Skip to content ↓ | Skip to navigation ↓

News. Trends. Insights.

「コンプライアンス」という言葉をよく耳にするようになってから数年が経ちます。多くの企業ではコンプライアンスを策定し、従業員が遵守するよう日々邁進しているのではないかと思います。

しかし、それでも尚、コンプライアンス違反は日常的に発生しています。

コンプライアンスって結局なに?

日本では「法令順守」と訳されることの多いコンプライアンスですが、この言葉故に誤解を生んでしまっているケースも少なくありません。なぜなら、コンプライアンスとは法令だけを指したものではないからです。

コンプライアンスでは下記の3つの要素を含んでいます。

法規範

行政として定められた法律や条例、法的な拘束力を持つ規則

社内規範

組織内で定められた業務マニュアルや業務規則など

倫理規範

職務上、遵守しなければならない企業倫理や、人として守るべき社会的倫理

つまり、コンプライアンスを砕けて言うと「国が定めた法律はもちろん、企業が定めたルールや規則、人として当たり前の常識を守りましょう」というものです。

対策のポイント

標的型攻撃の対策を取るためには、まず組織全体のセキュリティ意識を高めることと、インシデントが発生した際の迅速な情報共有体制を整ることが重要です。

偽装した電子メールにも不審な点は必ずあります。メールアドレスのドメインがフリーメールであったり、添付ファイルがZip形式であったり、ファイル形式とアイコンが不一致であったりと様々です。

エンドユーザーが電子メール業務の際に少し意識できていれば、防げるものがいくつもあいます。また、偽装メールを受信した際は、迅速に情報共有を取ることで類似した攻撃を防ぐことができます。

標的型攻撃は短期間に何度も実行されることが多いので、情報共有が非常に重要となるのです。

2.Webサイト改ざん

Webサイトを運営しドメインを公開している限り、Webサイトに対するサイバー攻撃は必ずと言っていいほど受けています。攻撃者がWebサイトにサイバー攻撃を仕掛ける理由は、情報搾取や金銭目的だけではありません。

例えば、Webサイトに不正プログラムを組み込み、より高度なサイバー攻撃の踏み台にする可能性もあります。万が一自社Webサイトがサイバー攻撃に起点になれば、企業は被害者にも加害者にもなるということです。

また、Webサイト改ざんにより直接的に個人情報を搾取するケースや、標的型攻撃へと繋げるケースもあります。

コンプライアンスはなぜ必要なのか?

コンプライアンスの重要性が高まった背景にはいくつかの理由があります。まずは、業績拡大や短期的な利益を優先し、企業が違反行為や反社会的行為に手を出し、消費者に不利益になるような事例が多く発生してためです。

食品の賞味期限を改ざんしたり、原材料を偽ったり、毎年様々な事例をニュースで目にしいてるかと思います。

こうしたコンプライアンス違反が頻繁に発生したことで、企業のみならず業界全体への信頼低下が起き、各企業でコンプライアンス遵守による信頼性回復を図るなどの行動が起きました。

そして、企業経営に求められる要件が、年々拡大しているのも理由の一つです。現代の企業には社会的責任を果たすことが強く求められており、ブランドイメージに直結することからもコンプライアンスの重要性が増しています。

この他様々な理由から、コンプライアンスは年々必要性が増しているのです。

コンプライアンスの作り方

では、自社でコンプライアンスを作成していくにはどうすればいいのか?ここではその手順を簡単に解説します。

コンプライアンス推進体制

まず大切なのはコンプライアンス推進体制を整えることです。そのためには、コンプライアンス専任部署を設置する必要があります。専任部署は基本的に取締役会の下に配置し、コンプライアンス推進において必要な権限を与えます。

この部署の責任者が言わば「コンプライアンス担当」として、社内のコンプライアンス体制を牽引していくので、一定の影響力を持つ人物を専任するのが望ましいと言えます。

また、可能であれば社外の有識者を含む「コンプライアンス委員会」を設置することで、外部からの視点を取り入れたコンプライアンスを策定することができます。

ただし、委員会はあくまでより良いコンプライアンスのために議論を行う会なので、実務を担当する部署を設けるのが一般的です。

行動基準を作成

コンプライアンスの行動基準を作成する上で重要なのは「倫理方針」「コンプライアンス規定」「内部規定」の3つに分けて作成することです。

倫理方針とは、コンプライアンスに対する基本方針を示すものです。法蓮遵守だけでなく、社会貢献や法令の精神、社会的に求められる人道的要請など、細部に至るまで方針を定めることで、法の抜け目を探すような考え方を排除します。

コンプライアンス規定とは、コンプライアンスにおける特に重要な事項を、具体的な行動事例を含めて解説したマニュアルです。自社がコンプライアンス違反犯すリスクと、そうなった場合の社会的影響を整理したものでもあります。

そして内部規定とは、一般的にコンプライアンス関連部署の権限を規定したものとなります。

リスク評価と対策

コンプライアンス作成時点で、リスク評価をそれに対する対策を立てていきますが、現場レベルまで落とし込んでリスクマネジメントを行うことが重要です。こうすることで、隠れたコンプライアンス違反リスクの発見や、コンプライアンスをより身近なものとして実感してもらうことができます。

教育の実施

コンプライアンスは作成して終わりではなく、全従業員がそれを理解し、かつ徹底して遵守する必要があります。従ってコンプライアンス作成後はまず教育活動を行い、コンプライアンスに対する理解を深めるための啓蒙を行っていきましょう。

適切な文書管理

作成したコンプライアンスは、従業員がいつでも好きな時に参照できるよう、適切に管理されている必要があります。コンプライアンスは言わば従業員の行動基準になるため、見読性を保つことが重要です。

コンプライアンスの監視

コンプライアンスは継続的に改善しいてく必要のある規定です。このため、規定後はコンプライアンスがどのように機能しているかを監視し、都度改善しなければなりません。

また、従業員がコンプライアンス違反を通報できるよう、匿名性での違反報告ができる環境も必要です。

よくあるコンプライアンス違反事例

実は日常的に起きているコンプライアンス違反、ここではよくある事例を紹介します。

消費者にとって不利益になる行動をした

前述した賞味期限の改ざんは、目先に利益を求め消費者にとって不利益になる行動であるため立派な行動違反です。企業は消費者の利益を優先しなければならない立場のため、ある情報を開示することで自社が不利になったとしても、その情報を開示しなければならない義務があります。

これを怠ったり、改ざんするとコンプライアンス違反となります。

重要情報が入ったPCや鞄を紛失した

警察庁が発表した「平成23年の犯罪情勢」によると、置き引きの認知件数は43,238件も報告されており、1日に約120件もの置き引き事件が発生しています。さらに、近年置き引きにより重要情報が入ったPCや鞄を紛失してしまったという事例も多く発生しているので、コンプライアンスに対する意識の低さが現れた結果とも言えるでしょう。

特に、個人情報が入ったファイルなどを紛失するのは企業として大きな信頼低下に繋がるため、十分注意が必要です。

まとめ

コンプライアンスを遵守するためには、企業が努力するだけでんなく、従業員の協力を煽ることも非常に重要です。従ってコンプライアンスを作成して終わりではなく、組織の末端まで浸透するよう、しっかりと教育活動を行う必要があります。

単なる「法令遵守」ではなく、コンプライアンス対応がブランドイメージは企業利益を直結することを十分に理解した上で、適切なコンプライアンス対応を目指していただきたいと思います。

また、コンプライアンス対応のためには時にソリューションを導入する必要があります。特にPCI DSSなど情報セキュリティにおいて重要なコンプライアンスに強く求められます。

そうしたコンプライアンス遵守のためのソリューションについても、ぜひチェックしてみてください。

改ざん検知まるわかりガイド