規制コンプライアンス入門：知っておきたい基礎知識

法規制に従い倫理的に事業を運営するには、どの企業もその規模や業種にかかわらず、自社に適用される法律、規制、業界標準を知っておく必要があります。

規制コンプライアンスを負担と捉えている企業は少なくないかもしれませんが、そのように考える必要はありません。規制に準拠することで、従業員、顧客、および一般の人々の安全とウェルビーイングを確保できるという、単なるルール遵守をはるかに上回るメリットがもたらされます。

規制コンプライアンスを達成し、維持し続けることは、多くの企業にとって困難な作業かもしれません。その大きな要因のひとつとして、法律や規制が常に変更され、後れを取らないようにするのが難しい点が挙げられます。また、業界によって独自の規制がある場合などは、そのことがコンプライアンスに関する解釈や対応をさらに複雑にしている側面があります。

一方、コンプライアンス違反には、高額な罰金や罰則というリスクが伴います。さらに、コンプライアンス違反の状況によっては、規制機関から違反を指摘される恐れがあるだけでなく、ビジネスのあらゆる種類の脆弱性を最大限に悪用しようとする攻撃者に対して無防備になる可能性もあります。

関連するすべての法律と基準を確実に遵守できるよう、規制コンプライアンスとは何かを深く掘り下げてみましょう。

規制コンプライアンスとは？

規制コンプライアンスとは、事業内容や業種に応じて、組織が適切な法律や国際基準に遵守することを指す、包括的な言葉です。

規制コンプライアンスを達成するためのプラクティスを実践することで、組織はリスクをより効果的に管理し、法的な罰則や金銭的損失、ブランドイメージの低下を回避できます。また、これはガバナンスを維持することにもつながります。このガバナンス、コンプライアンス、リスクは、総称して「GRC」と呼ばれています。

業界標準も、規制コンプライアンスの大きなウェイトを占めます。企業が法的な問題を回避するために従う必要のある付加的なガイドラインを規定しているからです。

たとえば、Splunkはサイバーセキュリティソリューションを提供するテクノロジー企業であり、SOC2、FedRAMP、ISO 27001など、多くの規制に準拠しています。また実質的に、米国で合法的に設立されたすべての企業は、差別のない雇用慣行を守るために、雇用機会均等委員会(EEOC)が定めるガイドラインに準拠する必要があります。

金融業界は規制が厳しく、金融会社は数えきれないほどの(事業を運営するあらゆる場所の)現地法のほか、透明性、説明責任、金融の安定のための規則をはじめとする、さまざまな業界標準に従う必要があります。国際取引を行う金融会社、つまり大多数の金融会社はまた、商取引を獲得または維持するために外国公務員に対して賄賂を贈ることを禁じる海外腐敗行為防止法(FCPA)も遵守しなければなりません。

規制コンプライアンスを達成することで、企業は自社を守り、クライアントと顧客から信頼され続けることができます。

規制コンプライアンスの種類と例

企業が知っておく必要がある規制コンプライアンスには、さまざまな種類があり、それぞれに独自の一連の規則や規制がある一方、異なる規制コンプライアンスの規則や規制が大幅に重複するケースもあります。また、こうした規則は、企業が属する業界、組織の規模、事業を展開している地理的な場所など、さまざまな側面によって異なります。

北米やヨーロッパの企業をはじめ、事業を営んでいる企業であれば、以下の法律やガイドラインの名前を聞いたことがあるか、各地域での類似の法律やガイドラインに精通されていることでしょう。

• 医療保険の相互運用性と説明責任に関する法律(HIPAA)
• ペイメントカード業界データセキュリティ基準(PCI-DSS)
• カリフォルニア州消費者プライバシー法2018年(CCPA)
• 一般データ保護規則(GDPR)
• サーベンス・オクスリー法(SOX)
• 労働安全衛生法(OSHA)

これらの規制にはそれぞれに、理解や遵守を難しくしている独自の複雑さがあります。とりわけ、数年前に施行されたときに全世界で見出しを飾ったGDPRは、インターネットの出現によって大きな問題となっていった個人データとデータプライバシーに対して、EUの行政機関が示した初めての厳格な対応でした。

ペイメントカード業界データセキュリティ基準(PCI-DSS)は、クレジットカード決済を扱う企業に独自の課題を提起しています。金銭が関わる内容のみに限定されていると思われがちですが、PCI-DSSの要件は組織のIT運用やサイバーセキュリティの取り組みにも及んでいます。PCI-DSSでは、次のような広範な要件を定めています。

• 安全なネットワークの維持
• カード会員データの保護
• 強固なアクセスコントロール手段の実装
• ネットワークの定期的な監視とテスト
• 情報セキュリティポリシーの維持

これらの要件はいずれも複雑です。上述のうちひとつを例に、実装にあたって必要となるさまざまな副次的な要件をすべて想像してみてください。コンプライアンスがこれほど細かい点にわたっている理由が納得できるでしょう。

たとえば、カード会員データを保護するには、保存されたデータを保護するだけでなく、オープンなパブリックネットワークを介してカード会員データを送信する際に暗号化する必要があります。そのためには、データ保護のプラクティスと暗号化の技術面の両方を深く理解する必要があります。ここまでの細かい点に及ぶため、PCI-DSSへの準拠は複雑な作業になりがちなのです。

こうした規制をよく理解し、適切に適用することで、企業は不必要なリスクや潜在的な法的影響から自らを保護できます。

コンプライアンス違反

規制要件に準拠しないと、ビジネスに深刻な結果を招く可能性があります。コンプライアンス違反に対する処罰は、その重大性に応じて、罰金や罰則から刑事告発までさまざまです。

また、罰金や罰則だけでなく、ブランドイメージの低下、顧客の減少から、訴訟にいたるまで、他のリスクにも苦しむことになるでしょう。こうした問題が及ぼす影響は、財務の安定性に影響を与えるだけでなく、組織の存続そのものが危うくなってしまう事態を引き起こしかねません。

その一例が、1980年代から1990年代にかけてアメリカのエネルギー業界をリードした企業であるエンロン社です。幾重にも張り巡らされた不正な会計処理によって、財務不正などの不正行為が何年にもわたって隠蔽されていましたが、ついに表面化し、次のような重大な結果を招きました。

• エンロン社の株価は急落し、会社は倒産に追い込まれた。
• 何千人もの従業員が仕事と年金を失った。
• アメリカの実業界に対する信頼が大きく揺らいだ。

サーベンス・オクスリー法(SOX)は2002年に制定されました。この法律は特に、企業の情報開示の透明性を向上させ、エンロン社の破綻につながったような不正行為を防ぐことを目的として定められました。

規制コンプライアンスを怠って事業を危険にさらすことに意味はありません。コンプライアンスを確保するために、時間とリソースを投資するのが常に得策です。

(金融犯罪リスク管理についてもお読みください)

規制コンプライアンスがもたらすメリット

規制の主な目的は、企業が故意であろうと偶然であろうと、非倫理的または違法な行為に関与しないようにすることです。規制コンプライアンスを定めると、企業が規則や規制に確実に従うことによって、倫理的、法的、社会的基準の範囲内で事業を営む方法が見えてきます。

そして、重要なのは、組織もコンプライアンス要件を満たすことでメリットを得られるという点です。コンプライアンスを確保することで、次のようなメリットがもたらされます。

• 倫理的で責任あるビジネス手法を推進できる。
• 組織の評判と信頼を高められる。
• リスク管理を改善できる。
• コンプライアンスに従っていない企業に対して競争上の優位性を得られる。
• 高額な罰金や罰則を回避して、財務面の安定につなげられる。
• 従業員、顧客、および一般の人々に危害を及ぼさずにすむ。

こうしたメリットは、ビジネス活動全体に及びます。確かに、規制を遵守するにはセキュリティ監視が必要になるかもしれませんが、セキュリティ監視の波及効果は大きく、長期的に見ればビジネスに非常に大きく貢献する可能性があります。コンプライアンスを確保しないということは、そうしたメリットを手放す選択をしている、と言ってもよいでしょう。

規制コンプライアンスのベストプラクティス

規制コンプライアンスの重要性について理解できたところで、コンプライアンスを確実に維持するために実施できる対策について、いくつか見ていきましょう。ここで重要なのは、以下に挙げた内容を1回限りの取り組みとして考えるのではなく、継続的な活動に変えることです。

1. 常に最新の情報を入手する：事業に関連する規制や基準のあらゆる変更や更新について、常に情報を入手するようにします。
2. 監査を定期的に実施する：ビジネス慣行、システム、プロセス、手順を定期的に見直して評価し、コンプライアンス違反の領域を特定します。監査は手動では難しい場合がありますが、必要な監査を支援する業種ごとの製品やサービスがいくつか提供されています。
3. トレーニングを実施する：すべての従業員に、関連する規制とコンプライアンスを確保するための各自の責任について十分な情報を提供する必要があります。通常は、組織に適用される規制についてのトレーニングを実施します。
4. すべてを文書化する：必要に応じて準拠を証明できるよう、すべてのビジネスプロセスと手順を徹底して記録します。
5. 専門家に相談する：法律や規制の専門家に相談して、必要なすべての規則とガイドラインに従っていることを確認します。組織の規模に応じて、適切なスタッフとリソースを使用して社内でこれを行える場合もあれば、Compliance-as-a-Service (サービスとしてのコンプライアンス)を利用する方がよい場合もあります。

規制コンプライアンスで重要なのは、単にチェックリストのボックスにチェックを入れるだけでなく、組織内に責任という文化を浸透させることです。規制コンプライアンスはビジネスを保護し、信頼を高め、倫理的で透明性のあるビジネスを促進します。

規制コンプライアンスによって長く成功するビジネスを

企業に適用される規制は広大で多様であり、その対応は時に複雑な迷路を進んでいるかのように感じられることもあります。しかし、これらの規制を理解し、遵守することは単なる義務ではなく、組織の存続と成功のために不可欠です。

今回取り上げたようなコンプライアンスは、企業自体だけでなく、その従業員、消費者、そして社会全般も保護するように設計されています。コンプライアンスを確保するために必要な措置を講じることは、責任ある倫理的な事業運営がもたらすメリットを手にできることを意味します。

コンプライアンスは大変に思えるかもしれませんが、コンプライアンス違反によって生じる結果を考えれば、遵守する方がはるかに得策です。常に最新情報を入手するのはもちろん、定期的な監査の実施、従業員のトレーニング、すべての文書化を行い、必要に応じて専門家にガイダンスを求めるようにしましょう。今、コンプライアンスに投資することで、長期的にコストを節約できます。

このブログはこちらの英語ブログの翻訳です。