コンプライアンスマネジメントとは?

コンプライアンスマネジメントとは、IT システムを計画、監視、制御、評価し、規制基準との整合性を確認するプロセスです。

製品の安全性を保証する品質基準から、職場での適切な行動を規定する社会的ガイドラインまで、ビジネスのあらゆる側面を管理するために存在するのがルールです。ルールの中には、提案やガイドラインに過ぎないものもありますが、確立されたポリシー、あるいは従業員組合の規則や政府によって強制される法律に基づいて制定されているものもあります。このようなケースでは、ルールに従っていない場合、重大な結果を招く可能性があります。

コンプライアンスマネジメントは、企業、従業員、関連するすべての IT システムが、確実にこれらの基準を維持するように存在します。

規制基準は、さまざまな理由で存在します。多くの場合、これらの規制は、企業が地域社会の継続的な安全と幸福に反するような行動をとることを防ぐために設けられています。企業は、高品質の製品とサービスを提供し、顧客や他の人々を誤解させたり危険にさらしたりしないような方法で運営を行う責任があります。また、コンプライアンスは、企業が競合他社と取引する際に従うべきガイドラインを確立し、市場において「公正な商取引」を促進することにもつながります。

連邦、州、地域の指令の中心では、倫理的な問題が発生することが多くあります。これらの法律に従わない場合、罰金、企業幹部の懲役刑、あるいは企業自体の強制的な閉鎖や再編成など、企業に厳しい罰則が課されることがあります。

当然ながら、ビジネス規制の背後にある動機は、倫理的な懸念だけではありません。基準、法律、ベストプラクティスを確立することは、競争上の優位性を生み出すことにつながります。一つには、重要なプロセスや手順を遵守している企業とは、顧客はより積極的に取引することを考える可能性が高いことが挙げられます。同時に、これらの手順の多くは、ビジネス自体のより良い管理を促進するために存在するものであり、企業は確立された標準、法令、ベストプラクティスを遵守することで、全社的な改善を見ることができます。これは、特に企業の IT システムにおいて顕著に現れます。

  • IT におけるコンプライアンスマネジメントは、企業にとって次のような価値・効果をもたらします。
  • IT のアップデートや緊急パッチの適用など、特定のアクションを実行する前に、必要な承認を確実に取得。
  • 財務報告の正確性と一貫性を保証。
  • 顧客、サプライヤー、従業員、会社の機密データに対するリスクの回避。
  • 脆弱性が検出され、適時に対処されることを保証するためのサービスレベルアグリーメント (SLA) の締結。
  • エスカレーションパスまたは通知チェーンの特定。

コンプライアンスマネジメントを成功させるには、企業が自社のインフラストラクチャと関連するすべてのシステムを明確に把握することが必要です。そのためには、企業は次のようなアクションを取る必要があります。

評価

評価では、コンプライアンスに違反するシステム、プロセス、ベンダー、またはアプリケーションを特定します。これには、脆弱なシステムやパッチが適用されていないシステム、あるいは単に他の方法で規制要件を満たしていないシステムなどが含まれます。システムを評価するためには、まず、すべての関連する規制を、規制の枠組みや分類法に取り込みます。次に、コントロールを作成し、重複がないように整合させます (多くの規制には類似の要件が存在します)。これらのコントロールを使用してシステムの評価を行い、コントロールのテストを定期的に実施することで継続的に監視する必要があります。

優先順位を付ける

コントロールのテストを通じて検出されたコンプライアンス上の問題や、「監査」ログで特定された問題は、次に、必要な労力、ビジネスへの潜在的影響、問題の重大性に基づいて優先順位付けする必要があります。コンプライアンス上の問題を、業務に関連するリスクとその是正に必要なリソースに基づいて分類することにより、企業は、最初に「多くの労力をかけずに解決できる」重要な問題に取り組んでから、緊急性や単純性が低い他の問題に着手することができます。

対応

コンプライアンスは、問題を改善することよりも、問題の監視、優先順位付け、報告を行うことに重点を置いています。コンプライアンスの問題が検出された場合、コンプライアンスマネジメントチームは詳細を確認し、IT 部門や他のチームに問題を移管して是正させるか、関連するリスクを受け入れてコンプライアンス問題を未解決のまま放置するかを決定しなければなりません。ポリシーの例外が発生した場合には、リスクチームはリスク評価を実施することによって、リスクを低減、容認、移転、あるいは回避するかどうかを判断するために必要な情報を得ることができます。ポリシーの例外を認めるのはごく少数に限定し、すべてのポリシーの例外には終了日と、期限が切れそうになるとユーザーに通知するリマインダーを設定します。

レポート

変更を実施して、システムの再評価を行ったら、変更が有効になり、システムがコンプライアンスに適合したことを検証するレポートを作成します。さらに、すべての段階でモニタリングとレポート作成が行われる必要があります。継続的にモニタリングすることで、傾向を把握し、コンプライアンス違反の問題をより迅速に特定して、解決策や例外をリアルタイムで更新することができます。

規制、法律、標準、ポリシーを遵守することは、現代のビジネスにおいて必要な側面です。しかし、コンプライアンスを正しく管理することは、時として困難となることが見込まれます。ここでは、コンプライアンスにまつわるいくつかの課題について簡単に説明します。

増え続ける規制

IT システムを安全かつセキュアに運用し、機密性の高い顧客データを漏洩させないために、常に新しい法律や規格が作り出されています。このため、企業のコンプライアンスマネジメントソリューションには高い適応性が求められますが、現在の多くの選択肢はこれに対応していません。

セキュリティ環境の変化

セキュリティの脅威は、規制基準よりもさらに急速に進化しています。今日一見安全に見えるシステムも、明日には新しい脅威や未知の攻撃手法に対して簡単に脆弱になる可能性があります。

統合性と可視性の欠如

ほとんどの企業の IT システムは、一元的に管理されているわけではなく、複数の現場やクラウドベースのプラットフォームに分散した環境で運用されています。統合されたレポートや企業全体の可視性がなければ、現在のコンプライアンス状況や関連する脆弱性、リスクを完全に把握することは非常に困難です。

過度に複雑なインフラストラクチャ

大規模なチームに加え複雑な IT 環境が調整を困難にし、これによりコンプライアンス評価が遅れ、責任の所在に矛盾や誤解が生じる可能性が出てきます。

サードパーティとの統合

請負業者、ベンダー、その他のサードパーティと協働する企業は、協働しているそれらのパートナーがアクセスできる機密性の高い顧客データやビジネスデータの管理方法について、責任を負うことが考えられます。このような状況は、サードパーティや非正規雇用の請負業者に対する効果的なコンプライアンスのモニタリングが、常に可能であるとは限らないため、問題となる場合があります。

近年、効果的なコンプライアンスマネジメントを阻む多くのハードルが進化しているのと同様に、トップ企業もそのアプローチを拡大しています。今日、法規制のコンプライアンスを確保するには、多くの場合、関連するすべての環境を監視、分析、報告することができる多用途のアプローチが必要とされます。適切なツールを導入することは、この目標に向けた大きな一歩となります。

その他のコンプライアンスのベストプラクティスを、以下に挙げています。

毎日のシステムスキャンの実施

包括的なコンプライアンスのモニタリングを行う場合は、「最新の状況」としているものが、十分に最新とは言えない場合があります。コンプライアンスに関する問題は、不意に予期せぬ形で発生するものです。そのため、日常的にシステムスキャンを実施することで、問題や脆弱性が顕在化した際に、問題が業務に影響を与える前に対応することができます。

ポリシーの見直しと改善

会社のポリシーは固定的なものではなく、新たな進歩や法律、セキュリティ上の脅威に対応できるよう、動的で柔軟なものである必要があります。定期的に IT ポリシーを見直す日を設け、必要に応じて更新できるようにしましょう。

新しい規制を常に把握

IT コンプライアンスと法規制に関する最新情報を入手することは、企業の責任です。RSS フィードやその他のサービスを利用することで、企業は、事が起きた時の変化に対処する計画を立てるために必要な、予兆を得ることができます。

自動化の導入

手作業によるコンプライアンスマネジメントは、正確性に欠け、非効率的であり、非常に時間がかかります。また、企業が成長するにつれ、手動のコンプライアンスプロセスがその成長に対応できなくなる可能性もあります。自動化を取り入れることで、特定の重要な「反復」タスクを機械プログラムに委ねることが可能になります。これにより、企業はコンプライアンスマネジメントを簡素化し、正確性、一貫性、生産性を向上させ、ビジネスの急成長に対応することができます。

最新のパッチの適用

コンプライアンスを確保するために企業が取るべき最も簡単で効果的な方法は、すべての IT システムにパッチを適用し、最新の状態に保つことかもしれません。多くの場合、パッチの適用はほぼ完全に自動化することができます。パッチが適用されたシステムについては、すべて、機能再開を許可される前にパッチテストを実施し、実行可能であることを確認する必要があります。

多くの場合、コンプライアンスは法律で義務付けられています。また、法律で義務付けられていない場合でも、IT やビジネスの主要なポリシーと規格を遵守することで、大きな価値・効果を得られる場合があります。コンプライアンスマネジメントを始めるには、次のステップに従います。

  1. 企業内のすべてのリーダーと主要な意思決定者から合意を得る。
  2. 重要な規格や規制を特定し、ポリシーを概念化して、コントロールを策定する正式なプログラムを作成する。
  3. コンプライアンスマネジメントの対象となる重要なシステム、資産、プロセス、ベンダーを特定する。
  4. 重要なシステム、資産、プロセス、ベンダーのコンプライアンスに責任を持つべき人物を特定する。
  5. コンプライアンス違反を特定するために、データ、監査ログ、資産情報の (CMDB のような) 一元管理リポジトリを作成する。
  6. 必要に応じて、専門的な知識を持つ外部の支援者を配置する。
  7. すべての関連部署でコンプライアンスのトレーニングを実施し義務化する。
  8. 継続的なコンプライアンスのモニタリングのためにコントロールテストを自動化する。

ServiceNow は、Gartner Magic Quadrant の IT Risk Management 部門のリーダーに選ばれ、デジタルコンプライアンスソリューションの分野でも業界をリードする存在です。受賞歴のある Now Platform 上に構築された ServiceNow Governance, Risk, and Compliance (GRC) は、企業が効果的なガバナンスのフレームワークを構築できるよう支援します。

これらのフレームワークの中で、ユーザーは規制の取り込み、ポリシーの特定、ポリシーライフサイクルの定義、コントロールの割り当てとテスト、証明書の作成、定期テストのスケジュール、問題とタスクの管理手順の実行を行って、発生したコンプライアンスの問題に対応することができます。ServiceNow GRC は、動的な一元化されたダッシュボードと直感的なレポート機能によってサポートされており、企業は、迅速で決断力のある行動を取るために必要な情報を得ることができます。

Compliance Management について

継続的なコンプライアンスをビジネスの成功に不可欠な要素に変換させる、Policy and Compliance Management の詳細をご覧ください。

連絡先
Demo