Day 103  コンプライアンスをシステム化する Compliance Is a System

サイバー判断力によるヒューマン・ハードニング

» 2026/02/08

[シリーズ構造] 柱F｜リスクとガバナンス

コンプライアンス疲労の正体は、規制の多さではありません。イベントとして扱われる運用です。本稿では、コンプライアンスを「年次対応」ではなく、日常に組み込まれた"システム"として設計・運用する視点を整理します。

▶ シリーズ全体マップ： 人間のしなやかさ ― サイバー判断力のために

▶ 柱F｜コンプライアンス 関連記事：

• Day 99｜サイバーセキュリティにおけるコンプライアンス
• Day 100 | 「Japanese」Compliance?
• Day 101 | AIはすでにコンプライアンスを変え始めている
• Day 102 | コンプライアンス疲労
• Day 103 | コンプライアンスをシステム化する

コンプライアンスをシステム化する

― 年次の火消し作業ではない ―

毎年、同じ景色がやってきます。
同じ重力。
同じ回転。

コンプライアンスのメリーゴーラウンド。

始まりは、たいてい無害です。
内部監査計画。
その次に「特別監査」。多くの場合、IT、DX、セキュリティまわり。

テーマは変わります。
今年は ID 管理、来年は個人情報、その次は BCP／DR。
でも、回り方だけは、何も変わらない。

そして息をつく間もなく、行列がやってきます。

SOX。
PCI DSS。
SWIFT。
ISO 27001。
クラウドの各種コンプライアンス。
新しい規制。改訂されたガイダンス。増え続けるチェックリスト。

略語は違う。
でも、疲労感は同じ。

そして、どこに行っても、同じ問いに追いかけられます。

書類に溺れながら、どうやって本当に「守る」セキュリティを作ればいいのか？

今日はコンプライアンスの最後に、それが本来の役割へ戻る道を考えます。

判断の代わりになるものとしてではなく、判断を支えるものとして。

守っている"ふり"ではなく、本当に、圧がかかったときに踏ん張れるものとして。

コンプライアンスとセキュリティ

― 混同が混乱を生む ―

この二つは、根本的に問いが違います。

コンプライアンスが問うのは：
「義務を満たしていると、証明できますか？」

セキュリティが問うのは：
「今日、実際に守れていますか？」

問題は、コンプライアンスそのものではありません。
問題は、多くの組織での"運用のされ方"です。

コンプライアンスは、しばしば「イベント」として扱われます。

• エビデンス収集の季節
• 監査準備の季節
• 指摘対応の季節
• そして、また来年

このやり方では、コンプライアンスは書類工場になります。
セキュリティは、「余った時間と体力でやるもの」になります。

持続可能な組織は、まったく違うことをしています。

コンプライアンスを、計画され、繰り返され、改善され続けるマネジメントシステムとして扱う。

英雄的努力でもない。
直前の発掘作業でもない。

仕組みです。

フレームワークは違って見える

― でも、痛みは同じ ―

紙の上では、どれも違って見えます。けれど現場で突きつけられる現実は、驚くほど同じです。

• コントロールは、継続的に動いていなければならない
• エビデンスは、監査期間の前から存在していなければならない
• 証明は、即興ではなく再現可能でなければならない

決済でも、金融メッセージでも、クラウドでも、ISMS でも、最後に問われるのは、いつもこの三点です。

誰がこのコントロールのオーナーなのか？
エビデンスはどこにあるのか？
今すぐ出せるのか？

もし答えが
「○○さんしか分からない」
だとしたら、それはプログラムではありません。

リスクです。

本当の根本原因

― コンプライアンスの"背骨"がない ―

多くのチームは、「コントロールが存在しない」から失敗するわけではありません。

失敗するのは、エビデンスが存在しないからです。

エビデンスは、あちこちに散らばっています。

• メール
• チケット
• スプレッドシート
• スクリーンショット
• 共有ドライブ
• そして、記憶

監査のたびに、手作業で作り直される。
名前も、置き場所も、更新頻度もバラバラ。

その結果、組織は静かに、「どこに何があるか知っている数人」に依存していきます。

それは成熟ではありません。
ガバナンスに見せかけたキーパーソンリスクです。

解決策

― エビデンスの背骨を作る ―

足りないのは、新しいポリシーではありません。必要なのは、システム・オブ・レコードです。

いつでも、こう答えられる状態：

• 誰がオーナーか（代替は誰か）
• コントロールは何か（平易な言葉で、要求と紐づいて）
• エビデンスはどこか（「添付」ではなく、真の参照元）
• どれくらいの頻度で更新されているか
• どうやって作られているか（手動か、自動か）

これが揃うと、監査は「捜査」ではなくなります。

点検になります。

永遠ループが終わる瞬間

― エビデンスが再利用可能になったとき ―

少し耳の痛い真実があります。毎年同じに感じるのは、再生ではなく、再構築しているからです。成熟したコンプライアンスは、作り直しません。使い回します。

そのための、三つの反復動作があります。

1) エビデンスを標準化する

「良いエビデンス」とは何かを、最初に決める。

• 許容される情報源
• 最低限必要な項目
• 命名規則
• 保存期間

解釈不要。
議論不要。
作り直し不要。

2) 重要なところから自動化する

手作業は、疲労の源です。自動化は、静かで、地味で、確実な日常業務に変えます。

それは怠慢ではありません。規律です。

3) 期限ではなく、リズムで回す

年次パニックを、テンポに変える。

• 重要コントロールは月次
• アクセスやレジリエンスは四半期
• 年次監査は「梱包作業」にする

継続的コンプライアンスは、重くありません。

落ち着いています。ドラマが少ない。テンポがある。

では、その間、どうやって守るのか？

ミッションを変えます。コンプライアンスを「書類仕事」として扱うのをやめる。
コントロール運用として扱う。

そうすると、セキュリティとコンプライアンスは競合しなくなります。

セキュリティはエンジン。
コンプライアンスはダッシュボードと領収書。

現実には、こうなります。

• IAM のエビデンスは IAM システムから
• 脆弱性はスキャナとダッシュボードから
• BCP は訓練結果と学習から
• データ保護は、運用と監視から

締め

コンプライアンスは、思いつきではありません。
季節行事でもありません。
宝探しでもありません。

コンプライアンスとは、リスク → コントロール → エビデンス → レビュー → 改善
という、繰り返される仕組みです。

背骨を作れば、エビデンスの仕組み、運用のリズム、自動化。

永遠ループは、消えません。

でも、形が変わります。

メリーゴーラウンドではなく。

システムになります。

-------

[Series Structure] Pillar F | Risk and Governance

Compliance fatigue isn't caused by too many rules. It's caused by treating compliance as an event.This article reframes compliance as a continuous system
designed, owned, and run as part of everyday operations, not annual fire drill.

▶ Series overview: Series Overview -- Human Flexibility for Cyber Judgment

▶ Other posts in Pillar F (Compliance):

• Day 99 | Compliance in Cybersecurity
• Day 100 | 「Japanese」Compliance?
• Day 101 | AI Is Already Changing Compliance
• Day 102 | Compliance Fatigue
• Day 103 | Compliance Is a System

Compliance Is a System (Not an Annual Fire Drill)

Every year, the same rotation. The same gravity. The compliance merry-go-round.

It starts harmlessly enough.
An internal audit plan.
Then a "special" audit--usually something technical. IT, DX, Security......

The topic changes--identity and access management one year, data protection the next, then BCP/DR--but the mechanics never do.

And before you've caught your breath, the procession arrives:

SOX.PCI DSS. SWIFT. ISO 27001....
Cloud compliance frameworks.....
New regulations. Revised guidance. Another checklist.

Different acronyms. Same exhaustion.

And the question that follows us everywhere is brutally simple:

How are we supposed to build real security--to actually defend--while drowning in paperwork?

Compliance vs. security: the confusion that creates the chaos

At their core, they ask different questions.

Compliance asks:
Can you prove that you meet your obligations?

Security asks:
Are you actually protected, day to day?

The problem isn't compliance itself.
The problem is how most organizations operate it.

Compliance is treated as a series of events:

• "Collect evidence" season
• "Prepare the audit" season
• "Fix findings" season
• "Repeat next year" season

Run this way, compliance becomes a document factory.
And security becomes whatever time and resources are left over.

A sustainable organization does something very different:
it treats compliance as a management system--planned, repeatable, continuously improved.

Not heroics.
Not last-minute archaeology.
A system.

Why every framework feels different (but hurts the same)

On paper, the frameworks look different.

In reality, they all push you toward the same operational truth:

• Controls must operate consistently
• Evidence must exist before the audit window opens
• Proof must be reproducible, not improvised

Whether it's payment security, financial messaging, cloud posture, or information security management, the underlying question is always the same:

Who owns the control? Where is the evidence? And can you produce it on demand?

If the answer depends on "the one person who knows," you don't have a program.

You have a risk.

The real root cause: there is no compliance backbone

Most teams don't fail because controls don't exist.
They fail because evidence does.

It's scattered across:

• email threads
• ticketing systems
• spreadsheets
• screenshots
• shared drives
• tribal memory

Evidence gets re-created manually every audit cycle.
Files are named differently. Stored differently. Updated differently--if at all.

So the organization quietly becomes dependent on a few individuals who "know where things are."

That's not compliance maturity.

That's key-person risk disguised as governance.

The fix: build an evidence backbone

What's missing is not another policy.
It's a system of record.

A living compliance database that can answer--at any moment:

• Who owns the control? (and who backs them up)
• What exactly is the control? (in plain language, mapped to requirements)
• Where is the evidence? (a source of truth, not "attached somewhere")
• How often is it updated? (and when it was last refreshed)
• How is it produced? (manual vs. automated, system-generated vs. human)

When this exists, audits stop being investigations.

They become inspections.

The eternal loop ends when evidence becomes reusable

Here's the uncomfortable truth:

If every year feels the same, it's because you're rebuilding instead of replaying.

Mature compliance programs don't reinvent.
They reuse.

They focus on three repeatable motions.

1) Standardize evidence packets

For every control, define what "good evidence" means:

• acceptable sources
• minimum required fields
• naming conventions
• retention expectations

No interpretation. No debate. No reinvention.

2) Automate evidence collection where it matters most

Manual evidence collection is where audit fatigue is born.

Automation turns evidence into routine operations--quiet, boring, reliable.

That's not laziness.
That's discipline.

3) Run compliance on a cadence, not a deadline

Replace annual panic with rhythm:

• monthly checks for critical controls
• quarterly reviews for access and resilience artifacts
• annual audits as packaging--not reconstruction

Continuous compliance isn't heavier.

It's calmer.

Less drama.
More tempo.

So how do you defend the organization while all this is happening?

You change the mission.

Stop treating compliance as paperwork.
Treat it as control operations.

When you do, security and compliance stop competing for time.

Security becomes the engine.
Compliance becomes the dashboard--and the receipts.

Practically, that means:

• IAM evidence comes from IAM systems, not screenshot marathons
• vulnerability evidence comes from scanners and dashboards, not spreadsheets
• BCP evidence comes from test outcomes and post-exercise learning, not intentions
• data protection evidence comes from enforcement and monitoring, not slide decks

Closing

Compliance isn't ad hoc.
It isn't seasonal.
It isn't a scavenger hunt.

Compliance is systematic: a repeatable loop of risk → controls → evidence → review → improvement.

When you build the backbone--your evidence system, your cadence, your automation--the eternal loop doesn't disappear.

But it changes shape.

Not a merry-go-round.

A system.