三線防御モデル(Three Lines of Defense)とは、企業が組織的な内部統制とリスク管理を確実に行うための代表的なフレームワークです。組織の体制を「第1線(事業部門)」「第2線(管理部門)」「第3線(内部監査部門)」の3つの防衛線に分け、それぞれの役割と責任を明確にします。2020年に内部監査人協会(IIA)によってモデルが改訂され、従来の「三線防御モデル」は、単なる「防御」にとどまらず、組織の価値創造と目的達成を支援する「スリーラインモデル(The Three Lines Model)」として再整理されました。
各防衛線(ライン)は役割の重複や利害の混同を避けるために一定の独立性を保ちつつ、相互に連携することで、組織全体のリスク管理体制を機能させます。それぞれの具体的な役割は以下の通りです。
| 防衛線 | 担当部門の例 | 主な役割と責任 |
|
第1線 (ビジネスライン) |
営業部門、製造部門、IT開発・運用部門など |
【リスクの当事者・所有者】 日々の業務遂行において生じるリスクを直接特定・評価し、一次的なコントロールを実施する。 |
|
第2線 (管理・統制ライン) |
リスク管理、コンプライアンス、セキュリティ(CISO)、法務部門など |
【第1線の支援・監視】 全社的なリスク管理方針やフレームワーク、基準を策定し、第1線が適切にリスク管理を行っているかをモニタリングし、必要に応じて支援・是正を促す。 |
|
第3線 (内部監査ライン) |
内部監査部門 |
【独立した評価と保証】 第1線・第2線から独立した立場で、リスク管理体制や内部統制の有効性を客観的に評価し、経営陣や取締役会に対して独立した保証と助言を提供する。 |
三線防御モデルは、サイバーセキュリティやITガバナンスの領域でも非常に重要です。高度化・巧妙化するサイバー攻撃を完全に未然防止することは困難ですが、このモデルを適用することで、インシデント発生時の被害を最小限に抑え、迅速な復旧(レジリエンス)を実現する体制を構築できます。