【解説】
米国企業の現状に学ぶコンプライアンス・コスト

法規制の増加を見据え、長期的な視点でIT投資を考える

（2008年06月27日）

コンプライアンスへの取り組みは、それ自体が直接的な利益を生み出すわけではない。そのうえ、スタッフの人件費や監査への対応、アクセス制御やログ取得といったツールの導入、アーカイブ・データの永久保存と、さまざまな局面でコストが発生する。本稿では、米国Nemertes Researchによる調査結果を基に、米国ユーザー企業におけるコンプライアンスへの取り組み状況をコスト面に目を向けて解説する。

John Burke
米国Nemertes Research

　　
法律・規制と共に増え続けるコンプライアンス・コスト

　企業が日常活動の中で考慮すべき法律や規制は増加の一途をたどり、その対応のための業務も複雑で高コストになってきている。

　筆者が所属する調査会社、Nemertes Researchは、セキュリティと情報保護に関する調査を実施した際に、コンプライアンスに関する支出の総額がいくらになるのかという質問を投げかけた。その結果、ほとんどの回答者が具体的な数字を把握していないことが判明した。他の予算と明確に区別した形でコンプライアンス予算を確保している企業は少ないのだ。しかし、コンプライアンス・コストが莫大な金額になっているという見解については、大半から同意を得られた。

米国企業が対象となる4種類の法令・規制

　米国企業が順守を求められる法律や規制としては、以下の4つが想定される。

■連邦法

　コンプライアンスに関連する連邦法の中で最も認知度が高く、影響力も大きいのはSOX法（Sarbanes-Oxley Act：米国企業改革法）だろう。ほかにも、「家族の教育上の権利およびプライバシー法」（Family Educational Rights and Privacy Act：FERPA）、「医療保険の相互運用性と説明責任に関する法律」（Health Insurance Portability and Accountability Act：HIPAA）、「金融制度改革法」（Gramm-Leach-Bliley Act：GLBA）といった連邦法がある。また、連邦政府の法律に加えて、米国証券取引委員会（SEC）のような連邦機関も、管轄内の企業に対する規制を定めている。

■州法

　米国の各州においては、主にプライバシーに関する独自の規制が設けられている。それらの中でも、「カリフォルニア州個人情報取扱法」（California Information Practice Act）は、厳格な内容を持つ州法として広く知られている。同法は、カリフォルニア州上院法案「SB1386」とも呼ばれ、個人情報の紛失や盗難に遭遇したときに、その事実を直ちに公表することを義務づけたものだ。対象となるのは、カリフォルニア州に事業所および顧客を有するあらゆる企業である。SOX法ほどではないとしても、同州の規模を考慮すれば、この法律の影響力は他の連邦法に匹敵すると言っても過言ではないだろう。

■業界団体などによる規制

　民間の業界団体も、メンバー企業に対する規制とベスト・プラクティスを定めている。そうした団体には、大手クレジットカード会社が加盟するPCIセキュリティ・スタンダード・カウンシルや、全米証券業協会（NASD：National Association of Securities Dealers）などがある。