エスキュービズム ラボ Blog

ビジネスコンプライアンスの中心的な中身は「法令遵守」、つまり法令や規則といった社会的なルールを守ることですが、コンプライアンス(compliance)という名詞には「順守」「準拠」「従順であること」等の意味の他に「関係者の願いや要請に応じる」という意味が有ります。このことから、ビジネスコンプライアンスの意味は論理的に定まっているのではなく、企業自身が企業理念に応じて個別に定めるものであるといえるでしょう。
今回は、IT企業における「事故前提社会での企業の存続と継続的な発展を目的としたコンプライアンス体制の構築」の必要性を通して企業の社会的責任の本質を考えていこうと思います。

• コンプライアンスの意味は法令遵守だけではない

「法令遵守」がコンプライアンスの中心的な中身である理由として、「法令に違反すると、その企業は法的責任を問われる」という事実があります。事件、事故は組織の有名無名、規模に関わらず、どのような組織でも起こる恐れがあり、IT分野における事件、事故の内容は主に「情報資産の損失」です。情報漏えい等の事故が発生した場合に企業が負う責任と損失は甚大であり、「損害賠償の支払い」「復旧までの機会損失」「風評リスク」等により社会的信頼を失い、企業としての存在が危うくなります。企業は経済的存在であるとともに社会的存在であり、社会へ与える影響を考慮し、社会の良識や常識といった「社会規範の遵守」も必要であるといえるでしょう。
つまりコンプライアンスとは、法令を遵守することも含め、企業の社会的信頼を維持向上していくために必要な事柄を実践することなのです。

• IT分野におけるコンプライアンス体制の構築

情報資産の保護が重要視されるIT業界において、コンプライアンス体制の構築には、情報セキュリティマネジメントシステムの構築が不可欠といえます。技術的な手段によって達成できる情報セキュリティには限界があり、適切なマネジメントと手順が必要ですが、情報セキュリティマネジメントには組織内の全従業員が参加しなければなりません。これは情報セキュリティを維持するためには、全従業員が参加するマネジメントシステムの構築が必要であることを意味します。効率的な情報セキュリティ対策を実践するには、ISO化された各種国際規格を理解し、体制構築に反映させていく必要が有ります。

• 各種国際規格の認証取得はコンプライアンス体制を対外的に明確化する

情報セキュリティマネジメントシステムを構築、運用するということは、組織が自主的にリスクを評価し、必要な資源を配分して情報セキュリティリスクを低減していくことに他なりません。物理的、技術的対策と人的、組織的対策を継続的に実施することは社会的責任を果たし、事業の継続的な発展につながります。しかし、これらの取り組みを実施していたとしても、社外からは実際にそのような活動を行っているか判断できません。各種国際規格の認証を取得することで情報セキュリティ対策を構築していることが対外的にも明確となり、コンプライアンス経営を実践している証明となるでしょう。

ビジネスを支えるインフラとして発展を続けるIT分野では、日々新たな技術が生まれると同時に新たな脅威が生まれています。情報セキュリティレベルが高いという「証」を手に入れることは「信頼度の増加」、延いては「営業力の強化」となり、差別化のポイントとなります。各種国際規格をコンプライアンス体制の構築に盛り込んでいくことは、社会的責任を果たすことであると同時に、重要な戦略の一つであるといえるのではないでしょうか。