Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial KITEWORKSを探る

規制コンプライアンス

ホーム 用語集 規制コンプライアンス

規制コンプライアンスは、あらゆるビジネスにとって不可欠であり、罰金を回避し、企業の脆弱な部分を見つけることで、実際に財務的な利益をもたらすことがあります。

規制コンプライアンスとは何ですか?

規制コンプライアンスは、政府やその他の規制機関によって定められた法律、規制、基準、その他のルールに従うプロセスです。これはビジネスを行う上で重要な側面であり、企業は運営を維持するために特定の法律や規制に従う必要があります。

規制コンプライアンスは、企業が不道徳または違法な行為に関与しないことを保証し、従業員と顧客の両方を保護するために使用されることがあります。特にデータを保護することで、個人識別情報および保護対象保健情報(PII/PHI)を守ることができます。これらのコンプライアンス基準は業界や地域に特有であり、正しく遵守されない場合、大きな罰則が科される可能性があります。

規制コンプライアンス

規制コンプライアンスを確保することで組織が得られる利益は何ですか?

規制コンプライアンスを達成または実証することで、組織には多くの利益があります。主な利益は、ビジネスの継続性と業界および顧客間での信頼の向上です。他の利益には以下のものがあります:

  1. 運用効率の向上:規制コンプライアンスを遵守することで、組織はすべての業務が効率的に、設定された規制に従って行われることを保証できます。これにより、組織は手続きやプロセスを合理化し、運用効率を向上させ、コストを削減することができます。
  2. リスクと責任の軽減:規制コンプライアンスは、組織が変化する法律や規制に最新の状態を保ち、それに従うことを助け、罰則、罰金、その他の責任のリスクを軽減します。
  3. 公共イメージの向上:規制を遵守する組織は、安全で倫理的な運営へのコミットメントを示すことで、良好な公共イメージを獲得します。これにより、公共の信頼が向上し、ブランド価値が向上する可能性があります。
  4. レジリエンスの向上:コンプライアンスを遵守する組織は、すでに規制要求を満たすためのシステムを持っているため、変化する規制に対してよりレジリエントです。これにより、将来の変化に対する計画が改善され、ビジネスの継続性が向上します。
  5. 効率の向上:規制コンプライアンスを確保するための明確な手続き、プロセス、システムを確立することで、組織は運営方法においてより効率的になり、生産性の向上とコスト削減を実現できます。

プライベートコンテンツ露出リスク管理のための2023年予測レポート

規制コンプライアンスはどのように機能しますか?

どの業界にも規制があり、その業界で活動する組織はこれらの規制を遵守しなければなりません。コンプライアンスは、組織内のさまざまな実践、プロセス、運営をカバーすることができます。組織は、複数のコンプライアンス領域を持つ可能性があります。

さまざまな種類のコンプライアンスには以下のものがあります: 

  • 財務コンプライアンス:組織は、公正で透明な財務記録を維持し、利害関係者や消費者に害を与える不道徳または違法な財務行為を避けなければなりません。

    そのような規制の例として、消費者保護のための連邦預金保険公社(FDIC)のルールや、企業の財務報告と透明性を求めるサーベンス・オックスリー法(SOX)があります。

    さらに、サービス組織管理2(SOC 2)コンプライアンスは、顧客データを保持するシステムのセキュリティに関する投資家や保険会社への証明です。これは米国公認会計士協会によって管理されています。

  • サイバーセキュリティコンプライアンス:サイバーセキュリティ規制は、ITシステム内のデータのセキュリティとプライバシーに焦点を当てており、暗号化、ファイアウォールセキュリティ、ネットワーク制御、侵害防止、修復努力の実施をカバーする規制を含みます。

    多くの現代の規制には、医療保険の相互運用性と説明責任に関する法律(HIPAA)規制、連邦リスク承認管理プログラム(FedRAMP)、および支払いカード業界データセキュリティ基準(PCI DSS)などのサイバーセキュリティ要件が含まれています。

  • 規制コンプライアンス:この独自のコンプライアンス形態は、組織がその運営の一環として直面する法的義務を強調します。規制は、通常、政府または隣接する規制機関からの立法と監督に基づく法的なガバナンス形態です。

    この規制形態は、他のものと重複することがよくあります。コンプライアンスには、財務、IT、報告、および監査ログ要件が多くの場合含まれます。

異なる種類の規制間には大きな重複があるため、そのような法律がどこから来るのかを理解することが重要です。たとえば、HIPAAは、すべての医療提供者、保険会社、および関連ベンダーに対する規制要件であり、連邦および地方政府によって制定および管理されています。しかし、HIPAAにはサイバーセキュリティと財務保護に関するいくつかの条項が含まれています。

逆に、SOC 2は、データ管理、セキュリティ、プライバシーを管理するいくつかの条項を含んでいますが、規制要件ではありません。法律によって管理されておらず、業界標準の一部として必要とされていません。

いくつかの規制コンプライアンス規制は何ですか?

異なる業界は通常、独自の規制を含みます。一部の規制は業界を超えて広範な組織タイプに適用されます。

一部の一般的な規制には以下のものがあります:

 

適用される組織

管理する組織

カバーされる領域

要件

医療保険の相互運用性と説明責任に関する法律(HIPAA)

対象となる事業体(病院、医師、保険会社)およびそのビジネスパートナー

保健福祉省(HHS)

プライベートヘルス情報(PHI)の無許可開示からの保護

サイバーセキュリティ制御;物理的および管理的プライバシー制御

サーベンス・オックスリー法(SOX)

上場企業

米国証券取引委員会(SEC)

企業の財務報告における透明性の要求

企業は、利害関係者および政府に対する財務報告にセキュリティ、透明性、および説明責任を実装しなければなりません

一般データ保護規則(GDPR)

欧州連合で消費者データを収集するすべての企業

EU情報コミッショナーオフィス(ICO)

EU管轄区域における消費者情報の保護

企業は、消費者データを開示または悪用から保護するために、プライバシー、セキュリティ、および同意制御を実装しなければなりません

カリフォルニア州消費者プライバシー法(CCPA)*

カリフォルニア州の中規模および大規模企業

カリフォルニア州プライバシー保護機関(CPPA)

カリフォルニア州管轄区域における消費者情報の保護

企業は、消費者データを開示または悪用から保護するために、プライバシー、セキュリティ、および同意制御を実装しなければなりません

連邦リスク承認管理プログラム(FedRAMP)

連邦機関と協力するクラウドサービスプロバイダー

共同認証委員会(JAB)およびプログラム管理オフィス(PMO)

第三者ベンダーを通じて連邦機関が使用するクラウドシステムのセキュリティ確保

CSPは、NIST 800-53およびその他の制御を実装して最低基準を満たさなければなりません

サイバーセキュリティ成熟度モデル認証(CMMC)

国防総省機関と協力するデジタル請負業者

国防総省

DoDサプライチェーンにおける防衛関連ITシステムのセキュリティ確保

請負業者は、サプライチェーンで作業するためにNIST 900-171およびNIST 800-172制御を実装しなければなりません

* 2023年1月1日現在、CCPAは拡張された規制と制御を伴うカリフォルニア州プライバシー権利法(CPRA)に改正されました。

コンテンツベースのリスクポリシーを通じてリアルゼロトラストの力を解放するウェビナー

さらに、法律によって要求されない、または管理されないが、業界の実践または企業による任意の採用に特化したいくつかの基準があります:

 

適用される組織

管理する組織

カバーされる領域

要件

サービス組織管理(SOC)2

基準を採用するすべての組織

米国公認会計士協会(AICPA)

データセキュリティ、プライバシー、機密性、整合性

組織は最低限のセキュリティおよびプライバシー基準を満たし、定期的な監査を受けなければなりません

国際標準化機構(ISO)27000シリーズ

基準を採用するすべての組織

国際標準化機構(ISO)

データおよびITインフラストラクチャのセキュリティ

組織は情報セキュリティ管理システム(ISMS)を設計、開発、実装、維持しなければなりません

支払いカード業界データセキュリティ基準(PCI DSS)

クレジットカード決済を受け入れる小売業者および商人

支払いカード業界(Visa、Mastercard、American Expressなどのクレジットカード会社を含む)

クレジットカードおよび支払い情報

支払い処理業者および商人は、支払い情報を盗難から保護するためにセキュリティ実践を実装しなければなりません

コンプライアンスと認証の表

Kiteworksは、コンプライアンスと認証の成果を多数誇っています。

米国外の規制と規制コンプライアンス

規制と規制コンプライアンスは、国によって大きく異なります。米国外のほとんどの国は、環境、健康、安全に関する法律や規制を含むビジネス活動のための法律、規制、ガイドラインを確立しています。国はまた、ビジネスの労働および雇用慣行に影響を与える法律や規制を持っているかもしれません。これには、欧州連合の一般データ保護規則(GDPR)、カナダの個人情報保護および電子文書法(PIPEDA)、英国の2018年データ保護法、オーストラリアの情報セキュリティ登録評価者プログラム(IRAP)などのデータプライバシー法が含まれます。異なる国でビジネスを行う企業は、贈収賄防止法、輸出管理法、外国投資の制限など、他の規制に従わなければならないかもしれません。

特定の国の法律や規制は、その国自身の法律と署名した国際条約や協定に依存します。企業が活動している国や輸出先の国の法律、規制、基準を理解することが重要です。企業はまた、規制コンプライアンスに関する義務を理解し、これらの義務が異なる国でどのように異なるかを理解する必要があります。

特定の国の法律や規制を理解することに加えて、企業はその国の規制当局の執行能力にも注意を払うべきです。企業はその国の法律や規制を遵守しなければならず、遵守しない場合は検査、罰金、その他の罰則を受ける可能性があります。また、企業はその国の法律や規制が時間とともにどのように変化するか、そしてそれらの変化が企業の運営にどのような影響を与えるかを理解することも重要です。

企業はまた、特定の国の法律が他の国の法律や規制とどのように相互作用するかを理解する必要があります。たとえば、複数の国で活動する企業は、本国の規制と活動している国の規制の両方に従う必要があるかもしれません。これらの規制間の矛盾の影響を理解し、すべての適用される規制にどのように従うかを理解することが重要です。

ガバナンス、リスク、コンプライアンスとは何ですか?

規制は、一般にガバナンス、リスク、コンプライアンスとして知られる、企業が従う戦略と実践の大きな枠組みの一部に該当することがよくあります。

GRCには以下の実践が含まれます:

  • ガバナンス:ビジネス慣行、データ管理、セキュリティを統治するための統合戦略と能力。ガバナンスには、ビジネスプロセスと目標の高レベルな計画と実行が含まれます。
  • リスク:リスク評価と管理は、財務リスク、セキュリティの脆弱性、またはその他の潜在的な危険を測定し、その情報を使用してサイバーセキュリティ、ITインフラストラクチャ、管理、その他のビジネス決定に関する意思決定を行う実践です。
  • コンプライアンス:ガバナンスとリスクの実践は、現在および将来のコンプライアンスを促進するために使用されなければなりません。

規制コンプライアンスポリシーを導入することが重要な理由は何ですか?

規制コンプライアンスポリシーを導入することは、ビジネスがすべての適用される法律や規制に従って運営されていることを保証するために重要です。規制コンプライアンスポリシーは、ビジネスが従わなければならない具体的な規制と、コンプライアンスを維持するために必要な手順を概説します。規制コンプライアンスポリシーを導入することは、ビジネスを責任から保護し、顧客や利害関係者に対してビジネスが法律に従って運営されていることを保証します。

コンプライアンス違反の罰則にはどのようなものがありますか?

コンプライアンスは、しばしば法律によって管理され、重大な罰則を伴うことがあります。民間部門で管理されるフレームワークでさえ、企業のビジネスのやり方に影響を与える可能性があります。

考えられる罰則には以下のものがあります: 

  • 財務的罰則:財務的罰則は、小さな手数料から壊滅的な罰金までさまざまです。たとえば、HIPAAコンプライアンス要件は、侵害の深刻さに基づいて財務的罰則をスケールします。一方、GDPRは、非準拠組織に対して重大な財務的義務を含む2つの異なる罰則レベルのみを許可しています。
  • ライセンスまたは認可の喪失:FedRAMPやCMMCのようなフレームワークは、重大な非準拠に対して認証の基準喪失を伴います。ここでは、組織はもはや業界でのみ運営することができません。
  • 法的責任:非準拠が組織や個人に重大な損害をもたらす場合、組織は法的責任を負う可能性があります。HIPAAには、重大な侵害や詐欺の場合に刑務所の時間を含むいくつかの法的罰則レベルがあります。
  • ビジネス運営への影響:PCI DSSのような一部の非政府規制は、管理機関がビジネスマーケットで企業がどのように機能するかを制御できるために機能します。

    たとえば、商人がPCI DSSに準拠しない場合、デフォルトの法的影響はありません。代わりに、Visa、Discover、American Express、Mastercardなどの主要なクレジットカードプロバイダーで構成されるPCIは、クレジットカード決済ネットワークの継続使用に対して罰金を課すことができます。

    継続的な非準拠は、PCIが商人に対して否定的な評価をラベル付けし、より高い手数料と制限された決済処理能力を含む可能性があります。

    最後に、PCIは単に商人のアカウントを閉鎖し、決済処理を不可能にすることができます。

規制コンプライアンスを運用化する

規制コンプライアンスは、あらゆるビジネスの重要な部分であり、ビジネス戦略とITインフラストラクチャにおいて役割を果たさなければなりません。基準を持つ規制された業界で活動する企業は、規制をサポートするために技術を使用しなければなりません。

機密コンテンツ通信は、ほぼすべてのコンプライアンス規制に関与しており、組織は適切なポリシー制御とセキュリティプロセスを確保しなければなりません。Kiteworksが、HIPAA、PCI DSS、FedRAMPなどのさまざまな規制にわたってコンプライアンスを確保するために、組織内外に移動する重要なデータを統合、追跡、制御、保護する方法を、カスタムデモをスケジュールして学びましょう。

 

リスク&コンプライアンス用語集に戻る

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

始めましょう。

Kiteworksを使用すれば、規制コンプライアンスを確保し、リスクを効果的に管理することが簡単に始められます。今日、コンテンツ通信プラットフォームに自信を持つ数千の組織に参加しましょう。以下のオプションから選択してください。

デモを予約
担当者に相談
Share
Tweet
Share
Explore Kiteworks