• 企業セキュリティをあるべき姿に：「コンプライアンス」という言葉に潜む問題点（ITmedia　2009/11/18）

　コンプライアンスが陥る罠とは、一言でいうと「形から入って形だけになる」ことです。つまり、法令・規制や各種標準・基準の要求事項を形だけは満たしていて、曲がりなりにも認定や認証を取り付けてはいるが、実際の現場までその趣旨が浸透しておらず、ただ「決められているから行う」状態になっていることです。極端な事例を挙げると、「決められたことを行ったことにして記録を作るが、実際に行われている方法はまったく異なる」という事態も発生します。
　このような形だけのコンプライアンスは、一定のマニュアルに沿って業務が動いている時は問題が表面に出てきませんが、不測の事態が発生した場合に致命的な事態を引き起こすようです。特に、前述のような「記録と実際に行われていたことがまったく異なる」ことが発覚した場合には当該企業は厳しい社会的制裁を受けることになり、最悪の場合は事業の継続が不可能なことにもなりかねません。

　この記事では、コンプライアンスが形だけのアリバイに陥ることを防ぐために必要な指針として、「コンプライアンスの目的を当事者がはっきりと認識して関係者全員で共有し、その目的を外部へも積極的に発信すること」を挙げていますが、実際のところ企業にとって「コンプライアンスの目的」が何かと言うと、外部への証明・説明・釈明なんですよね。そういう意味では、外部に証明するためのエビデンスの生成こそがコンプライアンスという行為の目的であるという解釈も、全くの誤りであるとは言えないのです。
　企業経営においてコンプライアンスという視点が注目を浴びるようになったのはエンロン事件以降のことではないかと思いますが、そもそもこの事件で何が大きな問題とされたかというと、企業の経営状態に関して正確で適切な情報が企業外部の関係者に行き渡らなかったために、関係者が不当な形で不利益を蒙ったということです。この記事にも登場する「ステークホルダー（利害関係者）」というカタカナ表現もこの頃から日本で一般的に広まったように記憶していますが、要は「おまえの行動が我々利害関係者の利益を不当に損っていないことをきちんと証示せよ」というのが、企業に対するコンプライアンス要求の大本にあるわけです。
　もちろん証明・説明に際しては、エビデンスに示されているような行動が実際に伴っていることが大前提となっています。ただ、例えば内部統制の実務などを考えてみると、実際にはエビデンスを生成するプロセスを通じてコンプライアンス実践を担保するというのが方法論となっており、しかもそのエビデンスにおいては各企業独自の内部事情にそれほど詳しくない人（投資家とかですな）でも外形的に妥当性の判断がつくよう、しばしば企業の個別的な実務形態とはそぐわないような一般的プロセスコントロールの基準が適用されたりします。
　上記記事で『実際の現場までその趣旨が浸透しておらず、ただ「決められているから行う」状態になっている』ことが懸念として挙げられていますが、実際には「（どれほど現場の業務実態とかけ離れていようがとりあえず）決められていることを行う」ことを通してコンプライアンス実践を確保するという手順になるため、そこから「形を満たすことが実質を満たすことである」という発想が生まれることは、それほど不思議なことではないように思うのです。だいたい、不特定多数の利害関係者が等しい共通認識を持つというのがひとつのキーポイントなのですから、定式化された統制プロセスにおいて個別企業の事情を斟酌することをあえて否定する（共通認識の持ちやすい定式的な認識形式に実務を“翻訳”する）ことは最初から見込まれていることであり、そのような状況におけるコンプライアンス実践が「いかにして定式化された外部報告用のエビデンスの形に落とし込むか」という視点に集中するのは、ある意味で止むを得ないことなのではないでしょうか。