Day 100 「Japanese」Compliance? 「守っているつもり」で、守るものがズレるとき
[シリーズ構造] 柱F|リスクとガバナンス
日本のコンプライアンスは、守っている「つもり」になるとき、守るべきものを見失います。本稿は、空気や形式ではなく、現実のリスクと人の判断を支えるコンプライアンスとは何かを問い直します。AI時代に必要なのは、正しさの演出ではなく、判断が機能する仕組みです。
▶ シリーズ全体マップ: 人間のしなやかさ ― サイバー判断力のために
▶ 柱F|コンプライアンス 関連記事:
「Japanese」Compliance? 「守っているつもり」で、守るものがズレるとき
本シリーズでいうコンプライアンスとは、単に「ルールや書類を揃えること」ではなく、リスクに基づいて問題を予防し・早期に気づき(検知し)・是正できるようにし、さらに守れていることを説明できる(示せる)状態をつくるための仕組み(ガバナンス)のことです。
日本に帰ってきて、あらためて働き始めたとき。
「コンプライアンス」という言葉に、私は違和感を覚えました。日本でそれを口にしても、多くの場合、セキュリティとは結び付けて受け取られません。何を言っているのか分からない、という表情で見つめ返されることもありました。
日本では、「コンプライアンス」はまずハラスメント防止や不祥事の予防と結び付いて語られます。それは、決して間違いではありません。
ただ、その重心は「人を傷つけないこと」「問題を起こさないこと」
―そうした "空気の安全" に、強く寄っているように感じます。
一方で、私が見てきた米国や欧州の現場でのコンプライアンスは、もっと機械的で、冷たくて、そして強いものでした。
それは、リスクに対して、説明責任を果たすための仕組みでした。
この違和感を、今日は言葉にしてみます。
定義の違い
Compliance は「ルール」か、「説明責任」か
米国でのコンプライアンスは、「守れ」と言って終わるものではありません。ましてや、「違反が起きないように祈る」ものでもない。
違反は起きうる。
人は間違える。
組織は必ずズレる。
その前提に立ったうえで、どう設計し、どう運用し、どう直すか。コンプライアンスは、そのための 仕組み です。
米国司法省(DOJ)の枠組みでは、コンプライアンス・プログラムは risk-based(リスクを基づいて) であるべきだ、という考え方がはっきり示されています。
すべてを同じ強さで守るのではなく、リスクに応じて、濃淡をつける。
問われるのは、「書類があるか」ではありません。
機能しているか、です。
そこでは、コンプライアンスは単発の施策ではなく、ポリシー、教育、監査、通報、是正がつながった 循環 として扱われます。
そして評価されるのは、「やったか」ではなく、「効いたか」。
それが、私が見てきた米国のコンプライアンスでした。
欧州Compliance は「Accountability(説明できること)」
欧州では、コンプライアンスはさらに強く言語化されています。
EDPS(欧州データ保護監察機関)は、コンプライアンスを「守ること」+「守っていると示せること」として説明します。
ここで言う Accountability は、「資料が揃っている」という意味ではありません。
リスクに応じて考え、設計し、説明できる状態にあること。それが、彼らの言う Accountability です。同じ文脈で、risk-based approach、data protection by design and by defaultが、実務の柱として並びます。
つまり欧州では、コンプライアンスとは説明責任そのもの。
しかもその説明は、すべて同じ深さではありません。
リスクに応じて、説明の深さが変わる。
―それが、risk-based という考え方です。
日本 Compliance は「違反しない/炎上しない」へ寄りやすい
日本のコンプライアンスは、当然 法令遵守 から始まります。それ自体は、何も間違っていません。
ただ、実務の中では、その定義が次第に「不祥事を起こさないための概念」へと寄っていくことがあります。
目的は、こう整理されがちです。
- 問題を起こさない
- 指摘されない
- 炎上しない
- 怒られない
手段として選ばれるのは、
- ルール
- チェックリスト
- 稟議
- 同意文言
- 研修
形式は、整います。
ただ、その形式がリスクをどう見ているのか、何を守ろうとしているのか、という議論と結び付かないまま、完成してしまうことがある。
結果として、コンプライアンスは「違反しないための型」 にはなるけれど、「判断を支える仕組み」 にはなりきらない。
なぜ、個人情報保護法は「セキュリティの議論」から抜け落ちるのか
良い例が、個人情報保護法ではないでしょうか。ここに、日本独特の ねじれ が、はっきりと表れます。個人情報保護法は、本来、「情報をどう守るか」 と深く結びついた法律です。
実際、条文には 安全管理措置 が明記されています。
―個人データの漏えい等を防ぐための、必要かつ適切な措置。
ところが実務の現場では、ときどき、こう扱われます。
- チェックリストはある
- 同意文言もある
- 委託契約(のような書類)もある
- 監査のための証跡もある
それなのに、
- 脅威は何か(攻撃者、内部不正、委託先事故)
- どこで漏れるのか(データフロー、権限、ログ、持ち出し)
- 起きたら誰がどう動くのか(初動、判断、通知、説明)
こうした問いが、コンプライアンスの議論から抜け落ちている 場面を、私は何度も見てきました。
守っているのは、「法律そのもの」。けれど、守ろうとしているはずの 現実 は、その枠の外に落ちている。
結果として起きるのは、この分断です。
- コンプライアンス:違反しないための書類と手続
- セキュリティ:技術部門の話
- リスク:誰の言葉でも語られない
本来ひとつであるはずのリスク・行動・責任 が、切り離されてしまう。
「Comply or Explain」という発想
―欧州的な柔軟さ
欧州、とくに英国のガバナンスの文脈では、ルールに対して "守るか、説明するか" という考え方が、制度として組み込まれています。
UK Corporate Governance Code は、原則として comply or explain―従うか、従わないのであれば、その理由を説明する、と明確に述べています。
この枠組みが興味深いのは、「形式を揃えること」よりも、説明の質=意思決定の質 に、重心が置かれている点です。
例外は、悪ではありません。
その代わり、なぜそう判断したのか を、強く問われる。
一方、日本では、「例外を作らない/作れない」方向に倒れやすい。その結果、現場は現実に合わせて説明する努力 ではなく、形式を合わせる努力 に向かいやすくなります。
「Japanese Compliance」とは何なのか
―批判ではなく、問いとして
ここまで書いておいて、私は、日本の組織が悪いと言いたいわけではありません。
むしろ、真面目に、誠実に、「守ろう」としてきた結果だと思っています。
ただ、日本のコンプライアンスには、独特の 重心 がある。
- 守る対象:法律 + 社会的期待(炎上回避、評判、空気)
- 成功条件:違反しない/問題にならない
- 評価方法:形式が揃っている/説明が不要である
US や EU では、重心が少し違います。
- 守る対象:ステークホルダーの権利と、リスクの制御
- 成功条件:説明できる/再発防止の仕組みが回る
- 評価方法:有効性(effective)/リスクベース(risk-based)
だから、私の問いは、ここです。
日本のコンプライアンスは、なぜ、ここまで 「形式」 に寄りやすいのか。
そして、どうすればそれを、セキュリティとして "現実に耐える形" に、戻せるのか。
AI が業務に入り込み、データの流れが複雑になり、説明責任が避けられなくなる時代に。
この問いは、これから、さらに重くなるはずです。
―――
[Series Structure] Pillar F | Risk and Governance
When compliance becomes about form and atmosphere, it stops protecting what truly matters. This post re-examines Japanese compliance through the lens of real risk, human judgment, and accountability. In the AI era, compliance must support decisions--not just appearances.
▶ Series overview: Series Overview -- Human Flexibility for Cyber Judgment
▶ Other posts in Pillar F (Compliance):
"Japanese" Compliance?
When We Think We Are Protecting, But What We Protect Has Shifted
When I returned to Japan and began working again, I felt an immediate discomfort with the word "compliance."
When I used the term in Japan, it was rarely understood as something connected to security. I was often met with a look that said, "I'm not sure what you mean."
In this post, compliance means a risk-based system that helps an organization prevent problems, catch them early, fix them, and prove it's doing the right thing--not just follow rules or collect paperwork.
In Japan, compliance is most commonly associated with harassment prevention or the avoidance of corporate misconduct. That understanding is not wrong.
But the center of gravity tends to lean toward "not hurting people" and
"not causing trouble." In other words, toward what might be called the safety of the atmosphere.
By contrast, the compliance I have seen in the United States and Europe is far more mechanical--cooler, less emotional, and much stronger.
It is a system designed to fulfill accountability for risk.
That is the discomfort I want to put into words today.
A Difference in Definition
Is Compliance About "Rules," or About "Accountability"?
In the United States, compliance is not something that ends with "just follow the rules."
Nor is it about hoping violations will not occur.
Violations can happen.
People make mistakes.
Organizations inevitably drift.
Starting from that premise, the question becomes:
How do we design?
How do we operate?
How do we correct?
Compliance is the system built to answer those questions.
In the U.S. Department of Justice (DOJ) framework, it is clearly stated that compliance programs should be risk-based.
Not everything is protected with equal intensity; controls are calibrated according to risk.
What matters is not
whether documents exist,
but whether the program actually functions.
Compliance is treated not as a one-off measure, but as a cycle--policies, training, monitoring, reporting, and remediation, all connected.
And what is evaluated is not "Did you do it?"
but "Did it work?"
That is the U.S. compliance model I have observed.
Europe Compliance as Accountability
In Europe, compliance is articulated even more explicitly.
The European Data Protection Supervisor (EDPS) describes compliance as:
"protecting" plus "being able to demonstrate that you are protecting."
Here, accountability does not mean simply having documentation in place.
It means being able to think, design, and explain--in a way that is proportionate to risk.
In the same context, Europe places risk-based approach and data protection by design and by default at the core of practice.
In Europe, compliance is accountability itself.
And that accountability is not uniform.
The depth of explanation changes depending on risk.
That is what risk-based truly means.
Japan Compliance Tends to Drift Toward "No Violations / No Scandals"
In Japan, compliance naturally begins with legal compliance.
There is nothing wrong with that.
But in practice, its meaning often shifts toward
avoiding incidents rather than managing risk.
The objectives are frequently framed as:
- Do not cause problems
- Do not get pointed out
- Do not trigger public backlash
- Do not get blamed
The tools used are familiar:
- Rules
- Checklists
- Approval processes
- Consent language
- Training
The form is complete.
Yet that form sometimes solidifies without being connected to questions such as:
What risks are we actually seeing?
What are we trying to protect?
As a result, compliance becomes
a template for avoiding violations,
but not a system that supports judgment.
Why Does the Personal Information Protection Act Fall Out of Security Discussions?
A clear example is Japan's Personal Information Protection Act.
Here, a uniquely Japanese tension becomes visible.
The law is fundamentally about how information is protected.
The statute explicitly requires appropriate security control measures--
necessary and proper steps to prevent data leakage.
And yet, in practice, it is often treated like this:
- There is a checklist
- There is consent language
- There are outsourcing contracts (or something that looks like them)
- There is audit evidence
But questions such as these are missing from compliance discussions:
- What are the threats? (external attackers, insider misuse, vendor incidents)
- Where could data leak? (flows, access rights, logs, data extraction)
- What happens if it does? (initial response, decisions, notification, explanation)
I have seen this gap many times.
What is being protected is the law itself.
But the reality that should be protected falls outside that frame.
The result is fragmentation:
- Compliance: documents and procedures to avoid violations
- Security: a technical issue for specialists
- Risk: spoken by no one
Risk, action, and responsibility--which should be one--are split apart.
"Comply or Explain" A European Form of Flexibility
In Europe, particularly in the UK governance context,
the idea of "comply or explain" is institutionalized.
The UK Corporate Governance Code clearly states that organizations should either
comply with principles, or explain why they do not.
What is striking about this framework is that the focus is not on uniformity of form,
but on the quality of explanation-- which is the quality of decision-making.
Exceptions are not treated as evil.
But the reasoning behind them is rigorously questioned.
In Japan, by contrast, organizations often lean toward not creating exceptions at all.
As a result, effort goes into matching the form, rather than explaining reality-based decisions.
What Is "Japanese Compliance"?
Not as Criticism, but as a Question
After writing all this, let me be clear:
I am not saying Japanese organizations are bad.
On the contrary, this is the result of sincere and earnest efforts to do the right thing.
Still, Japanese compliance has a distinctive center of gravity:
- What is protected: laws plus social expectations
(avoiding backlash, reputation, atmosphere) - Success condition: no violations, no problems
- Evaluation: formal completeness, no need to explain
In the U.S. and Europe, the center is slightly different:
- What is protected: stakeholder rights and risk control
- Success condition: explainability, a working loop of prevention and correction
- Evaluation: effectiveness and risk-based judgment
So my question is this:
Why does Japanese compliance gravitate so strongly toward form?
And how can it be brought back into a shape that can withstand reality--
as security?
As AI enters everyday operations, data flows become more complex, and accountability becomes unavoidable.
This question will only grow heavier from here.
References 出典・参照文献
- European Data Protection Board. (2019). Guidelines 4/2019 on Article 25 Data Protection by Design and by Default (Version 2.0).https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201904_dataprotection_by_design_and_by_default_v2.0_en.pdf
- European Data Protection Supervisor. (n.d.). https://www.edps.europa.eu/data-protection/our-work/subjects/accountability_en
- European Data Protection Supervisor. (2018). Documenting data processing: The EDPS guide to ensuring accountability(Factsheet). https://www.edps.europa.eu/sites/default/files/publication/18-12-11_factsheet3_documenting_data_processing_en.pdf
- Financial Reporting Council. (n.d.). UK Corporate Governance Code.https://www.frc.org.uk/library/standards-codes-policy/corporate-governance/uk-corporate-governance-code/
- GDPR-Info.eu. (n.d.). 5 GDPR - Principles relating to processing of personal data.https://gdpr-info.eu/art-5-gdpr/
- GDPR-Info.eu. (n.d.). 24 GDPR - Responsibility of the controller.https://gdpr-info.eu/art-24-gdpr/
- GDPR-Info.eu. (n.d.). 25 GDPR - Data protection by design and by default.https://gdpr-info.eu/art-25-gdpr/
- GDPR-Info.eu. (n.d.). Recital 76 GDPR - Risk assessment.https://gdpr-info.eu/recitals/no-76/
- Japan, Government of Japan. (n.d.). Act on the Protection of Personal Information(Japan Law Translation; English translation). https://www.japaneselawtranslation.go.jp/en/laws/view/4241/en
- S. Department of Justice, Criminal Division. (2023, March). Evaluation of Corporate Compliance Programs(Updated March 2023). https://www.justice.gov/archives/opa/speech/file/1571911/dl
- S. Department of Justice, Criminal Division. (n.d.). Evaluation of Corporate Compliance Programs(Updated September 2024). https://www.justice.gov/criminal/criminal-fraud/page/file/937501/dl?inline=