。

以下の機能をサポートできるベンダーを選ぶことが推奨されます。

  • セキュアな受付 – 通報は、保護されたWeb、電話、モバイル、その他の通報経路を通じてシステムに入力される必要があります。
  • 匿名での双方向コミュニケーション – 通報者は、身元を明かすことなく、フォローアップの質問に回答できる必要があります。
  • ケースへのアクセス制御 – チームは、各通報の閲覧、更新、割り当てができるユーザーを制限できる必要があります。
  • 明確な監査証跡 – システムは、誰がいつケース情報にアクセスしたり変更したりしたかを表示する必要があります。
  • 設定可能なワークフロー – チームは、問題の種類、場所、深刻度、エスカレーションルールに基づいて案件を振り分けることができ、さまざまなリスク領域を明確に把握できるようにする必要があります。
  • グローバルなプログラム対応 – プロバイダーは、必要に応じて複数の言語、法域、および報告要件に対応できる必要があります。
  • 拡張性のある内部通報システムのセキュリティ – プログラムの拡大、規制の変更、報告内容の複雑化に伴い、セキュリティを容易に維持できる必要があります。