コンプライアンスやガバナンスなどカタカナのビジネス用語が増えています。それぞれの意味や違いを理解していない方も少なくありません。

しかし、特に情報システムの管理やセキュリティ対策の担当者としては、コンプライアンスとガバナンスが意味するところを正しく理解しておく必要があります。なぜなら、システムを介した内部不正対策、データ流出などにも関係してくるからです。

今回はコンプライアンスとガバナンスの違い、それぞれのメリットやデメリット、そして情報システム管理やセキュリティ担当者としてそれらについてどのように考えるべきか、についてご説明します。

コンプライアンスとガバナンスの違い

コンプライアンスとは

1.世間一般的な常識や基本的な社会規範
2.企業や組織内の規則やルール
3.企業や組織の属する国や社会の法律やルール

上記は、コンプライアンスを説明するもので、全てが含まれる場合もあれば、それぞれを意味する形で使われる場合もあります。

コンプライアンスは一言で「これが正解だ」というものはありません。利用されるタイミングで意味や形が変化する独特な用語で、明確な定義はないと言えます。

基本的には企業や組織として最低限守るべき事柄と言えます。しかし、世間一般的な常識、または社会規範については、明確にしづらい部分もあり、立ち位置や時代によっても変わるため、「当社としてはこのようにありたい」という企業理念や経営理念として定められる項目です。

その他、法令や世間一般の常識、社会規範を踏まえた上で社内規則やルールを定めたものもコンプライアンスと呼ばれます。

狭義でのコンプライアンスは「法令遵守」であり、広義では企業理念や経営理念、または社内規則やルールも含まれると覚えておくと良いでしょう。

コンプライアンスのメリット

コンプライアンスを守る＝法令を遵守するメリットは、企業や組織としての信頼や安心、安全性に直結することです。

コンプライアンスを定める＝企業理念/経営理念を明確にするメリットは、企業や組織としてどのような姿勢、態度であるかを表明し、周囲の信頼を得やすくなるという点が挙げられます。

社内規則やルールを定めて守るという意味でのコンプライアンスは「法律や常識では定められていないけれどタブーとするもの」を明確にすることで、社員や属する人間が知らないうちに何らかの不正行為をしてしまわないよう促すことにもつながります。

やっていいこと悪いことの区別が明確になるほど、本人の判断や考え方によらず、企業や組織内の意志や意識の方向性が定まる、というのもメリットと言えるでしょう。

コンプライアンスのデメリット

コンプライアンスのデメリットを挙げるとするなら「ルールを守ること」をネガティブな意味で捉え、新しいアイデアや自発的な行動の阻害となってしまうことです。

また、社内におけるコミュニケーションが「セクハラ・パワハラ」ではないかと考えてしまうことで、コミュニケーションそのものの萎縮を招いたり、報告・連絡・相談が滞ったりするという弊害も考えられます。

ただしそれは、厳しい社内規則やルール、または罰則があった場合で、一般的な常識、または日本国内の法律や条例に反しないという基本原則であれば、そこまでデメリットが働くことは考えにくく、意識し過ぎないことも大切です。

ガバナンス（コーポレートガバナンス）とは

ガバナンス、すなわちコーポレートガバナンスにおける企業統治とは、企業や組織として運営する上で必要な「具体的な姿勢や体制」と言えます。

ガバナンスにおけるコンプライアンスが社内規則やルールだとすれば、ガバナンスはさらに明確に企業や組織として、または企業や組織の一員としてのあるべき姿を定めたものと言えるでしょう。

ガバナンスでは、社内規則やルールに加えて、企業や組織として運営する仕組み、具体的な業務や作業内容、収益を挙げるための方向性や組織として運営することで発生する利益やリスクの管理なども含まれます。

企業や組織として意思決定、収益の拡大、目的や方向性の明確化、不正防止や法令遵守など、まさに「企業の形」を定めるものと言っても過言ではないでしょう。

ただし、コンプライアンスと同じく、明確に定義されているかと言えば難しい部分もあり、立ち位置や使うタイミングによって微妙に意味合いやニュアンスが変わってくることも理解しておく必要があります。

ガバナンスのメリット

企業や組織として人が集まるところには、残念なことに不正を行う人材が少なからず存在します。その人の地位が高くなるほど影響力も大きく、不正行為によって組織が受ける損失も大きくなります。

ガバナンスをしっかり定めることで、管理や監視体制の強化に繋がります。法令遵守を基本とした不正防止を実現し、企業や組織の資産の私物化、権力の乱用を防ぐことにつながります。不正をすみやかに発覚させることで企業の損失を抑え、また管理が行き届くことによって組織内の人の意識が高まり、不正行為を未然に防ぐという好循環も生まれます。

ガバナンスは、締め付けや罰則強化のためにあるのではなく、企業や組織の一員としての自覚や責任感を高め、やりがいやモチベーションの向上、守られているという安心感、安全に働ける環境を構築し維持するためのものと理解すべきでしょう。

企業や組織として人が集まった場所で、円滑に、ストレスなく、お互いが気持ちよく仕事をできる、それにより、純粋に利益を求めながら社会的な還元ができる、組織と人がWin-Winの関係を築けることがガバナンスを明確にする何よりのメリット言えるでしょう。

ガバナンスのデメリット

コンプライアンス同様、ルールを明確にすることで人が不自由を感じてしまう可能性があることが、デメリットと言えば言えるかもしれません。信頼や安全性には繋がるが、自由な発想や革新的な行動の妨げになる、そうした可能性がないとも言えません。

もちろん、法令に反すること、社会的規範や常識から外れる行為によって利益を得ることはあってはならないことですが、良かれと思って制定したルールによって所属する人間が萎縮してしまう場合、ガバナンスというよりその運用方法を見直すべきかもしれません。

ルールでガチガチに縛るより、本人の自覚を促す形で自然にそれが守られる、そういう風潮を作り出すことが肝要です。決められたからやる、という消極的な発想では、組織の健全な成長を阻害しないとも限らないからです。

もちろんルールが緩いことで自由な発想や革新的な行動が生まれるわけではなく、そうしたデメリットが生じ得ることも理解し、ガバナンスを制定・運営していくこが求められます。

情報システムやセキュリティ担当として考えるべきこと

コンプライアンスやガバナンスについて説明しましたが、情報システムの管理者やセキュリティ担当者として、決して無関係ではありません。なぜなら、内部不正やデータの流出などは、システムによっても防ぐことが可能だからです。

法令や社内規則を守らず不正を行う場合、企業や組織内で持つ権限を悪用してデータにアクセスしたり、改竄したりすることも考えられます。その他にも入出金、経費や発注に関する記録など、不正を即座に検知できれば、被害を最小限に食い留められ、再発防止の効果も期待できます。

「内部不正対策が万全」と周知されれば、リスクを冒してまで不正を行おうとする者への抑止力にもなりますし、何気なくそれらを犯してしまう者への自制効果も期待できます。

データ流出についても同様で、権限の有無に関わらず、アクセスして盗み出そうとすれば絶対に発覚して処罰される、それが知られることで抑止力になりますし、未然の防止にもつながります。

まとめ：コンプライアンスやガバナンスはネガティブなものではない

コンプライアンスやガバナンスの説明をしていると、ネガティブな事例を防ぐためだけに必要な事柄のように感じる場合があります。しかし実際には、企業や組織として、または人の集まりとして、必要なルールや方向性を定め、スムーズに気持ち良く仕事をする、また単に利益を得るためだけでなく、社会や人のために役立とうというポジティブな意味が本来はあるものです。

内部不正やデータ流出にどのように対処し、どう対策すべきかお悩みなら、IT資産管理ソフト「AssetView」を選択肢の１つとして考慮されることをおすすめします。内部不正やデータ流出だけでなく、パソコンやスマホなどのデバイス、OSやソフトウェアの管理も含めてIT資産の管理に強みを発揮します。