「コンプライアンス」という言葉に潜む問題点企業セキュリティをあるべき姿に(2/2 ページ)

» 2009年11月18日 07時05分 公開
[米澤一樹,ベライゾンビジネス]
前のページへ 1|2       

「アリバイ作りのスパイラル」を断ち切れ

 それでは、このようなアリバイ作りのスパイラルを断ち切るためにはどのようにすればいいのでしょうか。それは、コンプライアンスの目的を当事者がはっきりと認識して関係者全員で共有し、その目的を外部へも積極的に発信することに尽きます。

 コンプライアンスの目的を明確にすることで、対策をどの範囲においてどの程度まで行えばいいかが明確になります。その目的を関係者間で共有することで、「適切な対策」を「適切な範囲」で「適切な程度」に行え、これにより必要以上の労力や資金を投じることを防ぐことができます。そして、それを踏まえた対策の実施と運用を行っていくことで、それらを裏付けていきます。最後に取り組みを外部にも積極的に発信することで「ステークホルダーからの責任転嫁か」と誤解されるような過大な要求を理路整然と退けることにもつながります。

1.コンプライアンスの目的を明確化する

 コンプライアンスの目的を明確化するには、まずコンプライアンスの対象となる法令・規制や基準・標準の制定目的と要求事項を正確に把握することです。多くの場合、法令や規制は、所轄官庁の政令やガイドラインによってそれらが明らかにされています。また、基準・標準に関しても同様に制定元が解説書やガイドラインを発行しています。これらの情報を収集・分析した上で、自らの事業との関係を整理していけば、コンプライアンスの目的は明らかになるでしょう。この際に重要なことは、実施にあたっての労力対効果および費用対効果を概算でも良いので算出し、それに基づいて範囲と程度を決定することです。この時点での間違いは後々に大きな歪みとなるので慎重に行うことが必要です。

2.コンプライアンスの目的を関係者間で共有する

 そして、明確にしたコンプライアンスの目的を関係者間で共有するために文書にしておくことが必要です。この時に重要なことは、曲解を防ぐために簡潔で明確な文章にするとともに、必要に応じて解説を付け加えておくことです。そうすることで関係者間での目的の共有が可能になります。

3.実施と運用で目的を裏付ける

 実践において重要なことは、上記で範囲と程度を定義した際と同様に現場における労力対効果および費用対効果を再出した上で、実践の枠組みと方法を定めることです。これを怠ると、実践どころか前述のアリバイ作りの温床を作り出してしまうことになりかねません。ですので、これを行う上でもコンプライアンスの目的の共有化が重要です。

大きな組織では最初の時点では必ずしも全員が目的を理解するとは限りません。しかし、繰り返し伝え、それを踏まえて実際の業務において実践していく中で「形から入って(形に終わらずに)趣旨を理解する」ことにつながります。そのためには、最初に述べた現場における労力対効果および費用対効果を踏まえた枠組みと方法作りが必須になります。

4.特定の担当者や部門への安易な責任追及を避ける

 日々の運用では、特定の担当者や部門に対する安易な責任追及を避けるべきです。実践の現場ではさまざまなことが起こり、それは時として部門や企業全体に大きな影響を及ぼしかねないものになることもあります。そのような時、責任の所在を明らかにして問題の解決に当たることが重要なのは言うまでもありませんが、責任の追及が過ぎると責任転嫁やそれを目的としたアリバイ作りを誘発しかねません。責任の追及と問題の解決は車の両輪であり、バランスを取りながら、その課題に取り組み続けることがコンプライアンスをまさに意義のあるものにします。

5.外部にも積極的に発信する

 企業の社会的責任の一環としても、コンプライアンスの内容について外部への発信は内部での実践と同じく重要なことです。その際に注意すべきことが、「どのような目的に基づいて」「どの範囲において」「誰が」「いつから(場合によっては時間まで)」「どの程度」行っているかを明確に発信することです。これは、コミュニケーションにおいて最も危険な「部分のみが伝わることによって曲解を招く」という事態を防ぐために非常に重要です。同様に、伝える事柄は簡易で明確な文章にする必要があります。そして、必要な限り繰り返し発信し続けることが重要です。情報があふれる今日の社会では、伝わるのと同時に忘れられるのも早くなりがちです。覚えておいてもらうため、さらにいえば、認識を留めておいてもらうために繰り返し伝えなくてはなりません。


 今回は企業が取り組むべき理想的なコンプライアンスに必要な事柄を提起いたしました。「言うは易し、行うは難し」のコンプライアンスですが、目的意識とバランス感覚を持って実行すること以外に、最適な方法は残念ながら見当たりません。実際に筆者が見てきた事例でも、ここまで理想的に行える例はごくまれです。多くの場合、現実に合わせた柔軟な対応がどうしても必要になります。次回はPCI DSSを題材に、現場で実際にどのような対応が必要になるのかについて解説します。

筆者プロフィール

米澤氏

プロフェッショナル・サービス部シニア セキュリティ・コンサルタント。情報セキュリティや情報資産管理に関する総合的なプロジェクトのマネジメント、サービスインテグレーション、電子商取引、事業継続対策に関わるソリューションなどを担当。情報システムセキュリティ協会(ISSA) 東京支部長・支部長連絡会アジア太平洋地区代表、CISSP行政情報問題製作委員会メンバーなどを務める。国内初の「CISSP-ISSAP」保有者の一人でもある。


企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら

関連ホワイトペーパー

コンプライアンス | PCI DSS | セキュリティ対策


前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ