気候変動

 

ヨーロッパは激動の時代を迎えています。経済、社会、地政学、そして環境における様々な危機が重なり合い、私たちの生活様式にシステミックリスクをもたらしています。ヨーロッパは世界平均の2倍の速さで温暖化が進んでおり、気候変動によって引き起こされる異常気象は、今日、ヨーロッパ全域の人々の生活に影響を及ぼしています。同時に、世界の政治的現実は劇的な変化を遂げ、ロシアによるウクライナ侵攻をはじめとする武力紛争は、防衛と安全保障への意識と投資を集中させています。欧州連合（EU）は、この不安定で不安定な世界情勢に対し、2029年までの戦略的政策枠組みである「競争力コンパス」を通じて対応してきました。このコンパスに示された3つの行動分野、すなわちイノベーション、脱炭素化、そして安全保障は、いずれも環境と気候に関する重要な側面を有しており、クリーン産業、エネルギーシステムの変革、循環型経済、そして輸入依存度の低減が重要な優先事項となっています。実際、ヨーロッパは経済安全保障のために天然資源に大きく依存しており、気候変動と環境悪化は直接的な脅威となっています。

天然資源の保護、気候変動の緩和と適応、そして汚染の削減は、食料安全保障、飲料水、洪水対策など、自然に依存する重要な社会機能のレジリエンス（回復力）を構築します。欧州防災連合戦略は、異常気象、人為的災害、地政学的危機といった状況において、自然、社会、政治の領域間でリスクが連鎖的に発生する可能性を認識しています。ヨーロッパは、環境への取り組みを着実に進め、欧州グリーンディール（EGD）の下で合意された環境・気候政策を実施し、「持続可能な社会の中で豊かに暮らす」という長期ビジョンを実現しなければなりません。

リスクマネジメント

 

発生確率は、発生の可能性とそれに伴う結果によって決定されます1。これは、脅威またはハザードの性質と規模、その脅威またはハザードによる脆弱性、そして結果として生じる可能性のある結果によって影響を受けます。リスク情報により、施設の所有者や運営者から連邦政府機関に至るまで、パートナーはリスク管理活動の優先順位付けを行うことができます。

この補足資料では、図1に示すリスク管理フレームワークをサポートする、有用な重要インフラリスク管理アプローチについて説明します。このフレームワークは、戦略、能力、ガバナンス構造を統合し、国の重要インフラに関するリスク情報に基づいた意思決定を可能にします。

この補足資料で説明する重要インフラリスク管理アプローチは、サイバーインシデント、自然災害、人為的な安全上の危険、テロ行為など、あらゆる脅威とハザードに適用できますが、それぞれを理解するために異なる情報と方法論が使用される場合があります。

「原子力規制活動における確率論的リスク評価（PRA）手法の活用」（文献31）に関する政策声明は、米国原子力規制委員会（NRC）の規制活動においてPRA技術の活用を促進すべきであるという委員会の考えを表明した。その結果、NRCはNRC規制のあらゆる分野において、数多くのリスク情報活用活動を実施してきた。リスク情報活用活動の増加に伴い、リスク情報の多くの潜在的な用途を一貫性と予測可能な方法で実施すれば、規制の安定性と効率性を高めることができるという認識が生まれた。一貫性と予測可能な実施に不可欠な要素は、正確な情報伝達と伝達を確保するために、一貫した用語を使用することである。さらに、NRCは、リスク関連用語の一部が実務家によって曖昧に使用されていることを認識している。リスク情報活用活動に関連するガイダンス文書、規制、および手順の策定が進むにつれて、これらのリスク関連用語の基本的な理解がますます重要になっている。

リスク情報を活用した活動を適切に実施し、NRCと利害関係者間のコミュニケーションを促進するためには、用語の一貫性が不可欠です。これにより、実務者はコミュニケーション上の問題を排除し、技術的な問題と誤って認識される可能性のある不必要な議論を回避することができます。したがって、リスク情報を活用した関連用語の合意された定義を記載した用語集は、将来のリスク情報を活用した活動に不可欠なツールとなります。この用語集は、原子力発電所の原子炉に関連するリスクの文脈で使用されるリスク関連用語を扱っています。

サイバーリスクを取り巻く状況が変化するにつれ、経営幹部は自社のセキュリティ対策の有効性をますます問うようになっています。脅威を早期に特定するための適切なリスク評価フレームワークは整備されているでしょうか？ウイルス対策ソフトウェアや暗号化ソリューションは、最新の脅威から保護するのに十分な強度があるでしょうか？しかし、経営幹部がしばしば忘れがちなのが、従業員が日常業務においてサイバー脅威をどの程度意識しているかという点です。悪意のある人物から身を守るためのツール、フレームワーク、そして管理策は、サイバーリスクの一側面にしか対処していません。たとえこれらを導入していても、従業員は悪意の有無にかかわらず、組織を脅威にさらす可能性があります。データ侵害は、必ずしも専門家によるハッキングやデータサーバーへのマルウェア攻撃の結果であるとは限りません。従業員がノートパソコンのロックを忘れ、第三者が認証情報を盗み、機密データにアクセスした場合にも発生する可能性があります。2018年には50億件のレコードが盗難または漏洩され、そのうち20億件以上が内部関係者によるものでした1。したがって、組織を真に保護するためには、サイバーレジリエントな文化を構築することも重要です。

企業のサイバーレジリエンスの度合いは、より広範かつ根本的な組織文化を反映します。これは、従業員が「ルールなんて関係ない」という軽視的な態度をとる文化から、全員がビジネスのリスク認識を高めることに関与する文化まで、幅広い範囲にわたります2。この点で前進するためには、組織は、大規模な文化変革と同様に、長期的な取り組みの一環として、サイバーレジリエントな行動を浸透させるためのメカニズムを整備する必要があります。

この報告書は、リスク管理／リスク評価分野における2006年度最初のENISA成果物です。

本報告書の一部は、ENISA作業計画2006において「既存のリスク管理およびリスク評価手法の調査」と定義されている成果物を構成しています。

本文書の目的は、リスク管理分野における未解決の問題に対処し、欧州レベルで更なる未解決の問題に対処するためのロードマップを提供することです。

本文書は、以下の問題の解決に貢献します。

1. 公共部門および民間部門におけるリスク管理活動の認知度の低さ

2. 3. 組織

リスク管理分野において、利害関係者間のコミュニケーションを促進するための「共通言語」の欠如

既存の手法、ツール、および適切なプロセスに関する調査の不足

生成AI

 

1 概要

企業のガバナンス、リスク、コンプライアンス（GRC）のパラダイムは根本的な変革を遂げつつあり、事後対応型で手作業が多く、サイロ化が進んだ機能から、プロアクティブで自律的、かつデータ主導型のモデルへと移行しています。この変革の中心となるのが、AIベースのインテリジェント制御自動化（AI-ICA）です。これは、AI主導のインテリジェントな統制とエンドツーエンドのソフトウェア自動化を融合したものです。本レポートは、AI-ICAの徹底的な分析を提供し、その中核となる構成要素を定義し、内部監査、統合リスク管理、サイバーセキュリティ、規制遵守、サードパーティリスク管理など、幅広いアシュアランス分野における変革的影響を検証します。この分析は、COSO、COBIT、NIST、ISO規格などの世界的なベストプラクティス・フレームワークと、欧州連合（EU）、英国、カナダ、GCC地域、トルコ、アゼルバイジャンにまたがる複雑で複数の管轄区域にまたがる規制環境のレビューに基づいています。主要な調査結果によると、EUのDORA、NIS2、AI法などの規制の複雑化、そして動的な脅威環境とAI技術の成熟が相まって、AI-ICAが戦略的に不可欠なものとなっています。世界のGRCおよびRegTechソフトウェア市場は、2030年までに1,340億米ドルを超えると予測されており、

人工知能（AI）は世界経済と社会を急速に変革し、経済成長、科学の進歩、そして持続可能な開発に向けた前例のない機会を生み出しています。同時に、偏見、知的財産、プライバシーから、効果的な人間による監視や組織のリスク管理に至るまで、複雑な課題も提起しています。AI技術とアプリケーションの複雑性、高度化、汎用性が高まるにつれ、技術と人間との相互作用の両方を考慮した、国際的に整合したベストプラクティスとガバナンスの枠組みがますます重要になっています。この政策概要では、責任あるAI開発とガバナンスを支援する上で、国際標準が果たす独自の貴重な役割について説明します。国際標準：

• AI開発者、導入者、政府、規制当局、その他の重要な利害関係者間のより生産的なコラボレーションを可能にすることで、イノベーションを加速する共通言語とコンセンサスに基づく定義を確立する。 • AIシステムが展開される多様な状況に適応しつつ、透明性、消費者の選択、そして取引を促進する、コンセンサスに基づく指標、ベンチマーク、そして技術要件を策定する。

• 責任あるAIに関する高水準の原則を、具体的かつ実行可能な手順と技術要件に落とし込み、責任あるAIフレームワークの効果的な実装を支援する。

• 規制当局が技術的な厳密性と国際的な相互運用性を向上させるために活用できる、詳細な仕様とガイドラインを提供する。

リスクマネジメント

 

リスクテイクは、あらゆる組織の成功の基盤となります。組織のリーダーは、どの程度のリスクを追求、受容、対処、または回避する必要があるかを決定する必要があり、そのアプローチは、組織全体でのリスク管理方法を決定します。

リスク管理の概念は、近年、コーポレートガバナンス・フレームワークの成熟度の向上と、リスク管理が価値と戦略目標の達成を促進し、保護する手段として認識されるようになったことを背景に、ますます重要性を増しています。企業の説明責任、情報開示、変化の速度、リスクの相互関係、新興技術の影響、そして影響度が高く発生確率の低いリスクといった社会の動向は、効果的なリスク管理の必要性をさらに強調し、重要性を高めています。 2024年世界経済フォーラム世界リスク報告書によると、人工知能（AI）を含むますます高度化する技術へのオープンアクセスが拡大し、情報や制度への信頼が低下するにつれ、操作された情報の破壊力は急速に高まっています。合成コンテンツの急増は、イデオロギー的暴力や政治的弾圧の増加を伴い、社会の分断を増幅させると予想されています。

東南アジアは、世界で最も災害が発生しやすい地域の一つです。5月から11月にかけて台風が定期的に発生し、強風、洪水、地滑りを引き起こします。また、この地域では地震も頻繁に発生しています。2013年の災害は、1億2,800万米ドルの損害をもたらし、5,700万人が影響を受けました（ESCAP、2015a）。災害リスク管理（DRM）は、かつてないほど重要になっています。DRMの基礎は、ハザード、そして人々と資産がそれらのハザードにどの程度さらされているか、またその脆弱性を理解することです。リスクを定量化し理解し、ハザードの潜在的な影響を予測することで、政府、地域社会、そして個人は、情報に基づいたリスク管理の意思決定を行うことができます。こうした情報は、開発・適応戦略、セクター計画、プログラム、プロジェクト、そして予算の優先順位付けに活用できます（世界銀行、2012）。 DRMは、災害の発生確率と影響を理解し、対処することで、災害の影響を軽減することを目指しています。その基盤となるのは、リスクの評価と対応に関する体系的な方法論です。しかしながら、DRMの実施、活用、そして実行には、様々な課題と問題が存在します。

インダストリー4.0

 インダストリー4.0企業においては、以下のカテゴリーの潜在的な混乱要因を考慮することが提案されています。

• 物流チェーンの障害、取引先による原材料または半製品の納入遅延、および／またはサービス、スペアパーツ等の提供遅延

• 物理的攻撃またはサイバー攻撃

• 有線および／または無線技術を用いて設計されたICTおよびCT（クラウド技術）システムおよびネットワークの障害および停止

• 生産ラインおよび保管を含むOTシステムおよびネットワークの障害および停止、および／または産業オートメーションおよび制御システム（IACS）の誤動作

• 極端な環境現象、雷を伴う嵐、大雨、局地的な洪水、洪水、ハリケーン、竜巻、極度の高温または低温、大雪、着氷等

• 水、電気、ガス等の供給における重要なインフラ設備およびシステムの障害

• 様々な理由による火災および／または爆発

• 汚染物質および／または危険物質の極端な排出物質、

• 周辺環境やインフラ設備における潜在的な重大事象による破壊、

• 製品の品質または安全要件の不遵守、

• 健康または衛生要件の不遵守、製品の品質不良または汚染、

• 潜在的な細菌性疾患（例：換気システムの保守および／または消毒の誤りによる）、または伝染病またはパンデミックにつながる感染性ウイルスの発生、

• 海岸に近い場所での地震および／または津波、

• 外部の主体または代理人による、重要なインフラ施設／システムに対する破壊行為、テロ行為、またはサイバーテロ。

政府事業の品質保証

 

政府における目的適合分析

1.1 分析は、政策立案、プログラム、プロジェクト、運用サービスの成功に不可欠です。分析は、選択肢の策定と評価に役立ち、複雑なシステムの動作と挙動に関する洞察を提供し、システムのパフォーマンスを測定し、効率性を向上させます。

1.2 しかし、分析とその裏付けとなるモデル、データ、仮定が目的に適合していない場合、金銭的損失から評判の失墜、法的訴訟に至るまで、深刻な結果を招く可能性があります。最悪の場合、人命や生活にまで影響が及ぶ可能性があります。

1.3 2012年のインターシティ・ウェストコースト・フランチャイズ・コンペティションは、主要な政府プロジェクトの実施における分析とモデリングの重要性、そして問題が発生した場合の影響の両方を示しました。その後の政府分析モデルの品質保証に関するレビュー1では、省庁内および省庁間で使用されている品質保証の種類と性質に大きなばらつきがあることが明らかになりました。組織の権限の違いや、問題となるリスクのレベルを考慮すると、こうした事態の多くは予想通りでした。

1.4 レビューでは、徹底した品質保証を期待する職場環境を構築することの利点が強調されました。これには、主要なモデルとその使用方法に関する明確な責任の割り当て、専門スタッフに品質保証を効果的に管理するための十分な時間を与えることなどが含まれます。レビューでは、各部門に対する主要な推奨事項が示されました。

リスクマネジメント

 

リスク管理は、組織が重大な損害（財務的、風評的、その他の損害）を引き起こす可能性のある事象を回避、発生確率を低減、または影響を最小限に抑えるのを支援するために使用されます。本質的に、リスク管理は損失を削減し、不確実性をコントロールし、意思決定を最適化してパフォーマンスを向上させるための重要なツールです。アクチュアリーは、リスクと不確実性を理解するための統計分析の活用を含む包括的なトレーニングを受けた熟練した専門家です。したがって、アクチュアリーは組織のリスク管理の取り組みを支援するのに適しています。リスク管理に関する有用な書籍やガイドは数多くあります。しかし、アクチュアリーによるリスク管理のアプローチは、特に、プラスとマイナスの両方のリスクが経験する結果に与える影響を測定し、理解すること、そしてリスクとその影響が時間の経過とともにどのように変化するかを考慮することに重点を置いています。適切な場合、アクチュアリーによるアプローチはリスクに財務的価値を付与します。特に、保険数理的アプローチはリスクをより広く考察し、各リスクに個別に明確な影響と確率を適用するのではなく、潜在的な影響の範囲とリスクの相互作用を理解しようとします。

保険数理的リスク分析は短期的な視点に基づくだけでなく、必要に応じて数十年先まで遡ることもあります。

長期的な影響の理解に重点を置くことで、意思決定者は結果が予想される典型的な範囲をより深く理解できるだけでなく、より極端な事象が発生した場合の潜在的な影響も評価できるようになります。

このリスクマネジメントガイドは、当初、Airmic、ALARM、リスクマネジメント協会（IRM）を含む英国の主要なリスクマネジメント組織から選ばれたチームによって策定された標準規格として発表され、欧州リスクマネジメント協会連合（FERMA）によって採用されました。その後、最新の考え方に沿って改訂・更新されています。当初のチームは、長期間にわたる協議を通じて、リスクマネジメントに関心を持つ幅広い専門団体の見解と意見を求めてきました。本稿では、その知見を新たにまとめます。リスクマネジメントは急速に発展を続ける分野であり、リスクマネジメントの内容、実施方法、そしてその目的については、多種多様な見解や説明が存在します。以下の点について合意を得るためには、何らかの形のガイドや標準規格が必要です。

以下の文書は、サイバーセキュリティ・インフラセキュリティ庁（CISA）の情報通信技術（ICT）サプライチェーンリスク管理（SCRM）タスクフォース、ワーキンググループ4（以下、WG4）の共同作業の成果です。この文書は、あらゆる規模の公的機関および民間組織間でICTサプライチェーンのリスク状況を一貫した方法で伝達するための手段として、標準化された質問テンプレートを作成することを目指しています。この評価テンプレートの目的は、ICTサプライヤー／プロバイダーによる業界標準およびベストプラクティスの実装と適用に関する一連の質問を標準化することです。これにより、ベンダーと顧客の両方が、より一貫性のある理解、予測可能性、そして実行可能な方法でコミュニケーションをとることが可能になります。これらの質問は、組織の信頼と保証の実践に関する可視性と透明性を高め、許容可能なリスク評価について情報に基づいた意思決定を支援します。

近年の企業リスク管理機能への重点化は、特に世界金融危機における高度な定量的リスクモデルの失敗を受けて、誤った方向に進んでいると多くの人が考えています。トップダウン型のリスク管理がイノベーションや起業家精神を阻害するのではないかという懸念があります。私たちはこれに反対し、リスク管理は、リスクを費用対効果の高い方法で特定、評価、軽減するための「啓示の手」として機能するべきだと主張します。適切に実施されれば、リスク管理の「啓示の手」は、企業がよりリスクの高いプロジェクトや戦略に取り組むことを可能にすることで、企業に付加価値をもたらします。しかし、リスク管理は、経営者や従業員が自らのリスクエクスポージャーについて深く分析的に考えることを妨げる、個人および組織の深刻なバイアスを克服しなければなりません。本稿では、7つのケーススタディから、企業のリスク機能が、リスクを表面化させ優先順位付けし、リスクを軽減するための資源配分を支援し、それらの意思決定に潜む価値のトレードオフや道徳的ジレンマを明確にするために、高度にインタラクティブで介入的な対話を促進する、多様かつ偶発的な方法について教訓を得ます。

ガバナンス

 

オランダの金融セクターの企業は、企業統治、組織設計、リスク管理の分野における規制を含む幅広い要件を遵守しなければなりません。これには、国内の法律や規制、特定産業の規制に関する法律や規制、企業統治コードが含まれます。これらの要件はしばしば詳細で特定の分野に焦点を当てており、特定の種類の企業を対象としています。これらの要件に対する理解度と遵守度は、企業統治、組織設計、リスク管理の原則をコンパクトでアクセスしやすく、広く適用可能な概要として作成することで向上させることができます。

すべての金融企業に適用される要件を策定することは不可能です。なぜなら、各企業の活動内容、規模、複雑さ、リスクプロファイル、公共の利益が多様すぎるからです。それにもかかわらず、多くの金融企業に適用される一般的な原則は多数存在します。本書に含まれる企業統治、組織設計、リスク管理の原則は、そのような一般原則のセットを策定しようとする試みを表しています。このようにして、IIAオランダ（IIA NL）とNBAの内部監査人および政府監査人のメンバーグループ（NBA LIO）は、ガバナンス、リスク管理、統制プロセスの監査において内部監査人に明確な原則を提供したいと考えています。これらの原則は、特定の状況に基づいてカスタマイズされた参照フレームワークに翻訳されるべきです。

これらの原則は特定のモデルや特定の仮定、パラダイムに基づくものではなく、関連企業に適用される法律や規制、その他の要件、理論や概念の「最大公約数」に基づいています。特定の状況では、法律や規制、その他の要件がこれらの原則を超えるか、より厳格に適用される必要があるかどうかを判断しなければなりません。その場合、これらの要件が原則に優先します。以下に原則を列挙し、それぞれに説明や詳細を付しています。

2025版品質マネジメントシステム

 

サイバーセキュリティ

 

ISO/IEC 27001:2022に準拠した情報セキュリティの体系的な管理は、情報セキュリティの基本的な保護目標（機密性、完全性、可用性）に関して、情報およびITシステムの効果的な保護を確保することを目的としています。

この保護はそれ自体が目的ではなく、情報の提供と処理を円滑に行うことで、ビジネスプロセスを支援し、企業目標を達成し、企業価値を守るために役立ちます。実際には、ISMSは、この目的のために以下の3つの視点を用います。

◗ G - ガバナンスの観点

– IT目標と情報セキュリティ目標は、上位レベルの企業目標（例：COSOまたはCOBITによってサポートまたは派生されている）から導き出されます。

◗ R - リスクの観点

– 企業価値とITシステムの保護ニーズとリスクエクスポージャー

– 企業のリスクアペタイト

– 機会とリスク

◗ C - コンプライアンスの観点

– 法律、規制、標準による外部要件

– 社内仕様とガイドライン

この資料の目的は、戦略的、政策立案、組織レベルでのセキュリティリスク管理（SRM）へのアプローチの道筋を示すことです。これは「やり方」ガイドや「万能」な方法論ではありません。代わりに、SRMが直面する主要な課題のいくつかについての対話を提供し、SRM戦略計画の策定と実施に取り組む際に検討すべき領域を上級リーダーに示すことを目指しています。また、この資料は、組織内のSRMと他の上級機能リーダー間のコミュニケーション、理解、協力を改善するための指針と支援を提供することも目的としています。このガイドは、本部レベルで組織のSRM戦略および方針の策定と実施に直接責任を持つスタッフ、および他の戦略的な業務ストリームの上級リーダーを対象としています。

進化する脅威の状況と増加するサイバー攻撃により、あらゆる規模や業種の組織が、より複雑で増大する脅威に直面しています。脅威行為者による被害は壊滅的で高額な場合があり、時には取り返しのつかないこともあります。組織の規模に関わらず、すべての組織がサイバーセキュリティの脅威にさらされています。組織が直面する一般的なサイバー攻撃には以下のようなものがあります：

 フィッシング：脅威行為者が、特定の通常はよく知られたブランドを模倣またはなりすまして、個人、グループ、または組織から機密情報を不正に入手しようとする行為です。フィッシャーは、クレジットカード番号、オンラインバンキングの認証情報、その他の機密情報などの個人データを開示させ、詐欺行為に利用します。

 マルウェア：所有者の同意なしにコンピューターシステムに侵入または損害を与える悪意のあるソフトウェアです。一般的なマルウェアの種類には、コンピュータウイルス、ワーム、トロイの木馬、スパイウェア、アドウェアなどがあります。

 インサイダー脅威：組織のインフラや情報に関する知識やアクセス権を持ち、意図的か無意識かを問わず、そのインフラや情報を利用して損害を与える人物のことです。

 ランサムウェア：ファイルへのアクセスを金銭の支払いがあるまで拒否するマルウェアです。

 クレデンシャルスタッフィング：盗まれたアカウント認証情報を使い、大規模な自動ログインリクエストを通じてユーザーアカウントへの不正アクセスを試みるサイバー攻撃です。

すべての組織は、サイバーセキュリティリスクを含む幅広いリスクに直面しています。米国連邦政府機関においては、管理予算局（OMB）のサーキュラーA-11でリスクは「目標に対する不確実性の影響」と定義されています[1]。組織のビジネス目標はこのような影響を受ける可能性があるため、この不確実性はさまざまな階層レベルで管理されなければなりません。

本報告書は、企業、組織、およびシステムに固有のサイバーセキュリティリスク管理（CSRM）の側面を強調しています。組織と企業という用語はしばしば同義で使われますが、本書では、組織および企業の両方を、規模、複雑さ、またはより大きな組織構造内での位置にかかわらず、あらゆる実体として定義しています。企業レベルとは、上位階層であり、上級リーダーが独自のリスクガバナンス責任を持つレベルを指します。企業（例えば、法人や政府機関）は、システムによって支えられる組織で構成されています。

1 組織レベルとは、システムレベル（最下位レベル）と企業レベル（最上位レベル）の間にあるさまざまな中間階層レベルを指します。

生成AI

 

人工知能（AI）は多くの分野で変革の可能性を示しており、持続可能性も例外ではありません。ChatGPTの登場により大規模言語モデル（LLM）が人々の意識に浸透して以来、これらのAIシステムの運用に伴うエネルギー、水、物質への影響をめぐる活発な議論が巻き起こっています。この議論とそれに関連する測定ツールは拡大を続けており、大規模でリソース集約的なLLMを構築するテクノロジー企業からのデータ透明性の向上の兆候も現れています1。

本論文のテーマである「持続可能性のための応用AI」は、少し異なります。汎用LLMとは異なり、応用AIは、多くの場合、より限られたリソース要件で、現実世界の問題やビジネス上の課題を解決するために設計された、より小規模でターゲットを絞ったアプリケーションを指します。

持続可能性の領域にまで拡張すると、応用AIは、排出量削減、エネルギー効率、廃棄物管理など、具体的な持続可能性の課題に対処するアプリケーションを指します。

リスクマネジメント

 

オランダの金融セクターの企業は、コーポレートガバナンス、組織設計、リスク管理の分野における規制を含む、幅広い要件を遵守する必要があります。これには、国内法および規制、特定産業の規制に関する法および規制、そしてコーポレートガバナンス・コードが含まれます。これらの要件は多くの場合詳細であり、特定の分野を対象とし、特定の種類の企業を対象としています。コーポレートガバナンス、組織設計、リスク管理の原則について、簡潔でアクセスしやすく、広く適用可能な概要を作成することで、これらの要件への理解と遵守のレベルを高めることができます。各金融会社の活動、規模、複雑性、リスクプロファイル、公共の利益は非常に多様であるため、すべての金融会社に適用される要件を策定することは不可能です。しかしながら、多くの金融会社に適用されることが判明している一般原則は数多くあります。本稿に含まれるコーポレートガバナンス、組織設計、リスク管理の原則は、そのような一般原則を策定する試みを表しています。このように、IIAオランダ（IIA NL）とNBAの内部監査・政府監査人会員グループ（NBA LIO）は、内部監査員に対し、ガバナンス、リスク管理、および統制プロセスの監査に関する明確な原則を提供したいと考えています。これらの原則は、具体的な状況に基づいて、カスタマイズされた参照フレームワークに翻訳されるべきです。これらの原則は、特定のモデルや特定の仮定、パラダイムに基づくものではなく、関係企業に適用される法律、規制、その他の要件、理論、概念の「最大公約数」に基づいています。具体的な状況においては、法律、規制、その他の要件がこれらの原則を超えているか、あるいはより厳密に適用する必要があるかを判断する必要があります。その場合、それらの要件がこれらの原則に優先します。以下に原則を列挙し、それぞれに説明または詳細を付記します。

FISMAの規定に従い、商務長官はNISTによって開発された基準およびガイドラインに基づき、連邦情報システムに関する基準およびガイドラインを定めます。商務長官は、連邦情報システムの運用効率またはセキュリティを向上させるために必要と判断した範囲で、基準を強制的かつ拘束力のあるものとします。定められる基準には、最低限の情報セキュリティ要件を提供し、連邦情報および情報システムのセキュリティ向上に必要な情報セキュリティ基準が含まれます。

・連邦情報処理標準（FIPS）は、商務長官によって承認され、FISMAに従ってNISTから発行されます。FIPSは連邦機関にとって強制的かつ拘束力があります。FISMAは連邦機関がこれらの基準を遵守することを要求しており、したがって機関はその使用を免除することはできません。

・特別刊行物（SP）は、NISTによって推奨および指針文書として開発・発行されます。国家安全保障プログラムおよびシステム以外の連邦機関は、連邦情報処理標準で義務付けられているNIST特別刊行物に従わなければなりません。FIPS 200は、改訂された特別刊行物800-53の使用を義務付けています。さらに、OMBの方針（FISMAおよび機関のプライバシー管理に関するOMB報告指示を含む）では、国家安全保障プログラムおよびシステム以外の連邦機関は特定のNIST特別刊行物に従う必要があると定めています。

政府は常に国民をリスクから守る重要な役割を担ってきました。しかし近年、リスク管理は政府の業務においてより中心的な位置づけとなっています。主な要因としては、国民に対するリスク対応の困難性への対処、政策立案における早期リスク特定の重要性の認識、プログラム及びプロジェクトにおけるリスク管理、そして民間セクターとの間で行われるリスク移転の複雑な問題などが挙げられます。これらの要因が相まって、政府があらゆる形態のリスクをどのように扱うかについての再評価を迫り、2001年7月には首相が戦略ユニットによる調査を発表するに至りました。

導入部では、戦略ユニット調査の背景を説明し、リスク議論における共通言語を定義し、本報告書で扱われるリスクの複雑さに関する重要な側面を提示しています。

犯罪防止

 

国境を越え、迅速かつ複雑な現象となっています。この変革は運用上の枠組みに大きな影響を与え、マネーロンダリング（ML）を含む金融犯罪の摘発、捜査、訴追に課題をもたらしています。これらの課題には、タイムリーで高品質かつ多様な情報に対する権限当局からの需要の高まり、ますます広範かつ多様な国内外のカウンターパートとの共同での関与の必要性、法域間の法的枠組みの違い、権限およびアクセスの格差、そして根本的には、マネーロンダリングの執行を担当する当局間の信頼と相互関係を育む必要性などが含まれます。 2. 進化するマネーロンダリング（ML）の状況、その課題、そして管轄当局が国際協力の進め方をどのように適応させてきたかを評価するため、エグモント・グループ（オーストラリアとオランダの金融情報ユニットを通じて）、インターポール、UNODCの代表者が共同で主導するプロジェクトチームは、FATFグローバルネットワークとエグモント・グループのメンバーから意見を収集しました。2024年9月と10月に配布された2つのアンケートに合計106の管轄区域が回答し、専門家によるさらなる知見も共有されました。

リスクマネジメント

 「リスクマネジメントは『明らかにする手（Revealing Hand）』として機能し、費用対効果の高い方法でリスクを特定、評価、軽減すべきです。適切に実施されれば、リスクマネジメントの『明らかにする手』は、企業がよりリスクの高いプロジェクトや戦略を引き受けることを可能にすることで価値を付加します。しかし、リスクマネジメントは、経営者や従業員が自身のリスクエクスポージャーについて深く分析的に考えることを妨げる深刻な個人および組織的なバイアスを克服しなければなりません。」

この規格の目的は、リスク管理アプローチを開発し、従業員やステークホルダーの間でリスクの監視と管理の重要性に対する認識を高めることです。

ISO 31000は、あらゆる規模や業種の組織が、体系的かつ費用対効果の高い方法でリスクを管理するための原則、フレームワーク、プロセスを提供します。その原則、フレームワーク、プロセスにより、あらゆる種類のリスク（情報セキュリティリスク、事業継続リスク、財務リスク、環境リスク、品質リスクなど）の管理が可能になります。

広く使用されている財務ベースのリスク管理規格やモデルとは異なり、ISO 31000は、規模や活動分野に関わらず、あらゆる公共部門、民間部門、または非政府組織が容易に実施できる規格です。

1.1 主要な発見

•

•

•

•

Anthropicは総合評価で最高の成績（C+）を獲得しました。同社はリスク評価でリードし、唯一の人間参加型バイオリスク試験を実施し、ユーザーデータを使わないプライバシー保護で優れた成果を上げ、世界をリードするアラインメント研究を行い、強力な安全性ベンチマークのパフォーマンスを示し、公益法人の構造と積極的なリスクコミュニケーションを通じてガバナンスへのコミットメントを示しました。

OpenAIはGoogle DeepMindに次ぐ2位を獲得しました。OpenAIは内部告発ポリシーを公開した唯一の企業であり、安全フレームワークにおいてより堅牢なリスク管理アプローチを示し、リスクを事前緩和モデルで評価しました。同社は外部モデル評価の詳細を共有し、詳細なモデル仕様を提供し、悪意ある悪用の事例を定期的に開示し、AI安全性指数調査にも包括的に参加しました。

業界は自身の掲げる目標に根本的に準備ができていません。企業は今後10年以内に人工汎用知能（AGI）を達成すると主張していますが、存在的安全計画でD以上の評価を得た企業はありません。あるレビュアーはこの乖離を「非常に憂慮すべきこと」と呼び、人間レベルのAIに向けて競争しているにもかかわらず、「どの企業も安全かつ制御可能なシステムを確保するための一貫した実行可能な計画を持っていない」と指摘しました。

7社中3社のみがバイオテロやサイバーテロなど大規模リスクに関連する危険な能力の実質的なテストを報告しています（Anthropic、OpenAI、Google DeepMind）。これらのリーダーはモデルカードの質をわずかに改善しましたが、あるレビュアーは基礎的なリスク評価基準を満たしていない安全テストについて警告しています。「特定の評価や実験手順がリスクにどのように関連しているか、その制限や条件を明示的に示す方法論や理由付けが通常欠けている。[…] 私は

職場安全衛生

 

労働安全工学: コンプライアンスをはるかに超えて、組織における変革のエージェントです。

労働安全衛生 (OSH) は、法的義務としてのみ見なされるべきではありません。実際、これは環境を変革し、人命を守り、コストを削減し、競争力を高めることができる戦略的投資です。

「労働安全工学とその多様性の実践に適用」という本は、さまざまなケーススタディを通じて、標準、管理ツール、イノベーションの正しい適用がどのように具体的な結果を生み出すことができるかを示しています。

- 家禽食肉処理場 – NR-12 の職業上のリスク、人間工学、要件の分析により、反復的なプロセスや寒冷環境に直面した労働者の誠実さを確保します。

- 車両解体 – リスク管理プログラム (PGR) の実施は、罰金や休暇を削減し、中小企業にとって実現可能かつ不可欠であることが証明されています

- 土木建設 – 統計は事故や職業病の憂慮すべきシナリオを明らかにしており、堅牢な予防管理の緊急性を強化しています

- ガソリンスタンド – 避雷 (SPDA) プロジェクトは、リスクの高い環境で不可欠になります。

- 不健康な環境と疲労を伴う暑さ – 労働者の健康を維持するには、身体冷却システムや規制改正などの技術的ソリューションが不可欠です

- ソーシャル – 労働と労働安全衛生の義務のオンライン検査と管理の分水嶺であり、企業の更新と調整が必要です

- テレワーク – 人間工学に基づいたリスク、ストレス、心理社会的影響をもたらす新たな課題であり、特定の保護対策が必要です

これらの例は私たちに何を示していますか?労働安全工学は学際的であり、アグリビジネスから製造業、土木建設からサービス部門まで、すべての生産セグメントに存在します。

基準を遵守するだけでなく、労働安全衛生をイノベーション、持続可能性、社会的責任の原動力と見なすという文化の変化が必要です。

労働安全はコストではありません。それは戦略です。慎重です。という結果です。

職場におけるメンタルヘルス不調の予防には、組織的介入による労働条件、文化、人間関係の再構築を含む心理社会的リスク管理が不可欠です。職場におけるメンタルヘルスの保護と促進、特にメンタルヘルスリテラシーの向上、職場におけるメンタルヘルス不調の認識と対応スキルの強化、そして労働者が支援を求める力の強化を促す研修や介入策の実施が不可欠です。メンタルヘルス不調を抱える労働者が、合理的配慮、職場復帰プログラム、支援付き雇用の取り組みを通じて、完全かつ公平に仕事に参加できるよう支援します。リーダーシップ、投資、権利擁護、職場におけるメンタルヘルスの改善に向けた横断的な取り組みを通して、職場におけるメンタルヘルスの改善を促進する環境を整備します。

品質マネジメントシステム

 

マネジメントシステム

 

ISO規格における気候変動対策に関する改訂 – 知っておくべきこと

2024年2月、ISOはISO 9001、ISO 14001、ISO 27001などを含む31のマネジメントシステム規格に対し、気候変動対策に関する改訂を導入しました。

この変更は驚くほどシンプルです。4.1項と4.2項に2つの文が追加されただけです。しかし、その影響は甚大です。組織は今後、以下の点に留意する必要があります。

• 気候変動と事業運営の関連性を考慮する

• 利害関係者が気候関連の要求事項を有する可能性があることを認識する

これは、情報セキュリティや品質管理など、環境に直接関連しない規格においても、新たなリスク、機会、コンプライアンス義務、そしてコミュニケーションニーズが生じる可能性があることを意味します。

この記事では、Carlos Manuel Pereira da Cruzが、具体的に何が変更されたのか、ISOがなぜこの変更を行ったのか、そして組織はどのように対応すべきなのかを解説します。

リスクマネジメント

 

リスクマネジメント（ERM）とは

ERMとは、組織が戦略目標の達成能力に影響を与える可能性のあるあらゆる潜在的リスクを特定、評価、管理するために用いる戦略的かつ包括的なアプローチです。 ERMの主要要素は次のとおりです。

1️⃣ リスク管理とコンプライアンス

リスクの捉え方と管理方法に関する基盤と「トップの姿勢」を確立します。

🟢 リスク管理：取締役会と経営陣は、組織のリスクプロファイルとリスクテイクを監督する責任を負います。

🟢 リスクマネジメント：リスク管理と意思決定を支援するための報告ラインと役割を定義する。

🟢 リスクマネジメント：リスクに関する組織全体の姿勢と信念を形成する。

2️⃣ リスクアペタイトとリスク管理

組織の戦略と事業目標をリスクアペタイトと整合させます。

🟢 リスクアペタイト分析：事業とそのリスクプロファイルに影響を与える可能性のある内部要因と外部要因を分析します。

🟢 リスク管理：組織が目標を達成するために許容できるリスクの量を定義する。

🟢 リスク評価：さまざまな戦略オプションに関連するリスクを評価する。

3️⃣ リスク管理

リスクを特定、評価し、対応する実践的なプロセス。

🟢 リスクアセスメント：ビジネス目標に対する潜在的なリスク（脅威と機会の両方）を積極的に特定します。

🟢 リスクアセスメント：特定されたリスクの重大性と発生可能性を評価し、優先順位を付けます。

🟢 リスクマネジメント：優先順位付けされたリスクをどのように管理するか（回避、受け入れ、削減、または共有）を決定する。

🟢 リスクマネジメント：組織への総合的な影響を理解するために、すべてのリスクを統合的に把握する。

4️⃣ リスクと機会

ERMフレームワークの有効性を継続的に監視し、必要な調整を行うプロセス。

🟢 リスク評価：主要な内部または外部の変化がリスクプロファイルにどのような影響を与えるかを評価する。

🟢 監査の実施: ERM プロセスとコントロールを定期的にレビューし、その有効性を高めます。

5️⃣ リスク、コンプライアンス、およびコンプライアンス

関連するリスク情報が明確かつタイムリーに収集、共有され、すべての関係者に報告されるようにします。

🟢 リスク管理の強化: 社内外の関係者とリスクデータを効果的に共有します。

🟢 リスク、機会、およびリスク管理: 組織のリスクプロファイルと ERM 活動に関する明確で一貫性のあるレポートを提供します。

政府における目的適合分析

1.1 分析は、政策立案、プログラム、プロジェクト、運用サービスの成功に不可欠です。分析は、選択肢の策定と評価に役立ち、複雑なシステムの動作と挙動に関する洞察を提供し、システムのパフォーマンスを測定し、効率性を向上させます。

1.2 しかし、分析とその裏付けとなるモデル、データ、仮定が目的に適合していない場合、金銭的損失から評判の失墜、法的訴訟に至るまで、深刻な結果を招く可能性があります。最悪の場合、人命や生活にまで影響が及ぶ可能性があります。

1.3 2012年のインターシティ・ウェストコースト・フランチャイズ・コンペティションは、大規模な政府プロジェクトの実施における分析とモデリングの重要性、そして問題が発生した場合の影響の両方を示しました。その後の政府分析モデルの品質保証に関するレビュー1では、省庁内および省庁間で使用されている品質保証の種類と性質に大きなばらつきがあることが明らかになりました。組織の権限の違いや、問題となるリスクのレベルを考慮すると、こうした状況の多くは予想通りでした。

1.4 レビューでは、徹底した品質保証を期待する職場環境を構築することの利点が強調されました。これには、主要なモデルとその使用方法に関する明確な責任の割り当て、そして専門スタッフに品質保証を効果的に管理するための十分な時間を与えることが含まれます。レビューでは、各部門とその独立機関に対して、以下の主要な推奨事項が示されました。

 2. リスクマネジメントとは何ですか？

リスクマネジメントとは何ですか？ISO 9001:2015では何が求められていますか？厳密に言えば、ISO 9001:2015ではリスクアセスメントプロセスが求められています。このプロセスでは、存在するリスクを特定し、それらに対する対処方法を決定します。リスクマネジメントは、リスクが排除されるまで、またはリスクが発生する可能性があった時期が過ぎるまで、リスクを追跡・管理することで、これをさらに一歩進めます。この基本的なリスクマネジメントは、企業がどのようなリスクが存在するかを特定し、リスクの発生を抑制または防止するためにどのような措置を講じるべきか（もしあれば）を決定し、その後もリスクの発生を確認するためにリスクを追跡し続けるという、循環的なプロセスです。リスクとは、不確実性の影響、つまり、確実に予測できない何かが起こる可能性と定義されます。これは、良い影響が起こるリスクというよりも、悪い影響が起こる可能性として考えられることが多いです。リスクは主に悪い影響として考えられるため、リスク管理とは、こうした悪い影響を防ぐために行う活動です。

品質マネジメントシステム

 

昔、ある会社で研究開発プロジェクトのリーダーから品質管理責任者に異動しようとしていた頃、ある賢明な同僚から、多くの企業が品質部門と品質管理システムを必要悪、つまり規制遵守のためになくてはならないものと考えていることに注意するよう言われました。この記事の冒頭でこのことを取り上げたのは、ISO 13485:2016規格のすべての要素を網羅した各セクションを読み進める際に、項目を単なる規制要求事項としてではなく、医療機器の高品質を実現し、ユーザーと患者のニーズと使用目的を満たす安全な製品を提供するために、それらがどのように役立つかを理解していただきたいからです。 ISO 13485:2016の各要素と貴社の品質マネジメントシステムが、規制要求事項の遵守だけでなく、安全性、製品品質、そしてコストと時間の節約、顧客と従業員の満足度、競争力といったビジネスニーズへの対応にもどのように役立つかを検討することをお勧めします。それでは、ISO 13485:2016の5つの要素それぞれについて詳しく説明し、要求事項を理解し遵守することで、真の品質に注力できるようにしましょう。

4

品質マネジメントシステム

 

Høvik、2025年8月29日：- ISO 9001の改訂は着実に進んでいます。待望の国際標準草案（DIS）が12週間の投票とコメント期間のためにリリースされました。更新された基準は、2026年後半、おそらく10月または11月に公開される予定です。

「ISO 9001は、業界全体の品質保証の基礎です。したがって、この改訂は重要であり、多くの利害関係者がフォローしています。DNVの管理システム担当グローバルサービスマネージャーであるTor Gunnar Tollefsen氏は、次のように述べています。

ドラフトバージョンの変更

2026年の改訂では、いくつかのターゲットを絞った更新が導入され、その多くは、ISO 9001を他のISO管理システム規格の調和構造とより密接に一致させます。

ドラフトで概説されている主な変更点は次のとおりです。

• 品質文化と倫理的行動を促進するための5.1「リーダーシップとコミットメント」の新しい修正と、これらをどのように実証できるかに関する新しいガイダンス。
• 条項6.1では、リスクと機会管理のより明確な分離が導入され、新しいサブ条項（6.1.1–6.1.3）と拡張されたガイダンスが導入されました。
• 2024年からの気候変動改正（条項4.1と4.2）が統合されました。
• 条項4から10の要件に対するいくつかの修正。さらに、現在の要件をよりよく説明するために、いくつかのメモが追加または修正されています。

さらに、附属書Aは大幅に拡張され、基準の第4条から第10条に沿った改善され、より詳細なガイダンスが提供されました。

いつものように、更新バージョンの草案の利害関係者のヒアリングの後に変更があるかもしれません。しかし、要するに、DISバージョンで明らかにされたことは、企業にとってかなり中程度の変化を意味するはずです。

移行のタイムライン

国際認定フォーラム（IAF）は、最終リリースに近づくにつれて移行ルールとタイムラインを公開する予定です。歴史的に、ISO管理システム規格は最大3年間の移行期間を認めています。ただし、変更範囲が限られているため、より短い移行期間が提案される場合があります。

公開済み：

2025年8月29日