情報化社会が進んでいる2021年においては、コンプライアンス違反のリスクは情報セキュリティに関係するリスクもはらんでいます。違反による悪影響は以前よりも大きくなり、これまで多くの企業の信頼が失墜したり、企業が倒産に追い込まれたりなどがありました。
当記事ではコンプライアンスの概要や情報セキュリティとの関係、対策案の1つとしての「IT資産管理」について解説します。
ビジネスシーンにおけるコンプライアンス(Compliance)とは、法令や社会的規範、そのほかのモラルに関することを遵守し、適切に業務を遂行することです。「企業の社会的信頼を落とさないための行動や言動の心がけ」ともいえるでしょう。
コンプライアンスへの注目度が上がっている社会情勢の中では、企業は利益追求だけでなく社会への影響度についても強く意識することが重要になりました。
例えば地球環境、人々の生活、健康などに関する問題に取り組む国際的な目標「SDGs」の推進や、環境保全等に関する会計を行う「環境会計」の導入など、コンプライアンスよりも大きな概念の動きがあります。
それに伴ってコンプライアンスの関する対策も、今後さらに重要性を増すと考えられます。
従業員にコンプライアンスを浸透させるには、コンプライアンスという言葉自体を浸透させるのも1つの方法です。実際に、コンプライアンスについての標語コンテストを実施する組織もあります。
コンプライアンスを使った例文をいくつかご紹介します。
使用ケース | 例文 |
---|---|
広報 | 当社はコンプライアンスを意識した経営を徹底しています |
報告 | 今回は、協業関係にあった◯社にて重大なコンプライアンス違反が発生しました |
研修 | 20〇〇年4月30日より、新入社員向けのコンプライアンス研修を実施します |
議論 | A社の事例を見るに、自社でもよりコンプライアンスを意識した経営を考えるべきではないか |
注意喚起 | 昨今、情報資産の価値が上昇していることから、従業員1人ひとりのコンプライアンス意識の向上が重要になります |
コンプライアンスの類義語として、遵行(じゅんこう)、遵守、順守、即応、適応、遵奉(じゅんぽう)、履行といった「ある決まった基準に従って行動すること」が挙げられます。
よりビジネス用語寄りの表現とする場合は、企業倫理、行動倫理、道徳的規範、モラルなどが適切です。
もし類義語を使ったほうが伝えやすい場合は、適宜表現方法を工夫しましょう。大切なのはコンプライアンスという言葉自体ではなく、その定義や考え方そのものです。
コンプライアンス違反にはさまざまな種類があります。
・不正な会計処理によって経営状況を偽造する「粉飾決算」
・内部情報を利用した有価証券等の取引を行う「インサイダー取引」
・意図的な所得隠しや経費水増しなどを行う「脱税」や「租税回避」
・企業の資産を自分のものする「業務上横領」
・機密情報や個人情報を持ち出す「機密・個人情報漏洩」
・労務上の問題である「賃金不払い」「残業過多」「過労死発生」
・パワハラやセクハラなどの「ハラスメント問題」
・飲酒運転やストーカー行為などの「従業員個人での犯罪・問題行為」
・経済活動の中で企業が引き起こす「環境汚染」や「地域住民への悪影響」 など
上記のほかにも金商法や労働基準法、下請法、会社法、出資法などの法令違反、社会的モラルに反する行為などのコンプライアンス違反が存在します。
これまで以下のコンプライアンス違反が報道されています。
・教育関連大手企業による個人情報流出
・大手電機メーカーグループの不正会計
・大手自動車メーカーのリコール隠し
・食品メーカーの牛肉偽装事件
・一級建築士による構造計算書偽造問題
・大手広告代理店や電機メーカーの社員自殺 など
日本だけでなく海外でも、2001年にアメリカ合衆国で多角大企業による巨額の粉飾決算事件が発覚し、大きな衝撃を与えました。
東京商工リサーチの「不適切な会計・経理の開示企業」によると、上場企業による不正会計の報告件数が、2008年の25件から2020年60件と増加傾向です。
上記のデータは「不正が明るみに出るケースが増えている」ことを示すデータともいえます。より一層コンプライアンス違反への目が厳しくなることを示唆しているのではないでしょうか。
コンプライアンス違反は主に次の原因によって引き起こされます。
・内部統制機関の未設置や機能不全
・企業全体での不正黙認の雰囲気
・従業員の知識不足や意識の欠如による偶発的な違反 など
もしコンプライアンス違反が明るみに出れば、どれだけ信頼や実績を積み上げていたとしても、企業のブランド価値は一瞬で崩れ去ります。表に出なかったとしても、社内での不正横行や黙認が続くことで、従業員の士気や業績の低下につながることは免れません。
帝国データバンクの「コンプライアンス違反企業の倒産動向調査(2019年度)」では、コンプライアンス違反による倒産件数が2012年以降200件を超え続けています。企業の存続にかかわるリスクがあるといえるでしょう。
コンプライアンスと似た言葉に、コーポレートガバナンス(ガバナンス)があります。ガバナンス(governance)とは、「政治・支配・管理」を意味する言葉です。
ビジネス上でのコーポレートガバナンスとは、「健全な企業経営を目指す、企業自身の管理体制」と表されます。社内・社外問わず強い信頼関係を結べるよう、業務や従業員についてしっかりとした管理体制自体を整えます。
コンプライアンスとコーポレートガバナンスとの違いは、「粒度の大きさ」です。ガバナンスの方が大きな概念になります。
コンプライアンスは「法令や社会的規範などを遵守すること」、主にグループや個人レベルの意識になります。一方でコーポレートガバナンスは「コンプライアンスを遵守させるための管理体制のこと」、つまり企業や組織全体を対象にしたものです。
広義では、「コーポレートガバナンスにはコンプライアンスの意味も含まれている」「ガバナンスを守るためにコンプライアンス意識が必要になる」といえるでしょう。
参考として、ガバナンスを使った例文もいくつかご紹介します。
・ガバナンス強化として、あらためて内部の管理体制や人員配置を見直した
・B社はガバナンスが効いており、これまで内部不正やその他コンプライアンス違反の発生事例を聞いたことがない
・ガバナンスが効いていない企業は、業務フローや管理体制に問題があるといえる
(⇒ IT資産管理入門「ガバナンス」)
企業のコンプライアンス違反は、企業の情報セキュリティに関するリスクと大きな関係があります。情報セキュリティが脅かされる要因として、コンプライアンス違反による不正や不注意が挙げられるためです。
例えばIPA 独立行政法人 情報処理推進機構の「情報セキュリティ10大脅威2021」によると、社会的に影響が大きかった事案として、以下のコンプライアンス違反に関する脅威がランクインしています。
・「内部不正による情報漏えい」が6位(2020年度2位)
・「不注意による情報漏えい等の被害」が9位(2020年度7位)
また2021年度は新しく「テレワーク等のニューノーマルな働き方を狙った攻撃」が3位に挙がっていました。コンプライアンスならびに情報セキュリティに関する知識・意識の向上を、企業組織と個人の両方に求められているのです。
情報セキュリティが脆弱な場合に考えられるリスクは次のとおりです。
・個人情報や企業情報が漏れたことによる大規模犯罪の発生
・社内システムやWebサイトの改ざんによる顧客の損失や企業のイメージダウン
・社内システムダウンによる販売・製造機会の喪失 など
マルウェア(ランサムウェアやバックドア型マルウェアなど)感染や不正ログインなどの対策と並行しながら、コンプライアンス違反の対策を考える必要があるでしょう。
ここからは企業情報の管理を担当する情報システム部が意識すべき、コンプライアンス徹底のための3つの考え方や対策を解説します。
「そもそもなぜコンプライアンス違反が起こってしまうのか」について洗い出すには、「不正のトライアングル」の考え方を理解しておくことをおすすめします。不正のトライアングルとは、以下3つの要因が同時に存在するときに不正が起こるというメカニズムを提唱したものです。
・業務目標達成や投資家対策などに関する強い「動機(プレッシャー)」がある
・誰もチェックしていない、不正がバレない体制であるなど、いつでも不正ができる「機会」がある
・ほかの人もやっている、家族や会社を守るためなど、「自己正当化する理由」がある
まずは上記の要因について、社内体制や従業員の待遇が当てはまらないかをチェックしてみてください。
知識不足によるコンプライアンス違反を防ぐには、従業員1人ひとりのコンプライアンスに対する意識を向上させることがもっとも効果的です。考えられる対策を以下で挙げました。
・コンプライアンス違反のリスクや法令・規則に関する情報などをまとめたマニュアル作成・配布
・専門家による従業員研修・教育の実施
・経営陣や管理職など上の立場の人間による模範行動の実施 など
悪意を持った従業員がいたとしても、そもそもコンプライアンス違反が実施できない内部体制が構築されていれば違反を防げます。そのためには内部体制やチェック関係の業務を整えることが大切です。専門部署の立ち上げや業務フローの見直し、内部通報窓口の設置などを検討してみましょう。
外部の弁護士や弁理士、社会保険労務士などの専門家に依頼し、適切なリーガルチェックを受けながら進めるのも効果的です。社内セキュリティも常に最新の状態にアップデートしておくといった基礎的な対策も忘れないようにします。
コンプライアンス違反防止や情報セキュリティ強化として注目を集めているのは「IT資産管理」という手法です。IT資産管理とは、企業が扱うハードウェアやソフトウェアなどの「IT資産」の現状を把握し、適正な状態で維持・管理することを意味します。
IT資産管理を行う目的は主に次の3つです。
IT資産管理の目的 | 概要 |
---|---|
IT資産の適正な把握と効率的な運用 | ハードウェアやソフトウェア、ソフトウェアのライセンスなどを把握した運用や会計処理 |
コンプライアンス遵守サポート | ライセンス違反や不正使用、ヒューマンエラーなどの防止 |
情報漏えいやセキュリティ対策 | IT資産本体や挙動を監視、制御、記録実施に寄る内部・外部問わない管理 |
IT資産管理を具体的に行うメリットは次のとおりです。
・社内システムやソフトウェアの不正利用を防げる
・適切な会計処理できる
・情報セキュリティの脆弱性に気づきやすくなる(強固なセキュリティ体制が整う)
・トレーサビリティが向上し履歴や情報を追いやすくなる
・コンプライアンスや情報セキュリティに対する意識が高まる など
しかし適正かつ効果的なIT資産管理を行うには、膨大な数のハードウェアやソフトウェアの監視や挙動確認、最新情報の記録などを常に実施しなければなりません。多くの時間や作業員についてのコストがかかります。大企業になるほど正確な管理が難しくなるでしょう。
そこで多くの企業では、「IT資産管理ツール(IT資産管理システム)」の導入を進めています。
IT資産管理ツールとは、IT資産管理に関する業務や記録などをシステム化し、機械的な管理を可能としたものです。主に6つの基本機能を持っています。
ツールの基本機能 | 機能の概要 |
---|---|
インベントリ管理 | インベントリ情報を自動的にサーバへ収集する |
ソフトウェア資産管理 (SAM) やライセンス管理 | 購入したソフトウェアの使用状況がライセンス違反やコンプライアンス違反に該当していないかチェックする |
セキュリティパッチ管理 | セキュリティの脆弱性の抽出と修正を行う |
操作ログ管理 | IT資産に関する操作やログインに関するログを記録する |
デバイス制御 | 外付けデバイスの接続状況のログ記録や接続制限の設定などを行う |
検疫システム | 社内システムへの接続前にウィルス感染や対策ソフト導入、最新アップデートの有無などについて検疫を行う |
(⇒ IT資産管理/セキュリティ管理統合システム「MCore」 機能紹介)
従業員のマンパワーだけでは難しかったIT資産管理を効率よくかつ適切に行えます。具体的なメリットは次のとおりです。
・常に最新のセキュリティ状態を維持しやすくなる
・外部ならびに不正を働く従業員からのログインを防げる
・社内での不正や情報漏えいの防止・早期発見ができる
・情報システム担当者の業務効率化につながる など
ツール導入をお考えの場合は、自社のIT資産に関する管理範囲や管理対象などをチェックし、どのIT資産管理ツールが適切なのかじっくり検討してみてください。
コンプライアンス違反が社会的な問題となる中、それに伴う情報セキュリティに関するリスクも増えつつあります。企業の社会的信頼の失墜や業績悪化を防ぐためにも、以下の対策をしっかり講じておきましょう。
・コンプライアンス違反につながる「動機」「機会」「自己正当化」の3つがないか見直すこと
・経営陣や従業員のコンプライアンスに対する意識を向上させること
・コンプライアンスを防止・発見するための内部体制を整えること
コンプライアンス違反・情報セキュリティリスク対策には、「IT資産管理」の手法を利用するのが効果的です。しかしIT資産管理を正確に実施するには、多大な労力とコストがかかります。
もしIT資産管理の導入をお考えの場合は、IT資産管理ツール「MCore」の導入をご検討ください。IT資産管理に関する次の機能が利用できます。
・ソフトウェアの不正利用防止やPCの社内ルール違反のチェックなどのコンプライアンス推進支援
・PC操作ログやWindows 10のアップデートに関する負荷軽減や状況把握
・デバイス制御や内部不正対策の構築サポートによる強固なセキュリティ体制の構築 など
MCoreは実際に住友電工グループでの使用を前提とした開発された、信頼性高いIT資産管理ツールです。
資料請求や体験セミナー、オンラインウェビナーなどにも対応していますので、まずはお気軽にお問い合わせください。
【関連記事】
・課題解決「ソフトウェアの不正利用をなくしたい」
https://www.sei-info.co.jp/mcore/task/compliance/unauthorized/
・課題解決「PCの社内利用ルール違反をチェックし守らせたい」
https://www.sei-info.co.jp/mcore/task/compliance/rule/
・課題解決「働き方改革の推進のため、勤務状況を把握したい」
https://www.sei-info.co.jp/mcore/task/compliance/telework/
・不正PCを監視してコンプライアンスを推進する(ネットワーク検疫)
https://www.sei-info.co.jp/mcore/function/network-quarantine/
【参考文献】
東京商工リサーチの「不適切な会計・経理の開示企業」
https://www.tsr-net.co.jp/news/analysis/20210119_01.html
帝国データバンクの「コンプライアンス違反企業の倒産動向調査(2019年度)」
https://www.tdb.co.jp/report/watching/press/pdf/p200406.pdf
IPA 独立行政法人 情報処理推進機構 「情報セキュリティ10大脅威2021」
https://www.ipa.go.jp/security/vuln/10threats2021.html