目次
コンプライアンス遵守とは、政府、政府機関、業界団体、その他の団体が定めた法律、規制、標準、ガイドライン、仕様を組織が遵守することを意味します。一般的に、コンプライアンス推進のもととなる規制は、従業員や消費者、社会や環境を保護するために導入されるものです。コンプライアンス遵守は、組織が許容されるプラクティスの範囲内で業務を遂行し、関わりを持つあらゆる人々や組織の安全とセキュリティを確保することを目的としています。
コンプライアンス遵守は、世界中の幅広い組織や業界に適用されます。ほぼすべての組織は、何らかの規制を遵守する必要があります。データ プライバシーは、業界を問わず、ほとんどの国で施行されている最も普遍的なコンプライアンス ルールの1つです。
コンプライアンス遵守を推進する米国の政府機関
米国では、従業員、一般市民、その他の関係者を過失や不正行為から保護するために、多くの法律や規制が制定されています。これには、コンプライアンスを義務付ける法律や業界標準が含まれます。以下に、コンプライアンス遵守を推進する重要な機関および団体、そして具体的な法律や規制の例を示します。
政府機関には以下のものがあります。
- 連邦労働省公民権センター
- 従業員給付保障局(EBSA)
- 連邦労働省雇用訓練局
- 環境保護庁(EPA)
- 雇用機会均等委員会(EEOC)
- 連邦金融機関検査協議会(FFIEC)
- 連邦取引委員会(FTC)
- 食品医薬品局(FDA)
- 労働安全衛生局(OSHA)
- 中小企業庁(SBA)
- 米国外国資産管理室(OFAC)
- 米国証券取引委員会(SEC)
- 米国量刑委員会
関連する法律や規制を施行し、コンプライアンス遵守が維持された状態を維持する役割を担う非政府組織には以下のものがあります。
- 米国機械学会(ASME)
- 金融取引業規制機構(FINRA)
- ペイメント カード業界(PCI)標準セキュリティ協議会
- 公開会社会計監督委員会(PCAOB)
米国におけるコンプライアンス遵守の指針となる標準には以下のものがあります。
- 情報技術の管理目標(COBIT)フレームワーク
- 標準化機構(ISO)
- アメリカ国立標準技術研究所(NIST)規格
- 米国国防総省(DoD)
- サイバー セキュリティ成熟度モデル認証(CMMC、国際的な認証)
何万にもおよぶ法律や規制により、組織のコンプライアンス遵守要件が定められています。
以下に、いくつかの主要な業界における法律や規制の例を示します。
公民権関連のコンプライアンス遵守の例
- 年齢差別禁止法
- 米国障害者差別禁止法
- 公民権法
- 議会説明責任法
- 信用機会均等法
- 教育機会均等法
- 公正住宅法
- 遺伝情報差別禁止法
- リハビリテーション法
- 教育改正法第9編
- 軍人雇用・再雇用権法
- 投票権法
雇用および職場関連のコンプライアンス遵守の例
- 同一賃金法
- 公正労働基準法(FLSA)
- 家族医療休暇法(FMLA)
- 連邦労働者災害補償法
- 軍人雇用・再雇用権法(USERRA)
- 労働者調整・再訓練通知法(WARN)
- 労働者災害補償法
環境関連のコンプライアンス遵守の例
- 原子力法(AEA)
- 海岸環境評価および沿岸衛生(BEACH)法
- 化学物質安全情報、現場の安全性および燃料規制緩和法
- 大気浄化法(CAA)
- 水質浄化法
- 有害物質規制法
金融関連のコンプライアンス遵守の例
- ドッド・フランク法
- ペイメント カード インダストリー データ セキュリティ基準(PCI DSS)
- サーベンス・オクスリー法(SOX法)
- グラム・リーチ・ブライリー法(GLBA)
- 公正信用報告法
- シャーマン法
- 証券取引所法
- 1933年証券法
- 銀行秘密法(BSA)
医療関連のコンプライアンス遵守の例
- 反キックバック法(AKBS)
- 救急医療・労働法(EMTALA)
- 経済的および臨床的健康のための医療情報技術(HITECH)法
- 医療保険の相互運用性と説明責任に関する法律(HIPAA法)
- 労働安全衛生法
- 患者の安全および品質改善法(PSQIA)
プライバシーおよびデータ セキュリティ関連のコンプライアンス遵守の例
- 2018年カリフォルニア州消費者プライバシー法(CCPA)
- コロラド州プライバシー法
- コネチカット州個人情報・プライバシー・オンライン監視法
- 連邦情報セキュリティ マネジメント法(FISMA)
- メリーランド州オンライン消費者保護法
- マサチューセッツ州データ プライバシー法
- ニューヨーク州プライバシー法
- ユタ州消費者プライバシー法
- バージニア州消費者データ保護法
EUと主要国に見るコンプライアンス遵守の仕組み
規制は国や地域によって異なりますが、ほとんどの国や地域で米国と同様の法律が制定されています。他国の市民と関わりのある組織は、それらの地域の要件を遵守する必要があります。
欧州連合(EU)の一般データ保護規則(GDPR)は特に厳格な例です。GDPRは、組織の所在地に関わらず、EU市民からデータを収集するすべての組織に適用されます。同規則は、EU加盟国に居住する非EU市民のデータにも適用されます。
企業にとってコンプライアンス遵守が不可欠な理由
現在、主に技術の進歩によって、さまざまな脅威が生じています。多くの政府やその他の団体が、このような脅威に対処するために、既存の規則を改訂するとともに、新しい規則を追加するにつれて、コンプライアンス要件はますます厳しくなっています。組織は、コンプライアンス遵守を目指した取り組みから生まれたプロセスや戦略を通して、適用されるすべての法律と規制に従って業務を行う体制を整えることができます。
コンプライアンス遵守の副次的な効果として、組織の業務レベル向上を挙げることができます。コンプライアンス要件に関連する監査報告書は、組織における規則の遵守、および取引先の福利向上を念頭に置いた取り組みを示すことにつながります。
コンプライアンス遵守により、信用が高まるとともに、信頼が築かれるため、組織の評判が高まります。
コンプライアンス要件は、多くのセクターにおいて安全性の向上とリスクの軽減にも寄与しています。人や環境への業界特有のリスクに対処するために制定された規則は、大きな違いを生んでいます。職場における事故、怪我、死亡災害のリスクを低減することを目指した、従業員、消費者、環境を保護するための規則は大きなメリットをもたらしており、有害な、あるいは不正な製品やプラクティスから一般市民を守る役目を果たしています。
単純に組織が事業を行うためにコンプライアンス遵守が重要である場合もあります。事業内容によっては、合法的に事業を行うための要件が定められていることがあります。コンプライアンス遵守要件を遵守しない組織は罰金を科せられたり、閉鎖に追い込まれたりする可能性があります。
コンプライアンス遵守のメリット
組織は、コンプライアンス遵守を達成し、そのことを示すことにより、多くのメリットを手にできます。一般的に、短期的および長期的な視点から以下のようなメリットがあることがわかっています。
費用の掛かる余計な法的問題の回避
コンプライアンス違反が生じると法的問題につながり、多くの時間と費用がかかることになりますが、コンプライアンス プログラムを導入して維持することにより、このような問題を回避できます。コンプライアンス遵守のためのポリシーを導入することで、あらゆる必要な義務を遵守するための枠組みが与えられるからです。
運用効率の向上、生産性の向上、コストの削減
コンプライアンス遵守の副次的な効果としてよく挙げられるものに、運用効率向上があります。コンプライアンス実現のための要件を満たすには、堅牢で明確なプロセスとシステムを導入する必要があります。これらは、コンプライアンス要件をサポートするだけでなく、簡素化された手順とプロセスをもたらし、運用の最適化、生産性の向上、コストの削減につながります。
レジリエンスと事業継続性の向上
法規制を遵守している組織は、規制による要求を満たすためのシステムを既に導入しているため、変化する規制に対するレジリエンスが高まります。そのため、将来の変更に耐えうる備えを行い、事業継続性を向上させることができます。
従業員の生産性と定着率の向上
コンプライアンス遵守を通して職場の安全と公平性の優先順位付けをサポートすることで、従業員の満足度向上という持続的な効果がもたらされ、生産性の向上と従業員の離職率の低下につながります。
市場の健全性の向上
コンプライアンス遵守の見逃されがちなメリットとして、競争を妨げ、不健全な市場につながる可能性のある独占を排除できる点を挙げることができます。多くの場合、規制により、公正なプラクティスが推進されてすべての組織に成功の機会が与えられるとともに、イノベーションが促進されます。
職場の公平性と安全性の向上
コンプライアンス遵守には、職場における差別やハラスメントの排除を目的とした規則の導入が求められます。また、事故、および人やインフラへの損害を防ぐための厳格な安全基準とプロトコルの施行も必要です。このように、コンプライアンス遵守により、生産性、効率性、全体的な満足度の高い職場環境を育むことができます。
好意的な評価
法規制を遵守することで、業界、従業員、顧客、そして一般市民の組織に対する信頼を高めることができます。これは、コンプライアンスを示すことにより、高い専門家としての基準や倫理的基準に沿って業務を行っていることを示せるからです。コンプライアンス遵守を維持する組織の多くは、ブランド価値を高め、関係者からの信頼を深めることに成功しています。
コンプライアンス違反による企業への代償
コンプライアンス遵守の義務に従わないと、組織は制裁や罰金といったコンプライアンス違反の罰則を受けるリスクがあります。具体的な罰則は規制により異なりますが、コンプライアンス違反がどのような事態を引き起こすかその概要を理解できるよう、以下に大まかなカテゴリーをいくつか示します。
金銭的な罰則
コンプライアンス遵守の義務に従わないと、高額な罰金が科せられる可能性があります。たとえば米国においては、情報漏洩に関するHIPAA法の要件に違反した場合、インシデントの重大性に基づく罰金が定められています。欧州連合(EU)では、GDPRに2段階の罰則が用意されており、それぞれコンプライアンス違反を犯した組織に多額の金銭的義務を課しています。
組織の業務への影響
コンプライアンス違反により、組織は罰金やその他の罰則への対処を迫られますが、それとともに生産性の低下に直面する可能性があります。極端なケースでは、コンプライアンス違反により契約、ライセンス、認可を失うこともあります。
たとえば、業界規制PCI DSSでは、カード会員のクレジット カード決済ネットワークの使用が禁止される場合があります。政府機関の例としては、FedRAMP(連邦リスク認可管理プログラム)やCMMC(サイバー セキュリティ成熟度モデル認証)があり、これらへのコンプライアンスに違反すると、組織が権限審査(ID棚卸)を失い、業務が遂行できなくなる可能性があります。
法的責任
コンプライアンス遵守要件を満たさないことにより個人または組織に重大な損害をもたらした場合、法的な責任が生じる可能性があります。HIPAA法とGDPRは、重大な法的責任が生じることを示す良い例です。
HIPAA法には、重大な侵害や不正行為に対する懲役刑を含め、罰則が複数階層にわたり規定されています。GDPR違反も、リーダーが懲役刑に処される可能性があります。言うまでもなく、弁護のための訴訟費用は莫大です。
評判の毀損
罰金は組織にとって負担となりますが、コンプライアンス遵守違反によるブランドや評判の毀損はそれとは比べ物にならないくらい甚大です。
コンプライアンス要件を満たさないことでインシデントが生じた場合、特に法律に違反している場合、市民から厳しい批判が寄せられる可能性があります。
コンプライアンス違反関連の問題によって市民の信頼が失われると、市場シェアや収益を失うリスクがあります。
コンプライアンス遵守ポリシーの基本構成
コンプライアンス遵守ポリシーは、関連する義務を果たすための枠組みとなります。また、ポリシーは、あらゆるコンプライアンス制御に関連して、コンプライアンスの導入、維持、報告のためのシステム、プロセス、手順の詳細についても規定します。
コンプライアンス遵守ポリシーには、以下を含める必要があります。
- コンプライアンスに関連するすべての意思決定と行動の指針となる原則
- コンプライアンスを確保するために必要となる具体的なシステム、機能、および手順
- 監査を実施する関係当局の詳細
- 状況を監視およびレビューするためのロール(役割)または職務の定義
- コンプライアンス遵守に関連する文書化とコミュニケーションのプロトコル
- 適用されるコンプライアンス要件の概要
具体的な内容は組織によって異なりますが、コンプライアンス遵守ポリシーを策定する際には以下のような問いについて検討する必要があります。
- リスクの低減、コミュニケーションの促進、関係者の教育のためにポリシーをどのように活用しますか。
- ポリシーは誰に対して、そしてどのような役割に対して適用されますか。
- ポリシーの使用に例外や制限はありますか。
- 法令遵守は組織にどのような影響を与えますか。
- 組織内のさまざまなチーム(法務、監査、財務など)の間でどのようにコンプライアンス遵守義務のバランスをとりますか。
- ポリシーにより、さまざまなチームや事業所間でどのようにコンプライアンスを促進できるでしょうか。
- どのようなシステムによりコンプライアンスの監視、管理、報告を行いますか。
- ポリシーは、従業員の業績評価を行う場合を含め、コンプライアンス遵守の価値を測定するためにどのように役立ちますか。
コンプライアンス遵守ポリシーを策定すると、従業員、パートナー、規制当局に対してどのようにコンプライアンスを実現しているかを明確に伝えることができるため、組織にとってポリシーは重要です。
多くの場合、コンプライアンス遵守要件の適用対象となるすべての人に、ポリシーを読んで理解することに同意してもらう必要があります。
コンプライアンス遵守を支える管理担当者
コンプライアンス遵守専門のロール(役割)を設けることにより、厳格で複雑な義務や法律に適切に対応し、遵守することができます。コンプライアンス遵守担当者は、組織で他のロール(役割)を担う人から不当に非難を受ける傾向にあるため、経営陣がチーム メンバーに対し、彼らが担う重要なロール(役割)について教育することが重要です。コンプライアンス遵守担当者をパートナーとして位置付けることで、より好意的に受け止められるようになります。
規制の拡大に伴い、多くの組織では、コンプライアンス遵守担当者、アナリスト、スペシャリストなど、ルールの遵守を確保することに焦点を当てた役職を設けています。
コンプライアンス遵守の管理担当者は、以下を含むさまざまな領域をカバーします。
アドバイザリー
コンプライアンス遵守のロール(役割)を担う担当者は、システムやプロセスへの必要な変更について監督と助言を提供することで、組織が規則や規制を遵守できるよう支援します。さらに、問題が発生した場合、アドバイザーが知識と専門性を活かして迅速かつ効果的な修正措置を講じます。コンプライアンス遵守チームのメンバーは、監査文書の準備と提供についても助言を行います。
データ分類
コンプライアンス遵守担当者の重要な役割に、データ ガバナンス、特にデータ分類のサポートがあります。保存されたデータを正確に分類することで、コンプライアンス要件をより容易に満たし、より迅速かつ円滑に監査を実施できます。
監視
コンプライアンス遵守担当チームは、組織が新しい規則や規則の変更について把握できるよう支援します。常に新しい規制が公布されている現状においては、組織への影響に注視し、必要な変更や更新が確実に実施されるよう対策を講じるチームの設置が重要です。
予防
コンプライアンス遵守に関する不手際を回避することで、罰則だけでなく業務の中断をも防ぐことができます。コンプライアンス遵守担当チームは、数多く存在するルールに違反することにより生じるトラブルを予防し、全体としてのリスクを低減するためのプログラムを作成して導入します。
解決
不幸にもコンプライアンス遵守違反が発生した場合は、迅速な対応が必要です。問題にタイムリーに対処することで、損害を最小限に抑え、業務の中断、コスト、罰則を軽減することができます。
責任
チーム メンバーにコンプライアンス遵守に集中して取り組んでもらうことにより、個人やチームに責任感が生まれます。責任感を持ってコンプライアンス遵守に取り組むようになったチームや個人は、規則について、そしてそれらの規則が企業にどのような影響を与えるかを深く理解することに時間を費やすようになります。ひいては、コンプライアンス遵守に向けた他の部門の取り組みを支援し、既存の規則の変更や新たな規則についての最新情報を他の部門に届けることができるようになります。
コンプライアンス遵守のベストプラクティス
コンプライアンス遵守要件を満たすためには、自社に適用される法律や規制を理解する必要があります。多くの規制、特にGDPRなどの米国以外の規制は適用範囲が広いため、組織が担う責任についての深い知識が求められます。
コンプライアンス要件を満たす方法について評価する際は、以下のようなベスト プラクティスを考慮します。
個人へのロール(役割)の割り当て:コンプライアンスの維持、報告、監査をサポートするために、関連する部門の個人にロール(役割)を割り当てます。
要件の特定:適用されるすべての義務についてコンプライアンス遵守の要件を特定し、遵守のための計画を策定します。
行動規範の策定と維持:組織全体にコンプライアンスの文化を浸透させるための行動規範を策定し、維持します。
コンプライアンス遵守プロセスの文書化:コンプライアンス遵守を維持するための明確な手順を策定します。これは、すべての規則を守るのに役立つほか、監査の準備にもなります。
該当する規制の特定:組織の地理的なフットプリント、業界、業務内容に基づいて、該当する規制を特定し、どの規則が適用されるかを判断します。
変更の監視:コンプライアンス遵守要件の変更を継続的に監視し、組織に該当する変更内容を把握します。
定期的なトレーニングのスケジュール:定期的なトレーニングをスケジュールし、スタッフやその他の関係者が、要件およびコンプライアンス遵守維持のための最善の方法について常に最新の情報を把握できるようにします。
まとめ
コンプライアンス遵守は負担と見なされることもありますが、規制を順守する企業だけでなく社会全体の利益にもつながるものです。世界中で規制要件が拡大するにつれ、一定程度の標準化を行うための連携も行われています。
これらのコンプライアンス要件は個人に有利な結果をもたらします。なぜなら、さまざまな要件の最小公倍数を取るために、組織はベースラインとして最も厳しい基準を設けざるを得なくなるためです。これにより、安全な製品、優れた環境管理、データ プライバシーの強化、不正行為に対する保護など、さまざまなメリットがもたらされます。
組織にとっては、コンプライアンス遵守は全員に適用される一貫したルール セットを提供することにつながるとともに、規則に関して公平な競争環境をつくり上げることになります。