Day 102 コンプライアンス疲労 Compliance Fatigue

» 2026/02/07

[シリーズ構造] 柱F｜リスクとガバナンス

コンプライアンス疲労は、ルールが多すぎるから起きるのではありません。統合されていないルールが、積み重なったときに起きます。本稿では、監査・規程・統制が「守り」ではなく「負荷」になってしまう構造と、過剰統制がかえって判断力と安全性を弱めてしまう理由を整理します。問題は量ではなく、設計です。

▶ シリーズ全体マップ：人間のしなやかさ ― サイバー判断力のために

▶ 柱F｜コンプライアンス関連記事：

コンプライアンス疲労(Compliance Fatigue)

―守ろうとするほど、組織が疲れていく理由

このテーマには、前回のブログでも少し触れました。今日はそこから、別の角度で、もう一段深く潜ってみたいと思います。

多くの組織が溺れるのは、たった一つの致命的な判断ミスではありません。

溺れさせているのは、小さな義務の積み重ねです。

新しい規制が来る。
新しいポリシーが書かれる。
新しい監査が、新しいコントロールを要求する。
新しいインシデントが、新しいルールを生む。

一つひとつを見れば、どれも不合理ではありません。
むしろ、「ちゃんとやろう」としている結果です。

問題は、それがどう実装されるかです。

・場当たり的に
・個別に
・全体像や仕組みを持たないまま

そうして増えていく要求は、やがて「守るための枠組み」ではなく、終わりのない負荷の流れに変わっていきます。

それが、Compliance Fatigue（コンプライアンス疲労）です。

管理可能な仕組みではなく、重なり合い、絡まり合い、整理されない要求の連続として
コンプライアンスが存在し始めたとき、組織の中には、静かな消耗が蓄積していきます。

それは、「マラソンとして設計されていないのに、ずっと走らされ続けている」
―そんな疲労感です。

守ろうとしているのに、守れている感覚がない。

やっているのに、前に進んでいる気がしない。

その違和感こそが、Compliance Fatigue の最初のサインなのだと思います。

u5292553157_create_an_illustration_of_a_colourful_big_maze_ma_0c036c67-a6ea-4bf8-8427-b656df7d5a30_0.png

1) 見えにくい原因

コントロールが、体系ではなく「追加」で増えていく

コンプライアンスがうまく機能していない組織では、規制や要求が来るたびに、それぞれが独立したプロジェクトになります。

・ポリシーAができて、コントロールAが生まれる
・監査Bが入って、コントロールBが足される
・顧客要求Cに対応して、コントロールCが増える

一つひとつは、間違っていません。

けれど、それらは
別々のオーナー
別々の証跡
別々のワークフロー
別々のツール
別々の会議
として、個別に運ばれていきます。

その結果、組織がつくっているのはコントロールの「仕組み」ではありません。

できあがるのは、ただの 山（pile）です。

そして、山は摩擦を生みます。

それは、危険を止めるための「良い摩擦」ではありません。

仕事の流れそのものを止めてしまう、悪い摩擦です。

2) 規制が増えすぎると、「別々のコンプライアンス車線」が生まれる

よくある失敗パターンの一つが、ポリシーの分断です。

プライバシー対応は「そっち」
セキュリティ対応は「こっち」
調達のコンプライアンスは「また別のどこか」
人事のコンプライアンスは「別ポータル」

それぞれに、
それぞれのチェックリストがあり、
それぞれのレビューがあり、
それぞれの宣誓（アテステーション）があり、
それぞれの研修があります。

組織としては「ガバナンスをしている」つもりでも、現場の人が体験しているのは、ガバナンスではありません。

絶え間ない割り込みです。

この構造こそが、コンプライアンス疲労が「規制の量」だけでなく、管理の仕方のまずさから生まれる大きな理由です。

そして、この分断は、人の行動を確実に変えていきます。

人は、読まなくなり、クリックするようになる
人は、考えなくなり、転送するようになる
人は、エスカレーションしなくなり、回避するようになる

コンプライアンスは、統制ではなく、動作（モーション）になります。

3) コンプライアンス疲労は、単なる燃え尽きではない

それ自体が、リスクになる

Day 87 で使ったテストは、ここでも有効です。コントロールは「ゲート」として振る舞っているか。

疲労が高まると、このゲートは、静かに 「柔らかく」 なっていきます。

なぜなら、組織は動き続けなければならないからです。
そして動き続けるために、
例外は出しやすくなり、
承認は速くなり、
証跡は軽くなっていきます。

そこで起きるのが、コンプライアンスのパラドックスです。

コントロールが増える
→ 疲労が増える
→ 回避が増える
→ 残余リスクが増える

この時点で、組織は安全になっていません。

ただ、忙しくなっているだけです。

この状態は、「セキュリティ摩擦」という言葉で説明できます。
統制が過剰な摩擦を生むと、人はその統制を通らずに、回避し、近道をつくり、影のプロセスを育て始めます。

さらに忘れてはいけないのが、管理コストは時間だけではないという点です。

学習の負担。
理解の負担。
心理的な消耗。

それらが積み重なったとき、コンプライアンスは、守るための仕組みではなく、リスクを育てる環境に変わってしまいます。

4) 「コントロールが多すぎる」状態は、こんな形で現れる

（シンプルな兆し）

次のようなサインが見え始めたら、それは 過剰統制 × コンプライアンス疲労 の領域に入っています。

・コントロールは存在するが、なぜ存在するのかを誰も説明できない
　――理由は「監査だから」「規制だから」だけ。

・同じ証跡を、三つの違う形で、三つの違う相手に出している。

・どのプロセスにも例外があり、その例外に、さらに例外がある。

・「うちはコンプライアンスは守っている」と言いながら、同時に「正直、ちゃんとやる時間はない」とも言っている。

これらは、システムがはっきり伝えてきている一つのメッセージです。

私たちのコントロールは、統合されていない。

積み上がっているだけだ、と。

最後に

コンプライアンス疲労とは、ガバナンスが一つの仕組みとして設計される代わりに、
散らばった義務として実装されたときに起きる現象です。

コントロールが多いこと自体が、安全を意味するわけではありません。

無秩序に追加されたコントロールが多いほど、摩擦が増え、分断が生まれ、回避が起きる。

その結果、かえって安全性は下がります。

守っているつもりで、リスクを育ててしまう。

それが、過剰統制のいちばん怖いところです。

明日は、反対側を見ます。

コンプライアンスがうまく機能しているときの姿。

バラバラのポリシーではなく、一つのシステムとして――対応関係が見え、再利用され、リスクに基づき、「正しい行動が、いちばん楽になる」ように設計された形です。

その入口として、重なりや無駄を可視化し、減らすためのコントロール・マッピングを扱います。

ここからが、「疲れないコンプライアンス」の話です。

―――

[Series Structure] Pillar F | Risk and Governance

Compliance fatigue isn't caused by too many rules. It emerges when controls accumulate without integration. This article examines how fragmented compliance turns from protection into burden and how over-control quietly erodes judgment and real security. The issue is not volume, but design.

▶ Series overview: Series Overview -- Human Flexibility for Cyber Judgment

▶ Other posts in Pillar F (Compliance):

Compliance Fatigue Why Over-Controlled Organizations Burn Out

(Too many controls, too many regulations, too little system)

We touched upon this topic briefly in the previous blog. Today I want to dive into this topic from a different perspective.

Most organizations don't drown in one bad decision.
They drown in tiny obligations.

A new regulation arrives.
A new policy gets written.
A new audit asks for a new control.
A new incident produces a new rule.

None of these are irrational on their own.

The problem is how they get implemented: randomly, separately, and without a system.

That is compliance fatigue: the exhaustion that builds up when compliance becomes an endless stream of overlapping demands rather than a manageable, coherent mechanism. One common description frames it as the weariness that sets in when keeping up with regulations becomes a "ceaseless marathon instead of a manageable task" (TechClass, 2025).

1) The hidden cause: controls added randomly, not systematically

When compliance is done badly, each regulation becomes its own project:

Policy A produces Control A
Audit B produces Control B
Customer demand C produces Control C

But they're handled separately: separate owners, separate evidence, separate workflows, separate tools, separate meetings.

So the organization doesn't build a control system.
It builds a pile.

And a pile creates friction.
Not the "good friction" that blocks danger.
The kind that blocks work.

2) Too many regulations create "separate compliance lanes"

A common failure pattern is policy fragmentation:

Privacy compliance is handled "over there"
Security compliance is handled "over here"
Procurement compliance is handled "somewhere else"
HR compliance is "a different portal"

Each lane has its own checklists, reviews, attestations, and training.

People don't experience this as governance.
They experience it as constant interruption.

This is one reason compliance fatigue is often driven not only by the volume of regulations, but by inefficient, fragmented ways organizations manage them (TechClass, 2025).

Here's what it does to behavior:

People stop reading; they start clicking.
People stop thinking; they start forwarding.
People stop escalating; they start working around.

Compliance becomes motion, not control.

3) Compliance fatigue is not just burnout. It becomes risk.

Day 87's test still applies: a control must behave like a gate.

But when fatigue is high, gates get "soft."

Because the organization must keep moving, and the only way to keep moving is to make exceptions easy, approvals fast, and evidence lightweight.

That's when you get the compliance paradox:

More controls → more fatigue → more bypassing → more residual risk.

At that point, the organization is not safer.
It's just busier.

A useful way to visualize this is the "security friction" framing: when security controls impose too much friction, people adapt around the control (workarounds, shortcuts, shadow processes) instead of through it (Henry, 2025).
Optional visual: "Figure 1 -- Security/Friction Quotient Curve" in Henry (2025).

Another useful concept is administrative burden: compliance costs aren't just time; they include learning and psychological costs as well (The Digital Government Hub, n.d.).

4) What "too many controls" looks like (simple signs)

We know we're in over-control + compliance fatigue territory when:

A control exists, but nobody can explain why it exists--only "because audit/regulation."
The same evidence is produced three different ways for three different stakeholders.
Every process has exceptions, and exceptions have exceptions.
People say "we're compliant" but also say "we don't have time to do it properly."

This is the system telling us one thing:

Our controls are not integrated.
They're stacked.

Closing

Compliance fatigue is what happens when governance is implemented as scattered obligations instead of a coherent mechanism.

Too many controls aren't automatically safer.
Too many controls implemented randomly are often less safe--because they produce friction, fragmentation, and bypassing (Henry, 2025).

Tomorrow, we'll look at the other side:
What compliance done correctly looks like--
not as separate policies, but as one system: mapped, reused, risk-based, and designed so the right behavior is the easiest behavior. A practical bridge into that topic is control mapping to identify overlap and reduce redundancy (Kinuthia, 2025).