행동하는 윤리경영
내부고발자 보호와 지원

2019년 EU의 이사회는 내부고발자 보호 지침을 채택했다. 내부고발자에 대한 보호를 강화하고 제보절차를 더 안전하게 하는 것을 목표로 제정된 이 지침은 비록 법률은 아니지만 EU의 각 회원국들에게 관련 국내법을 마련하도록 직접적으로 영향을 미치고 있으며 회원국들은 점차 관련 법을 마련하고 있다. 또한 EU의 지침은 공공 및 민간부분을 모두 포괄하며 잠재적 내부고발자들을 광범위하게 다루고 있어 기업들에 강력하고 공통적인 세계 표준을 제공하고 있다. 해당 지침은 기업들이 최소한으로 충족해야 할 기본적인 사항을 제시하고 있는데 NAVEX의 보고서에 이러한 EU의 요구사항이 요약정리되어 있다.

이번 행동하는 윤리경영에서는 이를 기준으로 2022년 국제투명성기구에서 발간한 ‘내부고발 시스템(Internal Whistleblowing System)’ 보고서를 참고하여 국내 기업 및 담당자가 내부고발자 보호 및 지원 조치를 마련 하거나 운영할 때 기본적인 최소 사항을 고려하고 점검해 볼 수 있도록 체크리스트와 내부고발자 보호의 주요사항을 살펴보고 내부고발자보호제도 구축을 통한 내부고발제도의 효과적인 운영을 돕고자 한다

1EU 내부고발자보호 지침 최소 요구사항

글로벌 경영자문기업인 NAVEX는 EU의 내부고발자 보호 지침에서 요구하는 최소 의무사항을 바탕으로 기업이 해당 사항에 대한 준수 여부를 점검할 수 있는 체크리스트를 제시한다. 국내 기업들도 다음의 체크리스트를 이용하여 사내 내부고발자 보호 제도가 제대로 마련되어 있는지, 원활하게 운영되고 있는지 여부를 점검할 수 있다.

<EU 내부고발자 보호 지침의 의무 체크리스트>

제보자 신원비밀 보장 1. 귀하의 내부고발자 시스템은 내부고발자의 신원을 기밀로 유지하도록 허용합니까?
2. 제도에 대한 정보를 외부에 공개할 때에도 신원이 보호될 수 있습니까?
3. 신원은 보고부터 사례 데이터 보관까지 모든 과정에서 보호됩니까?
4. 사례 관리 시스템에 대한 액세스는 충분히 보안되어 있습니까?
5. 외부 기관에 대한 시스템 취약성 및 해킹 테스트를 수행합니까?
응답 시간 6. 귀하의 내부고발제도는 내부고발자의 익명성을 유지하면서 내부고발자에게 수신 확인 알림을 자동으로 즉시 제공합니까?
7. 내부고발팀은 제보 접수 사실을 즉시 알릴 수 있습니까?
9. 표준 응답 메시지를 작성할 수 있습니까?
10. 보고서를 받는 전담 직원/팀이 있습니까?
후속조치 11. 내부고발자가 사진, 텍스트 문서 등 다양한 파일형식의 자료를 제출해도 메타데이터1)로 구조화가 가능합니까?
12. 내부고발제도에 신고접수와 사건을 관리하는 수단이 통합되어 있습니까?
13. 귀하의 내부고발자 채널은 익명 또는 실명으로 내부고발자와의 대화를 허용합니까?
14. 귀하의 시스템은 다국어 통신을 위한 보안 번역 지원을 허용합니까?
커뮤니케이션 및 정보 15. 직원들이 언제 어디서 어떻게 할 수 있는지에 대해 명확하고 쉽게 사용할 수 있는 정보를 제공합니까? 외부 보고 옵션을 포함하여 우려 사항을 보고합니까?
16. 이러한 정보는 귀하가 사업을 운영하는 각 국가에 적합합니까?
17. 사람들이 내부고발이자자 시스템에 액세스할 때 자동으로 정보를 사용할 수 있습니까?
18. EU 내부고발자 보호지침(또는 관련법)을 위반하는 "보복"과 같은 직원의 행동을 귀하의 정책 문서, 행동 강령 및 관련 교육 자료에 업데이트하여 정보를 제공합니까?
GDPR2) 준수 19. 귀사의 내부고발자 시스템은 귀사가 운영하는 모든 EU 국가의 GDPR을 완전히 준수합니까?
20. 귀하의 시스템은 사건이 종결될 때 자동으로 개인 데이터가 삭제되는 것을 허용합니까?
21. 보고의 국가별 차이에 대해 잠재적인 사용자에게 올바르게 알리고 있습니까?
보고서 기록 보관 22. 귀하의 시스템은 각 사건의 사용자 및 기록을 보관합니까?
23. 귀하의 시스템은 개인 데이터 삭제를 허용합니까?

[출처: WhistleB, A checklist(2019)]

신원보호

신원보호의 대상자는 넓게는 내부고발채널을 통해 보고한 당사자 뿐만 아니라 업무활동 중 획득한 위법사실 등의 정보를 보고한 모든 사람까지 포함할 수 있다.

  • 기밀유지: 보고받은 담당자나 후속조치 관리자, 기업은 기밀유지의무를 준수해야 한다. 보고를 받거나 후속조치 실행 권한이 있는 자 외에는 내부고발자의 명시적 동의 없이 내부고발자의 신원을 직간접적으로 추론할 수 있는 정보가 공개되어서는 안된다. 기업은 내부고발자와 보고서에 언급된 제3자의 신원 또한 기밀로 유지하고 해당 정보에 권한이 없는 사람의 엑세스를 제한해야 한다. 내부고발자의 신원은 법적으로 의무가 있는 경우만 공개 가능하며, 잠재적 내부고발자에게 예외에 대해 명확한 정보를 제공해야 한다.
  • 익명신고: 기업은 익명 신고를 허용하고 익명의 내부고발자를 보호해야 한다. 익명 신고가 가능한 내부고발 채널이 하나 이상은 구축되어야 하며, 온라인 플랫폼 등 안전한 채널을 통해 익명의 내부고발자와 담당자 간 상호 소통이 가능해야 한다. 만약 기업의 규모가 매우 작거나 담당자가 익명의 보호대상자를 알 수 없는 경우, 미리 잠재적 내부고발자에게 익명성이나 보호를 보장할 수 없음을 알려야 한다. 보고된 사실과 정보는 후속조치 여부와는 상관없이 내·외부에 비공개로 유지하여 익명의 내부고발자를 보호해야 한다

응답시간

EU 의 지침에 따르면 신고가 접수된 후 7일 이내에 내부고발자에게 보고사항을 수신했음을 알려야 한다. 이는 내부고발자에 대한 존중을 나타내는 지표로도 여겨진다.

후속조치 / 커뮤니케이션 / 제3자 관리 / 보고서 기록보관

EU의 지침과 NAVEX의 보고서는 담당자, 담당부서는 제보에 대한 후속조치를 3개월 이내에 진행하고 조사 및 처리 절차, 의사결정 절차 등의 정보를 내부고발자에게 피드백형식으로 전달할 것을 권장한다. 또한 내부고발자 보호제도에 대한 정보 및 관련하여 위반사항을 신고할 수 있는 기관과 조건, 절차에 대한 정보, 내부고발자 보호제도 위반사항인 ‘보복’등의 행위에 대한 정보가 직원과 제3자에게 제공되어야 한다. 또한 접수된 모든 보고서들은 감사를 위해 기밀을 유지하여 보관되어야 하는데 이때 필요 이상으로 긴 기간 저장해서는 안된다

2보복으로부터의 보호

국제투명성기구의 보고서에 따르면 기업은 내부고발자와 보호받는 제3자에 대한 작위 또는 부작위를 비롯하여 모든 형태의 보복행위와 내부고발 방해 행위를 금지해야 하며, 행동강령 및 윤리강령으로 명확히 금지할 수 있다. 보복행위의 정의는 다음과 같이 광범위하게 규정하고 예시를 제공해야 한다.

<보복 행위의 정의 예시>

보복

보복이란 내부 또는 외부 고발에 의해 촉발된 내부고발자 또는 내부고발자가 소유, 근무하거나 관련이 있는 법인에 대한 모든 직간접적 처벌, 보복, 불이익(또는 위협)을 의미.

보복행위

예시: 실제 또는 의심되는 내부고발의 결과로 발생하거나 위협을 받는 경우, 해고, 정직, 징계 조치, 강압, 위협, 괴롭힘, 차별, 블랙리스트 작성, 비즈니스 보이콧, 계약의 조기 종료 또는 취소, 지불 보류, 면허 또는 허가, 사업 또는 소득 손실, 교육 거부, 배척, 자원에 대한 접근 차단, 재배치, 강등 또는 기타 피해, 희생 등

[출처: TI, Internal Whistleblowing Systems(2022)]

보복 방지

기업 및 담당자는 보복을 방지하고 관련자들이 보복행위를 자제하도록 다음과 같은 조치를 취할 수 있다.

<보복행위 방지 조치>

계약
  • 기업은 내부고발 발생 시 계약을 포기하거나, 방해할 수 있는 계약을 체결하지 않을 것을 명시적으로 약속.
  • 계약이나 조직 정책 및 절차에 내부고발자의 권리 및 보호에 대한 조항 포함.
    (사전 분쟁 중재 계약, 계약의 충성도 조항, 기밀 유지, 비공개 계약 등)
보복행위 금지 조항 인식 제고
  • 다양한 미디어 채널을 통한 홍보, 캠페인, 교육 등을 활용하여 보복 행위에 대한 제재 예고.
정기적 위험성 평가 및 예방조치
  • 사건 종료 후, 위험성 평가 및 예방조치를 시행하여 보복행위 방지 전략을 구현
추가 위험 방지조치
  • 가해행위나 그에 대한 불만사항이 해결될 때까지 내부고발자의 추가 피해의 위험을 방지하기위한 조치(내부고발자의 징계절차 중단, 유급 휴가 등)
책임자의 가해행위 징계
  • 책임자의 가해행위 발생 시 직무수행 불이행으로 간주하여 징계.

[출처: TI, Internal Whistleblowing Systems(2022)]

보복 행위, 내부고발 방해 및 기밀유지 위반 해결

보복행위나 내부고발방해 행위 또는 기밀유지 위반이 접수되면 기업 및 담당자는 그에 대한 (1)후속조치, (2)가해자 제재, (3)가해행위의 영향을 받는 내부고발자 및 기타 보호대상자에 대한 보상 절차를 통해 문제를 해결해야 한다. 보복행위 등 문제 행위들의 제보자가 피해입은 사실이 확인되면 입증책임은 가해자로 의심되는 사람에게 있다. 후속조치로는 가해행위 중지, 피해자 보호, 손실 구제가 이루어져야 하며 이때 손실 구제는 모든 손실(간접 손실, 미래 손실, 재정적, 비재무적 손실 포함)에 대하여 피해자가 피해를 당하기 전의 상태로 회복할 수 있도록 한다. 그 예로는 블랙리스트 및 관련 모든 기록 삭제, 금전적 보상, 복직, 계약 복원, 사과 등이 있다.

위반자 등 처벌

보복행위, 내부고발방해 행위, 기밀유지 위반 행위가 확인되면 해당 행위를 한 자에게 효과적이고 비례적이며 억제력 있는 처벌을 내려야 한다. 위반행위를 한 자를 문책할 때에는 해당 행위를 한 자의 신분, 행위의 수준 등을 고려해야 한다. 처벌은 잠재적 위반행위를 방지할 수 있도록 일관적, 공개적으로 적용되어야 한다.

<위반자 등 처벌 시 고려사항>

위반행위를 한 자가 직원인 경우
  • 공식적인 징계절차 실시.
위반행위를 한 자가 직원 외의 인물인 경우
  • 이 경우를 대비한 제재 절차의 확립 필요
  • 직원 외에는 징계조치를 실시할 수 없으므로 계약을 통해 직위해임, 계약종료, 계약 미완료 등의 제재를 실시할 수 있다.
해당 행위가 위법인 경우
  • 관할 당국에 보고하여 당국을 통한 민사, 형사, 행정법적 조치 고려.

[출처: TI, Internal Whistleblowing Systems(2022)]

  • 데이터에 대한 데이터. 동영상, 소리, 문서 등과 같이 실제로 존재하거나 사용할 수 있는 데이터는 아니지만 실제 데이터와 직접적 또는 간접적으로 연관된 정보를 제공해 다른 데이터에 대해 설명해 주는 데이터를 말한다.
  • GDPR(General Data Protection Regulation): 2018년 5월 25일부터 시행된 EU(유럽연합)의 개인정보보호 법령으로 EU내 사업장이 없어도 EU를 대상으로 사업을 하는 경우 적용대상이 될 수 있다.

참고

  • TI(국제투명성기구, Transparency International), Internal Whistleblowing Systems(2022)
  • NAVEX, The EU Whistleblowing Directive(2022.07)
    https://www.navex.com/
  • NAVEX, whistleblowing in europe survey(2022)
  • WhistleB, A checklist: How ready is your organisation to comply with the new EU Whistleblower Protection law?(2019)
  • NAVEX, EU Whistleblower Protection Directive(2022)