Day 104 ガバナンス・リスク・コンプライアンスを、ひとつにまとめる　Put Governance, Risk, and Compliance All Together

サイバー判断力によるヒューマン・ハードニング

» 2026/02/09

[シリーズ構造] 柱F｜リスクとガバナンス

ガバナンス・リスク・コンプライアンス（GRC）は、分けて考えるものではありません。ガバナンスが方向を示し、リスクが境界を描き、コンプライアンスが判断を回し続ける。それが運用とつながったとき、セキュリティは現実になります。 GRCは書類ではなく、判断を支える仕組みです。

▶ シリーズ全体マップ： 人間のしなやかさ ― サイバー判断力のために

▶ 柱F｜コンプライアンス 関連記事：

• Day 99｜サイバーセキュリティにおけるコンプライアンス
• Day 100 | 「Japanese」Compliance?
• Day 101 | AIはすでにコンプライアンスを変え始めている
• Day 102 | コンプライアンス疲労
• Day 103 | コンプライアンスをシステム化する
• Day 104 | ガバナンス・リスク・コンプライアンスを、ひとつにまとめる

ガバナンス・リスク・コンプライアンスを、ひとつにまとめる

ようやく、寄り道した場所から戻る時間になりました。

私たちは長い回り道をしました。リスク、許容、統制、コンプライアンス、判断、説明責任。

「セキュリティ運用」から離れてしまったように見えたかもしれません。でもこの寄り道は、サイバーセキュリティ運用から"離れる"ためではありませんでした。運用をぐるっと一周して、戻ってきたときに全体の輪郭がはっきり見えるようにするための回り道でした。

明日から、私たちは元の場所に戻ります。
守ること、対応すること、日々の現場に戻ります。

その前に、いま私の頭の中にあるものを、いちど綺麗にまとめておきたいと思います。

サイバーセキュリティの中にある「二つの世界」

サイバーセキュリティの世界には、いつも二つの世界があると感じます。

ひとつは 技術的統制（テクニカルコントロール） の世界。エンジニアリング、検知、対応、調査、復旧。ツールで守り、壊れたら反応する世界です。

もうひとつは 管理的統制（アドミニストレイティブコントロール） の世界。ポリシー、ガバナンス、リスク管理、コンプライアンス。境界線を定義し、判断を再現可能にし、逸脱を見つけ、証明し、是正する。つまり、組織がプレッシャー下でも一貫して動けるようにする世界です。

この二つの世界は、たいてい別の部屋にあります。ときには、同じ言葉すら話していないように見えます。

正直に言うと、私は運用側の人間です。調査が得意です。問題解決が得意です。日々の現実の中でセキュリティをやるのが得意です。でも、セキュリティに長くいるほど、だんだんはっきりしてきます。

運用にガバナンスがないと、ヒーローワークになります。
ガバナンスに運用がないと、ペーパーワークになります。

だから問題は、「どっちが大事か」ではありません。問題は、どうやってこの二つをつないで、いざというときにフレームワークが崩れないようにするかです。

管理側（GRC）が「機能している」とは、どういう状態か

管理側、つまりGRC（Governance, Risk, Compliance）が機能しているとき、それは三つの別々のプログラムではありません。ひとつのフレームワークです。判断を"持続可能"にするためのフレームワークです。

ガバナンス：方向性と意思決定権限を決める

ガバナンスが答えるのは、こういう問いです。

• 何を守るのか。なぜ守るのか。
• 何を受け入れ、何を拒否するのか。
• 誰が決めるのか。誰が承認するのか。誰が例外を許すのか。

ガバナンスは「構造」です。戦略です。責任です。組織が「こうやって決める」と宣言する部分です。

リスク：恐れを、比較可能な選択肢に変える

リスク管理は、脅威を並べることではありません。曖昧な不安を、リーダーが比較できて、引き取れる形に翻訳することです。

• 露出（Exposure）、発生可能性（Likelihood）、影響（Impact）
• 許容の境界（Tolerance boundary）
• 意思決定ルール（Decision rules）

リスクは、ガバナンスを現実に接続します。ガバナンスはトレードオフ（交換条件）なしには成立しないからです。

コンプライアンス：説明責任を「運用可能」にする

そしてコンプライアンス。本当のコンプライアンスは、チェックボックスを埋めることではありません。それは、リスクに基づいたループです。問題を予防し、逸脱を早く見つけ、是正し、説明責任を示すための仕組みです。

コンプライアンスが生きていると、人は迷いにくくなります。境界が共有されているので、プレッシャー下でも動けます。でもコンプライアンスがズレると、派手に壊れません。静かに"形式"になっていきます。そして圧力が来た瞬間に、初めて問題が露出します。だから私は、いつもこの一語に戻ってきます。

実効性（Effectiveness）。

「やったか」ではなく、
「効いたか」です。

足りない接続：運用

ガバナンスが方向を決めて、リスクが境界を決めて、コンプライアンスがループを作っても 運用につながらなければ、何も守れません。

• 監視
• 検知
• インシデント対応
• フォレンジック
• 封じ込め
• 復旧
• 継続的改善

ここで初めて、セキュリティは現実になります。技術的統制は「別の話」ではありません。それは筋肉です。

GRCは紙きれではありません。それは、筋肉に「どこへ動け」「どこで止まれ」「失敗の痛みを誰が引き取るか」を伝えるフレームワークです。

日本に戻ってきて：GRCはどこへ行ったのか？

日本に戻ってきて、私は驚きました。セキュリティの「ガバナンス」「コンプライアンス」「リスク管理」が、少なくとも私が慣れ親しんだ"概念として"あまり認識されていないように見えるのです。

ポリシーはあるかもしれない。
監査はあるかもしれない。
コンプライアンス活動もあるかもしれない。

でも「GRC」と言うと、よく間があきます。「それって、どういう意味ですか？」

私は、ガバナンスがないとは思いません。違う言葉で存在しているだけだと思います。そして時々、それはコンプライアンスの中に入っています。

欠けているのは努力ではありません。欠けているのは、努力をつなぐフレームワークです。

GRCは消えない。分断される。

多くの日本の組織で、部品は本物です。

• ポリシーはある。
• 統制もある。
• 承認フローもある。
• 監査もある。

でも、ガバナンス・リスク・コンプライアンスを「ひとつのフレームワーク」として振る舞わせる統合層は、名前が付いていなかったり、オーナーがいなかったり、意図的に設計されていなかったりします。

その結果、仕事は分かれていきます。

• コンプライアンスは「証拠」になる
• セキュリティは「技術実装」になる
• リスクは「何か起きた時にだけ使う言葉」になる

こうなると、ガバナンスは不在には見えません。むしろ「どこにでもある」ように見えます。でも、ガバナンスだけが答えられる問いには答えづらくなります。

• 例外は誰が承認できるのか？
• 誰がリスクを受け入れられるのか？
• プレッシャー下でのエスカレーション経路は何か？
• インシデントの前に、何を文書化しておけば説明責任が明確になるのか？

そこがギャップです。

ガバナンスは、どこに隠れているか

「GRC」を探して見つからないとき、ガバナンスはだいたい次の場所に住んでいます。

• コーポレートガバナンス／内部統制の期待値（取締役会による内部統制とリスク管理の監督）
• セキュリティを経営課題として扱うガイダンス（技術課題ではなく、経営の責任として位置づける）

ガバナンスは確かにあります。

でもそれが、セキュリティの現場で日々使える「意思決定フレームワーク」として明示化されず、上の階層に留まったり、コンプライアンスの中に埋もれたりします。

まとめ

ここまでを1行に圧縮すると、こうなります。

ガバナンスが意思決定構造を作る。リスクが境界を定義する。コンプライアンスがループを保つ。運用が守り、学ぶ。

それが全体です。

三つの機能ではありません。
二つの世界でもありません。

プレッシャー下でも動き続けないといけない、ひとつのフレームワークです。

明日、私たちは運用側に戻ります。攻撃が起き、ミスが起き、現実が紙の上の整合性を無視する場所に戻ります。

でも、戻り方が違います。

疲れていても、忙しくても、ストレスが高くても。それでも判断を支えられる構造を持って戻ります。

そして結局のところ、それがガバナンスの目的です。

――――

[Series Structure] Pillar F | Risk and Governance

Governance, Risk, and Compliance only work when they work together. Governance sets direction, risk defines boundaries, and compliance keeps decisions alive through continuous feedback. But security becomes real only when this system connects to daily operations. GRC is not paperwork -- it is a decision system that holds under pressure.

▶ Series overview: Series Overview -- Human Flexibility for Cyber Judgment

▶ Other posts in Pillar F (Compliance):

• Day 99 | Compliance in Cybersecurity
• Day 100 | 「Japanese」Compliance?
• Day 101 | AI Is Already Changing Compliance
• Day 102 | Compliance Fatigue
• Day 103 | Compliance Is a System
• Day 104 | Put Governance, Risk, and Compliance All Together

Put Governance, Risk, and Compliance All Together

Finally, it is time to go back to where we diverted.

We took a long detour risk, tolerance, controls, compliance, judgment, accountability. It may have looked like we left "security operations" behind. But this detour was never away from cybersecurity operations. It was a walk around them, so we can return with a clearer shape.

From tomorrow, we go back to where we came from: the day-to-day work of protecting and responding. Before that, I want to wrap up what is in my mind right now cleanly, and in one place.

Two worlds inside cybersecurity

In the cybersecurity world, I keep seeing two distinct worlds.

One is the world of technical controls: engineering, detection, response, investigation, recovery. It is about defending systems with tools and reacting when something breaks.

The other is the world of administrative controls: policies, governance, risk management, compliance. It is about defining boundaries, making decisions repeatable, monitoring drift, proving what matters, and correcting courses so the organization can act consistently under pressure.

These two worlds often live in different rooms.

Sometimes they don't even share the same language.

And to be honest: I am the operations person. I'm good at investigation. I'm good at problem solving. I'm good at the daily reality of security.

But the longer I stay in security, the clearer it becomes:

Operations without governance becomes hero-work.
Governance without operations becomes paper-work.

So the question is not "which side is more important."

The question is: how do we connect them so the framework holds when it matters.

What the administrative side really means--when it works

When the administrative side of cybersecurity works--what people often label as GRC (governance, risk, compliance) is not three separate programs.

It is one framework that makes decisions survivable.

Governance: setting direction and decision rights

Governance is the part that answers:

• What do we protect, and why?
• What do we accept, and what do we refuse?
• Who has authority to decide, approve, and grant exceptions?

Governance is structure. Strategy. Responsibility.

It is the organization saying: "This is how we will decide."

Risk: turning fear into comparable choices

Risk management is not just "listing threats."

It is turning vague concern into something leadership can compare and own:

• exposure, likelihood, impact
• tolerance boundaries
• decision rules

Risk is what makes governance real--because governance must be grounded in tradeoffs, not vibes.

Compliance: making accountability operational

And compliance--real compliance--is not box checking. It is a risk-based loop that helps an organization prevent problems, detect drift early, correct, and demonstrate accountability. When compliance is alive, it creates shared boundaries so people can act without hesitation.

And when it drifts, it doesn't fail loudly. It quietly becomes form--until pressure arrives.

That is why I keep returning to one word:

Effectiveness.

Not "did we do it?"
But "did it work?"

The missing connection: operations

Even if governance sets direction, risk defines boundaries, and compliance builds the loop none of it protects anything unless it connects to the operational wing:

• monitoring
• detection
• incident response
• forensics
• containment
• recovery
• continuous improvement

This is where security becomes real. Technical controls are not "another topic."

They are the muscle.

And GRC is not "paper." It is the framework that tells the muscle where to move, when to stop, and who owns the consequences when it fails.

Coming back to Japan: where did GRC go?

When I came back to Japan, I was surprised: security "governance", "compliance" and "risk management" rarely exists as a concept people recognize--at least not in the Western sense that I am familiar with.

People may have policies.
People may have audits.
People may even have compliance activities.

But when I say "GRC," I often see a pause: "What do you mean?"

I don't think governance is absent. I think it exists under different words--and sometimes inside compliance.

What's missing is not effort.

It's the framework that connects the effort.

GRC doesn't vanish. It fragments.

In many Japanese organizations, the parts are real:

• Policies exist.
• Controls exist.
• Approval flows exist.
• Audits exist.

But the integrating framework that makes governance, risk, and compliance behave like one system--often isn't named, owned, or designed explicitly.

So the work splits:

• compliance becomes evidence
• security becomes technical execution
• risk becomes a word used only when something goes wrong

And when that happens, governance doesn't look absent.

It looks everywhere.

But it becomes hard to answer the questions that only governance can answer:

Who can approve exceptions?
Who can accept risk?
What is the escalation path under time pressure?
What must be documented so accountability is clear before the incident?

That's the gap.

Where governance is hiding

If you search for "GRC" and don't find it, you'll often find governance living inside:

• corporate governance / internal control expectations (board oversight of internal control and risk management is explicitly called out in Japan's Corporate Governance Code)
• security-as-management guidance (METI's Cybersecurity Management Guidelines frame cybersecurity as a management responsibility, not just an IT issue)

So governance is there.

But it often stays "above" security--or inside compliance--instead of becoming an explicit security decision framework that operations can use daily.

Putting it all together

If I compress everything we covered into one line, it becomes this:

Governance sets the decision structure. Risk defines the boundaries. Compliance makes the loop hold. Operations protects--and learns.

That's the whole framework.

Not three functions.
Not two worlds.

One system that must keep working under pressure.

Tomorrow, we return to the operational side--the place where attacks happen, mistakes happen, and reality does not care about our paperwork.

But we return differently now.

We return with a structure that can support decisions when people are tired, busy, and under stress.

And that, in the end, is what governance is for.

References　参照・出典・参照文献

European Data Protection Board. (2020, October 20). Guidelines 4/2019 on Article 25: Data protection by design and by default (Version 2.0) [PDF]. https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201904_dataprotection_by_design_and_by_default_v2.0_en.pdf

European Data Protection Supervisor. (n.d.). Accountability. https://www.edps.europa.eu/data-protection/our-work/subjects/accountability_en

European Data Protection Supervisor. (2019). Documenting data processing: The EDPS guide to ensuring accountability [Factsheet]. Publications Office of the European Union. https://www.edps.europa.eu/sites/default/files/publication/18-12-11_factsheet3_documenting_data_processing_en.pdf

Financial Reporting Council. (n.d.). UK Corporate Governance Code. https://www.frc.org.uk/library/standards-codes-policy/corporate-governance/uk-corporate-governance-code/

GDPR-Info.eu. (n.d.). Art. 5 GDPR - Principles relating to processing of personal data. https://gdpr-info.eu/art-5-gdpr/

GDPR-Info.eu. (n.d.). Art. 24 GDPR - Responsibility of the controller. https://gdpr-info.eu/art-24-gdpr/

GDPR-Info.eu. (n.d.). Art. 25 GDPR - Data protection by design and by default. https://gdpr-info.eu/art-25-gdpr/

GDPR-Info.eu. (n.d.). Recital 76 GDPR - Risk assessment. https://gdpr-info.eu/recitals/no-76/

Government of Japan. (n.d.). Act on the Protection of Personal Information (Act No. 57 of May 30, 2003) (English translation). Japan Law Translation. https://www.japaneselawtranslation.go.jp/en/laws/view/4241/en

Ministry of Economy, Trade and Industry, & Information-technology Promotion Agency, Japan. (n.d.). Cybersecurity management guidelines (Ver. 3.0) [PDF]. https://www.meti.go.jp/policy/netsecurity/downloadfiles/CSM_Guideline_v3.0_en.pdf

Tokyo Stock Exchange, Inc. (2021, June 11). Japan's corporate governance code: Seeking sustainable corporate growth and increased corporate value over the mid- to long-term (Provisional translation) [PDF]. Japan Exchange Group. https://www.jpx.co.jp/english/news/1020/b5b4pj0000046kxj-att/b5b4pj0000046l0c.pdf

U.S. Department of Justice, Criminal Division. (2023, March). Evaluation of corporate compliance programs [PDF]. https://www.justice.gov/archives/opa/speech/file/1571911/dl

U.S. Department of Justice, Criminal Division. (2024, September). Evaluation of corporate compliance programs [PDF]. https://www.justice.gov/criminal/criminal-fraud/page/file/937501/dl?inline=