コンプライアンス管理：プロセス、規制、ツール【2025ガイド

コンプライアンス経営とは何か？

コンプライアンス管理は、組織の手順や方針を特定の規則、基準、法律に合わせるものである。コンプライアンス管理は、組織が事業、業界、管轄区域に関連する要件を適用し、従業員がこれらの規則に従うことを保証するのに役立ちます。

コンプライアンス管理には、手順、方針、内部監査、外部監査、文書化、技術的実施、セキュリティ管理など、さまざまな仕組みを設定し、実施することが含まれる。その目的は、組織全体のコンプライアンスを確保・検証し、外部監査人にコンプライアンスを実証し、罰金、罰則、風評被害などのコンプライアンスリスクから組織を守ることである。

---

なぜコンプライアンスが重要なのか？

規制遵守の主な利点は以下の通りである：

セキュリティの向上-すべての組織は、サイバー攻撃、セキュリティ侵害、およびそれに起因するデータ損失のリスクにさらされている。規制や業界標準に準拠することで、組織のセキュリティ管理が強化され、セキュリティ態勢が改善される。これにより、組織に大きな損害を与える可能性のあるサイバー攻撃が成功するリスクを低減することができる。

顧客の信頼性の向上 - 規制遵守を達成した組織は、利害関係者に対して、特定の基準を満たし、公的な規制機関によって認定されていることを示すことができる。こうした規制に従うことは、組織の倫理、誠実さ、信頼性を証明することにつながり、組織の競争力を強化する。

規制の遵守-規制の遵守は、特定の業界や管轄区域では必須である。各組織は、その事業や経済状況の中で特定の規制を遵守しなければならない。例えば、医療機関や金融機関は、データ保護、消費者プライバシー、サイバーセキュリティの要件を遵守しなければなりません。

コンプライアンス・リスクへの対応-規制への不遵守は、免許取り消しなどの懲戒処分、顧客の喪失、金銭的な罰則や損失、評判の低下につながる可能性がある。効果的なコンプライアンス・プログラムは、これらのリスクから組織を保護する。

コンプライアンス管理プロセス

要件の特定

コンプライアンス管理の最初のステップは、組織が従うべきすべての関連する法律、規制、および業界固有の義務を特定することである。これには、組織の業務、地理的位置、部門に基づく外部規制と内部ポリシーの両方を調査することが含まれる。検討すべき主な分野には、GDPRのようなデータ保護法、ヘルスケアのHIPAAのような業界特有の規制、SOX法のような財務規制、環境基準などがある。

現状の評価

コンプライアンス要件が特定されたら、組織は、それらの基準に対する現在の遵守レベ ルを評価しなければならない。これには、既存のポリシー、手順、及び管理メカニズムを、特定された法的及び規制的要件と照らし合わせて調査する詳細なギャップ分析を実施することが含まれる。内部監査、リスク評価、および法務、人事、IT、財務などの部門にまたがる主要な担当者へのインタビューは、脆弱性やコンプライアンス違反の領域を特定するのに役立つ。

方針と手続きの策定

アセスメント後、組織はコンプライアンス方針および手順を策定または改訂し、 ギャップに対処し、規制要件に整合させる必要がある。これらの方針は、組織内のコンプライアンス活動を管理する枠組みとして機能する。各ポリシーは、コンプライアンスを維持するために従業員が従うべき規則、責任、および運用ガイドラインを明確に定義する必要がある。例えば、データプライバシーポリシーでは、顧客情報の保存方法とアクセス方法について詳述し、サイバーセキュリティポリシーでは、ネットワークの安全確保と侵害処理のプロトコルについて規定する。

コントロールの実施

必要な方針と手順が確立されたら、次のステップは、組織全体でコンプライアンスを維持するための管理策を導入することである。これらの管理は、次のように分類することができる：

• 技術的管理：ファイアウォール、暗号化、アクセス制御システム、データ損失防止ソフトウェアなどのセキュリティ対策により、機密情報を保護する。
• 業務管理：承認ワークフローの設定、職務の分離、取引や意思決定に関する明確な監査証跡の維持。
• 管理統制：管理監督を通じて方針を実施し、特定のリスク分野を監視するコンプライアンス・オフィサーを任命する。

業種によっては、統制が適切に機能していることを検証するために、外部認証や第三者による評価が必要となる場合がある。すべてのビジネスプロセスにわたって強固な統制を導入することは、継続的なコンプライアンスを確保し、内部および外部のリスクから組織を保護するために不可欠である。

トレーニングと意識向上プログラム

コンプライアンスはポリシーだけで達成できるものではなく、コンプライアンスを維持するための役割を理解し、十分な知識を持った従業員が必要である。研修と意識向上プログラムにより、あらゆるレベルの従業員が、従うべき規制要件と社内ポリシーに関する知識を確実に身につけることができる。これらのプログラムは、各部門または各役割の具体的な責任に合わせて調整する必要がある。例えば、ITチームはデータセキュリティとサイバーセキュリティのベストプラクティスに関する詳細なトレーニングが必要かもしれないし、カスタマーサービスチームはプライバシー規制と消費者の権利に焦点を当てるかもしれない。

モニタリングと監査

継続的な監視コンプライアンスへの取り組みを効果的かつ最新の状態に維持するためには、モニタリングと監査が不可欠である。モニタリングでは、インシデントの発生件数、違反件数、確立された手順からの逸脱件数など、コンプライアンスに関する指標を定期的に追跡する。自動化されたシステムは、リアルタイムのアラートを提供し、管理者用のレポートを作成することで役立つ。定期的な内部監査を実施し、全部門にわたるコンプライアンスを検証し、新たなリスクやコンプライアンス違反の領域を特定する。また、規制当局や業界団体から、特定の基準への準拠を確認するための外部監査が要求される場合もある。

---

ガバナンス、リスク管理、コンプライアンス（GRC）とは何か？

ガバナンス、リスク、コンプライアンス（GRC）は、企業が企業のリスク管理プログラム、コーポレート・ガバナンス方針、規制遵守の間の相互依存関係を処理するのに役立ちます。

これは、ガバナンス、リスク、コンプライアンスを管理するために必要な人材、テクノロジー、プロセスを調整し、サイロ化したアプローチによる非効率やミスコミュニケーションを最小限に抑えるための総合的なアプローチを構築することである。

データガバナンス

データガバナンスとは、企業システムにおけるデータの可用性、有用性、セキュリティ、完全性を管理することである。組織は、独自のデータ標準とポリシーに従ってデータが使用され、アクセスされることを確実にするために、データガバナンスを導入します。データガバナンスは、データを確実に維持するのに役立ちます：

• 一貫性があり信頼できる
• 不正アクセスや改ざんからの保護
• データプライバシー規制に準拠

データガバナンス・プログラムは通常、以下の内容で構成される：

• ガバナンス・チーム
• 運営組織としての運営委員会
• データ・スチュワードのグループ

関係者全員が協力してデータガバナンスの標準と方針を作成する。データスチュワードは主にこれらの手順の実施と執行に責任を負う。このプロセスには、経営幹部、データ管理チーム、ITスタッフなど、組織全体の他の役割も関与する場合がある。

コンプライアンス・フレームワーク

コンプライアンス・フレームワークには、規制、法律、および仕様を遵守するための組織的プロセスを記述した一連のガイドラインが含まれる。コンプライアンス・フレームワークには、組織に関連するすべての規制基準、およびコンプライアンスを達成するために組織が設定する内部統制と手順が詳述されている。コンプライアンス・フレームワークには、以下が含まれる：

• コミュニケーション・プロセス
• コンプライアンス維持のためのガバナンス慣行
• リスク管理
• 重複するコンプライアンス・プロセスのリスト

ITGCと内部統制

内部統制は、アカウンタビリティを促進し、財務および会計情報の完全性を確保し、不正を防止するために実施されるすべての組織の規則、手続き、および仕組みで構成される。以下は、内部統制の主な機能である：

• 規則遵守の達成
• 従業員による不正行為や資産の窃盗の防止
• 財務報告の適時性と正確性の向上

情報技術全般統制（ITGC）とは、統制システムに関する一連の方針を定めた内部統制である。ITGCがカバーする主な分野は以下の通りである：

• データ、アプリケーション、コンピューティングインフラ、物理的設備へのアクセス制御。
• セキュリティとコンプライアンス。
• 変更管理の管理。
• コンピュータシステムの運用管理
• バックアップとリカバリー。

職務の分離（SoD）

職務分掌（SoD）とは、組織が財務取引の誤りや不正を防止するための内部統制である。SoDの指針となる基本原則は、財務報告に影響を及ぼす可能性のある、または財務に影響を及ぼす特定の重要な業務を完了するために、2つ以上の役割を設けることである。

SoDには、一個人がコントロールしすぎることがないようにすることが含まれる。組織は、タスクを複数の人に割り当てる複数のタスクに分割したり、完了前に別の人によるサインオフ承認を要求したりすることで、これを達成することができる。理想的には、SoDは脆弱で、ミッションクリティカルなコンポーネントに適用されるべきである。

---

データ・プライバシー規制

ここでは、世界中のデータ・プライバシーに関する主な規制を紹介します。

欧州連合GDPR

一般データ保護規則（GDPR）は、EU全体で統一されたデータプライバシー法である。欧州議会は2016年4月にGDPRを承認し、1995年のEUデータ保護指令に代わって2018年5月に施行された。

GDPRは、企業の透明性を確保し、データに関する個人の権利を拡大することを目的としている。GDPRは、データ侵害が発生した場合、72時間以内に影響を受けるすべての個人と監督官庁に通知することを企業に義務付けている。GDPRは、企業の所在地にかかわらず、EU市民のすべてのデータに適用される。また、EU域内にデータが保存されている非EU市民も対象となる。

カリフォルニア州CCPA

カリフォルニア州消費者プライバシー法（CCPA）は、個人を特定できる情報（PII）に対する個人の権利を定めたカリフォルニア州の法律である。2018年6月に施行された。CCPAは、カリフォルニア州居住者に対し、以下のような情報を管理するいくつかの権利を保証している：

• 収集した個人情報に関する知識
• 自分の情報の開示または販売に関する知識。
• 情報の販売を拒否する権利
• 個人情報へのアクセス
• 平等なサービスと価格に対する権利。

ブラジル導光板

個人データ保護に関する一般法(ポルトガル語でLei Geral de Proteção de Dados Pessoais)は、2020年から施行されているブラジルのデータ保護法です。これは、個人データの取り扱いを規制するために、GDPRと同様の義務を規定しています。LGPD は、場所に関係なく、ブラジル居住者に属するデータを処理するすべての組織に適用されます。

法律を遵守しなかった場合、売上高の2％または5000万レアル（約1200万円）を上限とする罰金が科せられる可能性がある。

日本APPI

個人情報の保護に関する法律（APPI）は、GDPRに相当する日本の法律であり、日本居住者の個人情報を取り扱うあらゆる個人または組織に対して、厳格なデータプライバシーおよびセキュリティの指令を強制するものである。APPIはデータの収集、保管、使用、交換に広く適用される。同法は2020年6月に施行され、3年ごとに更新される。

APPIの主な規定は以下の通り：

• 報告義務-企業は、日本の個人情報保護委員会（PPC）に違反行為を報告しなければならない。
• 対象者の同意-企業は、データ対象者の情報を収集する前に、データ対象者の同意を得なければならない。また、利用者はデータ共有に同意しなければならない。
• 普遍性-この法律は、日本の個人データを取り扱う外国の個人および企業に適用される。PCCは、犯罪者を発見し処罰するために、外国の当局と協力することができる。

カナダDCIA

デジタル憲章実施法（DCIA）はカナダのデータ保護法です。これには消費者プライバシー保護法（CPPA）が含まれ、組織が個人情報を収集、使用、開示する方法を規制している。カナダ議会は2020年11月、個人情報保護・電子文書法（PIPEDA）に代わってこの法律を制定した。

DCIAの規定には以下が含まれる：

• 第三者の責任-第三者サービス・プロバイダーもDCIAを遵守しなければならない。サードパーティの問題も含め、すべてのデータ漏洩に対する責任は会社にある。
• 企業横断的な認識-すべての企業幹部および従業員がDCIAを熟知していなければならない。
• AIシステムの倫理的使用-DCIAは意思決定AIシステムを重視し、予測アルゴリズムがどのように情報を使用するかを個人が確認できるようにしている。

インド民主党

個人データ保護（PDP）法は、2000年の情報技術法に代わって2019年に施行された。インドの人口の多さを考えると、このプライバシー法はインド以外の多くの組織に影響を与える可能性がある。

PDPの規定には以下が含まれる：

• 政府の適用除外-インドのPDPとGDPRのような類似法との主な違いは、インド政府が規制の適用除外となっていることである。これは、政府が必要と考えるあらゆるデータを収集することを認めている。
• 広範な適用範囲-もう一つの違いは、PDPが個人データと非個人データの両方に適用される点である。
• AIの障害-PDP法案はデータ処理を厳しく制限しており、インドにおけるAIの革新を妨げている。

アラブ首長国連邦DIFCデータ保護法

ドバイ国際金融センター（DIFC）データ保護法は、アラブ首長国連邦とEUおよび英国との間のデータ移転に対応するため、2020年に制定された。GDPRとほぼ同様の内容ですが、DPOの任命規定と罰則に若干の違いがあります。

DIFCは国際ビジネスと業務のしやすさを重視している。アラブ首長国連邦（UAE）は域内第2位の経済大国として、この法律が大規模なアラブ世界に影響を与えることを期待している。

詳しくは、以下の詳細ガイドをご覧ください：

• データプライバシー
• データプライバシー規制

---

その他のコンプライアンス基準

サーベンス・オクスリー法（SOX法）

2002年、米国議会はサーベンス・オクスリー法（SOX法）を可決した。同法は、企業の不正行為から一般市民を守るための規則を制定した。この法律の目的は、財務報告の透明性を高め、企業に形式化されたチェック・アンド・バランスのシステムを義務付けることである。

SOX法への準拠は、法的義務であると同時に優れたビジネス慣行でもある。企業は倫理的に行動すべきであり、内部財務システムへのアクセスは慎重に管理されるべきである。SOX法財務セキュリティ統制を導入することは、インサイダーの脅威、データ窃盗、サイバー攻撃から企業を守るという利点がある。

PCI DSS

2004年、Visa、MasterCard、Discover Financial Services、JCB International、American Expressは、Payment Card Industry Data Security Standard（PCI DSS）というセキュリティ基準を設定した。Payment Card Industry Security Standards Council（PCI SSC）が監視するこのセキュリティ基準は、データの盗難や詐欺からクレジットカードやデビットカード取引を保護することを目的としている。

PCI SSC には法的権限はありません。しかし、PCI DSS 準拠は、クレジットカードまたはデビットカード取引を処理するすべての事業者にとって必須です。PCI 認証は、組織がカード会員データを保護するために十分なセキュリティ管理を実施していることを検証するプロセスです。

詳しくは、以下の詳細ガイドをご覧ください：

• 2024年のPCIコンプライアンスとは？
• PCIコンプライアンス
• PCI準拠ホスティング

関連製品：Atlantic.Net HIPAA準拠ホスティング｜HIPAA準拠ウェブサイトのホスティングサービスプロバイダ

詳しくは、以下の詳細ガイドをご覧ください：

• VPSホスティング
• VPSとは

関連製品：Atlantic.Netクラウドプラットフォーム｜スケーラブルでセキュアなクラウドソリューション

関連技術の更新

• [ブログ] クラウドの安全性は？
• [ブログ] SaaSを使えばIT環境の安全性は高まるのか？

HIPAA

1996年の医療保険の相互運用性と説明責任に関する法律（HIPAA）は、ヘルスケアと医療データを管理する米国の組織に対する要件を定めている。その目的は、個人の記録の安全性と機密性を確保することである。

HIPAAは、すべての電子医療記録を暗号化と強力なアクセス制御によって制限することを義務づけている。この基準は、組織内に保存される記録にも、他者と共有される記録にも適用される。つまり、電子メールやファイル転送のような活動は、監視、保護、管理されなければならない。

詳しくは、以下の詳細ガイドをご覧ください：

• HIPAAコンプライアンス・チェックリスト
• 健康データ管理
• HIPAAコンプライアンスとは？
• HIPAA準拠ホスティング

関連製品：Atlantic.Net HIPAA準拠ホスティング｜HIPAA準拠ウェブサイトのホスティングサービスプロバイダ

関連技術のアップデート

• [ブログ] RTLSとヘルスケア
• [ブログ] PCIスコープを縮小する方法
• [ブログ】チーフ・コンプライアンス・オフィサーを雇うべきか？

関連製品：HyperStore Object Storage｜容量集約型ワークフローのためのエンタープライズ規模のデータ管理。

DORA

デジタル・オペレーショナル・レジリエンス法（DORA）は、金融機関のITセキュリティ強化を目的とした欧州連合（EU）の規制である。2022年11月に採択され、2025年1月から全面的に適用される。

DORAは、銀行、保険会社、投資会社、その他EU域内で活動する金融機関に対する統一的なサイバーセキュリティ要件を定めている。この規制は、クラウド・コンピューティング、データ分析、IT管理サービスなどの第三者サービス・プロバイダーにも適用される。

DORAは、より安全で調和のとれた金融セクターを構築し、EU全域におけるサイバー攻撃やIT混乱のリスクを軽減することを目的としている。

関連製品の提供 Faddom｜インスタントアプリケーション依存マッピングツール

---

規制産業におけるコンプライアンス

分野によっては、より広範なデータプライバシーとセキュリティの基準に加えて、業界特有の規制や基準がある。

金融部門コンプライアンス

金融サービス企業は、多くの国内規制や社内規制の適用を受けており、これらは頻繁に進化している。各法律は、非公開個人情報（NPI）、個人を特定できる情報（PII）、機微な個人情報（SPI）のようなデータタイプを強調し、規制対象データを異なって定義するかもしれない。

金融機関に適用される主な規制には、以下のようなものがある：

• Know Your Customer (KYC)-組織が顧客の身元を確認し、そのリスク・レベルを評価するために必要な手続き。
• アンチマネーロンダリング（AML）-疑わしい取引を特定し、ブロックするためのKYCを含む様々な手続き。
• 包括的資本分析・評価（CCAR）-金融機関や銀行を評価し、規制するための枠組みを提供する。
• バーゼル銀行監督委員会（BCBS239）-銀行のリスクデータ収集とリスク報告を強化。
• サーベンス・オクスリー法（SOX法）-金融機関がデータ保護方針、財務記録、報告書をどのように維持するかを規定している。
• グラム・リーチ・ブライリー法（GLBA）-金融機関に対し、非公開データのセキュリティと機密性の維持を義務付ける。
• ニューヨーク州金融サービス局サイバーセキュリティ規制（NYS DFS CRR 500）-金融サービスプロバイダーがサイバー脅威から個人情報を保護する方法を規定。
• 米国国立標準技術研究所サイバーセキュリティ・フレームワーク（NIST CSF）-データ・プライバシー・リスクを管理するためのガイドラインを提供する。
• ペイメントカード業界データセキュリティ基準（PCI DSS）-ペイメントカードのデータを安全に処理、保管、転送するための一連の慣行で取り扱うことを組織に義務付ける。

ヘルスケア部門コンプライアンス

医療従事者は、様々な法的、倫理的、専門的基準を遵守しなければなりません。医療コンプライアンスを維持することは、絶えず変化する規制のために複雑です。

米国では、いくつかの州および連邦機関が健康コンプライアンスを監督している。これらには以下が含まれる：

• 食品医薬品局（FDA）-医薬品の製造と販売。
• 麻薬取締局（DEA）-FDAの規制を執行する。
• 保健福祉省（HHS）-不正を防ぐために医療提供者を監査する。

重要な医療規制には次のようなものがある：

• 医療保険の相互運用性と説明責任に関する法律（HIPAA）-1996年に制定され、患者の機密データを保護し、組織がデータをどのように使用、保存、配布できるかを規定している。また、違反した場合の罰則も定められています。
• 経済的および臨床的健康のための医療情報技術法（HITECH）-2009年に制定され、HIPAAの遵守を確認するために医療従事者の監査を義務付けている。HITECH法は、コンプライアンス違反に対する罰則を定めている。
• 救急医療労働法（EMTALA）-1986年に制定され、病院は保険や支払い能力に関係なく、すべての救急外来患者を治療し、安定させる義務がある。
• 患者の安全と質の向上に関する法律（PSQIA）-2005年に制定され、安全でない労働条件を報告する医療従事者を保護する。
• 反キックバック法（AKBS）-経済的利益のために医療制度を悪用することを防止するもので、連邦医療制度が適用されるサービスの紹介と引き換えに賄賂を受け取ることを禁止している。AKBS違反は犯罪行為である。
• スターク法-医療濫用や不正行為を防止するための法律で、医療従事者が金銭的契約を結んでいるサービス提供者に患者を紹介することを禁じている。

デジタル・コマース・コンプライアンス

電子商取引は経済の主要な一部となりつつあり、いくつかの規制の焦点となっている。米国では、連邦取引委員会（FTC）がeコマース活動を規制する政府機関である。オンライン広告やeコマースのマーケティング活動を監視し、顧客のプライバシーを保護する方法について企業を指導している。

欧州連合（EU）では、一般データ保護規則（GDPR）により、EU域内で事業を行う組織は、たとえEU域内に事務所がなくても、EU市民から収集した個人を特定できるデータ（PII）を慎重に保護することが義務付けられている。

Payment Card Industry (PCI) Security Standards CouncilはPCI Data Security Standard (PCI DSS)を策定し、クレジットカード会員データを処理または保管するすべての組織に適用される。この基準には、機密データの適切な取り扱いと保管に関する詳細な手順が定められており、組織は売上高に応じて自己監査を行うか、外部監査を受ける必要があります。

クラウド・コンプライアンス

クラウド技術は多くの産業で重要な役割を果たしている。そのため、クラウド関連規制へのコンプライアンスの重要性はますます高まっている。

クラウド・コンプライアンスには、データ保護、プライバシー、セキュリティに関する規制の遵守が含まれる。これには、安全なデータ伝送の確保から、適切なアクセス制御の維持、データ侵害からの保護まで、あらゆることが含まれる。

クラウドコンプライアンスを維持するには、クラウドプロバイダーがクラウドインフラのセキュリティ確保に責任を持ち、クラウド利用者がワークロードとデータのセキュリティ確保に責任を持つという責任共有モデルを理解する必要がある。そのためには、クラウドプロバイダーのコンプライアンス対策を吟味し、組織の管理下にあるクラウドの側面のコンプライアンスを確保するための定期的な監査とレビューを行う必要がある。

---

労働力のコンプライアンス

ここでは、世界中で施行されている労働力規制の一部と、労働力コンプライアンスのその他の側面を紹介する。

米国の労働力規制

米国では以下の規制が労働者を保護している：

公正労働基準法（FLSA）

2009年7月より施行されているこの規則は、最低賃金（時給7.25ドル）と、記録管理、超過勤務手当、青少年／児童雇用に関する基準を定めている。米国のすべての民間従業員に適用される。FLSAは（非免除従業員の）時間外手当を、週40時間の標準労働時間を超えるすべての時間について、通常の時間給の少なくとも1.5倍と定めている。

労働時間には、従業員が勤務中または職場にいる全時間が含まれます。FLSAでは、雇用主はFLSAの公式ポスターを掲示し、労働時間と賃金の記録を保持することが義務付けられています。

労働安全衛生（OSH）法

OSHA（Occupational Safety and Health Administration：労働安全衛生局）は、すべての公共部門とほとんどの民間部門の雇用主に適用されるOSH法を執行している。OSHAは雇用主に対し、職場に危険がないよう安全衛生基準を維持することを義務付けている。OSHAは法律を執行するために検査を実施し、コンプライアンス支援などの協力プログラムを提供している。

AB5および1099請負業者

AB5雇用法は2020年1月にカリフォルニア州で施行された。これは労働者の雇用形態を再定義するもので、これまで独立した請負業者とみなされていた多くの労働者がW-2従業員とみなされ、それに伴う手当や責任が発生する。

雇用主は、労働者が独立した1099契約者であることを3つのABCテストで証明できない限り、労働者の給与税を管理し、一定の福利厚生を提供する責任があります。労働者を適切に分類できない雇用主は、罰金に直面する可能性があります。

英国の労働力規制

英国では以下の規制が労働者を保護している：

1996年雇用権法

この法律は、不当解雇、賃金保護、解雇手当、解雇、フレックスワーク、日曜出勤、ゼロ時間契約などの雇用権利に関する制定を統合したものである。

1998年最低賃金法

この法律は英国全体の最低賃金を定めるもので、1999年4月から施行されている。2016年の改正で最低賃金は大幅に引き上げられ、一定年齢（当初は25歳、現在は23歳）以上の労働者の国民生活賃金に基づく。

1999年雇用関係法

この労働法は、差別や解雇に対するより広範な労働組合員と従業員の保護を導入し、使用者に労働組合の承認を義務付けた。労働党政権は、保守党の前任者が制定した法律の一部を維持しながら、この法律を制定した。この労働法は国際基準より緩いと考えられている。

給与外就業規則（IR35）

2000年4月から施行されているIR35（仲介者法）は、独立請負業者やビジネス・パートナーが雇用形態を隠すために従業員を装うことによる脱税を防止することを目的としている。

IR35の内側」で働く労働者は、従業員レベルの税金を支払わなければならず、差別撤廃、出産休暇、最低賃金などの権利を有する。IR35の外側」で働く労働者は、自営業者または個人請負業者であり、関連する権利と義務があります。

2021年の改正により、労働者がIR35の適用を受けるかどうかを評価する責任をエンドクライアントに負わせる民間税制が追加された。その結果、多くの個人が「IR35の内側」の労働者となった。

EU労働力規制

EU各国には労働者の権利と従業員の責任を規定する固有の法律があるが、EU全体の法律もある。

欧州労働時間指令（EWTD）

EWTDは労働時間と従業員の権利を規定するもので、最低週 間・1日の休憩時間、夜勤、休暇、1週間の総労働時間などが含まれる。EU加盟国はEWTDを国内法の基礎として使用することが期待されているが、各国はより厳しい法律やより緩やかな法律を制定する可能性がある。しかし、EU全域で、使用者は労働者の出勤と労働時間を把握しなければならない。

従業員分類の要件

米国では、従業員をフルタイム、パートタイム、臨時雇用に分類することを定義する州法や連邦法はない。しかしながら、雇用主は従業員を組織全体で一貫して分類しなければなりません。雇用形態は、労働者の責任と従業員手当の受給資格を決定する。

フルタイム雇用とは通常、通常の週労働時間（無期限または年間契約による）で働く人を指す。米国では通常の週労働時間は40時間であるが、組織は（FLSA免除従業員の場合）週労働時間を短く設定したり、長く設定したりすることができる。組織によっては、パートタイム雇用の限度時間（通常30時間）を超えて働く者をフルタイム従業員として分類するところもある。パートタイム従業員は、通常、フルタイム従業員よりも少ない福利厚生しか受けることができない。

独立請負業者は、直接の従業員とはみなされず、会社の給与支払名簿にも載らない。通常、従業員や会社の福利厚生を受ける資格はない。しかし、契約社員は通常、労働時間の面でより大きな柔軟性を享受しており、契約の範囲、報酬、期間は多岐にわたる。

給与計算の要件

給与計算は、従業員の収入を計算し、税金を差し引き、ボーナスや手当を加え、各従業員に給与を支払い、給与明細を提出するプロセスです。雇用主は、従業員に代わって労働時間や有給休暇の記録を管理しなければなりません。

国ごとに労働法や税法が異なるため、国際的なビジネスでは給与計算が複雑になります。一部の企業では、グローバル給与計算を導入し、さまざまな国の給与計算プロセスを管理しています。

グローバル給与モデルには以下が含まれる：

• 完全自社所有型-同社は各国にオフィスを構え、給与計算を自社で管理する。このタイプのグローバル給与計算には通常、各国の要件を処理する現地の専門家が関与します。
• アグリゲート・ペイロール-同社は、各国の現地サービス・プロバイダーと提携するアグリゲーター（中間業者）を選択する。

---

ソフトウェア・コンプライアンス

ソフトウェア・コンプライアンスには、組織がソフトウェア・ライセンスをプロバイダーが設定した条件の下で確実に使用することが含まれる。例えば、組織は購入したライセンス以上のライセンスを使用しないようにしなければならない。

ソフトウェア・コンプライアンスは、ソフトウェア資産管理にとって重要であり、通常、企業ネットワークにインストールされているすべてのソフトウェアが適切なライセンスを持っていることを確認するために、包括的なソフトウェア・ライセンスのチェックを行う。組織は通常、関連文書とともにすべての購入の統一記録を保持する。

ソフトウェア製品は、商用ライセンスとオープンソースライセンスの2つのライセンスモデルに大別される。

商用ライセンス

商用ソフトウェア・ライセンスは、組織が使用料を支払うソフトウェア・コンポーネントを適用する。組織は、コードを使用、変更、または再配布する権利を得るためにライセンスを購入しますが、これらのライセンスには多くの場合、重大な制約があります。商用ライセンスが何を許可し、何を禁止しているかを理解することが重要です。

ライセンスモデルにはいくつかの種類がある：

• プロプライエタリ・ライセンス-組織全体をカバーする。
• ワークステーションライセンス-ソフトウェアをインストールした特定のワークステーションを対象とする。
• 同時使用ライセンス-同時にシステムにアクセスするユーザー数をカバーする（例えば、5ユーザーまで許可し、6人目はアクセスを拒否する）。
• シングルユーザーライセンス-ソフトウェアを使用する特定の個人をカバーします（ユーザーは通常、ソフトウェアにアクセスするための固有のログインを持っています）。このモデルは、異なるユーザーがライセンスを共有することを禁止しています。

企業は、商用ライセンス契約における義務とリスクを理解するために、法律の専門家を雇うことが多い。商用ソフトウェアの場合、プロバイダがコンプライアンス違反に対応する可能性が高いため、コンプライアンスは特に重要である。ソフトウェア・ベンダーは、組織がソフトウェアを正しく使用しているかどうかをチェックするために、ライセンス監査を要求することができる。

管理者は、契約を綿密に検討し、従業員に関連する制限事項を周知徹底させるべきである。組織は、従業員の行動を監視し、コンプライアンスを確保するための内部プロセスを持つべきである。例えば、定期的な内部監査を行うべきである。

オープンソースライセンス

オープンソースのライセンスにはいくつかの種類がある：

• パブリック・ドメイン-最も寛容なライセンス・タイプ。パブリック・ドメインのソフトウェアには、使用や改変の制限はありません。しかし、コードが安全でパブリックドメインであることを確認することが重要です。
• パーミッシブ（Apache/BSD）ライセンス-最も一般的なオプションです。これらのライセンスには、ソフトウェアの改変や再配布に関する最小限の要求事項があります。
• 劣等一般公衆ライセンス (LGPL)- 開発者が自分のソフトウェアをコードライブラリにリンクすることを許可します。このライセンスはコードの改変と配布を制限します。
• コピーレフト-互恵的/制限的ライセンスタイプ（GPLなど）。コピーレフト・ライセンスは、改変されたコードや再配布されたコードに対して、ソフトウェアのライセンス条項を拡張することを要求する。通常、これは、オープンソース・コードを含むプロプライエタリ・ソフトウェアは、それ自体をオープンソースにする必要があることを意味する。このため、コピーレフト・ライセンスは、企業が使用するには問題がある。

オープンソースライセンスの遵守

パーミッシブ・ライセンスは、プロプライエタリ・ライセンスを含め、コードの一般的な使用と再配布を許可する。コピーレフト・ライセンスは、オープンソースのもう一方の端にあり、コンプライアンスを困難なものにしています。コピーレフトのコードがプロプライエタリなコードと相互作用する結果を、例えば依存関係において考慮することが重要です。依存関係には、直接的なもの（コードが直接ライブラリを呼び出す）と推移的なもの（依存関係の依存関係）があります。

オープンソースのライセンスは解釈の余地があることが多く、コンプライアンスをさらに複雑にしています。ソフトウェアユーザは、適用されるすべてのライセンス（依存関係を含む）を遵守しなければならない。トップレベルのライセンスは、通常、ソフトウェアで使用される他のコンポーネントのライセンス責任から保護しません。他動的な依存関係は、通常、特に連鎖の下方にあるほどリスクが低くなります。

理想的には、開発者は、再利用する各オープンソースライセンスの完全な部品表（BOM）を管理し、その義務を追跡する必要がありますが、これは必ずしも現実的ではありません。別の方法として、トリアージアプローチを使用してリスクを分析し、数は少ないがリスクが高い傾向にある直接的な依存関係に優先順位を付けることができる。このような依存関係や組み込み製品に焦点を当てることで、コンプライアンスをより管理しやすくし、コンプライアンス上の問題をより深く分析できるようになる。

オープンソースのコンプライアンスでは通常、直接的な依存関係が重視され、組織は自動化ツールを活用して依存関係とソフトウェアライセンスをスキャンする。ソフトウェア構成分析（SCA）などのツールは、義務を管理し、リスクに基づいてコンポーネントを分類するのに役立つ。組織内で使用されているオープンソースライセンスの可視性を維持し、オープンソースライセンスの適切な使用に関するポリシーを確立し、実施することが重要である。

---

コンプライアンス経営の課題

変化への対応

コンプライアンス管理における最大の課題の一つは、絶えず変化する規制に対応することである。政府、業界団体、規制当局は、新たなリスク、技術の進歩、市場環境の変化に対応するため、頻繁に法律を更新している。組織は、自社のポリシーと業務慣行がコンプライアンスを維持できるよう、これらの変更を注意深く監視する必要がある。しかし、異なる管轄区域にまたがる複数の規制機関を追跡するのは、時間がかかり、複雑な作業になりかねない。

規制の拡散

産業が複雑化するにつれて、組織が遵守しなければならない規制の数は大幅に拡大し、しばしば規制の拡散と呼ばれる事態を引き起こしている。これは、特に複数の国や業界で事業を展開する組織にとっては、重複し、時には相反する要件につながる可能性がある。

個人情報保護法、金融規制、環境基準、業種別規則など、多岐にわたる規制のコンプライアンスを管理することは、圧倒的な労力を要する。業務が複雑化するだけでなく、規制上の義務を処理するために専門チームやテクノロジーソリューションが必要になるため、コンプライアンスにかかるコストも増大する。

サイバー脅威の急速な進化

技術革新の急速なペースは、新たな進化を遂げるサイバー脅威をもたらし、コンプライアンス管理に重大な課題を投げかけている。GDPR、HIPAAなどの規制は厳格なデータ保護対策を義務付けているが、サイバー脅威の状況は絶えず進化しており、常に警戒し、適応する必要がある。組織は、既存のデータ・セキュリティ規制を遵守するだけでなく、新たな脆弱性が出現することも予測しなければならない。これは、サイバーセキュリティに割り当てるリソースが限られている小規模な組織にとって特に難しいことです。

部門間の調整

効果的なコンプライアンス管理には、法務、IT、財務、人事など複数の部門が連携することが必要であり、各部門はそれぞれ異なる優先事項や専門知識を有している可能性がある。特に、サイロ化された構造を持つ大規模な組織では、すべての部門がコンプライアンス目標について足並みを揃えることは困難な場合がある。連絡ミスや連携不足は、組織の特定の領域が知らず知らずのうちに規制要件を満たしていないというコンプライアンス上のギャップにつながる可能性がある。この課題は、規制要件が社内の異なる部門と重複している場合に、しばしば悪化する。

---

コンプライアンス管理システムとは

コンプライアンス管理システム（Compliance Management System：CMS）とは、組織が法律、規制、および内部ポリシーの要件を確実に遵守するために使用する、構造化されたフレームワークである。CMS には、コンプライアンス・リスクを効果的に管理するために組織が実施するプロセス、手順、ツール、および統制が含まれる。強固な CMS は、適用される規制を特定し理解するのに役立つだけでなく、組織全体のコンプライアンス基準の継続的な監視、監査、および実施を容易にします。

CMSの中核には通常、いくつかの主要コンポーネントが含まれている：

• 方針と手順：組織が規制要件を満たし、コンプライアンス・リスクを管理する方法を概説する、明確に定義された規則。
• リスク評価：データ・プライバシー、財務報告、業務慣行などの分野における潜在的なコンプライアンス・リスクを定期的に評価する。
• 統制と保護：アクセス制御、インシデント報告システム、監査証跡など、コンプライアンスを強制する措置。
• 研修プログラム：従業員がコンプライアンス義務を認識し、理解するための定期的な従業員教育。
• モニタリングと監査：コンプライアンスへの取り組みを追跡し、改善すべき領域や潜在的なコンプライアンス違反のリスクを特定するための継続的なプロセス。

効果的な CMS は、組織が規制の変化に対応し、コンプライアンス違反のリスクを最小限に抑え、規制当局や利害関係者に説明責任を果たすことを可能にします。また、組織全体でコンプライアンス文化を促進し、全従業員が規制遵守の維持に取り組む上で、重要な役割を果たします。