コンプライアンスロードマップ
1)目的と原則
コンプライアンスロードマップは、リスク、ライセンス、製品戦略、および管轄の要件に関連した、12〜24ヶ月にわたる統合された作業計画です。
原則:- リスクファースト:ライセンス、PII/ファイナンス、制裁、規制期限への影響を優先します。
- 設計による証拠:アーティファクトとメトリックは最初に計画に配置されます。
- ポリシー-/Assurance-as-code:制御の要件とテスト-コードとして。
- 1人のオーナー:各イニシアチブには、オーナー、SLA、予算、成功基準があります。
- 透明性:一般的なバックログ、ダッシュボード、定期的な委員会、エスカレーション。
2)地平線と計画構造
戦略的(12-24ヶ月):目標、ライセンス/認定(ISO/SOC/PCIなど)、規制期限、目標満期モデル。
戦術的(四半期、3-6ヶ月):叙事詩とリリース:ポリシー、制御、VRM、プライバシー、トレーニング、監査準備。
運用(月/週):ITSM/Jira、 CCMルール、統合、データ移行、トレーニングのタスク。
Artifact: map 「Themes→Epics→Fichi→Tasks」(リスク、コントロール、メトリクスを参照)
3)イニシアチブのポートフォリオ(参考骨格)
1.ガバナンスとポリシー:リポジトリ、分類、ライフサイクル、ローカライズ。
2.コントロールとCCM:制御ステートメントのディレクトリ、コードとしてのテスト、ログ/メトリクスとの統合。
3.プライバシー(DSAR/retention/Legal Hold):プロセス、ツール、レポート。
4.VRM/Partners:デューデリジェンス、ミラー保持、監査権、確認。
5.ライセンス/認定:監査計画、PBCリスト、「監査パック」。
6.AML/KYC/Payments:ルール、モニタリング、チャージバック操作、レポート。
7.トレーニングと認定(LMS):役割/国によるウコン、再認証。
8.インシデント/BCP/DR:プレイブック、RTO/RPOテスト、死後→CAPA。
9.法的変更とアラートの追跡:レーダー、優先順位付け、実装。
10.分析とダッシュボード:KPI/KRI、リスクヒートマップ、準備状況。
4)優先順位付けと評価
方法:RICE+リスク、リスク調整付きWSJF、マトリックス「影響×緊急性×規制期限×依存」。
基準:- クリティカル/ハイ/ミディアム/ロー。
- 顧客ベースの影響を受ける管轄区域と規模。
- 迅速な補償措置の可用性。
- コスト/リソースとクリティカルパス。
出力:規制当局の締め切りと必須監査でマークされたランク付けされたバックログ。
5) RACIおよび管理
(R-責任がある;A-説明責任がある;C-コンサルティング;I-Informed)
6)依存関係とクリティカルパス
規制の期限と監査/認証ウィンドウ。
統合(SSO/ログ/データ)と移行。
契約更新(DPA/SLA/addendums)。
製品リリースと技術的負債(CI/CDゲートをブロック)。
ツール:ガントチャート/PERT、 what-ifシナリオ、高リスクバッファ。
7)予算とリソース
FTE/ベンダー時間/ライセンスの計画;Build/Buy/Partnerを分割します。
監査/ペンテスト/リーガルサービスの規定。
ROI/TCV:罰金/チャージバックの削減、監査の迅速化、手動操作の節約。
8)ポリシー-/保証としてコード
制御ステートメントとしきい値-YAML/JSON (id、メートル、しきい値、ソース)。
バージョンとPRプロセスを持つリポジトリ内のCCMルール(Rego/SQL)。
CI/CDのゲートおよび自動検証のスケジュール;証拠のためのWORMストレージ。
9)マイルストーンと受け入れ基準(DoD)
各イニシアチブについて:- バージョンと変更履歴があるポリシー/標準/SOPを更新しました。
- CCM、パスレート、ターゲットコントロール/ルール≥実装。
- ハッシュレシートで証明(ログ/アップロード/スクリーンキャスト)。
- トレーニング(LMS)および影響を受ける役割についてのread-&-attest。
- 確認されたベンダーミラー(もしあれば)。
- 再監査計画と30-90日間の監視(ドリフトチェック)。
10)ロードマップメトリクスとKPI/KRI
オンタイムマイルストーン(四半期ごと)、目標≥ 90-95%。
リスク低減指数(累積リスク率∆)。
パス率とエビデンスの完全性(必須の100%ターゲット)をコントロールします。
Time-to-Audit-Ready(「監査パック」を収集する時間)。
ベンダー証明書の鮮度(重要なパートナー-100%)。
トレーニングの完了○リフレッシャーラグ。
調査結果を繰り返します。
規制のオンタイムコンプライアンス(規制当局の期限前)。
11)ダッシュボード(最小セット)
ロードマップビュー:計画→進行中→検証→完了。
リスクヒートマップ:イニシアチブの前後、残留リスク。
コントロール&証拠:パスレート、赤いルール、完全性。
規制時計:規範の期限、遅延の可能性。
VRM Mirror:プロバイダとサブプロセッサの確認。
訓練及び証明:役割/国による適用範囲および非行。
12)コミュニケーションとバイイン
One-pager to epic: 「what/what/when/success criteria」。
毎週の戦闘リズム:ステータス/リスク/ブロッカーの更新。
チームと地域のQ&Aチャンネルと営業時間。
公開監査/締め切りカレンダー。
13)ロードマップリスク管理
イニシアチブのリスクレジスタ:確率/影響/トリガー/所有者。
補償措置と有効期限で免除します。
ライセンス/罰金の脅威の場合の「ストップザライン」ルール:委員会の迅速な決定。
法的な大幅な変更を伴う定期的な再ベースライン。
14) SOP(標準的なプロシージャ)
SOP-1: ロードマップ開発
要件の収集(リスク/規制/死後/監査)→スコアリング→RICE/WSJF→委員会の承認→ロードマップの公開。
SOP-2: 四半期ごとの計画
epics→quarter goals→dependencies/critical path→release and training slots→budget alignmentの分解。
SOP-3: ロードマップ変更管理
変更リクエスト(理由/影響)→リスク/リソース分析→委員会の決定→計画/ダッシュボードの更新。
SOP-4: イニシアチブを閉じる
DoDチェック→証拠パックコレクション→レッスン録画→ポリシー/コントロールリポジトリの更新→再監査計画。
15)アーティファクトパターン
15.1エピックカード(例)
ID/名前/管轄/期限
事業目的とリスクの合理化
変更するポリシー/コントロール/SOP
成功指標とターゲットのしきい値
依存関係/クリティカルパス
予算/リソース/ベンダー
トレーニングとコミュニケーションプラン
DoDと証拠リスト
15.2四半期ロードマップ(グリッド)
15.3証拠パック
1.ポリシー/コントロール差分→2) CCMレポート→3)ログ/スクリーンキャスト→4) LMS/証明書→5)ベンダー確認→6)委員会分。
16)四半期計画の例(断片)
Q1:ポリシーリポジトリ(M2)、 IAM/リテンション用のCCMローンチ、DSAR-SLAダッシュボード、オンボーディングVRM、基本倫理コース。
Q2: EEA/UK、 Legal Hold、 WORMアーカイブ、監査ドライラン、支払いチャージバックプロセスのローカライズ。
Q3: ISO/SOC認証フィールドワーク段階、DR演習、不正防止規則およびモニタリング、パートナーオフボーディング。
Q4:外部レビュー/レポート、CAPAクローズ、再監査、ウコンのリフレッシュ、計画2026。
17) Antipatterns
リスクスピードと期限なしの「ウィッシュリスト」。
測定可能なコントロールとメトリックなしのポリシー。
証拠とWORMなしの手動チェック。
ビジネスと地域の購入が不足しています。
訓練/コミュニケーション→低い受諾無し。
永遠の免除、リスク分析なしで転送。
再監査→繰り返し違反はありません。
18)成熟度モデル(M0-M4)
M0ヘルホック:反応的な修正、一般的な計画はなく「、火災」。
M1カタログ:イニシアチブのリスト、基本的な締め切りと所有者。
M2管理可能:リスクスコアリング、四半期計画、ダッシュボード、エビデンス。
M3統合:ポリシー/保証コード、CI/CDゲート、ボタンによる「監査パック」、ベンダーミラー。
M4継続的保証:予測KRI、自動計画、推奨優先順位、継続的なチェック。
19)関連するwiki記事
ポリシーとコンプライアンスリポジトリ
コンプライアンス継続監視(CCM)
法的更新の追跡/規制変更アラート
KPIとコンプライアンス指標
修復計画(CAPA)および再監査
外部監査人による外部監査
パートナーコンプライアンスガイド
証拠と文書の保管
合計
コンプライアンスロードマップは、リスクと規制の期限が特定の叙事詩、管理、証拠に変換される管理された変更プログラムです。このアプローチにより、コンプライアンスは予測可能で、測定可能で拡張性があり、いつでも監査が可能になります。