ガバナンスでは、信頼のある体制を考えることに重点が置かれます。体制とは人事だけではなく、組織の業務を適正に実施するための制度も含みます。つまりは内部統制です。組織の一員であれば、ビジネス目標を達成する組織の方針には十分な努力をもって従うことになります。しかし、そもそも守れもしないルールや統一性のないルールでは従いようがありませんし、そのルールの責任を個人で負うのは救われない話です。
そのため、組織としてはデューディリジェンス(Due Diligence)を整える必要があります。デューディリジェンスというのは、会社のルールとして適切な枠組みを整理することです。合理的な人がとるべき行動を前提に、適切なルール作りをしていきます。
おそらく、デューディリジェンスという言葉は、企業監査やM&A関連で聞くことがあるでしょう。DDと略したりします。彼らの中でのデューディリジェンスとは、企業や投資先の価値やリスクを調査することを指しています。つまり、組織を徹底的に調べるということです。その作業の中には、会社の体制を見ることも含まれますから、CISSP的なデューディリジェンスというのは、あくまで本来のデューディリジェンスの意味合いでのセキュリティの側面を示していることになります。
一方で、従業員のあなたとしてはデューケア(Due Care)を意識する必要があります。デューケアというのは、セキュリティ意識によって正しい行動を正しいタイミングで注意することを指します。日本語では、善管注意義務になります。悪いことをしているのに、それに注意しないことは管理を怠っていることになります。
デューディリジェンスとデューケアを比較しておきましょう。デューディリジェンスは環境を整えることを指します。これに対して、デューケアは、コンプライアンスを守る活動の一環として行われます。例えば、人がいることを確認せずに大きな機械を動かすというのは、デューケアに違反していると言えます。その一方で、注意を怠ってしまうほど過度に労働させている場合には、デューディリジェンスが甘いといえます。