企業や組織における法令遵守のこと
コンプライアンスとは
直訳すれば、コンプライアンスは「(法、要求などに)従うこと」であり、ビジネスシーンではしばしば「法令遵守」という意味で用いられる。企業活動における、組織内のルールや規範に基づき行動することを指す場合が多い。また、組織以外での社会的な良識や倫理観に基づき行動することもコンプライアンスに該当する。具体的には、長時間労働や劣悪な労働環境といった問題、業務関連法規の違反、横領や架空請求、粉飾決算といった不正な経理業務、個人情報や機密情報の漏えいなどがコンプライアンス違反に該当する。以下、セキュリティの観点からコンプライアンスについて述べていく。
近年、企業の内部不正に起因する個人情報の漏えいや、組織ぐるみの情報改ざんといった不祥事を耳にする機会が増えている。インターネットやスマートフォン(以下、スマホ)をはじめ、IT技術が普及したことで、情報の持ち出しといった不正行為が容易に可能となった状況が、コンプライアンス・リスクを高める一因ともなっている。仮に、一度こうした問題を起こしてしまうと、企業の社会的信用を大きく損ないかねない。
近年におけるコンプライアンスの徹底は、企業とそこで働く従業員や家族、取引先など、あらゆるステークホルダーにとって極めて重要なテーマとして認識されつつある。
コーポレートガバナンス、内部統制との違い
コーポレートガバナンスは「企業統治」という意味で用いられる。企業経営が本来の正しい在り方で行われるよう管理・監督するための仕組みを指し、取締役会や社外取締役・監査委員会などの外部組織を設置し、運営していくことがその一例だ。コーポレートガバナンスには、先述のコンプライアンスの概念も含まれる。
また、内部統制は企業におけるリスク対策の1つであり、業務を円滑に遂行し、不正や不祥事を起こさないためのルールやシステムを指す。つまり、コーポレートガバナンスやコンプライアンスを実現するための手段として、内部統制が行われるのだ。
リモートワークで高まるコンプライアンスの重要性
働き方改革や新型コロナウイルス感染症の拡大により、リモートワークが一般化した。オフィスを縮小し、勤務時間の一部をリモートワークとする、ハイブリッドワークという働き方も定着しつつある。また、オフィスや自宅ではなく、カフェやコワーキングスペースなどで業務を遂行することも浸透している。
こうしたワークスタイルの変化はコンプライアンス・リスクと表裏一体でもある。規則で禁止事項を定めながらも、USBメモリーなどの外部記憶媒体を使った機密情報の持ち出し、あるいは組織の管理下にないクラウドストレージやSNSなどでの情報共有といった例は挙げればきりがない。また、従業員のスマホやパソコンなど、個人所有の端末を用いた業務遂行も珍しくない。いわゆるシャドーITと呼ばれるこうした状況は、従業員の意図に関係なく、情報漏えいにつながる危険性を有する。コンプライアンスの徹底には、こういった新しい働き方が抱えるリスクに応じた、具体的な対策が必要不可欠だ。
コンプライアンスのための対策
コンプライアンスを推進・徹底するための対策としては下記のようなものが挙げられる。
1)規定と罰則の明確化
就業規則や行動規範などで具体的にコンプライアンスについて規定し、罰則を設けておくことも重要である。例えば、未許可のUSBメモリーなど外部メディアを用いた情報持ち出しの禁止事項などが挙げられる。明確に規定しておくことで、従業員にコンプライアンスの重要性を明示できる。コンプライアンス規程という名称で定められることもある。
2)内部通報窓口や委員会などの体制整備
社内規程などを定めても正しく運用されなければ意味がない。そのために、内部通報窓口や監視委員会を設置し、適切な運用を促す。企業の風土によっては内部通報が正常に機能しない場合がある。そうしたことを考慮し、外部機関と連携して第三者窓口を設けることもある。
3)ITツールの整備・活用
ITツールなどの仕組みでリスクを抑制することも有効である。社内の共有フォルダーやファイルサーバーへの適切なアクセス権限の設定、アプリケーションの利用状況の監視といった対策が該当する。また、シャドーITの抑止を目的に、従業員がリモートワークでも業務が遂行しやすいよう、ノートパソコンやポケットWi-Fiの貸与、VPNサービスの活用といったことへの投資も求められるだろう。
4)従業員への研修・啓蒙
ルールを定め、仕組みを設けたとしても、働く従業員側がコンプライアンスに対して無関心であれば、十分に機能を果たせない。そのような事態に陥らないためにも、従業員への継続的な研修や啓蒙活動は欠かせない。コンプライアンスやセキュリティに関する研修を行う際は、従業員をいかに「自分ごと化」させられるかがポイントになる。コンプライアンスに反する行動が、自身を含めたすべての利害関係者に対して大きな損失を与えてしまうことを理解してもらい、仕組みやルールがそのために整備されていることを納得してもらうことが肝要だ。