コンプライアンス、ガバナンス、リスク管理とは何か?
個人的な意味でコンプライアンスを理解するには、銀行から毎年プライバシー通知を受け取ったり、医師による診察時に HIPAA フォームに署名したり、パスワードを誤って使用するためのロックアウトを経験したりすることを考えてください。IT プロフェッショナルにとって、コンプライアンスには、社内ポリシーと、会社に課せられる外部の法律、ガイドライン、および規制の両方を順守していることを体系的に証明し、維持し、提供する活動が含まれます。
これは、防御可能なプロセスを通じて行われます。コンプライアンスには 2 つの要素があります。1 つ目はコンプライアンスの管理に焦点を当てること、そして 2 つ目はコンプライアンスの遵守と証明に使用されるシステムの整合性を管理することです。今日、情報の電子的な共有と保存を行うことは、財務、人事、運営などの部門が情報の収集、普及、レポートを作成する際に IT のサービスに依存し、影響を受けるため、IT コンプライアンスの役割は拡大し続けています。
IT コンプライアンスは、情報の入手と保存方法、セキュリティの確保、可用性 (社内外への分散方法)、データの保護など、情報を適切に管理および保護しています。内部コンプライアンス機能は、ビジネスのポリシー、目標、組織構造を中心に展開されます。外部の考慮事項には、会社とエンド ユーザーを危害から保護しながら、顧客/エンド ユーザーに満足していただくことが含まれます。コンプライアンスを達成し、それを維持し続けるために、専用のツールを使用して、継続的に特定、モニタリング、報告、および監査を行います。
IT ガバナンスは、IT コンプライアンスとの関連する最も重要な技術的、戦略的、手順的なプロセスを管理し、対処する機能です。IT ガバナンスは、コーポレート ガバナンス プロセス全体のサブセットであり、ほとんどの場合、最高コンプライアンス責任者 (CCO) などの適切な経営幹部の専門家によって監督され、最高技術責任者 (CTO) からの部門間の責任が増します。
リスク管理とは、システム管理を通じてリスクを軽減および管理する方法であり、IT ガバナンスおよび IT コンプライアンスと緊密に連携した不可欠な機能です。GRC (ガバナンス、リスク、コンプライアンス) は、ポリシー、プロセス、コントロールを効果的かつ適切に管理するための統合戦略です。これら 3 つの機能を独立した目的としてではなく、まとめて管理をすることで、重複を排除し、情報やコミュニケーションの安全な発信を促進できます。
ISACA とは?
規制環境が拡大するにつれ、この環境をよりよく理解するための情報を、専門家が見つけるのを支援する機関も成長しています (これには IT マネージャーや経営陣も含まれます)。The Information Systems Audit and Control Association (情報システム監査管理協会: ISACA) は、そのような組織の 1 つです。ISACA は、メンバー主導の非営利団体であり、ニュース、ジャーナル、ツール、教育、およびリソースの共有を提供しています。また、コンプライアンス、リスク管理、監査、サイバーセキュリティに関する意見も提供しています。 また、以下のような IT コンプライアンス専門家の認定も促進しています。
- 公認情報システム監査人
- 公認情報システム リスク管理者
- 公認 IT ガバナンス専門家
- 公認情報管理者
このような ISACA およびその他の組織が提供している認定は、専門家がコンプライアンスのベスト プラクティスを理解し、実装するのに役立ちます。マーティン・ワイス (Martin Weiss) とマイケル・G・ソロモン (Michael G. Solomon) は、著書『Auditing IT Infrastructures for Compliance』の中で、今日の専門家が抱える複雑さについて議論しています。「まず、IT の担当者が法律に関する知識を得ていることは、めったにありません。次に、ほとんどの要件には技術的な詳細が欠けており (中略) (そして) 多くの規制は要件が曖昧です。」さらに、法律や規制に準拠する方法を考案するのは、ほとんどの場合、業界、個々の会社、法務チーム、経営幹部、コンプライアンス担当者や監査人であると述べています。
多数の規制コンプライアンス基準を理解する
議会によって制定された規制法令は数多く存在します。法律は通常、社会的または経済的な問題への対応策であり、「規制の成立」であると考えられます。その後、適切な政府機関は、法令によって認可された規制の作成および施行を任されます。ほぼ必須事項である保護には、プライバシーの保護、詐欺の防止、セキュリティの提供、および標準化、義務、説明責任を通じてアイデンティティを保護するために、特定の規制と情報の保護が組み込まれています。
米国で製品やサービスを提供している企業は、これらの規制を知り、遵守することが求められます。CCO や CTO を含む企業の法人および経営幹部は、関連する規制の遵守を達成し、ポリシーを遵守することが求められます。場合によっては、これらの経営陣は合法的な遵守と報告に対して個人的な責任を負い、厳しい罰則や懲役刑などの個人的な責任を負うことがあります。また、データを提供する前に法的手続きやプロセスの対象となる情報が求められる場合、電子情報開示の対象となる可能性のある情報の違法な破棄に対する保護など、コンプライアンスに関するその他の規定も制定されています。
連邦政府の政策に加えて、多くの企業は国際基準に加え、現地、地域、州の規制にも準拠しなければなりません。どの法律、規制、法令、義務が必要かを特定することは困難な場合があります。法務チームと経営幹部が、コンプライアンス担当者の指導と推奨の下で、コンプライアンスの範囲を決定する責任を負うことに、多くの人は同意しています。
IT コンプライアンスに影響を与える最もよく知られている基準には、次のようなものがあります。
2002 年に成立した The Sarbanes -Oxley Act (上場企業会計改革および投資家保護法: SOX) は、財務の透明性と報告を規制するための広範な法律です。これは、Enron (エンロン) と WorldCom (ワールドコム) の不正行為に対する直接的な対応として議会によって制定されました。第 404 条は、財務報告管理の分野において、IT 部門にとって重要な意味を持っています。
Gramm-Leach-Bliley Act (グラムリーチブリリー法: GLBA) は 1999 年に署名され、金融機関がプライバシー ポリシーの消費者保護 (毎年通知による) を管理することを義務付けています。また、口頭による詐欺 (不正な手段、偽装、または推測による情報の不正な取得) に対しても、適切な社内外の保護措置が必要です。
2002 年に The Federal Information Security Management Act (連邦情報セキュリティ管理法: FISMA) が可決され、毎年システムの見直しを要求することで、連邦官僚組織の情報セキュリティを義務付けています。
HIPAA、または Health Insurance Portability and Accountability Act (医療保険の携行性と責任に関する法律) の第 II 編では、保険会社、医療提供者、医療保険を提供する雇用主による情報、特に保護された医療情報 (PHI) を規制するためのポリシーとガイドラインを明確にしています。
2001 年のペイメント カード業界データ セキュリティ基準 (PCI DSS) は、MasterCard、Visa、その他のクレジット カード会社によって制定された業界で導入されている推奨事項で、メンバーおよびサービス プロバイダーに ID 保護を提供します。
2011 年に保証業務基準書 (SSAE 16) に関する記述書が施行され、それまでサービス組織の管理に関するレポートとして使われていた SAS 70 に取って代わりました。SSAE 16が適用される一般的な IT 関連企業は、データセンター、ISP、および Web ホスティング サービス プロバイダーなどが挙げられます。
バーゼル III は銀行業界に適用され、損失が発生した場合に回収するために準備する必要がある資本金の額を決定するのに役立ちます。この規制は、より高度な計算を実行できるソフトウェアが必要であるため、IT 部門に影響を与えます。
組織に適用されるコンプライアンス規制はどれか?
多くの組織にとって、さまざまな業界にまたがる多数の規制に対処することは困難です。米国では、証券取引委員会 (SEC)、連邦コミュニケーション委員会 (CC)、連邦取引委員会 (FTC) を含む 1 つまたは複数の規制機関の権限の対象となる場合があります。 最も影響を受ける業界は、機密情報にアクセスできる金融、小売、電子商取引、医療保険とサービス、その他の保険機関、銀行、防衛、公益事業、クレジット カード発行者などがあります。しかし、このリストには、機密情報を保持する組織も含まれています。たとえば、社会保障番号を取得しているほとんどの雇用主、政府機関、大学といった組織も含まれています。
現地、地域、州、連邦、または国際規制の対象ではない企業、特にグローバル企業を特定することは困難です。HIPAA の義務は、医療保険会社や実践者に影響を与えますが、従業員に医療保険を提供する雇用主に影響を与える規定もあります。正式な法律や規制に加えて、業界標準 (バーゼル III の財務説明責任基準やクレジット カード業界の PCI DSS など) を注意してください。つまり、IT 部門が情報の機密性、整合性、信頼性、可用性を確保するために情報を保護する責任を負っている場合、コンプライアンスを必要とする多数の規制が存在する可能性があります。
コンプライアンス監査とレポート
評価と監査は、コンプライアンスを判断する方法です。コンプライアンス監査は監査委員会によって実施され、ポリシー、手順、運用、および管理を体系的に見直し、会社が適用法を遵守しているかを判断します。IT 部門は全社的な範囲を持っているため、通常、監査は多数の部門にまたがって行われます。IT コンプライアンス監査のスコープは、法律と要件を特定し、特定の法律、要件、または基準がどのように満たされているかを評価し、コンプライアンス違反に対する推奨事項と救済策を提供します。
コンプライアンスの証拠を含むデータの相関ログを提供するために、監査中に IT コンプライアンス レポートが必要になることがよくあります。 IT チームは、監査に加えてコンプライアンス レポートを使用し、重大な損害が発生する前に修正が必要なセキュリティ違反、潜在的な脅威、およびポリシー違反を明らかにします。バランスのとれたスコアカードは、ビジネスのミッションに影響を与えることなく、コンプライアンス戦略が成功しているかどうかを測定するオプションの 1 つです。
ガバナンスのベスト プラクティス フレームワーク
Gartner Research (ガートナー リサーチ) は、IT ガバナンスを「組織が目標を達成するために IT を効果的かつ効率的に使用できるようにするプロセス」と定義しています。ガバナンスを支援するフレームワークはすでに数多く存在します。これには以下が含まれます。
- 情報テクノロジー インフラストラクチャ ライブラリ (ITIL) には、IT サービスをビジネス目標と一致させる 5 つの基本原則 (戦略、設計、移行、運用、サービス) があります。これらを組み合わせることで、強力な IT ガバナンス構造の基礎となります。情報セキュリティのニーズの高まりや複雑さをサポートするために、国際標準化機構 (ISO) は、セキュリティとリスクをサポートする管理に対応するための規格を提供しています。
- CobiT フレームワーク (情報および関連テクノロジーの制御目標) は、ISACA の研究部門である IT ガバナンス協会 (ITGI) によって開発されました。これは、IT 部門のガバナンスと管理のフレームワークであり、論理的な実装とコントロールの構成を容易にします。4 つのプロセス ドメインを通じて、ビジネス目標と IT 目標の両方を効果的に結び付けるために使用できます。
- ISO 27001 は、情報セキュリティ管理のための 12 の目標を定めています。統合セキュリティ管理システム (ISMS) の開発には、テクノロジーに依存しないアプローチが必要です。
コンプライアンスの責任者は誰か?
ベスト プラクティスのフレームワークを使って、コンプライアンス規制の遵守を導くことはできますが、人がそれを実現しなければなりません。コンプライアンス戦略と実施の役割は、部門や経営幹部のポジションを持つ企業内で進化しています。その中には、CCO と共に IT コンプライアンスに取り組む要素の監督、計画、管理を担当する専任のコンプライアンス部門も含まれます。CCO とコンプライアンス チーム全体の役割を詳しく見てください。
最高コンプライアンス責任者 (CCO): CCO は、コンプライアンスの問題を管理および解決するための社内外のコントロールの開発など、コンプライアンス リスクを特定および管理する責任を負います。多くの場合、CCO はコンプライアンス部門を設置し、ビジネスおよびスタッフに完全なコンプライアンス サービスを提供します。
最高技術責任者 (CTO): CCO とは異なり、CTO はコンプライアンス、ガバナンス、リスク評価など、テクノロジーのフレームワークとインフラストラクチャ全体を監督します。
コンプライアンス部門: 組織に専用のコンプライアンス部門がある場合、適用されるすべての規制と義務のコンプライアンスの管理と監督が義務付けられます。職務には以下が含まれます。
- リスクの特定
- リスク管理の実施
- コントロールの効果に関するレポート
- コンプライアンス上の問題の解決
- ビジネスに規制アドバイスの提供
ただし、技術的、手順的、戦略的な管理は、責任リスクが最も高い人 (IT スタッフ、CIO、CFO、CEO) が行います、企業構造のメンバーはすべて機密情報を保護する規制を遵守する責任があることに、注意する必要があります。
IT コンプライアンス: 目標と課題
IT コンプライアンスの全体的な目標は、会社の法的および倫理的な整合性を達成し、証明する手段を提供する技術的、手順的、戦略的なフレームワークを構築することです。防御可能なメカニズム、ポリシー、手順を提供することで、以下のような事態を回避できます。
- 企業イメージおよび消費者の信頼を損なう
- 収益の損失、市場機会の低下、および株式価値の低下
- 救済費 (訴訟費用、罰金、判決、購入した消費者保護、資本買収、生産性の低下)
しかし、この目標を達成することは、多くの課題と向き合わなければなりません。まず最初に、新しい法律の複雑さとスコープは、解釈によって異なることがあるということです。規制自体には具体的なロードマップがないため、業界固有のガイドラインとベスト プラクティスが数多く用意されており、これによって明確さとガイダンスが提供されています。
その他の課題は次のとおりです。
- 従業員の教育不足
- 企業の IT システムを回避する個人のモバイル デバイスなど、シャドー IT の問題。
- 不正なアプリケーション
- サービス プロバイダー (クラウド サービスとデータ センター) に関する問題
- ソーシャル メディアの役割
- 現在の規制、更新、新しい法律の数
IT ガバナンス、リスク、コンプライアンス管理およびソフトウェア ソリューション
IT コンプライアンスのニーズの高まりや変化に対応するために、多くの組織がソリューション戦略を実装しています。選択したソリューションの種類 (理論上のフレームワークやソフトウェア プラットフォーム) に関係なく、今日のビジネス環境で確実に機能するようにしてください。IT コンプライアンス ソリューションは適応性が高く (規制の変更に合わせて更新できるように)、継続的な内部調査、対話、関係者の教育を可能にし、コンプライアンス違反の問題を効果的に管理する必要があります。
GRC という用語は、IT コンプライアンスおよびコーポレート ガバナンスの統合的な責任を組み合わせて、リスク管理の活動を強化しています。Gartner Research (ガートナー リサーチ) は、「ハイプ サイクル」を通じてリスク管理をサポートすることの重要性をさらに強調し、統合リスク管理 (IRM) 全体に焦点を当てた 7 つの市場セグメントを特定しています。
- オペレーション リスク管理 (ORM)
- IT リスク管理
- IT ベンダー リスク管理
- 事業継続管理計画 (BCM)
- 監査管理
- 企業コンプライアンスと監視
- 企業法務管理
7 つの分野のうち 2 つが IT に直接関連しており、Gartner (ガートナー) の 2016 年の『Market Guide for Integrated Risk Management Solutions』では、アナリストのジョン・A・ウィーラー (John A. Wheeler) 氏は、「(中略) IT リスクはサイロ化されて管理していますが、不正行為や回復力など、他のリスク分野で失敗を示す主要な指標として認識されることが増えています。」と述べています。また、Gartner (ガートナー) は、統合リスク管理を、ガバナンス、リスク管理、コンプライアンスといった強力なシステムの機能をよりよく定義するためのフレーズとして使用し始めました。
統合リスク管理ソリューション (IRMS) の採用には、ベスト プラクティスと手順の開発を支援する多数のフレームワーク (CobiT および ITIL) と組織 (COSO) を利用することができます。
また、多くの組織は、IT コンプライアンスを管理するためのソフトウェア ソリューションの採用を選択しています。ITコンプライアンス ソフトウェアは、重要な機能をサポートし、マイクロ機能およびマクロ機能、統合された機能とコントロール、およびモバイル ソリューションによって、コンプライアンスとリスク管理の両方を提供しています。コンプライアンス管理ソフトウェアを評価する際に求める機能は次のとおりです。
- 脆弱性の特定
- システム制御およびアプリケーション セキュリティ機能
- 障害またはインシデント後の迅速な復旧機能
- リスク評価と危険の特定
- ドキュメント管理とプロジェクト管理
- 継続的なオペレーション管理とメンテナンス管理
- 監査ログと認証
- 根本原因分析と鑑識
- ファイアウォール、ネットワーク セキュリティ、およびマルウェアの検出
- 変更管理とトラブル チケット追跡
- 災害復旧
- 電子メールのアーカイブ
ソフトウェア ソリューションの採用を検討する際には、まずすでに実装されている目標、プロセス、手順の明確な計画、評価、および見直しをする必要があります。たとえば、どのコンプライアンス問題を追加または強化する必要があるか、またソフトウェアをどのように活用して支援するかを明らかにします。このプロセスをガイドするために、解決策を調査している際に質問事項を策定したり、情報を収集したりするのに役立つ業界組織や専門家が数多くあります。たとえば、『Gartner Magic Quadrant for IT Risk Management Solutions』は、企業コンプライアンス セグメントをカバーしており、ソフトウェア ベンダーをリスト化し、製品の強みと適切なアプリケーションを評価します。
ソフトウェアを最終的に選択する前に、次のことを確認してください。
- ベンダーの履歴と評判を評価する
- ベンダーに複雑なコンプライアンスに関する質問を行い、あなたのニーズと要件を確実に理解してもらう。
- 製品のデモを行い、主要な人員に参加してもらう
- 業界アナリストや専門家と協力する
- 特定の組織のガバナンス、リスク、コンプライアンス要件に基づいて評価を行う
最終的には、利用可能なソフトウェア ソリューションを徹底的に調査することで、ニーズに最も合った製品を見つけることができます。不必要かもしれない高性能のアドオンなどに惑わされないように注意してください。研究結果を決定要因にしてください。
IT コンプライアンス ソリューションのメリットとベスト プラクティス
前述のとおり、コンプライアンス規制を遵守しない場合、組織の収益に大きな影響を与えてしまう可能性があります。したがって、強固な IT コンプライアンス戦略およびサポート ソリューションを確立することは、組織の将来の成功にとって非常に重要です。強力な IT コンプライアンス ソリューションを使用すると、次のことが可能となります。
- GCR データ ソースとの統合により、現在のコンプライアンス要件を最新の状態に保つ
- 必要なすべての IT GRC 規制を踏まえたプロセスの標準化
- 自動化されたプロセスおよびワークフローで効果を向上
- リアルタイムの IT コンプライアンス レポートでリーダーシップを発揮
- 監査のための正確な記録の維持
- IT コンプライアンス サービスへの投資を最大化
- プロセスとワークフローに、関連するコンプライアンスのベスト プラクティスを組み込む
- IT リソースを管理し、説明責任を果たす
コンプライアンスと IT リスクの回避 – コンプライアンス リーダーのためのアドバイス
前述したように、IT コンプライアンスには多くの課題があります。ここでは、コンプライアンス違反に伴う高額な罰金、ペナルティ、その他の法的結果を回避するのに役立つヒントをいくつかご紹介します。
- 従業員にデータ プライバシーに関するあらゆる事項を教育し、保護のためのツールを提供してください。
- モバイル従業員には、リモートワイプ機能や企業データへの安全なアクセスなど、セキュリティ ポリシーと防止メカニズムを搭載したノートパソコンやデバイスを提供してください。
- ダウンロード可能なアプリケーションへのアクセスを制限するための承認メカニズムを導入してください。承認されたソフトウェアとアプリケーションのダウンロードのみを許可してください。
- セキュリティのために暗号化を適用し、安全なアクセスが搭載されていないデバイスからのアクセスを防ぎます。
- セキュリティで保護された最新のクラウド ストレージ ソリューションのみを使用します。
そして最後に、優れた IT コンプライアンス システムには、現在の高度に接続されている環境の現実と複雑さを伴っています。すべての従業員は、データを保護し、倫理的に機器を使用する役割を担っています (たとえば、ラップトップやコンピューターの使用時、たとえそれが現場外でも、保護しなければなりません)。IT コンプライアンスは、これまで以上に強力なガバナンス フレームワーク、適切なポリシーと保護、およびインシデントが発生した場合に会社を保護するための防御可能なプロセスが必要とされています。
Smartsheet を使用して、IT とオペレーションをより良く管理する方法をご覧ください
ニーズに合わせ変化に対応できるようデザインされた、柔軟性のあるプラットフォームで、チームの能力を最大限に引き出しましょう。 Smartsheet プラットフォームなら、いつでもどこでも簡単に作業の計画、保存、管理、およびレポート作成が可能なため、チームはより効率的かつ効果的に仕事を進めることができるようになります。作業に関して主要なメトリックを表示したり、リアルタイムの可視性を提供したりするために、ロールアップ レポート、ダッシュボード、および自動化されたワークフローを作成する機能も装備されており、チーム メンバーをつないで情報共有を促進することが可能です。 やるべきことを明確にすると、チームの生産性と作業達成能力が向上します。ぜひこの機会に Smartsheet を無料でお試しください。
Smartsheet がこの Web サイトに掲載している記事、テンプレート、または情報などは、あくまで参考としてご利用ください。Smartsheet は、情報の最新性および正確性の確保に努めますが、本 Web サイトまたは本 Web サイトに含まれる情報、記事、テンプレート、あるいは関連グラフィックに関する完全性、正確性、信頼性、適合性、または利用可能性について、明示または黙示のいかなる表明または保証も行いません。これらの情報に依拠して生じたいかなる結果についても Smartsheet は一切責任を負いませんので、各自の責任と判断のもとにご利用ください。
これらのテンプレートはサンプルとしてのみ提供されています。これらのテンプレートは、決して法的またはコンプライアンス上のアドバイスを意味するものではありません。これらのテンプレートのユーザーは、必須の情報および目的を達成するために必要な情報を見極める必要があります。