ガバナンス、リスク、コンプライアンス (GRC) の概念について説明する
組織は規制を取り巻く環境の複雑化と変化に直面し、ガバナンス、リスク、コンプライアンス (GRC) を管理するためのより構造化されたアプローチを求めています。
組織が GRC コンピテンシーを確立すると、特定のポリシー、運用プロセス、技術の実装を含むフレームワークを確立できます。 GRC を管理するための構造化されたアプローチは、組織がリスクを軽減し、コンプライアンスの有効性を向上させるのに役立ちます。
GRC コンピテンシーを確立するための重要な前提条件の 1 つは、主な用語を理解することです。
ガバナンス
ガバナンスとは、組織でアクティビティの指示と制御に使用されるルール、プラクティス、およびプロセスのシステムです。 多くのガバナンス アクティビティは、外部の標準、義務、期待から生じます。 たとえば、組織は、アクセス権を持つユーザーとアプリケーション、アクセスできる会社のリソース、場所、タイミング、および管理者特権を持つユーザーとその期間を定義するルールとプロセスを確立します。
リスク
リスク管理とは、会社や顧客の目標に影響を与える可能性がある脅威やイベントを特定し、評価し、対応するプロセスです。 組織は、外部と内部の両方のソースからのリスクに直面しています。 外部のリスクは、政治的および経済的な影響、気象関連のイベント、パンデミック、セキュリティ違反などが原因で生じる可能性があります。ここに挙げたのはほんの一例です。 内部のリスクとは、組織自体から発生するリスクです。 たとえば、機密データの漏洩、知的財産の盗難、詐欺、インサイダー取引などがあります。
コンプライアンス
コンプライアンスとは、組織が従う必要がある国/地域、州、連邦の法令や複数の国の規制を指します。 これらの規制では、保護する必要があるデータの種類、法律で必要なプロセス、遵守しない組織に対して課される罰則が定義されます。
コンプライアンスはセキュリティと同じではないことを認識しておくことが重要です。 ただし、有効なセキュリティはコンプライアンス要件であることが多いため、コンプライアンス計画を作成するときはセキュリティを考慮する必要があります。 コンプライアンスで必要なのは、法的に義務付けられている最低限の標準を満たすことのみです。一方、データ セキュリティは、機密データの処理方法を定義し、侵害から保護する方法を定義するすべてのプロセス、手順、テクノロジを対象としています。
コンプライアンス関連の概念には、次のようなものがあります。
- データ所在地 - コンプライアンスに関するデータ所在地の規制は、データを格納できる物理的な場所と、データの転送、処理、またはアクセスを国際的に行うことができる方法とタイミングを管理します。 これらの規制は、管轄区域によって大きく異なる場合があります。
- データ主権 - もう 1 つの重要な考慮事項であるデータ主権は、データ (特に個人データ) はそれが物理的に収集、保持、または処理される国や地域の法律や規制の対象となるという概念です。 同じデータを収集する場所、格納する場所、処理する場所がすべて異なる場合があり、異なる国や地域の法律の対象となるため、コンプライアンスに関して複雑さが増す可能性があります。
- データ プライバシー - 個人データの収集、処理、使用、共有に関して通知を提供し、透明性を確保することは、プライバシーに関する法律と規制の基本原則です。 個人データとは、識別された自然人または識別可能な自然人に関するすべての情報を意味します。 プライバシー法には、個人に直接リンクされた、または間接的にリンク可能な、すべてのデータが含まれます。 組織は、データ プライバシーを管理する多数の法律、規制、行動規範、業界固有の基準、コンプライアンス基準の対象となり、それに従って活動する必要があります。
すべての組織がデータを管理するため、コンプライアンスに関連する用語と概念を理解することは、最低限義務付けられている法律や規制を遵守するために重要です。