代替統制（Compensating Control）

代替統制とは、ひとことで言えば、本来必要なコントロールが何らかの理由で実施できない場合に、代わりに導入する補完的な対策のことです。たとえば、PCI DSSで本来必要な暗号化が技術的に不可能な場合に、ネットワーク分離と厳格な監視ログを組み合わせることで同等のリスク低減を達成するケースがこれにあたります。コンプライアンス対応では、代替統制が「同等以上の防御効果」を持つことを文書化して証明する必要があります。理想を一律に押し付けず、現実的な落としどころを設計するための重要な選択肢です。