三ツ谷 直晃（みつや・なおあき）
NAVEX カントリーマネージャー。営業戦略、事業推進、成長戦略の策定に強みを持ち、ハイテク業界において25年以上にわたりリーダーシップを発揮。NAVEX入社以前は、Strategy社（旧MicroStrategy）の日本法人社長執行役員として、日本市場におけるビジネス拡大を主導した。キャリアはキーエンスからスタートし、その後PTCやIBMなど複数の外資系企業で要職を歴任。DocuSign Japanでは執行役員としてエンタープライズセールスチームを統括した。

GRCは「ふわっとした概念」──だから機能しない

GRCとは、「ガバナンス（企業統治）」「リスク管理（目標達成を阻害する要因の制御）」「コンプライアンス（法令・倫理性への準拠）」の3要素を統合的に管理・運用する考え方だ。リスクにはセキュリティ、オペレーション、地政学、レピュテーションなど多様な種類があり、コンプライアンスの対象範囲も業界や企業規模によって異なる。こうした要素は個別に機能するものではなく、相互に連携してこそ実効性を発揮する。

だが現状はというと、ほとんどの企業においてその状態には程遠い。「多くの日本企業において、GRCはいまだにふわっとした概念にとどまっている」と三ツ谷氏。GRCソリューションを導入している企業でも、実態はパッケージの一部を使った局所対策にとどまるケースがほとんど。企業横断的にリスクを把握できている会社は非常に少ないという。

問題の本質は組織の分断にある、と三ツ谷氏は分析する。コンプライアンス、IT、法務、人事といった各部門が個別に動くことで、研修内容が重複したり、逆に本来カバーすべき領域が抜け落ちたりする。「一つの研修で、オペレーショナルリスクやSNS炎上によるレピュテーション毀損、情報漏えいといった複数のリスクに対応できるにもかかわらず、縦割りの体制によってその効果が分断されてしまっている」と三ツ谷氏。理想は、すべてのリスクをダッシュボード上でヒートマップのように可視化し、自動生成レポートをもとに継続的にモニタリングする体制だという。

日本企業の向上を阻む「三つの壁」

日本でGRCの概念が浸透するきっかけとなったのが、2006年に制定されたJ-SOX法（「財務報告に係る内部統制の評価及び監査の基準」）だ。米国のサーベンス・オクスリ―法（SOX法）の流れを汲み、国内で相次いだ会計不祥事を受けて導入されたJ-SOXは、証券市場の信頼回復を目的に内部統制報告制度として確立された。

三ツ谷氏は当時、その整備の波に乗って外資系ベンダーでGRCソリューションを展開していた。「リスクを可視化できます」と説明すると「可視化されては困る」と返ってきた時代だったと振り返る。あれから約20年、ようやく話を聞いてもらえるようになったが、プライム上場企業でGRCをきちんと実装できているのは今も数パーセントにすぎないと見る。

ガバナンスの健全性を示す重要な指標の一つに「内部通報件数」がある。グローバルのベンチマークによれば、従業員100人あたりの通報件数は1.65件、アジア太平洋地域全体で0.83件であるのに対し、日本は0.63件にとどまる。この数字について、三ツ谷氏は「通報が少ないのは何も起きていない証拠ではなく、内部統制が機能していない、あるいは情報の『握りつぶし』が発生している兆候」と警鐘を鳴らす。目安とされる健全な水準は1.0件以上とのことだ。

では、日本企業がGRCに前向きに取り組めない理由はどこにあるのか？　三ツ谷氏によると、壁は主に三つあるという。

一つ目は文化的な壁だ。終身雇用・チームワーク重視の職場では、仲間内の不祥事を「波風を立てるより内々で」という同調圧力が働きやすい。

二つ目は性善説の壁だ。海外では「人間は過ちを犯す可能性がある」を前提とするため、システムでそれをどう牽制するかを考える。一方、日本では「あの人がこんなことをするわけがない」が出発点になる。

三つ目は予算の壁だ。リスク管理やコンプライアンスは利益を生まないと見られがちで、経営層から十分な予算をもらいにくい。

三ツ谷氏によれば、GRCに本腰が入るきっかけの多くが「やらかした」後だ。不祥事が表面化して第三者委員会が入り、内部統制の不備を指摘されて初めて動き出す。

GRCを「健康診断」に例えることができる、と三ツ谷氏。年に一度の検診前だけ飲み会を控えても、日常の生活習慣が変わらなければ意味がない。企業のGRC管理も同じで、監査のタイミングだけ体裁を整えていては、いざ膿が出たときのコスト──専門家チームの長期投入、レピュテーション失墜──は膨大になる。日々モニタリングし、異常を早期に検知し続けること。それがGRCの本来の使い方だ。

機能している組織は何が違うのか。三ツ谷氏は、GRCを導入して通報件数を増加させたある企業の場合、三つの要因があったと分析する。第一は経営トップのコミットメント、第二は通報後の透明性、第三はアクセスのしやすさだ。例えば、案件が解決した際、調査結果をイントラネットで公表し「通報すれば会社が動く」という信頼を醸成するなどの工夫が奏功しているという。

AIが「前さばき」と「分類」を強力にサポート

日本とグローバルの違いは内部通報の件数だけではない。通報から案件クローズまでの平均日数は、グローバルが28日に対しアジア太平洋では51日。日本はさらに長く73日を要する。情報不足（いつ・誰が・どこで・何をしたかが曖昧）が調査を長引かせる面もあるが、三ツ谷氏は「日本は一件一件丁寧に向き合っている結果でもある。担当者が当事者との信頼関係を積み重ねるうちに、匿名通報者が実名を明かすケースも実際にある」と話す。


AIはこの課題の解決に寄与するが、その活用範囲については明確に整理する必要があると三ツ谷氏は指摘する。ラポール（信頼関係）の構築は人間が担う領域で、AIには難しい。一方、情報収集と分類はAIが有効な領域だ。

具体的には三つの活用が考えられる。

一つ目は情報の精度向上だ。日本では通報の7割以上がウェブ経由だが、多くが5W1Hの情報が不足した状態で届く。AIが欠落をリアルタイムで検知し「この情報が足りないので教えていただけますか」と対話を自動化することで、担当者には情報が揃った状態のケースが届くようになる。

二つ目はカテゴリーの自動分類だ。NAVEXの場合は通報システムには一般に25前後のカテゴリーがあり、「利益相反」と「贈収賄」の違いがわからずに誤分類してしまうケースは珍しくない。AIがコンテキストを読んで適切に振り分けることでデータの一貫性が高まり、傾向分析の精度も上がる。

三つ目はスピークアップのハードル低下だ。「これは通報すべきか、単なる愚痴か」といった判断をAIエージェントに事前相談できる前さばき的な機能で、上司には言いにくいことでもAIには話せる若い世代を中心に、心理的障壁を下げる効果が期待されている。


（「報告のリスクカテゴリー」注：2025年のレポートより）

CIOが動くべき理由──GRCはITの問題でもある

GRCはコンプライアンス部門だけの問題ではない。三ツ谷氏によれば、導入プロセスにIT部門が関わるケースは非常に少なく、現場担当者だけで進めてセキュリティチェックシート対応のときだけITが絡むという。しかし通報受付後のドキュメント管理、エビデンス保管、対応履歴のログ、アクセス権限の設計はIT知見なしには適切に設計できない。「窓口は作ったが、その後はメールで対応し、ドキュメントは外部ストレージで管理して煩雑になっている」という企業が後を絶たない。

リスク管理をExcelのスプレッドシートで行っている企業もまだ多い。その状態を三ツ谷氏は、「紙の健康診断票を眺めているだけの状態」とし、デジタルで管理し、継続的にモニタリングする仕組みが効果的なGRC対策になるとする。また、内部通報はセンシティブな情報を扱うためIT部門は関与できないという見方もあるが、初期のワークフロー設計やアクセス権限のルール設定は実際の通報内容を見なくてもできる。IT部門が要件定義の早い段階から関与することで、記録管理やセキュリティ要件などで大きく貢献できるのだ。

グローバルガバナンスの観点でも同様だ。「海外子会社のことは知りませんでした」では通らなくなってきている。スピークアップの対象となった人物を自動的にそのケースから除外し、外部弁護士や本社の然るべき部門に転送する──そうした制御をITで担保することが、経営層の不正に対する最も有効な抑止力になる。

三ツ谷氏はこう語る。「AIエージェントが意思決定を助ける時代になりつつあるが、それは従業員が正しい倫理観を持って働いているからこそ機能する。いくらAIが動いていても、組織の骨格が折れたら走れない」。

GRCは制度の整備ではなく、変化し続ける法規制に対応し、企業が健全なパフォーマンスを発揮し続けるための日常的な健康管理だ。CIOは、その骨格を支えるインフラを整えることが求められている。