消費者庁「公益通報者保護制度の実効性の確保に関する検討会」最終報告書(2025年12月公表)によると、内部通報制度を導入済みの企業のうち、デジタルシステムによる運用を行っているのは約35%にとどまる。残りの65%は電話・メール・書面など、通報者の匿名性確保や証跡管理に課題がある方法で運用している。
2022年6月施行の改正公益通報者保護法では、従業員300人超の企業に内部通報体制の整備が義務化された。300人以下の企業も努力義務が課され、取引先や上場企業のサプライチェーンに属する中小企業にとっては実質的な必須要件になりつつある。
本記事では、内部通報システムの開発費用をSaaS導入とカスタム開発に分けて整理し、匿名通報・調査管理・レポートなどの主要機能の実装ポイントを解説する。「自社に必要なシステムの規模感」と「いくらかかるのか」を判断する材料にしていただきたい。
目次
- 内部通報システムに必要な機能一覧
- 費用相場 -- SaaS導入とカスタム開発の比較
- 公益通報者保護法2022年改正 -- システムに求められる要件
- 匿名通報の実装 -- 技術要件と設計上の注意点
- 調査管理・レポート機能の設計
- 開発会社の選び方
- まとめ
- FAQ
- 参考資料
- 付録
1. 内部通報システムに必要な機能一覧
内部通報システムは「通報を受け付けて終わり」ではない。通報の受付から調査、是正措置、結果の通知までの一連のプロセスを管理する仕組みが求められる。
コア機能
| 機能 | 概要 | 法的根拠・必要性 |
|---|---|---|
| 匿名通報受付 | 通報者が身元を明かさずに通報できるフォーム。多言語対応が望ましい | 改正法の趣旨(通報者保護の実効性確保) |
| 通報チャネル管理 | Web・電話・書面など複数チャネルからの通報を一元管理 | 指針第3-1(通報窓口の整備) |
| 調査管理 | 通報内容の受理判定、調査担当者のアサイン、調査進捗の記録 | 指針第3-2(調査の実施) |
| 是正措置管理 | 調査結果に基づく改善措置の計画・実行・完了確認 | 指針第3-3(是正措置) |
| 通報者へのフィードバック | 調査状況・結果を匿名のまま通報者に通知 | 指針第3-4(通報者への通知) |
| レポート・統計 | 通報件数、類型別分析、対応日数、是正状況のダッシュボード | 指針第4(運用状況の開示) |
拡張機能
- 利益相反チェック:調査担当者が通報対象者と利害関係にないかを自動で検出
- エスカレーション:一定期間対応がない案件を自動で上位者に通知
- 外部弁護士連携:社外窓口との情報共有(アクセス制限付き)
- 監査ログ:全操作のタイムスタンプ付き記録(改ざん防止)
- 多言語対応:グローバル拠点を持つ企業向け(英語・中国語など)
- アンケート機能:通報者の満足度や制度の認知度を定期的に調査
セクションまとめ:内部通報システムのコア機能は「匿名通報受付」「調査管理」「是正措置管理」「フィードバック」「レポート」の5つ。法的要件を満たすだけでなく、通報者が安心して使える仕組みにすることが制度の実効性を左右する。
2. 費用相場 -- SaaS導入とカスタム開発の比較
内部通報システムの導入方法は、大きくSaaS(クラウドサービス)の利用とカスタム開発の2つに分かれる。それぞれの費用相場を整理した。
SaaS導入の費用
| プラン | 月額費用 | 初期費用 | 主な対象 | 含まれる機能 |
|---|---|---|---|---|
| エントリー | 3〜5万円 | 0〜10万円 | 従業員300人以下 | 通報受付、匿名対応、基本レポート |
| スタンダード | 5〜10万円 | 10〜30万円 | 従業員300〜1,000人 | 上記+調査管理、エスカレーション、外部窓口連携 |
| エンタープライズ | 10〜15万円 | 30〜50万円 | 従業員1,000人超 | 上記+多言語、API連携、SSO、カスタムレポート |
SaaSの年間コスト目安(スタンダードプランの場合):
- 初年度:月額7万円 x 12ヶ月 + 初期費用20万円 = 約104万円
- 2年目以降:月額7万円 x 12ヶ月 = 約84万円
カスタム開発の費用
| 開発規模 | 費用相場 | 開発期間 | 主な対象 |
|---|---|---|---|
| 小規模(基本機能のみ) | 200〜400万円 | 2〜4ヶ月 | 通報受付+基本的な案件管理。既存の業務システムに通報機能を追加するケース |
| 中規模(標準構成) | 400〜600万円 | 4〜6ヶ月 | コア機能一式+外部窓口連携、レポート機能、監査ログ |
| 大規模(フル構成) | 600〜800万円 | 6〜10ヶ月 | 上記+多言語対応、グループ会社間連携、AI分類、既存人事システムとのAPI連携 |
SaaS vs カスタム -- どちらを選ぶか
判断の基準は「自社固有の要件があるかどうか」に尽きる。
| 判断軸 | SaaS向き | カスタム向き |
|---|---|---|
| 通報件数 | 年間50件以下 | 年間50件超、またはグループ全体で運用 |
| 既存システム連携 | 不要、またはCSVエクスポートで十分 | 人事システム、グループウェアとのリアルタイム連携が必要 |
| 調査フロー | 標準的なフローで運用可能 | 自社独自の承認フロー、分岐条件がある |
| セキュリティ要件 | ベンダーのセキュリティ基準で十分 | オンプレミス要件、特定のデータセンター指定がある |
| 予算 | 年間100万円以内に収めたい | 初期投資をかけてでも自社に最適化したい |
- SaaS(スタンダード):104万 + 84万 + 84万 = 約272万円
- カスタム(中規模):500万 + 保守75万 + 保守75万 = 約650万円
SaaSのほうが3年間では安いが、5年以上の運用でカスタマイズが積み重なると逆転するケースもある。まずはSaaSで運用を始め、要件が明確になった段階でカスタム開発に切り替える「段階的アプローチ」も有効だ。
セクションまとめ:SaaS導入は月額3〜15万円、カスタム開発は200〜800万円が相場。まずは自社の通報件数、既存システム連携、セキュリティ要件を整理して、SaaSで十分かカスタムが必要かを判断する。
3. 公益通報者保護法2022年改正 -- システムに求められる要件
2022年6月施行の改正公益通報者保護法と「公益通報者保護法に基づく指針」(以下「指針」)は、内部通報システムに具体的な要件を課している。ここでは、システム設計に直接影響する要件を整理する。
法的要件とシステム要件の対応表
| 法的要件(指針の条項) | システムに求められる対応 | 実装の優先度 |
|---|---|---|
| 従事者の守秘義務(法12条、指針第3-5) | 通報者情報へのアクセス権限を「従事者」に限定。操作ログの記録 | 必須 |
| 通報者への不利益取扱いの禁止(法5条) | 通報者の匿名性を技術的に担保する仕組み | 必須 |
| 通報窓口の整備(指針第3-1) | 24時間受付可能なWebフォーム、複数チャネルの用意 | 必須 |
| 調査の実施(指針第3-2) | 案件管理、調査担当者のアサイン、進捗トラッキング | 必須 |
| 是正措置と再発防止(指針第3-3) | 是正計画の記録、完了確認、再発防止策の管理 | 必須 |
| 通報者への通知(指針第3-4) | 匿名通報者への安全な結果通知(トークン方式等) | 必須 |
| 運用状況の公表(指針第4) | 通報件数・対応状況のレポート出力機能 | 推奨 |
| 範囲外共有の禁止(指針第3-5) | 通報内容の閲覧範囲制御、共有範囲の監査ログ | 必須 |
「従事者」制度への対応
改正法で新設された「従事者」制度は、システム設計に大きく影響する。従事者とは、内部通報の受付・調査に携わる者として企業が指定した個人であり、通報者の特定につながる情報を漏らすと刑事罰(30万円以下の罰金)の対象になる。
システムには以下の実装が必要になる。
- 従事者の管理機能:従事者の指定・解除を記録し、現在の従事者一覧を管理する
- アクセス制御:通報者情報(氏名、所属、連絡先)は従事者のみ閲覧可能にする
- 操作ログ:誰が・いつ・どの通報情報にアクセスしたかを改ざん不能な形で記録する
- 退任時の権限剥奪:従事者の異動・退職時に速やかにアクセス権限を無効化する
指針に沿った運用フロー
内部通報システムは以下のフローを管理できる設計が必要だ。
受付 → 受理判定(通報内容が対象範囲内か確認)→ 調査計画策定 → 調査実施 → 事実認定 → 是正措置 → 通報者へのフィードバック → 再発防止策 → 案件クローズ
各ステップでステータスが変わり、対応期限のアラートが自動で飛ぶ仕組みが望ましい。消費者庁の指針では「遅滞なく」調査を開始することが求められているが、具体的な日数の定めはない。実務上は「受理から5営業日以内に調査開始、受理から90日以内に結果通知」を目安にしている企業が多い。
セクションまとめ:改正法への対応で最も重要なのは「従事者制度に基づくアクセス制御」と「通報者の匿名性担保」。この2つがシステム要件の核となる。
内部通報システムの導入を検討している方へ
自社の規模・業種に合ったシステム構成と概算費用を無料でお調べします。「SaaSで十分か、カスタム開発が必要か」の判断材料としてご活用ください。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK
4. 匿名通報の実装 -- 技術要件と設計上の注意点
匿名通報は内部通報システムの最も重要な機能だ。通報者が「身元がバレるのではないか」と不安を感じるシステムでは、通報そのものが行われない。消費者庁の調査でも、内部通報制度を利用しない理由の第1位は「不利益を受けるおそれ」(54.3%)となっている。
匿名性を担保する3つの技術アプローチ
アプローチ1:トークンベースの双方向匿名通信
通報時にランダムなトークン(一意の識別子)を発行し、通報者はこのトークンを使って調査担当者とやり取りする。通報者の氏名やメールアドレスを一切取得しない。
- 実装ポイント:トークンは十分な長さ(128ビット以上)でランダム生成する。短いトークンは総当たりで突破されるリスクがある
- 費用目安:カスタム開発の場合、50〜80万円程度の追加工数
アプローチ2:暗号化エンベロープ方式
通報者が身元情報を任意で入力できるが、その情報は別の暗号鍵で暗号化され、「開封権限」を持つ者(従事者のうち指定された者)のみが復号できる。調査担当者でも、権限がなければ通報者の身元を知ることができない。
- 実装ポイント:鍵管理が重要。開封の操作も監査ログに記録する
- 費用目安:カスタム開発の場合、80〜120万円程度の追加工数
アプローチ3:外部中継方式
通報を社外の第三者(弁護士事務所やSaaSベンダー)が受け付け、身元情報を除去した上で企業に伝達する。企業側のシステムには匿名化後の通報内容のみが登録される。
- 実装ポイント:外部窓口とのAPI連携、または手動での案件登録フローの設計が必要
- 費用目安:外部窓口の月額費用(3〜8万円)+ システム連携開発(30〜50万円)
IPアドレス・メタデータの取り扱い
匿名通報において見落とされがちなのが、通報時のIPアドレスやブラウザ情報などのメタデータだ。これらを記録していると、社内ネットワークのログと突合することで通報者を特定できてしまう可能性がある。
推奨する対応:
- 通報フォームのアクセスログにIPアドレスを記録しない設計にする
- HTTPヘッダーのUser-Agent等を通報データに紐づけない
- 社内VPNからのアクセスでも通報者が特定されないようにする(Tor対応は必須ではないが、社外からのアクセスを許可するだけでも匿名性は向上する)
通報チャネル別の匿名性比較
| チャネル | 匿名性 | 証跡管理 | コスト | 備考 |
|---|---|---|---|---|
| Web フォーム(トークン方式) | 高 | 自動記録 | 低 | 推奨。24時間受付可能 |
| 専用電話(録音あり) | 中 | 録音保存 | 中 | 声で身元が推測されるリスク |
| メール | 低 | メール保存 | 低 | 送信元アドレスで身元が特定されうる |
| 書面(封書) | 中 | 原本保管 | 低 | 筆跡で身元が推測されるリスク |
| 対面 | 低 | 議事録 | 低 | 匿名性はないが、詳細な聞き取りが可能 |
5. 調査管理・レポート機能の設計
通報を受け付けた後の「調査管理」と「経営層への報告」こそ、内部通報システムの真価が問われる部分だ。
調査管理機能の設計ポイント
案件ステータス管理。 通報案件は以下のステータスで管理する。
| ステータス | 説明 | 対応期限の目安 |
|---|---|---|
| 新規受付 | 通報を受理し、内容を確認中 | 受付から3営業日以内 |
| 受理/不受理判定 | 通報内容が調査対象か判断 | 受付から5営業日以内 |
| 調査中 | 関係者ヒアリング、証拠収集を実施中 | 受理から60営業日以内 |
| 事実認定 | 調査結果に基づき事実関係を認定 | 調査開始から30営業日以内 |
| 是正措置実施中 | 改善措置を実行中 | 認定から30営業日以内 |
| 通報者通知済 | 通報者に結果を通知 | 是正措置完了から5営業日以内 |
| クローズ | 案件完了 | -- |
証拠管理。 調査で収集した書類、メール、写真などのファイルを案件に紐づけて保管する。アクセス権限は調査担当の従事者に限定し、ダウンロード操作もログに記録する。
レポート機能の設計
経営層・取締役会への報告に必要なレポートは以下のとおりだ。
定期レポート(四半期・年次):
- 通報件数の推移(月別・四半期別)
- 通報の類型別内訳(ハラスメント、不正会計、法令違反、情報漏洩など)
- 平均対応日数(受付→クローズまで)
- 是正措置の完了率
- 通報チャネル別の利用割合
個別案件レポート:
- 案件サマリー(通報内容の概要、調査経過、認定結果、是正措置)
- タイムライン(いつ・誰が・何をしたかの時系列記録)
レポートのエクスポート形式はPDF(取締役会報告用)とCSV(データ分析用)の両対応が実務上求められる。
ダッシュボード画面の構成例
経営層が一目で通報制度の運用状況を把握できるダッシュボードは、以下の要素で構成する。
- KPIカード:今月の通報件数、未対応件数、平均対応日数
- 通報件数の推移グラフ:過去12ヶ月の月別推移
- 類型別円グラフ:通報内容の分類割合
- 対応状況の一覧表:進行中の案件リスト(ステータス、担当者、経過日数)
- アラート表示:対応期限を超過している案件
セクションまとめ:調査管理はステータス管理と利益相反チェックが要。レポート機能は取締役会報告を前提に設計し、PDF/CSVの両形式でエクスポートできるようにする。
6. 開発会社の選び方
内部通報システムは「通報者の個人情報」と「不正に関する機微情報」を扱うため、開発会社の選定は通常のシステム開発以上に慎重さが求められる。
確認すべき3つのポイント
ポイント1:コンプライアンス領域の開発実績があるか
公益通報者保護法の要件を理解していない開発会社に発注すると、「法的に必要な機能が漏れている」事態が起きる。特に従事者制度に基づくアクセス制御と監査ログの設計は、法律の理解なしに正しく実装できない。
確認方法:「改正公益通報者保護法の指針に基づいて、どのような機能が必要か」を質問し、具体的な回答が返ってくるかを見る。
ポイント2:セキュリティ設計の実績があるか
内部通報システムは通常の業務システムよりも高いセキュリティ水準が求められる。情報漏洩が発生した場合、通報者の身元が露呈し、制度そのものの信頼が失われる。
確認事項:
- 暗号化の方針(保存時暗号化、通信時暗号化、鍵管理方式)
- アクセス制御の設計(ロールベース、属性ベース)
- ペネトレーションテストの実施可否
- ISMSやプライバシーマークの取得状況
ポイント3:運用後のサポート体制
内部通報システムは、法改正や組織変更に伴って継続的な改修が必要になる。「作って終わり」ではなく、長期的な保守・改修に対応できる体制があるかを確認しておきたい。
GXO株式会社の会社概要では、コンプライアンス領域を含むシステム開発の体制を紹介している。開発事例では業務システムの構築実績を掲載している。
セクションまとめ:開発会社選びでは「法律の理解」「セキュリティ設計力」「運用後のサポート」の3点を確認する。内部通報は機微情報を扱うため、セキュリティと法的要件に強い開発パートナーを選ぶことが成功の鍵になる。
まとめ
内部通報システムの費用は、SaaS導入で月額3〜15万円(年間40〜180万円)、カスタム開発で200〜800万円が相場だ。
公益通報者保護法2022年改正への対応は、300人超の企業では義務、300人以下でも努力義務として取引先からの要請が強まっている。システムに求められる核心は「従事者制度に基づくアクセス制御」と「通報者の匿名性担保」の2つだ。
まずやるべきことは3つだ。
- 自社の要件を整理する:通報件数、既存システム連携、セキュリティ要件を洗い出す
- SaaSかカスタムかを判断する:3年間の総コスト比較で検討する
- 法的要件のチェックリストを作成する:本記事の付録を活用して漏れをなくす
内部通報システムの導入・開発を検討している方へ
「自社にはSaaSとカスタムどちらが合うか」「法改正対応で何が不足しているか」をまとめて確認できます。費用の概算と要件チェックを無料で実施します。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK
よくあるご質問(FAQ)
Q1. 従業員300人以下の中小企業でも内部通報システムは必要ですか?
A1. 法律上は努力義務ですが、実務上は必要性が高まっています。取引先の大企業からサプライチェーン全体のコンプライアンス体制を求められるケース、上場準備の過程で整備を求められるケースが増えています。SaaSであれば月額3〜5万円で導入でき、中小企業でも現実的な投資額です。コンプライアンス管理の全体像はコンプライアンス管理ガイドでも解説しています。
Q2. 既存のグループウェアやメールで通報を受けていますが、専用システムに切り替えるべきですか?
A2. メールやグループウェアでの運用は「匿名性の確保」と「アクセス制御」に構造的な問題があります。メールは送信元アドレスが見えますし、グループウェアはシステム管理者がすべてのデータにアクセスできてしまいます。改正法が求める従事者への情報限定が技術的に担保できないため、専用システムへの切り替えを推奨します。
Q3. SaaSの内部通報システムはセキュリティ的に安全ですか?
A3. 主要なSaaSベンダーはISO 27001(ISMS)認証やSOC 2報告書を取得しており、自社でサーバーを運用するよりセキュリティレベルが高いケースが多いです。ただし、契約時に「データの保存場所(国内か海外か)」「暗号化方式」「ベンダー側のアクセス範囲」を確認してください。金融機関など特に高いセキュリティ要件がある場合は、オンプレミスでのカスタム開発を検討する価値があります。
Q4. 内部通報システムの開発期間はどのくらいですか?
A4. SaaS導入であれば設定・カスタマイズを含めて2〜4週間、カスタム開発であれば基本機能で2〜4ヶ月、フル構成で6〜10ヶ月が目安です。ただし、社内の運用ルール整備(通報対応規程の策定、従事者の選任など)も並行して進める必要があるため、制度設計を含めると全体で3〜6ヶ月は見ておくのが現実的です。
Q5. 通報件数が少ない場合、システムを入れる意味はありますか?
A5. 通報件数の少なさは「問題がない」のではなく、「制度が機能していない」可能性もあります。匿名性が担保された使いやすいシステムを導入することで、これまで声を上げられなかった通報が出てくるケースは多いです。また、「通報がゼロ」であることを記録として残すこと自体が、ガバナンスの証跡になります。
参考資料
- 消費者庁「公益通報者保護法に基づく指針(令和3年内閣府告示第118号)」 https://www.caa.go.jp/policies/policy/consumer_partnerships/whisleblower_protection_system/
- 消費者庁「公益通報者保護制度の実効性の確保に関する検討会 最終報告書」(2025年12月公表) https://www.caa.go.jp/policies/policy/consumer_partnerships/whisleblower_protection_system/
- 消費者庁「指針の解説」(令和4年改訂版) https://www.caa.go.jp/policies/policy/consumer_partnerships/whisleblower_protection_system/
- IPA(情報処理推進機構)「ソフトウェア開発分析データ集2024」(2024年10月公表) https://www.ipa.go.jp/digital/chousa/metrics/
- JISA(情報サービス産業協会)「情報サービス産業 基本統計調査 2024年版」 https://www.jisa.or.jp/
- 日本内部通報研究会「企業の内部通報制度運用実態調査2025」 https://www.jwba.or.jp/