コンプライアンスについて気づいたこと

最近、コンプライアンス、SOX法（J-SOX法）、内部統制なんかのキーワードがからむ仕事が急に増えてきたので、昔CISA（公認システム監査人）の仕事やってたころの資料等もひっぱりだしつついろいろリサーチしてます。

＃CISAの資格は年会費を払い忘れて無効になってしまいました。今考えればもったいないことをしました。まあ、システム監査情報技術者も持ってるからいいですけど。

で、いろいろ資料を見て、どうもよくわからんと感じる時の理由がわかってきました。まず、コンプライアンスという言葉の使い方が人によってまちまちだということです。新聞等ではコンプライアンスは「法令遵守（順守）」と訳されています。要するに、法律を守れということです。しかし、一般的なコンプライアンスの本を見ると、法律を守ることに加えて、企業倫理とかCSR（企業の社会的責任）まで加えてコンプライアンスと呼んでいるようです。どう日本語に訳すか困りますが、いずれにせよ、「法令遵守」ではちょっと狭すぎます。

さらに、SOX法（J-SOX法）への準拠のことをコンプライアンスと言っている人がいます。特に製品を販売しているベンダーがこの意味で使うことが多いようです。たとえば、「わが社の文書管理システムはコンプライアンス（SOX法への準拠）に必須」というような言い方です。

そうなると、かたや「コンプライアンスには環境の重視等のCSR的要素も含む」と書いてあり、かたや「コンプライアンスには文書管理が重要」と書いてあると、文書管理と環境重視とどう関係あるの(@_@)ということになってしまいます（まあ、紙を減らせるので環境重視という理屈も成り立ちますけど＾＾;）

この点がわかってきて、ここでの「コンプライアンス」はどういう意味だろうと文脈別に判別する癖が付いてから、理解が早くなってきました。

SOX法、J-SOX法からみのでよく出てくる内部統制（インターナルコントロール）という言葉も曲者ですね。そもそも、「コントロール」という言葉をどう訳すかが大問題です。情報システム監査人の団体であるISACA（Information System Audit and Control Association）の日本語名称が「情報システムコントロール協会」とカタカナ書きでごまかしていることからもわかります。

（この話長くなりそうなので続きます）