【解説】
米国企業の現状に学ぶコンプライアンス・コスト

法規制の増加を見据え、長期的な視点でIT投資を考える

（2008年06月27日）

コンプライアンス担当者の給与はIT予算の2～3％

　コンプライアンス・コストを正確に見積もるのは難しいが、その内訳は担当スタッフの人件費と、ツールおよびインフラのコストの2つに大別できる。

　今回の調査では、ITセキュリティ部門におけるコンプライアンス専属の正社員数は、ある大手運送会社の15人から小規模な教育機関の0.5人まで、回答者によって大きな開きがあった（1年当たりの一定時間数に基づく）。また、相加平均（すべての人数を合計し会社数で除算）は3.25人、中央値（すべての人数の中央に位置するデータ）は4.8人という計算になった。

　セキュリティを担当する上級幹部の年収を給与と諸手当を含めて13万ドルと仮定すると、企業はセキュリティ・スタッフの給与だけで42万2,500ドルから62万4,000ドルも支出していることになる。しかも、この金額には、セキュリティ以外のIT幹部やIT部門以外のスタッフの給与は含まれていない。回答者の平均IT予算は2,000万ドルだったため、一般的な企業はコンプライアンスのスタッフにIT予算全体の2～3％を支出していることになる。

　それでは、そもそもコンプライアンス・スタッフの業務とはどのようなものであろうか。IT部門におけるコンプライアンス業務の大部分は、監査と報告、そしてデータのアーカイブ／リカバリの監督といったもので占められている。

　だが、いまだにIT部門は、セキュリティ・ログを目視で確認し、コンプライアンス・リポートを手作業で作成しているのが実情である。こうした作業の多くは自動化できるはずであり、より有益な時間の使い方を考えるべきであろう。

監査の必要性は広く浸透している

　社内監査を実施している企業は、回答者の約4分の3（71％）を占めた。実施していないとしても、監査のためのリソースの不足がその主な理由であり、監査の必要性は広く認知されていた。

　定期的に社内監査を実施している回答者の内訳は、年に1回が54％、四半期ごとが25％、少なくとも月に1回が17％という割合だった。年に1回の監査は全般にわたって実施され、四半期あるいは月ごとの場合はポリシーやプロシージャ、システムの一部だけを対象とするケースが多いようだ。

　外部監査については、実施している企業は社内監査よりも若干少なく、66％弱という結果だった。実施している場合も、その頻度は社内監査とは大きく異なっており、このうち74％の回答者が年に1回と答えた。ただし、残りの回答者のうち3分の1以上（10.5％）は、業界団体の規制や本社の意向に従って頻繁に外部監査を行っている。

　監査をどれくらい重視するかは、企業によってさまざまだ。それぞれの業界ごとに監査の実施を定める規制が設けられており、業種によっては実質的な義務になっている。

　監査を実施することは、IT部門における職務分掌が難しい場合に、一種の安全策にもなりうる。また、監査はIT部門がポリシーとプランにどれだけ従っているかを知るうえですぐれた材料となる。コンプライアンスを目的にIT部門が実施する作業は無数にあるが、こうした作業は他のセキュリティ改善作業の一部として組み込まれていることが多い。そのため、通常は効果測定が困難なのだ。

前のページへ < ｜1｜2｜3｜4｜5｜6｜ > 次のページへ