責任マトリックス

1）目的と価値

RACIマトリックスは、プロセスのすべてのステップで役割と意思決定ポイントを透明にし、運用上のリスクを低減し、承認をスピードアップします。

• 「灰色の領域」と努力の重複を排除します。
• ポリシーと制御要件の適用
• 実証可能な役割の割り当てを通じて監査を簡素化します。

2）利用規約とオプション

R （Responsible）-作業/タスクを実行します。
A（説明責任）-究極の責任を負い、結果（タスクごとに1つ）を承認します。
C（コンサルティング）-相談、決定前に従事（双方向コミュニケーション）。
I （Informed）-決定後に通知されます（一方通行の通信）。

• RASCI： S（サポート）-パフォーマーの操作サポートを追加します。
• DACI： D（ドライバー）、A（承認者）、C（コントリビューター）、I（インフォームド）-ドライバーの重点。
• RAPID：推奨、同意、実行、入力、決定-製品ソリューションに役立ちます。

3） RACIの設計原則

1.タスクごとに1つのAは明確な説明責任です。
2.必要なだけのRですが「、すべてのR」は避けてください。
3.C-実際には、「念のため」ではなく（そうでなければ我々は流れを遅くする）。
4.I-アドレス：結果に依存しているアクションを通知します。
5.DoA/SoD接続：義務の権限と分離はRACIと競合するべきではありません。
6.バージョン管理：RACIの変更→PR/レビュー/ハッシュレシート→公開。

4）応募先

インシデントと危機（情報セキュリティ/支払い/プライバシー）。
データのDSAR/保持/削除。
VRM/オンボーディングおよびパートナー監査。
CI/CDのリリースとコンプライアンスゲート。
マーケティングと責任ある広告。
支払いの紛争/チャージバック。
BCP/DR演習とリーガルホールド。

5）役割（サンプル辞書）

取締役会/CEO/ExCom、コンプライアンス責任者、法務/DPO、リスクオフィス、内部監査、CISO/SecOps、 CTO/プラットフォーム、データガバナンス、決済/ファイナンス、ベンダー管理、マーケティング/PR、サポート/オペレーション、人事/L&D、製品/エンジニアリング、地域のリード。

6） RACI行列の例

6.1プライバシー侵害（データ侵害）

6.2 DSARアクセス/削除

6.3重要なベンダーのオンボーディング（VRM）

6.4コンプライアンスゲートリリース

7） DoA/SoDと政策コミュニケーション

DoA（権限委任）：DoA承認権限を持っている必要があります。
SoD（職務の分離）：重要なステップのRとAは、支払い/管理アクションの実行と組み合わされていません。
ポリシー/標準：行列の各行は、制御承認とSOPを参照します。

8） RACIの作成および変更プロセス

1.現在のプロセス（E2E図、意思決定ポイント）を削除します。
2.辞書からロールを定義し、ドメイン所有者と調整します。
3.ステップ/意思決定レベルでRACIを入力し、DoA/SoDとの衝突を確認します。
4.実際に検証する（テーブルトップ/シミュレーション）。
5.wiki/portalに含まれるリポジトリ（Git）に承認して公開します。
6.関連サポート：トリガー-組織構造の変更、ジュラ紀の更新、監査/インシデントの結果。
7.バージョニングと証拠：PR履歴、ハッシュレシート、WORMアーカイブ。

9）メトリクスとダッシュボード

RACIカバレッジ：新鮮な行列を持つ主要なプロセスの％。
シングルAコンプライアンス：正確に1つのA （100％目標）を持つタスクの割合。
C/Iノイズ比：余分なマッチング/通知可能（トレンド）。
Time-to-Decision： RACIステップマッチングの中央値。
SoDコンフリクト：役割ごとに識別され、閉じられたコンフリクト。
Audit-Ready： ポリシー/コントロール/SOPおよびエビデンスへのバインディングを伴う行列の共有。

ダッシュボード：プロセスマップ+RACIオーバーレイ、RACIステップあたりのリードタイム、Org Heatmap（調整ボトルネック）。

10） SOP（標準的なプロシージャ）

SOP-1： RACIデザイン

プロセスマッピング→ドラフト行列→DoA/SoD検証→パイロット/シミュレーション→委員会承認→公開。

SOP-2： 四半期ごとのレビュー

組織/ポリシーの変更→行列の修正→PRの更新→影響を受けるロールのread-&-attestを収集します。

SOP-3： トリガーインシデント

インシデントの結果-RACI調整（例えば、A/Cゲイン、R分散）→SOP/コントロール更新→再テスト。

SOP-4： トレーニング

マトリックスの読書および場合のマイクロコース；A/Rロールに必要です。

11）テンプレート

11.1 RACIテーブル（マークダウン）

Шаг процесса      Описание      R      A      C      I      Контролы/SOP
---    ---    ---    ---    ---    ---    ---
P-01      Прием запроса      Support      Head of Compliance      Legal/DPO      Product      SOP-DSAR-001, CTRL-DSAR-SLA

11.2 YAMLアーティファクト（ポリシーアズコードバインディング）

yaml process: "DSAR"
version: "1.3.0"
steps:
- id: P-01 name: "Intake & Verify"
R: ["Support"]
A: ["Head of Compliance"]
C: ["Legal/DPO"]
I: ["Product"]
controls: ["CTRL-DSAR-SLA","CTRL-PII-MIN"]
sop: ["SOP-DSAR-001"]
evidence: ["hash://evidence/dsar/intake-log.csv"]
meta:
owner: "Policy Owner - Privacy"
review_date: "2026-01-31"

11.3 RACI変更カード

正当化（インシデント/監査/法的更新）

古い/新しい役割の割り当て

DoA/SoDへの影響

トレーニング/コミュニケーションプラン

PR/ハッシュレシートへのリンク

12）統合

「ポリシーリポジトリ」（Policy Repository）-マトリックスからクレームを制御するリンク。
GRC：バージョンストレージとread-&-attest。
HRIS/LMSロールプロファイル→A/Rのトレーニング。
ITSM/Jira： RACIステップの和解タスクとSLA。
CCM：アクティビティメタデータのA/Rを自動チェックします（例：管理者ログ、リリース）。

13） Antipatterns

問題あたり2つ以上のA。
"R for all'と"C/I for show"→チャンネルの過負荷と遅延。
DoA/SoDとの接続なしでRACIを制御します。
改訂とバージョン管理のない使い捨て行列。
ライブアーティファクトの代わりにスクリーンショット（provability）。
A/R→「紙」コンプライアンスのためのトレーニングの欠如。

14）成熟度モデル（M0-M4）

M0アドホック：役割は固定されておらず、和解は混沌としています。
M1基本：主要なプロセス、手動更新のRACI。
M2管理：DoA/SoD通信、リポジトリ、四半期ごとのリビジョン、read-&-attest。
M3統合：YAML行列、PRプロセス、制御/CCMおよびITSM-SLAへのリンク。
M4継続的保証最適化推薦（ボトルネック）、SoD AutoChecks、リードタイム分析、what-if。

15）関連するwiki記事

コーポレート・ガバナンス・フレームワーク

権限行列の委任（DoA）と義務の分離（SoD）

コンプライアンス継続監視（CCM）

ポリシーとコンプライアンスリポジトリ

部門横断チェック

危機管理とコミュニケーション

コンプライアンスロードマップ

KPIとコンプライアンス指標

［結果］

RACIマトリックスは、単なるテーブルではなく、制御性のメカニズムである：結果の責任者、明確なパフォーマーと参加者、権力とコントロールとの証明可能な接続、定期的な監査とトレーニング。このようなシステムは、遅延を除去し、リスクを軽減し、監査準備プロセスをデフォルトにします。