ニュース
» 2009年11月18日 07時05分 UPDATE

企業セキュリティをあるべき姿に:「コンプライアンス」という言葉に潜む問題点 (1/2)

企業の情報セキュリティ対策を構築する上で、常につきまとう言葉が「コンプライアンス」です。対策の指針を決定する重要な要素ですが、理解を誤れば適切な対策を講じるのは難しくなります。今回はコンプライアンスの言葉に潜む問題点を考察しましょう。

[米澤一樹,ベライゾンビジネス]

 「PCI DSS(Payment Card Industry Data Security Standard)」のように、情報セキュリティの世界では「コンプライアンス」という言葉が一般的に使われるにようになりました。しかし、実際にはコンプライアンスとは何でしょうか。本連載ではコンプライアンスをただの流行言葉ではなく、その意味するところを改めて根本から見つめ直し、企業にとって望ましい形態を探ってみましょう。

コンプライアンスとは?

 コンプライアンスという言葉をオックスフォード英語辞典で参照してみると、「依頼・希望・意思もしくは命令に従って行動することあるいは行動そのもの」と、「特定の基準・標準を満たすことあるいは満たす行動そのもの」の2つが第一の意味として出てきます。

 つまり、(1)社会の中で事業を行うにあたって必要な法令や各種規制・基準を順守すること、(2)自主的に各種標準・基準に準拠することによって自らの取り組みをアピールし社会からの更なる信頼を得ることの2つと言えます。

 これらの目的はいずれも健全なものであり、これがその本来の趣旨のまま達成できれば、報道やビジネスマンの日常会話の中でこれほど取り沙汰されることもないのですが、実際にはその通りになっていない事例が散見されます。筆者は、ここに「コンプライアンス」が陥る罠があると考えています。

コンプライアンスが陥る罠

 コンプライアンスが陥る罠とは、一言でいうと「形から入って形だけになる」ことです。つまり、法令・規制や各種標準・基準の要求事項を形だけは満たしていて、曲がりなりにも認定や認証を取り付けてはいるが、実際の現場までその趣旨が浸透しておらず、ただ「決められているから行う」状態になっていることです。極端な事例を挙げると、「決められたことを行ったことにして記録を作るが、実際に行われている方法はまったく異なる」という事態も発生します。

 このような形だけのコンプライアンスは、一定のマニュアルに沿って業務が動いている時は問題が表面に出てきませんが、不測の事態が発生した場合に致命的な事態を引き起こすようです。特に、前述のような「記録と実際に行われていたことがまったく異なる」ことが発覚した場合には当該企業は厳しい社会的制裁を受けることになり、最悪の場合は事業の継続が不可能なことにもなりかねません。

コンプライアンスに潜む根本的問題

 「形から入って形だけになるコンプライアンス」は、実は、コンプライアンスに潜む根本的問題に根ざしているとも言えます。それは、コンプライアンスの対象となる法令・規制や各種標準・基準が文書の整備や記録の作成を規定していて、それがコンプライアンスの認定・認証基準となっていることが挙げられます。

 そのため、実際に当該企業がその趣旨を理解して達成に努めているかどうかまで測ることができず、企業側も形を整えることに追われてしまい、「何をどの程度行うのか」と実際のプロセスや行動自体に目が向かないことがしばし起こるのです。また、それを評価する顧客を含めた取引先やおよび監督官庁などのステークホルダー側も形を重視するあまり、過大な要求を突きつけてしまう事態もしばしば起こります。

 そうした場合、企業は「形だけのアリバイ」作ってステークホルダーの要求をかわすことを考えます。そして、そのステークホルダー(顧客を含めた取引先や監督官庁など)のステークホルダー(報道機関)が同様のことを行い、そのまたステークホルダー(一般市民など)も同様に続く、というように事態が連なっていくと「アリバイ作りの連鎖」を引き起こし、同時に、「アリバイ作り→形を整えるための(多くの場合は責任転嫁の手段としての)アリバイ要求→さらなるアリバイ作り」のスパイラルを呼び起こします。

 2007年7月〜2008年6月までの実質国内総生産(GDP)を2兆8700億円押し下げたといわれる「建設コンプライアンス不況」の遠因もこのようなアリバイ作りのスパイラルといえます(日本総合研究所が2008年9月5日に発表した試算による)。また、金融商品取引法(J-SOX)に関しても、対応コストが平均して1億6000万円といわれており、また、売上高100億円以下の企業の72.3%が企業規模に応じた制度適用の水準見直しを望んでいることなどから、建設コンプライアンス不況ほどは顕著ではないものの、「J-SOX法コンプライアンス不況」の存在を指摘する声が聞かれます。

       1|2 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -