コンプライアンスとは - ISO19600より

私はコンプライアンスが仕事なのでコンプライアンスについて考えていきたいが、そもそも「コンプライアンス」という言葉の意味、射程範囲については文脈や場面によってずれがあるように思われる。
考える対象が違えば議論がかみ合わないので、前回紹介したISO19600紹介シリーズのとっかかりとして、ISO19600がこのコンプライアンスというところの範囲をどう考えているかを検討していきたい。

1. 世間でいうところのコンプライアンス（日本企業想定）

コンプライアンスとは一般に法令順守、と理解されているというのが私の理解だ（？）。ただ、多くのカタカナ語は外来語からの輸入であり、コンプライアンスもその例によって英語のcomplianceから来ていると思うが、complianceは必ずしも法令遵守という意味ではないように見える。

いくつかの英英辞典で見てみたい。
Oxford - "the practice of obeying rules or requests made by people in authority"
https://www.oxfordlearnersdictionaries.com/definition/english/compliance?q=compliance
Longman - "when someone obeys a rule, agreement, or demand"
https://www.ldoceonline.com/dictionary/compliance
Cambridge - "the act of obeying an order, rule, or request"
https://dictionary.cambridge.org/dictionary/english/compliance

３つ見たがいずれの定義においてもLawやRegulationとは書かれていない。共通的に書かれているのはRuleで、Ruleには当然LawやRegulationも含まれるだろうが、それが全てではない。

日本語の辞書でも見てみる。・・・と思ったら、いまはちゃんとした辞書ってあまりネットで無料公開はされていないのですね。
デジタル大辞泉 - "１ 要求や命令への服従。- 法令遵守。特に、企業がルールに従って公正・公平に業務を遂行すること"
https://dictionary.goo.ne.jp/word/%E3%82%B3%E3%83%B3%E3%83%97%E3%83%A9%E3%82%A4%E3%82%A2%E3%83%B3%E3%82%B9/

新語時事用語辞典 - "コンプライアンスとは、一般的には、企業や組織が法令や倫理といった社会的な規範から逸脱することなく適切に事業を遂行することを意味する言葉。「法令遵守」と訳されることが多い。・・・"
実用日本語表現辞典 - "コンプライアンス（英: compliance）とは、日本語では一般的に「企業が法令をきちんと守ること（法令遵守）」の意味で用いられる語。・・・"
https://www.weblio.jp/content/%E3%82%B3%E3%83%B3%E3%83%97%E3%83%A9%E3%82%A4%E3%82%A2%E3%83%B3%E3%82%B9

Complianceが日本に入ってくるときに「法令」とつけてしまった経緯は私にはよくわからないが、この言葉を紹介した人が、日本での法令やその他ルールの位置づけや実態を鑑みてそう訳したのかもしれない。

日本のムラ社会、共同体文化との関係で説明を試みているものとしてはこちらなど（ただ、ちょっと疑問あり）。
https://www.astron-japan.co.jp/pdf/chapter_01.pdf

2. ゆらぐ「コンプライアンス」の意味

さて、日本語のコンプライアンスは一般には法令順守の意味だが（断言）、不思議なことに「法令順守だけがコンプライアンスではない」という説明が広く行われている。どういうことだろう。

適当に著名企業の説明を引用させていただく。

丸紅「丸紅グループにおいてコンプライアンスとは、社是、経営理念および丸紅行動憲章に掲げられた理念に則り、法令・規則・諸規定を順守するとともに、高い倫理観を保持しながら企業活動を行うことをいいます。」
https://www.marubeni.com/jp/company/governance/measure/compliance/manual/pdf/compliance_manual_201810_jp.pdf

ヤマハ「「ヤマハ」のコンプライアンスとは、 企業理念の実現過程の中で、4つのステークホルダー(お客様・株主・ともに働く人々・社会)をはじめ、「ヤマハ」の事業に係わる世界の人々との関係において、各法人・個人に対して適用される法令や社内規程等を誠実に遵守し、ビジネス倫理・社会規範に則り、公明かつ公正に行動することをいいます。」
https://www.yamaha.com/ja/csr/compliance_code_of_conduct/

いずれも、法令順守だけではないということを説明している。

コンプラ界隈では著名な郷原信郎弁護士は昔から、法令順守イコールコンプライアンスという意識が問題だと指摘してきている。この考え方が広まっているのかもしれない。
https://www.meti.go.jp/product_safety/event/070323/sympo-070323-no2.pdf

しかし、失礼ながらこれらのように説明されると、かえってやるべきことがわかりにくくなってしまっている気がする。
原語のComplianceは単に何かを守る、従う、ということなのであって、「何かに配慮しながら行動する」といった心構えを言っているわけではない。
原語の意味に近いのは法令を抜いた「遵守」だと思うが、「遵守する」と「配慮する」は全然違う。日本語では「住民の期待を遵守します」とはよう言わないだろうし、逆に「法令に配慮します」とも言わないだろう。全然違うものを「コンプライアンス」という一つの言葉に入れ込んでしまうとわけがわからない。

企業がやらなければいけないことは何もコンプライアンスだけではない。「守り」関連の活動としても、COSOの示す内部統制の目的は「コンプライアンス」のほかに「業務効率性」「報告の正確性」と２つもある。
であれば、無理に既存の言葉に新しい意味を付加せずとも、「コンプライアンスも大事、社会要請への配慮も大事」などと併記すればよかったのではないだろうか。そのほうがそれぞれやることがイメージしやすく、明快に理解されると思う。

やることの言葉をむやみに増やすのもどうかという意見もあるかもしれない。しかし、そんな心配をするまでもなく、やることの言葉は勝手に増えていると思う。ISO、ハラスメント、ダイバシティ、働き方改革、SDGs・・・
つい我々はその時々のトレンドに振り回されてしまうが、企業ビジョンやバリューなど土台がしっかりしていれば、どのはやり言葉も土台の文脈で説明できると思う。しっかりした土台は明快な言葉で成立すると思うので、やはりあまり原語や一般用語からかけはなれた言葉の意味は使わないほうが適切ではないかと思う。

3. ISO19600の"Compliance"

前置きが長くなったが、ここまでのまとめとして、「Complianceは法令を含むルール類の遵守という意味」「日本語のコンプライアンスは社会要請への配慮的な意味も含むとされることが多いが、あまり原語から離れた意味で使うのはよい整理ではないように思う」の2点を再掲したい。

で、いよいよ本丸の、ISO19600で"Compliance"をどう定義しているかの説明になる。定義部分は無料で読めるので直接読みたい方はこちらからどうぞ。
https://www.iso.org/obp/ui/#iso:std:iso:19600:ed-1:v1:en

以下引用
“Compliance” = “meeting all the organization’s compliance obligations” (3.17)
全てのコンプラ義務を守ること、というシンプルな定義になっている。わかりやすいと思う。

コンプラ義務とは：“Compliance obligation” = “compliance requirement” + “compliance commitment” (3.16) とのこと。この２つの定義もあるので見ていく。

“Compliance requirement” = “requirement that an organization has to comply with” (3.14) とのことで、RequirementのうちMandatoryなものを指すようだ。
“Compliance commitment” = “requirement that an organization chooses to comply with” (3.15) こちらは任意に、組織の意思で、守ることを決めたものを指すようだ。

で、Requirement単体も別で定義されていて（作成者は別の用語をあてることを考えなかったのか・・・）、“Requirement” = “need or expectation that is stated, generally implied or obligatory” (3.13) とある。ニーズと期待、というとわかりにくいが、法令だって誰かのニーズや期待が公式に明文化されたもの、と考えれば理解できるだろうか。

以上から、ここでいうコンプライアンスとは、①（誰かの）ニーズや期待であって、かつ、②示されているもの／通常黙示されているもの／義務的なもの　のうち、➂組織が守らなければならないもの　＋　組織が守ると決めたもの　（＝Compliance Obligation）に全て　従うこと
・・・と日本語だと表現できるだろうか。

これだけだとわかりにくいので、事例を見てみたい。19600は4.5.1のEXAMPLEにてCompliance Obligationの例を提示している（ほかの項目にも全部Exampleが欲しかったが）。

主なもののみピックアップする。

まずMandatoryなもの、Commitmentでなくcompliance requirementであるものの例としては：
・法令
・行政等からの許可条件や許諾条件
・行政等からの命令やガイダンス
・裁判や仲裁の判決

次に、任意のものとしてのcompliance commitmentの例としては：
・地域やNGO等との契約
・行政や顧客等との契約（協定？）
・任意の行動規範
・ラベリングや環境のコミットメント
・産業標準

ラベリングだけやたらと具体的な感じがするが、環境面も含む製品に関する表明保証的な義務と捉えればよいのだろうか。いずれにしてもここで挙げられたようなことが、組織として守らなければならないことの一覧になるとのこと。ひとつの整理としてはわかりやすいのではないかと思うし、企業コンプライアンスの観点で抜けやすそうに思われる、裁判や契約といったものも含まれているのも興味深い。

4.「コンプライアンス」との比較

一方、日本で主に使われている「コンプライアンス」の立場からすれば、19600で挙げている項目は、これらだけを気にしていればよいわけではないから足りない、という意見があるかもしれない。
確かにそういう面はある。法律はすべて現実の後追いなのだから、法律が追い付いていない分野で倫理的に非難されうるふるまいをしてしまうことはありえる。
しかし、前述したが、それは「コンプライアンス」という名前で呼ばなければいけないものかというと、そうでもないように思う。それはそれで、別の適切な名前があるのだから（「倫理」とか）、その名前で呼んで考慮すれば足りるし、わかりやすいと思う。

それに、コンプライアンスの実務的な観点で考えても、成文で示されている、または、それとほぼ同等くらいに社会的に黙示のものとして認められている(generally implied)要求事項と、そこまでではないがやらないことで善とされない（場合がある、程度か）事象について、同じ文脈で理解するべきとは思われない。
なぜなら後者は人によって解釈が異なりすぎ、線引きができないからだ。何をどうすれば守ったことになるのか（ならないのか）あいまいなままでは「守る」ことは難しい。
つまり、企業コンプライアンスの文脈で使いにくい。もしあなたがコンプライアンス担当者であるならば、「どこまでやるべきかあいまいだよね」といった意見を現場から言われたことがあるのではないか。往々にして、その意見はなにかをしないことの言い訳になりがちと思う。

5.「法令遵守だけじゃない」部分についての試案

こういった純粋に倫理的な方面の事柄（「配慮」？）について、企業として守っていくための方法論はいくつかあろうかと思う。今回はとっかかりとして、あえてコンプライアンス＝法令遵守の仕組みを準用して、こういった事柄への配慮も徹底していこうという前提に立ってみる。方法として思いついたものは２つある。

(1) まず１つは、具体的になにをどうする、というのを社内ルールや行動規範、経営方針などで明確化する方向だ。
法令を越えた部分について、会社の方針やルールとして任意に決める分には角が立ちにくいし、なにをどうする、というのを具体的にできる点で優れている。

たとえば、「環境に配慮した製品を作る」というのは善ではありそうだが、具体的にどうするのかはこれだけではわからない。これを「（各国法令を遵守したうえで）CO2についてLCAネットゼロの製品のみを製作する」「再生紙100％の紙製品のみを使用する」とすれば非常に具体的になり、現場の方針に落とし込むことができるので遵守することもできる。

ISO19600が示す例でいえば、任意のcommitmentのうちの、任意の行動規範、の部分を使って補完しようという試みだ。もちろんこの内容は抽象的なものでなく、ほかの項目と同じくらいには具体的であることが望ましいだろう。でないと同じ取り組み方法で遵守できるのかという疑問が生じると思う。

(2) 別のアプローチとしては、なにをどこまで守るか、というのを関係のステークホルダーと合意し、その内容を明文化して遵守する、という方向だ。

株主から地域行政、グローバル団体、周辺住民など、組織の規模の大小にかかわらずさまざまなステークホルダー（特に顧客でない人々）との対話はますます重要になってきている。また、行政との公害防止協定のように、法令等よりも厳しい基準で何らかのコミットを行う例は既に実務として存在している。であれば、同様のことがほかの分野でもできるのではないかと思う。

たとえば、法令があいまいなためどこまで取り組めばよいか悩むような場合にも、適切なステークホルダーと取り組み水準を合意し、そのことを公表して取り組むことにより、「一般的水準以上のことをしている」といった評価を得やすくなるのではないかと思う。少なくとも、「当社は環境に取り組んでいます」などの何の意味もない自己弁護ステートメントよりはずっと効果があるだろう。

特定の事柄に対して、こういったことをやる、と具体的にコミットし、協定や宣言などの形で残すことで、ある種「お墨付き」を得た内容と水準で「配慮」をしていけば、雰囲気だけでない実質的な活動ができるのではないか。

繰り返しになるが上記の試案は、「コンプライアンス」という語を使う以上、何か具体的にComplyできるような文章化された規範があったほうがわかりやすいだろう、という考えで書いている。
世の中のすべてを文章にできるわけではないと思うが、それでもできるだけ文章化を試みることは、コンプライアンス活動のアプローチとして一つ有効なのではないかと考える次第。

6. 余談

ISO19600でのRequirementの定義は、ISO9000:2015やISO14001:2015のRequirementの定義と同じに見える（JIS版しか見ていないので、厳密に照らせば違うのかも）。
そして、9001や14001がRequirementに関してやれと定めている内容も、大枠では19600とそこまで変わらないように見える。
そうだとすれば、9001や14001の認証を取得している企業などで法令違反が発生してしまうのは、ISOをちゃんと使うのは難しいということか。そもそもISOっていうのがそこまでよいものでもない、ということなのかもしれないが。