リスクマネジメント

 

素晴らしいリソースですね！これらの実践的な実装ガイドは、リスクマネジメントのコミュニティがまさに求めているものです。コンプライアンスのための別プロセスを作るのではなく、意思決定に直接リスク分析を統合することに焦点を当てています。

本当の価値は、リスクを台帳に記録した「後」ではなく、重要な経営判断を下す「前」に、目標設定や予算見積もりの段階で、これらの示唆を適用することで生まれます。

ぜひ皆さまのチームでこれらのガイドをダウンロードし、共有してください。儀式的なリスク報告から、意思決定中心のリスクマネジメントへと舵を切ることで、初めて実質的なビジネス価値が生まれます。

より包括的なリスクマネジメント支援をお探しの方は、https://riskacademy.ai もご覧ください。これらの実装フレームワークを補完する、より踏み込んだリスク分析の生成に役立ちます。

テロの脅威

 テロに対する一般の認識は、統計的な現実と一致することはめったになく、私が「恐怖のパラドックス」と呼ぶもののとりこになりがちです。長期的な「認識の誤り（Perils of Perception）」に関する研究によれば、一般の人々はテロ攻撃の発生頻度と致死性を一貫して過大評価しています。たとえばトルコでは、テロによる死亡率を60%も過大に見積もっており、イギリスではその過大評価が40%に達しています—実際の事件数は長期的には大きく減少しているにもかかわらずです。この乖離は、私たちがこれまで以上にテロに不安を抱いている一方で、その脅威に対する理解がデータではなく、衝撃的なメディアの映像に根ざしていることを示唆しています。

職場安全

 

Safety EMDADにとって安全は単なる方針ではありません。私たちが互いに交わす約束です。

2025年版の年次QHSEレポートは、私たちを真に形作るものを映し出しています——一つの家族、一つの目的、そして人・環境・未来を守るという一つの誓い。

みんなが互いを気にかけるとき、卓越性は自ずとついてきます。

この投稿で、2025年版 年次QHSEレポートをご覧ください。 i

ISO27001 情報セキュリティ

 

ISO 27001（情報セキュリティ）＋ISO 42001（AIマネジメント）

AIはあなたのデータで動きます。セキュリティとAIガバナンスが連携していなければ、見落としが生まれます。

この2つの規格は、同じコインの表裏です。

✅ ISO 27001は、データの機密性・完全性・可用性を扱います。

✅ ISO 42001は、AIモデルの安全性・透明性・公正性を扱います。

Dejan Kosutic氏が率いるAdvisera Expert Solutions Ltdは、この2つの世界のギャップを埋めるマッピング・マトリクスを作成しました。

目標は何か？

ひとつのフレームワークで、全体を見渡し、頭痛のタネをゼロにすること。

医療機器コンプライアンス

 

米国内の医療機器業界、そして米国で医療機器を販売している世界中の皆さんへ。大きな転換が起き、コンプライアンスに関してゲームのルールが根本的に変わりました。約30年ぶりに、医療機器の品質に関する中核規制が全面改定されたのです。

前回それが起きたのは—1997年（その頃、皆さんは何歳でしたか？）。FDAは適正製造基準（GMP）から品質システム規則（QSR）へと移行しました。私はその現場にいましたが、決して楽なものではありませんでした。現場のFDA調査官には「連邦調査」をどのように実施するかについてほとんど指示が与えられず、複数拠点を持つ私たちのような企業にとっては、数多くの食い違ったメッセージが飛び交いました。やがてCDRHは、調査官がどのように調査を行うべきかを理解し、企業側も何が求められているかを理解できるよう、QSITガイドを作成しました。企業が自分たちのやるべきことを理解するまでには約6〜8年を要し、その教訓は多大なコストを伴いました。

このほぼ30年間、私たちは品質システム規則（現在はQS規則と呼ばれています）の下で運用してきました。ルールを知り、調査官が何を見るのかを知り、ゲームのやり方を心得ていました。しかし、そのゲームは再び変わったのです。

残念ながら、今回も似たような導入状況が見受けられます。本稿執筆時点で、当局はQSITガイドはもはや有効ではないと公に表明しています。また、「今後」調査がどのように実施されるかについてのガイダンスは示しておらず、今後は調査コンプライアンスプログラム（CP）で示すとしています。うーん、あれは非常に技術的で複雑な官庁文書なので、誰も読みません。

2024年2月2日、FDAは「GO」を出しました—th

なぜリスク評価は 意思決定の後に行われるのでしょうか？

 

多くの“リスク系インフルエンサー”はこう言います。

✔️「意思決定の後にリスク評価をしてはいけない」

もっともです。

でも、ちょっと居心地の悪い問いがあります 👀

⚡なぜそれが、至るところで、いつも起き続けるのかを、実際に説明している人はどれだけいるでしょう？

▶️意思決定後のリスク評価は、偶然ではありません。

▶️無知のせいでもありません。

▶️ツールの問題でもありません。

👉権力、インセンティブ、ガバナンス、心理、そして組織文化が現実にどう機能しているかを踏まえれば、そうなるのが予測可能な帰結なのです。

このカルーセルは、そのやり方を糾弾するものではありません。

それを説明します。

そして、正直に向き合えば、いくつも思い当たる理由が見つかるはずです。

サイバーセキュリティ

 

AIはどのようにサイバー脅威のグローバルな情勢を再構築しているのか？AIは、攻撃の巧妙さ・頻度・速度を高めると同時に、まったく新しい悪用ベクターを生み出すことで、サイバー脅威の世界的な様相を根本的に作り替えています。

攻撃の高度化と頻度の増加

サイバーセキュリティのリーダーの大多数（94%）は、AIと機械学習がサイバー情勢に大きな影響を及ぼすと考えています。脅威行為者は生成AIを活用して能力を強化しており、組織の80%がAIによって脅威の巧妙さが増すと報告し、76%が頻度が増すと考えています。さらに、サイバーセキュリティのリーダーの87%が、過去1年でAI特有の脆弱性が増加したと観測しています」

経営幹部に対する脅威の傾向は2023年から2025年にかけて劇的に変化し、報告された総インシデントが313％増加しました。この期間は、同報告書の20年にわたるデータセットにおいて、記録上最も高い幹部標的化の水準を示しました。

「Executive Targeting Report: Analysis of Attacks on Corporate Executives from 2003-2025」