Skip to content
Tiatra, LLCTiatra, LLC
Tiatra, LLC
Information Technology Solutions for Washington, DC Government Agencies
  • Home
  • About Us
  • Services
    • IT Engineering and Support
    • Software Development
    • Information Assurance and Testing
    • Project and Program Management
  • Clients & Partners
  • Careers
  • News
  • Contact
 
  • Home
  • About Us
  • Services
    • IT Engineering and Support
    • Software Development
    • Information Assurance and Testing
    • Project and Program Management
  • Clients & Partners
  • Careers
  • News
  • Contact

「内部通報=密告」という誤解を超えて—企業を守る「スピークアップ文化」とGRCの本質

三ツ谷 直晃(みつや・なおあき)
NAVEX カントリーマネージャー。営業戦略、事業推進、成長戦略の策定に強みを持ち、ハイテク業界において25年以上にわたりリーダーシップを発揮。NAVEX入社以前は、Strategy社(旧MicroStrategy)の日本法人社長執行役員として、日本市場におけるビジネス拡大を主導した。キャリアはキーエンスからスタートし、その後PTCやIBMなど複数の外資系企業で要職を歴任。DocuSign Japanでは執行役員としてエンタープライズセールスチームを統括した。

GRCは「ふわっとした概念」──だから機能しない

GRCとは、「ガバナンス(企業統治)」「リスク管理(目標達成を阻害する要因の制御)」「コンプライアンス(法令・倫理性への準拠)」の3要素を統合的に管理・運用する考え方だ。リスクにはセキュリティ、オペレーション、地政学、レピュテーションなど多様な種類があり、コンプライアンスの対象範囲も業界や企業規模によって異なる。こうした要素は個別に機能するものではなく、相互に連携してこそ実効性を発揮する。

だが現状はというと、ほとんどの企業においてその状態には程遠い。「多くの日本企業において、GRCはいまだにふわっとした概念にとどまっている」と三ツ谷氏。GRCソリューションを導入している企業でも、実態はパッケージの一部を使った局所対策にとどまるケースがほとんど。企業横断的にリスクを把握できている会社は非常に少ないという。

問題の本質は組織の分断にある、と三ツ谷氏は分析する。コンプライアンス、IT、法務、人事といった各部門が個別に動くことで、研修内容が重複したり、逆に本来カバーすべき領域が抜け落ちたりする。「一つの研修で、オペレーショナルリスクやSNS炎上によるレピュテーション毀損、情報漏えいといった複数のリスクに対応できるにもかかわらず、縦割りの体制によってその効果が分断されてしまっている」と三ツ谷氏。理想は、すべてのリスクをダッシュボード上でヒートマップのように可視化し、自動生成レポートをもとに継続的にモニタリングする体制だという。

日本企業の向上を阻む「三つの壁」

日本でGRCの概念が浸透するきっかけとなったのが、2006年に制定されたJ-SOX法(「財務報告に係る内部統制の評価及び監査の基準」)だ。米国のサーベンス・オクスリ―法(SOX法)の流れを汲み、国内で相次いだ会計不祥事を受けて導入されたJ-SOXは、証券市場の信頼回復を目的に内部統制報告制度として確立された。

三ツ谷氏は当時、その整備の波に乗って外資系ベンダーでGRCソリューションを展開していた。「リスクを可視化できます」と説明すると「可視化されては困る」と返ってきた時代だったと振り返る。あれから約20年、ようやく話を聞いてもらえるようになったが、プライム上場企業でGRCをきちんと実装できているのは今も数パーセントにすぎないと見る。

ガバナンスの健全性を示す重要な指標の一つに「内部通報件数」がある。グローバルのベンチマークによれば、従業員100人あたりの通報件数は1.65件、アジア太平洋地域全体で0.83件であるのに対し、日本は0.63件にとどまる。この数字について、三ツ谷氏は「通報が少ないのは何も起きていない証拠ではなく、内部統制が機能していない、あるいは情報の『握りつぶし』が発生している兆候」と警鐘を鳴らす。目安とされる健全な水準は1.0件以上とのことだ。

では、日本企業がGRCに前向きに取り組めない理由はどこにあるのか? 三ツ谷氏によると、壁は主に三つあるという。

一つ目は文化的な壁だ。終身雇用・チームワーク重視の職場では、仲間内の不祥事を「波風を立てるより内々で」という同調圧力が働きやすい。

二つ目は性善説の壁だ。海外では「人間は過ちを犯す可能性がある」を前提とするため、システムでそれをどう牽制するかを考える。一方、日本では「あの人がこんなことをするわけがない」が出発点になる。

三つ目は予算の壁だ。リスク管理やコンプライアンスは利益を生まないと見られがちで、経営層から十分な予算をもらいにくい。

三ツ谷氏によれば、GRCに本腰が入るきっかけの多くが「やらかした」後だ。不祥事が表面化して第三者委員会が入り、内部統制の不備を指摘されて初めて動き出す。

GRCを「健康診断」に例えることができる、と三ツ谷氏。年に一度の検診前だけ飲み会を控えても、日常の生活習慣が変わらなければ意味がない。企業のGRC管理も同じで、監査のタイミングだけ体裁を整えていては、いざ膿が出たときのコスト──専門家チームの長期投入、レピュテーション失墜──は膨大になる。日々モニタリングし、異常を早期に検知し続けること。それがGRCの本来の使い方だ。

機能している組織は何が違うのか。三ツ谷氏は、GRCを導入して通報件数を増加させたある企業の場合、三つの要因があったと分析する。第一は経営トップのコミットメント、第二は通報後の透明性、第三はアクセスのしやすさだ。例えば、案件が解決した際、調査結果をイントラネットで公表し「通報すれば会社が動く」という信頼を醸成するなどの工夫が奏功しているという。

AIが「前さばき」と「分類」を強力にサポート

日本とグローバルの違いは内部通報の件数だけではない。通報から案件クローズまでの平均日数は、グローバルが28日に対しアジア太平洋では51日。日本はさらに長く73日を要する。情報不足(いつ・誰が・どこで・何をしたかが曖昧)が調査を長引かせる面もあるが、三ツ谷氏は「日本は一件一件丁寧に向き合っている結果でもある。担当者が当事者との信頼関係を積み重ねるうちに、匿名通報者が実名を明かすケースも実際にある」と話す。


AIはこの課題の解決に寄与するが、その活用範囲については明確に整理する必要があると三ツ谷氏は指摘する。ラポール(信頼関係)の構築は人間が担う領域で、AIには難しい。一方、情報収集と分類はAIが有効な領域だ。

具体的には三つの活用が考えられる。

一つ目は情報の精度向上だ。日本では通報の7割以上がウェブ経由だが、多くが5W1Hの情報が不足した状態で届く。AIが欠落をリアルタイムで検知し「この情報が足りないので教えていただけますか」と対話を自動化することで、担当者には情報が揃った状態のケースが届くようになる。

二つ目はカテゴリーの自動分類だ。NAVEXの場合は通報システムには一般に25前後のカテゴリーがあり、「利益相反」と「贈収賄」の違いがわからずに誤分類してしまうケースは珍しくない。AIがコンテキストを読んで適切に振り分けることでデータの一貫性が高まり、傾向分析の精度も上がる。

三つ目はスピークアップのハードル低下だ。「これは通報すべきか、単なる愚痴か」といった判断をAIエージェントに事前相談できる前さばき的な機能で、上司には言いにくいことでもAIには話せる若い世代を中心に、心理的障壁を下げる効果が期待されている。


(「報告のリスクカテゴリー」注:2025年のレポートより)

CIOが動くべき理由──GRCはITの問題でもある

GRCはコンプライアンス部門だけの問題ではない。三ツ谷氏によれば、導入プロセスにIT部門が関わるケースは非常に少なく、現場担当者だけで進めてセキュリティチェックシート対応のときだけITが絡むという。しかし通報受付後のドキュメント管理、エビデンス保管、対応履歴のログ、アクセス権限の設計はIT知見なしには適切に設計できない。「窓口は作ったが、その後はメールで対応し、ドキュメントは外部ストレージで管理して煩雑になっている」という企業が後を絶たない。

リスク管理をExcelのスプレッドシートで行っている企業もまだ多い。その状態を三ツ谷氏は、「紙の健康診断票を眺めているだけの状態」とし、デジタルで管理し、継続的にモニタリングする仕組みが効果的なGRC対策になるとする。また、内部通報はセンシティブな情報を扱うためIT部門は関与できないという見方もあるが、初期のワークフロー設計やアクセス権限のルール設定は実際の通報内容を見なくてもできる。IT部門が要件定義の早い段階から関与することで、記録管理やセキュリティ要件などで大きく貢献できるのだ。

グローバルガバナンスの観点でも同様だ。「海外子会社のことは知りませんでした」では通らなくなってきている。スピークアップの対象となった人物を自動的にそのケースから除外し、外部弁護士や本社の然るべき部門に転送する──そうした制御をITで担保することが、経営層の不正に対する最も有効な抑止力になる。

三ツ谷氏はこう語る。「AIエージェントが意思決定を助ける時代になりつつあるが、それは従業員が正しい倫理観を持って働いているからこそ機能する。いくらAIが動いていても、組織の骨格が折れたら走れない」。

GRCは制度の整備ではなく、変化し続ける法規制に対応し、企業が健全なパフォーマンスを発揮し続けるための日常的な健康管理だ。CIOは、その骨格を支えるインフラを整えることが求められている。


Read More from This Article: 「内部通報=密告」という誤解を超えて—企業を守る「スピークアップ文化」とGRCの本質
Source: News

Category: NewsJune 10, 2026
Tags: art

Post navigation

PreviousPrevious post:The hidden cost of enterprise AI: 6.4 hours a week babysitting botsNextNext post:Salesforce to acquire usage-based billing specialist m3ter

Related posts

6 new rules of IT leadership — and what they replace
July 6, 2026
AI doesn’t eliminate inefficiency. It amplifies it
July 6, 2026
Playing to win at the AI casino
July 6, 2026
시스코, 사내 AI 비서로 ‘섀도 AI’ 차단…직원당 주 5~6시간 업무 절감
July 6, 2026
벤더 종속 vs 빠른 구축…MS·AWS FDE 도입 전 따져볼 것들
July 6, 2026
채용·출장비 줄인 SAP, AI 투자 재원 확보 나서
July 6, 2026
Recent Posts
  • 6 new rules of IT leadership — and what they replace
  • Playing to win at the AI casino
  • AI doesn’t eliminate inefficiency. It amplifies it
  • 시스코, 사내 AI 비서로 ‘섀도 AI’ 차단…직원당 주 5~6시간 업무 절감
  • 벤더 종속 vs 빠른 구축…MS·AWS FDE 도입 전 따져볼 것들
Recent Comments
    Archives
    • July 2026
    • June 2026
    • May 2026
    • April 2026
    • March 2026
    • February 2026
    • January 2026
    • December 2025
    • November 2025
    • October 2025
    • September 2025
    • August 2025
    • July 2025
    • June 2025
    • May 2025
    • April 2025
    • March 2025
    • February 2025
    • January 2025
    • December 2024
    • November 2024
    • October 2024
    • September 2024
    • August 2024
    • July 2024
    • June 2024
    • May 2024
    • April 2024
    • March 2024
    • February 2024
    • January 2024
    • December 2023
    • November 2023
    • October 2023
    • September 2023
    • August 2023
    • July 2023
    • June 2023
    • May 2023
    • April 2023
    • March 2023
    • February 2023
    • January 2023
    • December 2022
    • November 2022
    • October 2022
    • September 2022
    • August 2022
    • July 2022
    • June 2022
    • May 2022
    • April 2022
    • March 2022
    • February 2022
    • January 2022
    • December 2021
    • November 2021
    • October 2021
    • September 2021
    • August 2021
    • July 2021
    • June 2021
    • May 2021
    • April 2021
    • March 2021
    • February 2021
    • January 2021
    • December 2020
    • November 2020
    • October 2020
    • September 2020
    • August 2020
    • July 2020
    • June 2020
    • May 2020
    • April 2020
    • January 2020
    • December 2019
    • November 2019
    • October 2019
    • September 2019
    • August 2019
    • July 2019
    • June 2019
    • May 2019
    • April 2019
    • March 2019
    • February 2019
    • January 2019
    • December 2018
    • November 2018
    • October 2018
    • September 2018
    • August 2018
    • July 2018
    • June 2018
    • May 2018
    • April 2018
    • March 2018
    • February 2018
    • January 2018
    • December 2017
    • November 2017
    • October 2017
    • September 2017
    • August 2017
    • July 2017
    • June 2017
    • May 2017
    • April 2017
    • March 2017
    • February 2017
    • January 2017
    Categories
    • News
    Meta
    • Log in
    • Entries feed
    • Comments feed
    • WordPress.org
    Tiatra LLC.

    Tiatra, LLC, based in the Washington, DC metropolitan area, proudly serves federal government agencies, organizations that work with the government and other commercial businesses and organizations. Tiatra specializes in a broad range of information technology (IT) development and management services incorporating solid engineering, attention to client needs, and meeting or exceeding any security parameters required. Our small yet innovative company is structured with a full complement of the necessary technical experts, working with hands-on management, to provide a high level of service and competitive pricing for your systems and engineering requirements.

    Find us on:

    FacebookTwitterLinkedin

    Submitclear

    Tiatra, LLC
    Copyright 2016. All rights reserved.