CONTACT

2025/01/21ガバナンス

GRCとは ~GRCが組織にもたらすメリット~

  1. トップ
  2. インサイト
  3. GRCとは ~GRCが組織にもたらすメリット~

twitter

Linkedin

GRCとはGRCが組織にもたらすメリット~

執筆:CISO事業部 寺井  蓮
監修:CISO事業部 吉田 卓史

本記事では組織の活動を支えるGRCについて記載しています。GRCは近年認知度があがってきており、導入を急ぐ組織も年々増えつつあります。本記事では、GRCとは何を示すのか、それが設ける基準を満たし運用していくことにどのようなメリット及びデメリットがあるのか、それらを効率よく導入するための方法をご紹介します。

GRCとは

業界および法令や各種自主ルール、社会規範を遵守しながら、企業が持続的に成長していくために必要な3つの要素を総合的に管理するアプローチであり、ビジネス目標を達成するためにITを活用する際の構造化された方法のことを示します。[1]

GRCは下記の三つの単語の頭文字から成り立ち、それぞれが下記の意味を持ちます。

Governance(ガバナンス):
 組織の目標を策定及び達成していくための仕組み

Risk(リスク):
 目標の達成に影響(リスク)を与える要因

Compliance(コンプライアンス):
 法令を遵守することや、企業倫理や社会規範に従うこと[3]

 これらを総合的に管理運用していくことが近年非常に重要視されています。

GRCはなぜ重要とされているのか

GRCが重要とされる理由として、以下が挙げられます。

  1. 組織価値の向上:
    企業として、健全なガバナンスを設けていること、適切にリスク管理ができていること、コンプライアンスが守られていることは第三者から見られたときに、信頼度の高さにつながります。
  2. 持続的な成長:
    組織を運営していくにあたり、様々なリスクがあり、それは避けることは困難です。適切なリスク管理はそれらのリスクを回避または低減することに役立ち、組織の運営を安定的に継続することに役立ちます。
  3. 組織の社会的責任の向上:
    上述したリスクの中には、""に密接に関わるリスクが多く存在します。
    例えば、(非)意図的な情報漏えいや、機密情報が入った端末の紛失などがあります。
    組織の理念に合致し、利害関係者が納得でき、実行可能な規範を定め、それを遵守することはそれらのリスクを避けることにつながります。
  4. 競争力の強化:
    GRC    を強化することは、組織の社会的価値を向上させ、組織に重大な影響を及ぼす可能性のあるリスクを避けながら、組織活動を行っていくことにつながります。
    GRCを運用することによって、これらのメリットを享受することができます。

裏を返すと、これらを重要視し運営しないことは組織間の競争等においてかなりのデメリットになることが想像できたのではないでしょうか。

GRCの導入に必要なこととは

GRCを導入することは組織にとって非常にメリットとなる一方、導入はそう簡単ではありません。以下では、導入に必要不可欠な要素を紹介します。

  1. 経営層のコミットメント:
    GRC    を導入するにあたり、社内規定の策定及び整備や、リスクアセスメントに伴う情報資産の整理等が必要になります。これらの整理には経営陣の決断が必要な場面が多く、それ故にすぐには整備することが困難な要素の一つとなります。
  2. 組織全体の取り組み:
    1    で策定した社内規定やセキュリティに関する取決めを組織全体で運用していくための環境整備が必要になることが困難な要素の一つになります。なぜなら、"G""R""C"はそれぞれ独立した部門によって運用されることが多く、それぞれの部門が決定権を持つことから、それらの決定を統合するための会議などの、部門の横断的な取り組みが必要になるからです。多くの場合、各部門の決定権を持つ役職の方は、"G""R""C"以外の策定以外にも多くの業務を抱えており、それらすべての方が時間を割き、会議をすることがいかに困難であるかは、読者の皆様も想像しやすいかと考えます。
  3. 改善と拡充:
    GRCを運用していくにあたって、1、2で挙げた要素を繰り返し改善していくことが非常に重要になります。なぜなら、組織を取り巻く環境に潜むリスクは日々変化し続けるからです。ただし、改善だけでは日々変化し続けるリスクに対応することは困難です。それらのリスクに対応するためには既存の取り組みだけではなく、新たに発生したリスクに対応するための対策を追加で実施する必要があり、膨大な知識が必要になります。
  4. 環境の整備:
    これらを運用していくには効率化が必要であり、効率化するためにはITの活用が必要になります。そして、そのIT環境の整備にも膨大なコストがかかってしまうことがあります。

GRCの導入における懸念

従業員が本業にリソースを割かれている中で、専門知識を習得しながら、広範囲に渡るGRCをバランス良く的確に導入することは非常に困難だからです。GRCの導入は多くの場合、利害関係の少ない、中立的な第三者の立場から、専門性を有した組織による支援を活用することが有効と考えられます。
なぜなら、最終的には金銭的、時間的コストを下げ、知識をカバーすることに役立つからです。GRCの導入をサポートする製品やサービスは増えており、組織の形態にあったサービスを選定できるほどの種類があります。ぜひ一度それらの製品やサービスをご検討してみてはいかがでしょうか。 

まとめ

以上、GRCの概要とそれを導入するメリットや方法を紹介しました。
筆者の所感としては、GRCという概念が今より広く行き渡っていないころは、"G""R""C"が個別に独立しており、それぞれの対策を実施することが非常に困難だっただろうと想像します。まさか「ガバナンス」「リスク」「コンプライアンス」がシナジーを生み出し、組織の活動を効果的にサポートすることができるとは、筆者が推し量るに、長い年月組織の経営の中枢を担ってきた方々がようやく直感的に理解できるものに至ったのではと思料します。
昨今ではそれがGRCとして概念が確立され、存在が認識されはじめ、やがて多くの製品やサービスの開発がなされています。様々な脅威は健在ですが、非常に便利なツールも現れて、以前よりも環境が改善されつつあり、組織内でGRCの取り組みを再考する良い機会であると考えます。

プロフィール

寺井 蓮(てらい れん)

2024年にIDRに入社し、セキュリティコンサルタントとして、国際機関系のクライアント様に情報セキュリティポリシーの策定支援、官公庁にて情報セキュリティに関する支援など、様々な業界・セキュリティの分野を経験。

監修:吉田 卓史(よしだ たくし)

20年間にわたり、一貫してサイバーセキュリティーに携わる。ガバナンス構築支援からセキュリティ監査、ソリューション導入等、上流から下流まで幅広い経験を有する。また、複数の企業において、セキュリティのコンサルティングチーム立ち上げを0から担い、数億円の売上規模にまで成長させる。IDRにおいても、セキュリティコンサルティングチームの立ち上げを担い、急速なチーム組成、案件受注拡大を行っている。

【参考文献】

[1]What is GRC? - governance, risk, and compliance explained - AWS. (n.d.).
https://aws.amazon.com/what-is/grc/

[2]GRCとはどんな考え?注目される背景やGRCツールの機能を解説. BizAppチャンネル. (2022, March 23). https://www.cloud-for-all.com/bizapp/blog/what-is-grc

[3]【監修】マネーフォワード クラウド契約電子契約、契約書の種類や書き方、法律に関するお役立ち情報をマネーフォワード クラウド契約が提供します。社内ワーマネーフォワード. (2023, September 13). コンプライアンスとは?意味や使い方・違反事例を丁寧に解説: 電子契約サービス「マネーフォワード クラウド契約」. 契約の基礎知識 | 電子契約「マネーフォワード クラウド契約」.
https://biz.moneyforward.com/contract/basic/5083/?msockid=17b370d320736edf16be65cc21c46f37#i

twitter

Linkedin

関連コラム

コラム一覧に戻る