日本版SOX法・徹底解析

企業の情報セキュリティ対策を構築する上で、常につきまとう言葉が「コンプライアンス」です。対策の指針を決定する重要な要素ですが、理解を誤れば適切な対策を講じるのは難しくなります。今回はコンプライアンスの言葉に潜む問題点を考察しましょう。

[米澤一樹，ベライゾンビジネス]2009年11月18日 07時05分 更新

http://www.itmedia.co.jp/enterprise/articles/0911/18/news006.html

PR：USBデバイス対応力で、情報セキュリティ対策をリードする。"SKYSEA Client View"

PR：Microsoft SQL Server なら仮想化や分析、レポート機能の追加費用なし

　「PCI DSS（Payment Card Industry Data Security Standard）」のように、情報セキュリティの世界では「コンプライアンス」という言葉が一般的に使われるにようになりました。しかし、実際にはコンプライアンスとは何でしょうか。本連載ではコンプライアンスをただの流行言葉ではなく、その意味するところを改めて根本から見つめ直し、企業にとって望ましい形態を探ってみましょう。

コンプライアンスとは？

　コンプライアンスという言葉をオックスフォード英語辞典で参照してみると、「依頼・希望・意思もしくは命令に従って行動することあるいは行動そのもの」と、｢特定の基準・標準を満たすことあるいは満たす行動そのもの｣の2つが第一の意味として出てきます。

　つまり、（1）社会の中で事業を行うにあたって必要な法令や各種規制・基準を順守すること、（2）自主的に各種標準・基準に準拠することによって自らの取り組みをアピールし社会からの更なる信頼を得ることの2つと言えます。

　これらの目的はいずれも健全なものであり、これがその本来の趣旨のまま達成できれば、報道やビジネスマンの日常会話の中でこれほど取り沙汰されることもないのですが、実際にはその通りになっていない事例が散見されます。筆者は、ここに「コンプライアンス」が陥る罠があると考えています。

コンプライアンスが陥る罠

　コンプライアンスが陥る罠とは、一言でいうと「形から入って形だけになる」ことです。つまり、法令・規制や各種標準・基準の要求事項を形だけは満たしていて、曲がりなりにも認定や認証を取り付けてはいるが、実際の現場までその趣旨が浸透しておらず、ただ「決められているから行う」状態になっていることです。極端な事例を挙げると、「決められたことを行ったことにして記録を作るが、実際に行われている方法はまったく異なる」という事態も発生します。

　このような形だけのコンプライアンスは、一定のマニュアルに沿って業務が動いている時は問題が表面に出てきませんが、不測の事態が発生した場合に致命的な事態を引き起こすようです。特に、前述のような「記録と実際に行われていたことがまったく異なる」ことが発覚した場合には当該企業は厳しい社会的制裁を受けることになり、最悪の場合は事業の継続が不可能なことにもなりかねません。

コンプライアンスに潜む根本的問題

　「形から入って形だけになるコンプライアンス」は、実は、コンプライアンスに潜む根本的問題に根ざしているとも言えます。それは、コンプライアンスの対象となる法令・規制や各種標準・基準が文書の整備や記録の作成を規定していて、それがコンプライアンスの認定・認証基準となっていることが挙げられます。

　そのため、実際に当該企業がその趣旨を理解して達成に努めているかどうかまで測ることができず、企業側も形を整えることに追われてしまい、「何をどの程度行うのか」と実際のプロセスや行動自体に目が向かないことがしばし起こるのです。また、それを評価する顧客を含めた取引先やおよび監督官庁などのステークホルダー側も形を重視するあまり、過大な要求を突きつけてしまう事態もしばしば起こります。

　そうした場合、企業は「形だけのアリバイ」作ってステークホルダーの要求をかわすことを考えます。そして、そのステークホルダー（顧客を含めた取引先や監督官庁など）のステークホルダー（報道機関）が同様のことを行い、そのまたステークホルダー（一般市民など）も同様に続く、というように事態が連なっていくと「アリバイ作りの連鎖」を引き起こし、同時に、「アリバイ作り→形を整えるための（多くの場合は責任転嫁の手段としての）アリバイ要求→さらなるアリバイ作り」のスパイラルを呼び起こします。

　2007年7月～2008年6月までの実質国内総生産（GDP）を2兆8700億円押し下げたといわれる「建設コンプライアンス不況」の遠因もこのようなアリバイ作りのスパイラルといえます（日本総合研究所が2008年9月5日に発表した試算による）。また、金融商品取引法（J-SOX）に関しても、対応コストが平均して1億6000万円といわれており、また、売上高100億円以下の企業の72.3％が企業規模に応じた制度適用の水準見直しを望んでいることなどから、建設コンプライアンス不況ほどは顕著ではないものの、「J-SOX法コンプライアンス不況」の存在を指摘する声が聞かれます。

「アリバイ作りのスパイラル」を断ち切れ

　それでは、このようなアリバイ作りのスパイラルを断ち切るためにはどのようにすればいいのでしょうか。それは、コンプライアンスの目的を当事者がはっきりと認識して関係者全員で共有し、その目的を外部へも積極的に発信することに尽きます。

　コンプライアンスの目的を明確にすることで、対策をどの範囲においてどの程度まで行えばいいかが明確になります。その目的を関係者間で共有することで、「適切な対策」を「適切な範囲」で「適切な程度」に行え、これにより必要以上の労力や資金を投じることを防ぐことができます。そして、それを踏まえた対策の実施と運用を行っていくことで、それらを裏付けていきます。最後に取り組みを外部にも積極的に発信することで「ステークホルダーからの責任転嫁か」と誤解されるような過大な要求を理路整然と退けることにもつながります。

1.コンプライアンスの目的を明確化する

　コンプライアンスの目的を明確化するには、まずコンプライアンスの対象となる法令・規制や基準・標準の制定目的と要求事項を正確に把握することです。多くの場合、法令や規制は、所轄官庁の政令やガイドラインによってそれらが明らかにされています。また、基準・標準に関しても同様に制定元が解説書やガイドラインを発行しています。これらの情報を収集・分析した上で、自らの事業との関係を整理していけば、コンプライアンスの目的は明らかになるでしょう。この際に重要なことは、実施にあたっての労力対効果および費用対効果を概算でも良いので算出し、それに基づいて範囲と程度を決定することです。この時点での間違いは後々に大きな歪みとなるので慎重に行うことが必要です。

2.コンプライアンスの目的を関係者間で共有する

　そして、明確にしたコンプライアンスの目的を関係者間で共有するために文書にしておくことが必要です。この時に重要なことは、曲解を防ぐために簡潔で明確な文章にするとともに、必要に応じて解説を付け加えておくことです。そうすることで関係者間での目的の共有が可能になります。

3.実施と運用で目的を裏付ける

　実践において重要なことは、上記で範囲と程度を定義した際と同様に現場における労力対効果および費用対効果を再出した上で、実践の枠組みと方法を定めることです。これを怠ると、実践どころか前述のアリバイ作りの温床を作り出してしまうことになりかねません。ですので、これを行う上でもコンプライアンスの目的の共有化が重要です。

大きな組織では最初の時点では必ずしも全員が目的を理解するとは限りません。しかし、繰り返し伝え、それを踏まえて実際の業務において実践していく中で「形から入って（形に終わらずに）趣旨を理解する」ことにつながります。そのためには、最初に述べた現場における労力対効果および費用対効果を踏まえた枠組みと方法作りが必須になります。

4.特定の担当者や部門への安易な責任追及を避ける

　日々の運用では、特定の担当者や部門に対する安易な責任追及を避けるべきです。実践の現場ではさまざまなことが起こり、それは時として部門や企業全体に大きな影響を及ぼしかねないものになることもあります。そのような時、責任の所在を明らかにして問題の解決に当たることが重要なのは言うまでもありませんが、責任の追及が過ぎると責任転嫁やそれを目的としたアリバイ作りを誘発しかねません。責任の追及と問題の解決は車の両輪であり、バランスを取りながら、その課題に取り組み続けることがコンプライアンスをまさに意義のあるものにします。

5.外部にも積極的に発信する

　企業の社会的責任の一環としても、コンプライアンスの内容について外部への発信は内部での実践と同じく重要なことです。その際に注意すべきことが、「どのような目的に基づいて」「どの範囲において」「誰が」「いつから（場合によっては時間まで）」「どの程度」行っているかを明確に発信することです。これは、コミュニケーションにおいて最も危険な「部分のみが伝わることによって曲解を招く」という事態を防ぐために非常に重要です。同様に、伝える事柄は簡易で明確な文章にする必要があります。そして、必要な限り繰り返し発信し続けることが重要です。情報があふれる今日の社会では、伝わるのと同時に忘れられるのも早くなりがちです。覚えておいてもらうため、さらにいえば、認識を留めておいてもらうために繰り返し伝えなくてはなりません。

　今回は企業が取り組むべき理想的なコンプライアンスに必要な事柄を提起いたしました。「言うは易し、行うは難し」のコンプライアンスですが、目的意識とバランス感覚を持って実行すること以外に、最適な方法は残念ながら見当たりません。実際に筆者が見てきた事例でも、ここまで理想的に行える例はごくまれです。多くの場合、現実に合わせた柔軟な対応がどうしても必要になります。次回はPCI DSSを題材に、現場で実際にどのような対応が必要になるのかについて解説します。

筆者プロフィール

プロフェッショナル・サービス部シニア セキュリティ・コンサルタント。情報セキュリティや情報資産管理に関する総合的なプロジェクトのマネジメント、サービスインテグレーション、電子商取引、事業継続対策に関わるソリューションなどを担当。情報システムセキュリティ協会(ISSA) 東京支部長・支部長連絡会アジア太平洋地区代表、CISSP行政情報問題製作委員会メンバーなどを務める。国内初の「CISSP-ISSAP」保有者の一人でもある。