Day 99 サイバーセキュリティにおけるコンプライアンス Compliance in Cybersecurity
[シリーズ構造] 柱F|リスクとガバナンス
コンプライアンスは、サイバーセキュリティの「別枠」ではありません。それは、私たちが日々の仕事の中で繰り返している、小さな判断と行動の積み重ねです。本来のコンプライアンスは、形式を満たすためのものではなく、人が迷わず動ける共通の境界線をつくるための仕組みでした。本稿では、AI 時代にあらためて問い直すべき「判断を支えるコンプライアンス」の姿を考えます。
▶ シリーズ全体マップ: 人間のしなやかさ ― サイバー判断力のために
▶ 柱F|コンプライアンス 関連記事:
サイバーセキュリティにおけるコンプライアンス
コンプライアンスは、サイバーセキュリティの日常の一部です。
組織の中では、たいてい大げさな形では現れません。
それは、いつもの判断や、慣れた手続き、そして、ふと立ち止まる小さな瞬間の中にあります。
「これはやっていいんだろうか?」
「承認が必要かな?」
「ルール的に大丈夫だろうか?」
多くの場合、私たちはそれを「コンプライアンス」とは呼びません。
ただの"仕事"として感じているだけです。
Compliance という言葉は、ラテン語の complere―「満たす」「やり遂げる」に由来します。
本来、コンプライアンスは身を守るための"盾"でも、責任逃れの道具でもありませんでした。
人が、共有された境界線の中で、何度も、繰り返し、行動できるようにする。
そのための仕組みだったのです。
コンプライアンスは、特別な場で使われるものではなく、日常の仕事の中に生きるはずのものでした。
長いあいだ、サイバーセキュリティはこのコンプライアンスに大きく依存してきました。要件を満たしていれば、チェックが済んでいれば、リスクは管理できている――
そう考えてきたのです。
しかし、現実はそれを否定しました。
コンプライアンスを満たしていても、被害は起きる。
文書は正しくても、現実は静かにズレていく。
統制は「存在」していても、行動は別の方向へ流れていく。
その経験は、組織に確かな痕を残しました。
コンプライアンスは次第に、実際の防御から遠いものに感じられるようになります。
判断が必要な場面では硬直し、学ぶべきところでは形式化し、現場の仕事とかみ合わなくなっていく。
けれど、コンプライアンスそのものが悪いわけではありません。
丁寧に扱われているコンプライアンスは、今でも、ちゃんと意味を持ちます。
最低限の共通ラインをつくり、人が入れ替わっても継続性を保ち、
賢さではなく、「そこにあり続けること」で人を守る。
問題が生まれるのは、コンプライアンスが独立して歩き始めたときです。
現場の声を聞かなくなったとき。
責任が、人から書類へと移ってしまったとき。
ルールを満たすことが、リスクを理解することよりも優先されたとき。
そのとき、コンプライアンスは派手に壊れるわけではありません。
静かに、ズレていきます。
―プレッシャーがかかる、その瞬間まで。
これから数日間、私はコンプライアンスと「喧嘩をする」のではなく、少し腰を据えて、向き合ってみたいと思います。
まずは、なぜコンプライアンスはこんなにも簡単にずれてしまうのかを、静かに見つめること。
次に、AIがすでにコンプライアンスをどう変え始めているのか。
―良い面も、危うい面も。
そして最後に、コンプライアンスが本来の役割へ戻る道を考えます。
判断の代わりになるものとしてではなく、判断を支えるものとして。
守っている"ふり"ではなく、本当に、圧がかかったときに踏ん張れるものとして。
――――
[Series Structure] Pillar F | Risk and Governance
Compliance is not separate from cybersecurity. It lives in everyday work - in the small decisions and repeated actions we make without naming them as "compliance." At its best, compliance is not about satisfying rules, but about creating shared boundaries that let people act with confidence. Today, we revisit compliance in the AI era and explore what it means to design it as a system that supports human judgment, not replaces it.
▶ Series overview: Series Overview -- Human Flexibility for Cyber Judgment
▶ Other posts in Pillar F (Compliance):
Compliance in Cybersecurity
Compliance is part of everyday life in cybersecurity.
Inside organizations, it is rarely dramatic.
It shows up in routine decisions, familiar processes, and small moments of hesitation:
Can I do this?
Do I need approval?
Is this allowed?
Most of the time, no one calls this "compliance."
It simply feels like work.
The word compliance comes from the Latin complere -- to fulfill, to carry through.
At its origin, compliance was not a shield and not a defense mechanism.
It was a way to help people act--repeatedly, consistently--within shared boundaries.
Compliance was meant to live inside ordinary work.
For a long time, cybersecurity leaned heavily on that idea.
If the requirements were met, if the boxes were checked, we assumed risk was under control.
Experience taught us otherwise.
Organizations could be compliant and still be breached.
Documents could be correct while reality quietly shifted underneath them.
Controls could exist on paper while behavior drifted elsewhere.
That gap left a mark.
Over time, compliance began to feel distant from real protection--
rigid in places where judgment was needed,
performative where learning should have happened,
and increasingly disconnected from how work actually gets done.
And yet, compliance itself is not the problem.
When done with care, compliance still matters.
It sets a shared floor.
It creates continuity as people rotate in and out.
It protects not by being clever, but by being present--every day.
The difficulty begins when compliance starts to live on its own.
When it stops listening to operations.
When responsibility migrates from people to paperwork.
When fulfilling the rule becomes more important than understanding the risk it was meant to address.
At that point, compliance does not fail loudly.
It drifts quietly--until pressure arrives.
Over the next few days, I want to sit with compliance rather than argue with it.
First, to look closely at how compliance drifts--and why that drift is so easy, even in well-intentioned organizations.
Then, to explore how AI is already reshaping compliance, for better and for worse.
And finally, to consider how compliance can return to its original role.
Not as a substitute for judgment.
But as something that supports it.
Not as protection theater.
But as something that actually holds when it matters.