【 ここから本文 】
- TOP
- > Topics : 個人情報保護
- >
個人情報保護
ソーシャルブックマークに登録 :
印刷用ページの表示
【解説】
米国企業の現状に学ぶコンプライアンス・コスト
法規制の増加を見据え、長期的な視点でIT投資を考える
(2008年06月27日)
コンプライアンスへの取り組みは、それ自体が直接的な利益を生み出すわけではない。そのうえ、スタッフの人件費や監査への対応、アクセス制御やログ取得といったツールの導入、アーカイブ・データの永久保存と、さまざまな局面でコストが発生する。本稿では、米国Nemertes Researchによる調査結果を基に、米国ユーザー企業におけるコンプライアンスへの取り組み状況をコスト面に目を向けて解説する。
John Burke
米国Nemertes Research
法律・規制と共に増え続けるコンプライアンス・コスト
企業が日常活動の中で考慮すべき法律や規制は増加の一途をたどり、その対応のための業務も複雑で高コストになってきている。
筆者が所属する調査会社、Nemertes Researchは、セキュリティと情報保護に関する調査を実施した際に、コンプライアンスに関する支出の総額がいくらになるのかという質問を投げかけた。その結果、ほとんどの回答者が具体的な数字を把握していないことが判明した。他の予算と明確に区別した形でコンプライアンス予算を確保している企業は少ないのだ。しかし、コンプライアンス・コストが莫大な金額になっているという見解については、大半から同意を得られた。
米国企業が対象となる4種類の法令・規制
米国企業が順守を求められる法律や規制としては、以下の4つが想定される。
■連邦法
コンプライアンスに関連する連邦法の中で最も認知度が高く、影響力も大きいのはSOX法(Sarbanes-Oxley Act:米国企業改革法)だろう。ほかにも、「家族の教育上の権利およびプライバシー法」(Family Educational Rights and Privacy Act:FERPA)、「医療保険の相互運用性と説明責任に関する法律」(Health Insurance Portability and Accountability Act:HIPAA)、「金融制度改革法」(Gramm-Leach-Bliley Act:GLBA)といった連邦法がある。また、連邦政府の法律に加えて、米国証券取引委員会(SEC)のような連邦機関も、管轄内の企業に対する規制を定めている。
■州法
米国の各州においては、主にプライバシーに関する独自の規制が設けられている。それらの中でも、「カリフォルニア州個人情報取扱法」(California Information Practice Act)は、厳格な内容を持つ州法として広く知られている。同法は、カリフォルニア州上院法案「SB1386」とも呼ばれ、個人情報の紛失や盗難に遭遇したときに、その事実を直ちに公表することを義務づけたものだ。対象となるのは、カリフォルニア州に事業所および顧客を有するあらゆる企業である。SOX法ほどではないとしても、同州の規模を考慮すれば、この法律の影響力は他の連邦法に匹敵すると言っても過言ではないだろう。
■業界団体などによる規制
民間の業界団体も、メンバー企業に対する規制とベスト・プラクティスを定めている。そうした団体には、大手クレジットカード会社が加盟するPCIセキュリティ・スタンダード・カウンシルや、全米証券業協会(NASD:National Association of Securities Dealers)などがある。
■諸外国の法律
米国以外でも事業を展開する企業は、それぞれの国が定める法律にも従わなければならない。特にカナダと日本は、個人情報保護に関する法律が非常に厳しいことで知られており、また、EUも同様である。
GRCの統合アプローチで、企業価値の向上を目指す
【事例】「予防」と「発見」の両面からコンプライアンスに取り組む
事例に学ぶ、上場企業におけるツールの選定理由と運用状況
[国内]【IDC調査】国内コンプライアンス市場規模、2012年には1兆8,200億円に
「グリーンIT」が次世代のコンプライアンス関連のIT基盤となる可能性も
ささいなミスも命取りに――10の「やってはいけないこと」
ボーイングの教訓から適切な監査レベルを学び取れ
