公益通報者保護法(平成16年法律第122号)の改正により、従業員301人以上の事業者には内部通報制度の整備が法的義務として課されています。300人以下の中小企業は「努力義務」とされていますが、2026年12月施行の改正では企業規模を問わず刑事罰が新設されるため、早期の対応が求められています。
本記事では、公益通報者保護法の概要と義務化の対象区分、2026年12月改正で中小企業に求められる対応を解説します。内部通報制度の整備を実務レベルで進めるための4ステップも具体的にご紹介します。
また、社内規程の整備や委託先のコンプライアンス管理、ISMS運用といった観点からコンプライアンス体制の構築を支援するGRCツールもあわせてご紹介します。内部通報制度への対応を含む総合的なガバナンス強化を検討している方はぜひ参考にしてください。
目次
公益通報者保護法とは?中小企業が知るべき基本概要
ここからは、公益通報者保護法の基本概要と、事業者に課される体制整備の内容を解説します。
通報者を守る仕組みと事業者への体制整備義務
公益通報者保護法は、労働者や役員が事業者内部の法令違反行為(公益通報)を通報したことを理由として、解雇・降格・減給などの不利益な取扱いを受けないよう保護することを目的とする法律です。所管は消費者庁で、不正を内部から是正する仕組みとして機能します。
保護の対象となる通報者の範囲は、正社員・パート・アルバイト・派遣社員・契約社員といった雇用形態のすべての労働者のほか、役員、退職後1年以内の元労働者が含まれます。2026年12月施行の改正では、業務委託関係にあるフリーランスも新たに保護対象に加わります。
内部通報制度の重要性を示すデータとして、消費者庁の調査では事業者が不正を発見するきっかけのうち最多が「内部通報」であり、上司による日常的なチェックや内部監査を上回る結果が示されています。不正の早期発見・抑止という点で、内部通報窓口は企業規模を問わず有効な仕組みです。
出典:
内部通報制度に必要な要素(消費者庁指針)
消費者庁が定める「公益通報者保護法に基づく指針(令和3年内閣府告示第118号)」では、事業者が講ずべき措置として以下の要素が示されています。
- 内部公益通報受付窓口の設置:電話・メール・Web等の複数手段を用意し、匿名通報にも対応する
- 組織の長からの独立性の確保:経営トップの影響を排除した調査・判断体制を整える
- 公益通報対応業務の実施:受付→調査→是正措置→通報者へのフィードバックのフローを確立する
- 利益相反の排除:通報の対象者を調査担当から外す
- 通報者の保護体制:不利益取扱いの禁止、秘密保持、通報者特定の防止
- 従事者の指定:通報受付・調査を主体的に行う担当者を書面で指定する
- 教育・周知:労働者・役員への制度の周知と研修の実施
- 記録の保管と見直し:通報事案の記録保管と運用実績の定期的な点検
これらは301人以上の事業者に課される法的義務ですが、300人以下の中小企業が取り組む際の実務ガイドラインとしても活用できます。
従業員数で変わる義務化の対象区分
公益通報者保護法は従業員数によって義務の水準が異なります。自社の規模に応じた対応方針を確認しましょう。
常時使用労働者301人以上:法的義務として課される体制整備
2022年6月1日施行の改正公益通報者保護法(第11条)では、常時使用する労働者が301人以上の事業者に対して、内部公益通報受付窓口の設置と体制整備が法的義務として課されています。また、公益通報対応業務を主体的に行う「従事者」の書面による指定も義務付けられました。
「常時使用する労働者」には、正社員に加えてパート・アルバイト・派遣社員・契約社員なども含まれます。雇用形態にかかわらず常態として使用している人数でカウントするため、表面上の従業員数が少なくても実態として301人以上になるケースには注意が必要です。
| 区分 | 常時使用労働者301人以上 | 常時使用労働者300人以下 |
|---|---|---|
| 体制整備(窓口設置等) | ◎ | 努力義務 |
| 従事者の指定 | ◎ | 努力義務 |
| 体制整備違反の行政措置 | 助言・指導・勧告・公表(2026年12月以降は命令・罰則追加) | (規定なし) |
| 通報を理由とした解雇への刑事罰 | 2026年12月改正後に新設 | 2026年12月改正後に新設(規模を問わず) |
300人以下の中小企業:努力義務でも放置できない3つの理由
300人以下の中小企業は体制整備が「努力義務」のため、違反しても直接の行政措置や罰則は発生しません。しかし、以下の3点から実質的な対応が求められています。
①守秘義務(罰則付き)は全事業者に適用される。従事者を指定した場合、その担当者には「30万円以下の罰金」が科せられる罰則付きの守秘義務が課されます。規模を問わず適用されるため、制度を整備する際には守秘義務の扱いにも留意が必要です。
②不利益取扱いの禁止は規模を問わず適用される。通報を理由とした解雇・降格・減給は事業者規模にかかわらず法的に無効です。2026年12月改正後は刑事罰(個人:6月以下の拘禁刑または30万円以下の罰金、法人:3,000万円以下の罰金)の対象にもなります。
③取引先・委託元からのコンプライアンス評価が厳しくなっている。大企業のサプライチェーン管理が強化される中、取引先として選ばれる条件に内部通報体制の有無を確認するケースが増えています。令和5年度の消費者庁実態調査では、従業員300人以下の中小事業者でも46.9%が内部通報制度を導入済みです。
出典:
2026年12月施行の改正で何が変わるか
2025年6月11日に改正公益通報者保護法が公布され、2026年12月1日に施行されます。主な改正ポイントは3点です。
解雇・懲戒への刑事罰が新設(個人・法人)
今回の改正で最も影響が大きいのが、公益通報を理由とした解雇・懲戒処分への刑事罰の新設です。現行法では、こうした不利益取扱いは民事上無効とされるだけで刑事罰はありませんでした。改正後は以下の罰則が適用されます。
- 行為者個人:6月以下の拘禁刑または30万円以下の罰金
- 法人:3,000万円以下の罰金(両罰規定)
この罰則は企業規模を問わず全事業者に適用されます。中小企業にとっても、通報を受けた後の対応を誤れば法人として3,000万円の罰金対象になりうる点に留意が必要です。また、2026年12月改正では消費者庁長官への立入検査権と、勧告に従わない場合の命令権が新設され、命令違反・検査拒否には30万円以下の罰金(両罰規定)も設けられます。
通報後の人事変動には記録整備が不可欠
改正法の審議段階では、通報後一定期間内の解雇・懲戒について事業者側に立証責任を転換する「推定規定」の導入も検討されましたが、2025年6月公布の改正法では採用されませんでした。ただし、刑事罰の新設により、通報を受けた後に人事上の変動が生じた場合に「通報と無関係だった」ことを合理的に説明できる記録を残しておくことが、実務上のリスク管理として重要です。
懲戒・異動・降格などの人事判断には、通報の有無にかかわらず、都度その理由・経緯を文書化・保管する運用を整えておくことが推奨されます。
フリーランス・業務委託先も保護対象に追加
2026年12月改正では、業務委託関係にあるフリーランス(特定受託業務従事者)も新たに保護対象として追加されます。フリーランスとの取引が多い中小企業では、内部通報窓口の案内や通報受付フローを委託先にも周知する必要が生じる場合があります。
出典:
内部通報制度を整備する4つのステップ(中小企業向け)
300人以下の中小企業が最小限のリソースで内部通報制度を整備する際の、実践的なステップを解説します。
Step 1:通報受付窓口の設置方法
窓口は「社内」「社外」「社内+社外の併用」から選択します。消費者庁指針が事実上推奨するのは社内外の併用で、通報者が選択できる複数チャネルを用意することが望まれます。
社内窓口は法務・総務・人事担当の兼任でも設置可能ですが、組織が小さいほど独立性の確保が難しくなります。外部窓口(弁護士事務所・専門事業者への委託)を活用することで、守秘義務・独立性・専門性をまとめて担保できます。月額数万円からの外部委託も可能で、複数の中小企業が費用を分担する共同窓口モデルも実務上の選択肢となっています。
Step 2:公益通報窓口規程の策定
窓口を設置しただけでは不十分です。通報受付から調査・是正・フィードバックまでのフローを社内規程として明文化する必要があります。規程に含めるべき主な項目は次のとおりです。
- 通報窓口の設置・運営方針
- 通報の受付・調査・是正措置のフロー
- 秘密保持の徹底と範囲外共有の禁止
- 通報者への不利益取扱いの禁止
- 従事者の指定と守秘義務の範囲
規程の雛形は弁護士監修のテンプレートを活用すると効率的です。規程管理ツールの中には公益通報窓口規程のテンプレートを収録しており、設問回答型で自社規模・業種に合わせてカスタマイズできるものがあります。
Step 3:従事者の指定と守秘義務の徹底
「従事者」とは、公益通報の受付・調査・是正措置を主体的に担う担当者です。書面(辞令・任命書等)で明示的に指定する必要があります。指定された従事者には罰則付きの守秘義務が課されるため、従事者本人への説明と同意確認も必須です。
中小企業では専任の従事者を置けないケースが大半です。その場合でも、法務担当・総務担当・外部弁護士など複数の担当者を従事者として指定し、利益相反が生じた際の代替体制を整えておくことが推奨されます。
Step 4:社内周知と定期的な見直し
制度を整備しても、労働者が窓口の存在や利用方法を知らなければ機能しません。入社時の研修資料、社内イントラへの掲載、定期的なリマインド通知など、複数の手段で継続的に周知する体制が必要です。
また、法改正のたびに規程の見直しが求められます。2026年12月施行の改正でフリーランス保護が追加されるように、定期的に規程の内容を最新の法令に合わせてアップデートする運用が欠かせません。年1回の定期レビューをスケジュールに組み込んでおくことを検討してください。
GRCツールで内部通報制度の整備を効率化する
内部通報制度の整備では、規程の文書化と継続的な見直しが実務上の大きな負荷となります。以下では、規程管理を中心にコンプライアンス基盤の整備を支援するGRCツール3製品を比較してご紹介します。
| サービス名 | VendorTrustLink | KiteRa Biz | SecureNavi |
|---|---|---|---|
| 主な用途 | 委託先リスク管理(TPRM) | 社内規程管理(規程DX) | ISMS/Pマーク取得・運用 |
| 内部通報規程テンプレート | × | ◎ | × |
| 社内規程版管理・AI法改正対応 | × | ◎ | × |
| 委託先コンプライアンス確認 | ◎ | × | ● |
| ISMS/Pマーク取得支援 | × | × | ◎ |
| 料金 | 要問い合わせ | フリープランあり | 要問い合わせ |
| 詳細情報 | 公式資料を見る | 公式資料を見る | 公式サイト |
※上記は一般的な機能傾向です。実際の機能搭載の有無・料金は各社情報をご確認ください。
また、以下の記事ではGRCツール全般について、選び方や主要機能を詳細に解説しています。導入を検討される方は、ぜひこちらもご覧ください。
1. VendorTrustLink(株式会社アトミテック)
株式会社アトミテックが提供する、委託先・取引先のリスク管理に特化したGRCツールです。2025年4月に正式リリースされ、ISO 31000に準拠した委託先リスク管理(TPRM)フレームワークを採用しています。
内部通報制度の文脈では、2026年12月改正でフリーランス・業務委託先が保護対象に加わることを踏まえ、委託先のコンプライアンス整備状況(内部通報制度の有無を含む)を一元的に確認する用途で活用できます。カスタマイズ可能なチェックシートを委託先に自動配信し、回答・採点・ダッシュボード表示までを自動化します。
料金はアカウント数・委託先数に応じた個別見積もり(要問い合わせ)となっています。
2. KiteRa Biz(株式会社KiteRa)
株式会社KiteRaが提供する、社内規程・労使協定書の作成・編集・管理・周知を一元化する規程管理クラウドです。弁護士・社労士監修の約200種類の規程テンプレートを備えており、内部通報制度の整備に必要な「公益通報窓口規程」「内部通報規程」のテンプレートも収録されています。
中核機能の一つがAI法改正レビューで、法改正への対応が必要な規程箇所を自動的に検出します。2026年12月施行の改正対応でも、規程の見直し箇所を把握しやすくなります。また、新旧対照表のワンクリック自動生成や全社員向け閲覧リンクの発行など、規程の改訂・周知の手間を抑えることができます。
フリープランから始められるため、中小企業でも初期コストを抑えて導入を試すことができます。有料プランは100名単位の利用ユーザー課金で、企業規模に応じた3プランが用意されています(初期費用300,000円〜、月額費用は要問い合わせ。金額は販売パートナー公開情報による参考値。最新料金は公式サイトへご確認ください)。
3. SecureNavi(SecureNavi株式会社)
SecureNavi株式会社が提供する、ISMS認証(ISO/IEC 27001)・Pマーク(JIS Q 15001)の取得・運用を一元管理するクラウドです。導入企業1,000社を突破しています(公式発表)。
内部通報制度との接点は、内部監査機能にあります。ISMSの管理策にはコンプライアンス・違反通報に関する項目が含まれており、内部通報体制の整備状況を内部監査のチェック項目として運用することが可能です。委託先管理機能ではチェックシートURLを委託先に送付して回答を自動収集できるため、VendorTrustLinkと同様の用途にも一部対応します。
ただし、公益通報者保護法対応の内部通報窓口そのものを構築する機能はなく、ISMS/コンプライアンス管理基盤の整備という位置づけでの活用が中心となります。料金は要問い合わせ(公式サイトをご確認ください)。
まとめ
公益通報者保護法の2022年改正により、301人以上の事業者には内部通報制度の整備が義務化されています。300人以下の中小企業は努力義務ですが、2026年12月施行の改正では企業規模を問わず公益通報を理由とした解雇・懲戒に刑事罰(法人3,000万円以下の罰金)が新設されます。
内部通報制度の整備は、窓口の設置・規程の策定・従事者の指定・社内周知という4ステップで進めることができます。外部委託を活用することで人員不足や独立性の課題も解決しやすくなります。また、KiteRa Bizのような規程管理ツールを使えば、公益通報窓口規程のテンプレート作成からAI法改正対応まで効率的に対応が可能です。
2026年12月の施行まで残り7か月(2026年5月時点)。改正内容を正確に把握し、早期に体制整備を進めてください。
よくある質問(FAQ)
Q. 300人以下の中小企業は内部通報制度を整備しなくてもよいですか?
A. 体制整備は努力義務ですが、通報を理由とした不利益取扱いの禁止は全事業者に適用されます。2026年12月施行の改正では、公益通報を理由とした解雇・懲戒に対して法人3,000万円以下の罰金が新設されます。「努力義務だから関係ない」という判断は通用せず、最低限の窓口設置と規程整備を進めることが推奨されます。
Q. 内部通報窓口を外部委託するメリットは何ですか?
A. 守秘義務・独立性・専門性をワンパッケージで担保できる点が最大のメリットです。弁護士事務所や専門事業者へ委託することで、経営層に近い社内窓口では確保しにくい中立性と匿名性を実現できます。組織が小さく通報者が特定されやすい中小企業ほど、外部窓口の設置効果は大きくなります。複数の中小企業が共同で外部窓口を利用する共同窓口モデルは、中小事業者向けの実務ガイドでも紹介されている運用モデルです。
Q. 2026年12月改正後に中小企業(300人以下)が最優先で対応すべきことは何ですか?
A. 公益通報を受けた後の対応手順を明文化し、担当者に周知することが最優先です。罰則の新設により、通報を受けた際に誤った対応(解雇・降格等)をするリスクが法人3,000万円の罰金に直結します。まず「通報を受けたときの対応フロー」と「不利益取扱い禁止の徹底」を規程として整備し、全管理職に周知するところから始めることを検討してください。
出典:
GRCツールの料金・機能を一括チェック
MCB FinTechカタログでは、GRCツールの最新資料を無料で一括ダウンロードできます。サービス内容・料金体系・導入事例など、比較検討に必要な情報をすばやく把握できます。
MCB FinTechカタログに掲載しませんか?
MCB FinTechカタログでは、掲載企業様を募集しています。マネックスグループの金融実務ノウハウを活かした独自の評価軸と検索設計により、導入検討者が最適なサービスを効率的に発見できる法人向け比較プラットフォームです。掲載後は管理画面から料金表や導入事例を随時更新でき、常に最新の情報を訴求可能。まずは下記フォームより、お気軽にお問い合わせください。
