セキュリティ

 保護セキュリティ・ポリシー・フレームワーク（PSPF）は、6つのセキュリ ティ領域にわたるオーストラリア政府の方針を定めたもので、オーストラリア政府機関が国内外 の人、情報、資源を保護するために何をしなければならないかを規定している。 PSPFを適用することで、政府機関は健全かつ責任ある保護セキュリティ対策を実施し、セキュリティリスクと脆弱性を特定し緩和していることが保証される。 "

生成AI

 

新論文発表 – ニューロシンボリックAIによる議論主導型調査の自動化

🔁 2019年のシンボリック推論システムに関する研究からの進化

2019年、私は「認知プレイブック」というビジョンを発表しました。これは、シンボリックAIを用いて構造化され説明可能な調査を自動化するフレームワークです。当時は、セマンティック知識グラフ、オントロジー、そして形式論理のみに基づいて構築されていました。追跡可能で厳密な議論の連鎖を提供していましたが、流暢性、柔軟性、そして協調性に欠けていました。

本日、そのビジョンは進化を遂げました。最新のホワイトペーパーをご紹介できることを嬉しく思います。

👉 ニューロシンボリックAIによる議論主導型調査の自動化

今回のアップデートでは、シンボリックシステムの演繹的精度と、大規模言語モデル（LLM）エージェントの帰納的適応性を統合し、構造化論理と自然言語の流暢性を橋渡しします。これにより、人間のアナリストと並んで推論、説明、学習を行うシステムが実現します。

🔹 静的なグラフから生きた議論へ

🔹 脆弱な論理連鎖から協調的推論へ

🔹 機械可読から人間が理解可能へ

このアーキテクチャは、サイバーセキュリティ、インテリジェンス、法律、科学、政策といった、意思決定の正当化、レビュー、そして継続的な改善が求められる、リスクの高い領域における探究の在り方を再定義します。

主な進歩は以下のとおりです。

構造化された探究のための完全なニューロシンボリックパイプライン

LLMの協力者との再考された認知プレイブック

データ → 情報 → 知識 → 経験を体系化するDIKEモデル

組み込みの説明可能性、トレーサビリティ、そして人間による監視

この論文は、人間中心のAIへの私の継続的なコミットメントを反映しています。考えるツールを構築するだけでなく、信頼できる言語で私たちと共に考えるツールを構築することです。

📩 皆様のご意見をお聞かせください。また、この論文が皆様のミッションクリティカルなワークフローをどのようにサポートできるかについてもお話しさせていただければ幸いです。

品質マネジメントシステム

 ISO 9001 2026：次世代品質マネジメント規格は何をもたらすのか？

2025年7月24日

ISO 9001は、世界で最も広く認証されている品質マネジメントシステム規格です。世界中で100万以上の組織が、品質、顧客重視、そして継続的な改善の基盤としてISO 9001を使用しています。

ISO 9001:2015の発行から約10年が経過し、ISOは現在、新版ISO 9001:2026の策定に取り組んでいます。第2次委員会草案（CD2）は2025年初頭に完了しました。国際規格案（DIS）は2025年後半に発行される予定です。最終版は2026年末に発行される予定です。

この記事では、計画されている変更点の概要、変更されない点、そして企業が準備できる方法について説明します。

なぜ改訂が必要なのか？

ISO 9001:2015では、リスクに基づく思考、プロセス指向アプローチ、そしてハイレベルストラクチャー（HLS）が導入されました。しかし、それ以降、要求事項と枠組みの条件は大きく変化しました。

品質マネジメントシステムにおけるデジタル化とAIの活用は急速に進んでいます。

持続可能性とESG（環境・社会・ガバナンス）は、経営における重要なトピックです。

COVID-19パンデミックと世界的なサプライチェーン危機の経験は、リスクマネジメントの弱点を明らかにしています。

新版は、ISO 9001が実用的で最新のものであり、現代のマネジメントシステムとの互換性を維持することを目的としています。

ISO 9001:2026では何が変わりますか？

最終版はまだ作成中ですが、以下のトピックが既に草案で明確に浮かび上がってきています。

1. デジタルシステムとデータ統合

新版の中心的なテーマは、デジタルツールと自動化プロセスの統合です。これはISO 9001:2015では間接的にしか触れられていませんでした。 ISO 9001:2026では、特に最新のテクノロジーに焦点を当てています。

デジタルデータの処理と保管に関する要件

デジタルQMSツールの妥当性確認と検証の必要性

ITセキュリティとデータインテグリティへのより一層の配慮

これらの点は、規制対象産業（例：医薬品、医療技術）の企業にとって特に重要です。

機器の適格性確認に関する文書とプロトコルの強固な基盤を構築することで、オペレーショナルエクセレンスを実現します。

2. ESGとサステナビリティ

ISO 9001は、初めてサステナビリティと社会的責任の側面を明示的に考慮しています。これには、とりわけ以下の内容が含まれます。

環境要因と社会要因を状況分析とリスク評価に統合すること

品質目標と持続可能な企業目標の整合

ESGに関する経営陣の責任の重視

今後、企業は品質管理がESG目標の達成にどのように貢献しているかを明確に示すことができなければなりません。

3. 構造変更：調和構造（HS）

新しいISO 9001は、いわゆる調和構造（HS）に基づいています。これは、従来のハイレベル構造（HLS）をさらに発展させたものです。これにより、ISO規格（例：ISO 14001、ISO 45001）との統合が容易になります。

主要な章（4～10）の構造は変わりませんが、内容は言語と構造の面でより調和したものになります。

4. レジリエンス、リスク、品質文化への重点

ISO 9001:2026は、従来のリスクに基づく考え方を超え、以下の点を重視しています。

マネジメントシステムにおけるリスクと機会の分離

外部からの混乱に対する組織のレジリエンスの構築

リーダーシップ、コミュニケーション、研修を通じた品質文化の促進

これらの変更は、顧客、規制当局、投資家からのプロアクティブなリスク管理に対する要求の高まりを反映しています。

5. 付録Aの拡充：適用ガイド

付録Aは大幅に拡充され、規格要求事項の説明だけでなく、実践的な適用に関する具体的なアドバイスも含まれるようになりました。

これにより、特に中小企業や新規参入企業にとって、ISO 9001へのアクセスが容易になります。

セキュリティ

 

目的

情報セキュリティマニュアル（ISM）の目的は、組織がリスク管理フレームワークを用いて情報技術システムおよび運用技術システムをサイバー脅威から保護するために適用できるサイバーセキュリティフレームワークの概要を示すことです。

対象読者

ISMは、最高情報セキュリティ責任者（CISO）、最高情報責任者、サイバーセキュリティ専門家、および情報技術マネージャーを対象としています。

権限

ISMは、オーストラリア通信信号局（ASD）の思慮深い助言を反映したものです。この助言は、2001年情報サービス法に基づくASDの指定された機能に従って提供されます。

ASDは、オーストラリア通信セキュリティ指示書やその他のサイバーセキュリティ関連出版物の形でサイバーセキュリティに関する助言も提供しています。これらの場合、オペレーティングシステム、アプリケーション、およびデバイス固有の助言がISMの助言よりも優先される場合があります。

法令および法的考慮事項

組織は、法令、または法令に基づく指示もしくはその他の法的権限によって遵守が義務付けられている場合を除き、法的にISMを遵守する必要はありません。さらに、ISMは法令または法律によって課される義務に優先するものではありません。最後に、ISMが法令または法律と矛盾する場合は、後者が優先されます。

ISMには、法令または法律が組織に関連する可能性のある事例が記載されていますが、そのような問題を包括的に検討しているわけではありません。システムを設計、運用、廃止する際には、1983年公文書保存法、1988年プライバシー法、2018年重要インフラセキュリティ法、1979年電気通信（傍受およびアクセス）法などの関連法令に精通することが推奨されます。

サイバーセキュリティの原則

ISMにおけるサイバーセキュリティの原則の目的は、組織が情報技術システムおよび運用技術システムをサイバー脅威から保護するための戦略的なガイダンスを提供することです。これらのサイバーセキュリティ原則は、統制、識別、保護、検知、対応という5つの機能に分類されています。組織は、組織内でこれらのサイバーセキュリティ原則が遵守されていることを実証できる必要があります。

サイバーセキュリティガイドライン

ISMにおけるサイバーセキュリティガイドラインの目的は、組織が情報技術システムと運用技術システムをサイバー脅威から保護するための実践的なガイダンスを提供することです。組織は、関連するサイバーセキュリティガイドラインを検討する必要があります。

循環型経済の規格

 サーキュラー・エコノミーへの大きな一歩！ ♻️ 循環経済に関するISO規格（ISO 59004、ISO 59010、ISO 59020）を国家レベルで採用する国が増えており、より持続可能なモデルへの移行における重要な転換点となっている。 オーストラリア（🇦🇺）、ブラジル（🇨🇦）、カナダ（🇷🇸）、セルビア（🇷🇸）、南アフリカ（🇿🇦）などの国々は、すでにこれらの規格を自国の規格集に統合している。 これは、持続可能性とより循環的な未来への強いコミットメントである。 これらの規格の導入は、世界的な循環経済にとって画期的なことであり、環境、企業、社会にとって朗報である！

ISO 59004:2024 循環型経済 - 用語、原則、実施のためのガイダンス

ISO 59004:2024 循環型経済は、循環型経済の基盤となる中核的な定義と原則を定めています。また、これらの原則をどのように実践すべきかについての一般的なガイダンスも提供しています。

ISO9000 2026 DIS

 2年前*、ISO 9000:2015規格「品質マネジメントシステム ― 基本及び用語」に提案されていた変更点について記事を書きました。その後、担当委員会であるTC176は改訂を進めることを決定し、最近、国際規格案（ISO/DIS 9000）をレビューと投票のために公開しました。この案には、多数の変更と更新が含まれています。なお、DISはまだ正式に承認されていません。今後、変更される可能性があります。一方で、この文書が公開されたため、委員会の作業に関する守秘義務は適用されなくなり、公開で議論することができます。

ご自宅でこの内容を確認したい方はこちら：

⇒⇒ ISO/DIS 9000は、こちらのウェブページからご購入いただけます。⇐⇐

何が変わるのか？

ISO 9000は辞書のようなものだと覚えておいてください。専門用語の定義と基本概念の説明が含まれています。したがって、変更には新しい専門用語と新しい基本概念が含まれます。さらに、委員会は既存の多くの文章を、内容はそのままに書き直しました。

文章の書き換え

私は文言の変更点を追跡し、共通の傾向を見つけようとしましたが、最終的に諦めました。多くの場合、変更は同じことを言い換えただけのものに思えました。また、役立つかもしれないが、実際にはそれほど重要ではない修飾語が追加されていることもありました。新しい文章の中には、品質管理が成功をもたらすという約束を撤回している箇所もありますが**、以前はなかった提案を追加している箇所もあります***。

私が見つけた唯一の絶対的に一貫した変更点は、ISO 9000がもはや国際規格とは呼ばなくなったことです。「この国際規格」という表現が何度も「この文書」に置き換えられました。現行版の序文では「本国際規格は…他のQMS規格の基礎となる」と謳われていますが（強調は筆者による）、草案ではより控えめに「本文書は…品質マネジメント及び品質マネジメントシステム（QMS）規格の基礎となる」とされています。実際、草案では文書全体を通して「本国際規格」という文言が残っている箇所は1箇所のみで、これはコピー＆ペーストの誤りだと確信しています。****

なぜかご存知の方はいらっしゃいますか？この版が発行された後、ISO 9000がもはや「国際規格」とはみなされなくなる技術的な理由があるのでしょうか？私には分かりませんが、もっと理解を深めたいと思っています。

新しい専門用語

新しい規格案では、多くの新しい用語が定義されています。奇妙なことに、古い用語もいくつか削除されています。

新しい規格案の語彙定義から5つの専門用語が削除されており、それらはすべて構成管理に関連しています。このバージョンでは、「変更管理」「構成権限」「構成管理委員会」「構成管理」「廃棄権限」の定義は見つかりません。繰り返しますが、なぜ削除されたのかご存知の方はいらっしゃいますか？これらの概念が重要ではないわけではありません。また、委員会は構成管理に関するトピックを別の文書に移すという原則的な立場を取っていません。新しい規格案には、依然として構成ベースラインと構成ステータス・アカウンティングの定義が含まれているからです。***** だから私は困惑しています。理解できますか？

同時に、委員会は削除した用語よりもはるかに多くの用語を追加しました。86の新しい用語を数えました。これらの用語の中には、従来の品質に関するトピックに関連するものもあり、以前の削除は見落としのように思えます。「苦情申立人」「フォーム」「優良事例」「結果」「作業指示書」などです。構成管理に関連する新しい用語が2つ（構成情報と構成アイテム）追加されており、他の用語の消失はさらに不可解です。さらに、プロジェクト管理などの補助的な分野に関連する用語（プロジェクトライフサイクル、プロジェクトフェーズ）や、普及してほぼ標準と見なされるようになったツールに関連する用語（変更マトリックス、ダッシュボード）もあります。

しかし、新しい用語の半分以上（合計45個）は、政府と投票に関連しています。これらの用語は新しい草案の他の箇所では使用されていないため、通常の概念基盤の一部であるようには見えません。これらの用語は、ISO/TS 54001:2019「品質マネジメントシステム：あらゆるレベルの政府における選挙組織へのISO 9001:2015の適用に関する特定要求事項」に由来しているようです。「選挙機関」「アウトソーシングされた選挙プロセス」「投票提案」「選挙サービス開発計画」といった用語です。委員会は、品質管理のあらゆる専門分野の専門用語を、専門文書の中に埋もれて散在し、見つけにくくなるのを避けるため、一つの大きなプールにまとめ、相互の一貫性を保ちたいと考えているのだと思います。しかし、この点を決定した小委員会には参加していないので、推測に過ぎません。

新しい概念

次に、原則と概念についてです。ここでは、再編と追加の両方が行われました。

まず、セクション全体が再編されました。 2015年版では、第2項は以下のように分割されました。

2.1 一般事項

2.2 基本概念

2.3 品質マネジメントの原則

2.4 基本概念と原則を用いたQMSの構築

新しいDIS 9000では、概念と原則の位置付けが入れ替わり、さらに概念が「基本」と「追加」に以下のように分割されています。

2.1 一般事項

2.2 品質マネジメントの原則

2.3 品質マネジメントの基本概念

2.4 品質マネジメントに関連する追加概念

2.5 基本概念と原則を用いたQMSの構築

このブログでは、品質マネジメントの原則に関する2ヶ月間のシリーズ（ここから始まり、先週まで）を終えたばかりです。このセクションに重要な変更はなかったことをご報告いたします。2ヶ月分の投稿を書き直す必要はありません。 😀 もちろん、原則が2.3項から2.2項に移動した際に、すべての段落番号が変更されました。また、上で説明したように、細かな文言の変更もありました。以上です。

概念については…まあ、既存の概念は引き継がれましたが、一部は2.3項に、その他は2.4項にそれぞれ追加されました。****** しかし、多くの新しい概念が追加されました。これらの「新しい概念」の中には、品質管理の専門家が何十年も使用してきた馴染みのある用語もありますが、これまでこの規格には取り入れられていませんでした。その他は…かなり新しいものです。追加された新しい概念のリストは以下のとおりです。

品質マネジメント

品質保証

品質管理

品質計画

プロセスマネジメント

リスクに基づく思考

組織の品質文化

継続的改善

統合マネジメントシステム

循環型経済

新興技術

イノベーション

変更管理

顧客体験

知識管理

情報管理

人的側面

事業継続性

かなり長いリストです。それぞれの項目について、数段落（最長で1ページ）の短いエッセイで、その内容となぜリストに載っているのかを説明しています。

では、私たちはどうなるのでしょうか？

委員会はやり過ぎだと思います。もちろん、新しい草案の大部分は問題ありません。しかし、新しい概念のリストは長すぎます。というか、私が問題視しているのはその長さではありません。いくつかの概念、例えば循環型経済や新興技術などは、品質との関連性がほとんどないことです。

誤解のないよう申し上げますが、これらの概念が重要でないとは思っていません。委員会が企業に対し、未来を見据え、より広い世界で影に潜み、待ち受けている問題を考慮するよう促していることも理解しています。新興技術は、好むと好まざるとにかかわらず、私たち全員に影響を与えます。イノベーションは市場における当たり前の事実となっています。循環型経済の視点を取り入れれば取り入れるほど、私たちの資源基盤、サプライチェーン、そして自然環境への負担は軽減されます。これらのテーマはすべて検討すべき重要なものであり、そこから生まれる行動は価値あるものとなります。

しかし、これらは品質に関するものではありません。品質とは、顧客やその他の利害関係者のニーズと期待を満たすことです。私たちの行動が自然環境や将来の世代に与える影響を理解することは重要ですが、環境や後継世代を「利害関係者」とみなすのは無理があります。さらに、あまり多くのことをしようとすると、目の前の課題に集中できなくなるのではないかと懸念しています。そのため、ISO 9000は本来の方向性を維持すべきだと考えています。

これは、品質規格が気候変動に対応すべきかどうかを議論した際に私が主張したのと全く同じ議論です。前回、大多数の方が私の意見に反対されたことを覚えているかもしれません。ですから、今回も反対されるとしても驚きません。よくあることです。

言い換えれば、委員会が企業やその他の組織にこれらの重要な問題について検討するよう促そうとしていることは理解しています。そして、ある意味で、この文書は指示的ではなく説明的であるため、これらのトピックを記載するのに適した場所です。ISO 9000は、何をすべきかを指示することはありません。それがISO 9001の役割です。ISO 9000は、物事の意味、言葉、概念を解説しているだけです。ですから、循環型経済の意味を本当に気にしないのであれば、その部分は飛ばしても問題ありません。後から監査員に質問されることはありません。

委員会は、ISO 9000を組織マネジメントのための包括的な汎用フレームワークにすることを決定したかのようです。もしかしたら、それは有用なことなのかもしれません。しかし、文書のタイトルから私が期待していたものとは違います。

品質マネジメントシステム 航空機

 

あなたの組織は航空業界で品質基準を実装していますか?

航空および航空輸送部門は、安全性、信頼性、パフォーマンスの品質が単なる目標ではなく、企業が市場に留まり、乗客や規制当局の信頼を得るための前提条件であるため、最も確実なセクターの1つです。

このため、国際機関は、この分野のシステムの品質を保証するために厳格な基準を採用しています。

✅ AS9100

航空宇宙および防衛分野における品質管理システムの最も有名な規格。これは ISO 9001 規格の進化版であり、リスク、サプライ チェーン管理、プロセス文書化、および変更管理に関する要件が追加されています。

✅ IOSA – IATA運航安全監査

IATAが承認した運航安全監査システムは、航空会社の安全および管理のベストプラクティスへの準拠を評価するために使用されます。

✅ ISO9001認証取得

これは一般的な標準ですが、多くの航空貨物、地上サービス、サービス センターは、業務を制御し、顧客満足度を達成し、パフォーマンスを向上させるためにこれに依存しています。

✅ ISO45001認証取得

滑走路から航空機のメンテナンスに至るまで、厳しい空中環境で労働者の労働安全衛生を確保するため。

✅ ISO14001認証取得

環境への影響を削減し、排出物と廃棄物を管理することに関心のある空港運営者や航空会社にとって特に重要です。

🚀 なぜこの仕様が採用されるのですか?

それは意味するからです。

事故とリスクの軽減

業務効率の向上

国際市場へのアクセスの促進

顧客と規制当局の信頼を得る

入札や主要契約で競争する能力

📌 あなたの組織は航空またはサポートサービスの分野ですか?

これらの認定資格のいずれかを取得することは、競争の激しい市場で差別化を図るステップとなります。

これらのシステムの導入に興味がある場合、または技術サポートやトレーニング サポートをお探しの場合は、喜んでその経験を共有し、適切な手順をご案内します。

持続可能性

 

近年、世界の不動産業界では、ESG基準の評価や、持続可能性パフォーマンスにおける進捗状況を評価する上でESG要因を活用することにおいて、新たな進展が次々と起こっています。大きな進歩が遂げられている一方で、業界は現状に甘んじることなく、依然として多くの課題が残されていることを十分認識しています。21世紀の第一四半期の終わりが近づくにつれ、不動産におけるESGは「始まりの終わり」に近づいていると言えるのでしょうか。過去10年間、不動産に適用される新たなESG報告要件が雪崩のように押し寄せ、大きな課題となっています。この分野に多大なリソースを投入できる、最も意欲的な組織でさえ、対応を続けることは容易ではありません。さらに、何を優先し、開示すべきか、どの基準に基づき、どのような目的で開示すべきか、そしてコミットメントが精査に耐えられるかどうかについても、様々な見解があります。しかし、コンセンサスは形成されつつあります。地政学的状況はますます厳しさを増していますが、ESGへの配慮は今後も最優先事項であり続けます。ULI/PwCによる2023年不動産新興トレンドレポートは、「環境と持続可能性戦略は、これまでと同様に、2023年もほとんどの業界リーダーにとって重要な優先事項であり、気候リスクは今後20年間で不動産業界が直面する最大の課題として広く認識されています」と結論付けています。

北米における過去2回の株主総会シーズンにおいて、ESGは多くの投資家向け広報担当者（IRO）や企業秘書役にとって捉えどころのない3文字と、決算説明会、年次報告書、ロードショー、そして機関投資家との直接面談で議論されるテーマとが対応していました。ドネリー・ファイナンシャル・ソリューションズ（DFIN）とシンプルロジックが2016年にカナダの機関投資家を対象に実施した調査では、企業が開示しているESG情報と、カナダの投資家が真に知りたい情報との間に乖離があることが明らかになりました。「調査回答者は明確に、投資家は企業戦略、リスクとリスク管理に結びついた重要な環境、社会、ガバナンス（ESG）問題、そしてサステナビリティ報告書における詳細さと透明性を求めている」と、DFINの事業開発ディレクター、ジョン・トゥルッツォリーノ氏は述べています。「ESG要因を全体戦略に結び付けることは、投資家にとって長期的な価値を創造し、維持するのに役立ちます。」 ESG（環境、社会、ガバナンス）は、企業に関する非財務的要因の集合体であり、投資家やその他のステークホルダーにとって重要となる場合があります。環境要因には、企業の汚染や廃棄物に関する実績、あるいは企業が直面する気候変動リスク（例えば、海面上昇による悪影響を受ける地域に所在する事業所の数など）が含まれます。社会問題は、労使関係から製造物責任まで多岐にわたり、ガバナンスの問題には、企業倫理、株主の権利、そして従業員におけるジェンダーや民族の多様性を高めるための取り組みが含まれます。

主なポイント

•

企業、法務、投資家向け広報（IR）、人事、サステナビリティの各チームは、企業が持続可能な成長を管理できるよう、定性的および定量的なESGデータを提供する必要性、そしてこれらの問題が適切に解決されない場合に投資家が直面するリスクを完全に理解するために必要な指標を市場に提供する必要性について、一致し始めています。しかしながら、ESG情報開示に関して、企業の意図と実際の行動の間には依然として大きな隔たりが存在します。本稿では、企業が情報開示をどのように改善できるかに焦点を当てるとともに、なぜそのような情報開示がますます重要になっているのかを論証します。

品質マネジメントシステム

 

概要

ISO 13485の最新版は2016年に発行されました。医療機器企業は、以前の規格から移行し、新しい要件に準拠する必要があります。移行プロセスと初期導入における最も重要なステップの一つは、ISO 13485に基づく効果的な品質マネジメントシステム（QMS）に必要な文書と記録を決定することです。このホワイトペーパーは、ISO 13485の導入または移行に携わる経営幹部と従業員を支援し、規格で要求される文書に関する誤解を解消することを目的としています。この文書では、ISO 13485:2016規格で必須とされている文書と、QMSの導入において一般的に使用される非必須文書について、ISO 13485と同じ順序と番号の付いた項目で説明します。

はじめに

ISO 13485の導入に必要な文書には、規格で明示的に要求されている文書に加え、企業がISO 13485に基づくQMSの効果的な維持に必要であると判断する文書が含まれます。多くの企業は、組織内で実施されているすべてのプロセスを文書化する必要があると考え、文書化に熱中しがちですが、ISO 13485規格の要件を満たすためにそれが必ずしも必要ではないことを認識していません。規格の要件を満たそうとする中で、組織は「安全策」を講じるために過剰な文書を作成する傾向があります。これは時には役立つこともありますが、逆効果になることもあります。なぜなら、実装されたプロセスとそれぞれのQMSの使用と維持が困難になり、QMSが官僚的な負担になるからです。このようなアプローチをとっている組織は、自社だけでなく顧客の利益のためにプロセスを改善する機会を逃しています。このホワイトペーパーでは、文書化に関するISO 13485の最低限の要求事項と、一般的に導入されている文書のリストを、分かりやすい英語で解説しています。

品質マネジメントシステム

 

フランス、新ISO 9001の最前線に！

🎯 AFNORとStandard Norge（SN）は、1979年以来、品質マネジメントシステムとツールに関する自主規格の開発に取り組んでいる国際標準化機構（ISO）の旗艦技術委員会であるISO/TC 176「品質マネジメントと保証」を共同で主導します。

この委員会は、将来有望な共同統治体制を採用し、現在正式化作業を進めています。ノルウェーはSNを通じて事務局を提供し、フランスはAFNORを通じて議長国を務めます。また、ルワンダとは姉妹協定を結んでいます。

この委員会は、世界で最も広く認知され、広く使用されている自主規格であるISO 9001を含む、ISO 9000ファミリーの規格を開発しています。フランスではNF EN ISO 9001として知られているこの規格は現在見直し中で、9月中旬に公開調査が行われる予定です。

この新たなダイナミズムは、AFNORに戦略的な可視性をもたらし、部門横断的なマネジメントシステム規格を策定する選ばれたステークホルダーの輪に加わり、あらゆるセクター固有のマネジメントシステム規格に影響を与えることを意味します。これは強力なソフトパワーの行使と言えるでしょう。

TC 176の議長候補である、フランス産業界の主要企業であるルノーグループのセドリック・ムニエ氏は、エンドユーザー、企業、そして認証機関を規格策定の意思決定の中心に再び据えるという強いメッセージを発信しています。

私たちは、ノルウェー、そして願わくばルワンダのパートナーと共に、ISOにとって象徴的なこの専門委員会の戦略的ビジョンと中長期的優先事項の策定に貢献できることを誇りに思います。

📌 ISO 9001 2026版規格の改訂の今後の段階については、Norminfoアカウントで最新情報をご確認ください。

品質マネジメントシステム

 

品質マネジメントシステムの規格として、今後発行されるISO 9001:2026は、現行のISO 9001:2015と比べて大幅な変更点が加えられています。主な違いは、持続可能性、デジタル化、レジリエンス（回復力）への重点シフトです。新規格では、テクノロジーとデータを品質マネジメントに統合し、環境・社会・ガバナンス（ESG）への配慮を重視します。ステークホルダーエンゲージメントは外部関係者にも拡大され、リスク管理はより積極的になり、リスクを機会に変えることに重点が置かれます。

ISO 9001:2026におけるその他の変更点としては、高度なフィードバックメカニズムによる顧客重視の強化、新たなサプライヤーリスク評価基準によるサプライチェーンのレジリエンス強化、そして様々な業界への柔軟性向上などが挙げられます。また、この規格は環境・社会・ガバナンス（ESG）の原則にも準拠します。

ISO 9001:2026の発行は2026年9月を予定しており、2029年9月までの3年間の移行期間があります。組織は認証を維持するために、新規格への適応を進める必要があります。これらの変更は、品質マネジメントシステムを改善し、より回復力、持続可能性、そしてデジタル指向を高めることを目的としています。ISO 9001:2026への移行により、組織はリスク管理能力を強化し、顧客満足度を向上させ、より持続可能な未来の実現に貢献することができます。スムーズな移行には、準備と計画が不可欠です。

リスクマネジメント

 

リスク選好度は、人間の意思決定に固有のものであり、組織的な文脈においては、意思決定 の選択肢の潜在的な結果を比較する際に明示的に考慮されるべきである。 リスク選好度はまた、リスク管理の適切性についての合理的な保証が形成され、取締役会に伝達される方法においても重要な役割を果たす。 また、リスク管理の適切性に関する合理的な保証が形成され、取締役会に伝達される方法においても、重要な役割を果たす。 "

リスク選好度（最近ではリスク態度とも呼ばれるようになった）を定義し、実施することは、戦略的目標と整合させる必要があるため、取締役会やトップマネジメントが関与する戦略的活動であり、組織のリーダーシップのコンセンサスと関与が必要である。

リスクアペタイト・ステートメントは、既に様々な業界のリスク管理フレームワークの標準的な一部となっていますが、多くの企業は、特に金融サービス業界以外では、その実践的な導入には更なる発展が必要な分野だと考えています。リスクアペタイトの概念を効果的に適用するには、以下の6つの重要なステップを踏む必要があります。

•

事業目標を特定し、全体戦略を見直す

•

リスク管理のベースライン成熟度を把握する

•

現在のリスク管理成熟度と組織文化を考慮し、リスクアペタイトを定義する

•

業績目標を通じて、リスクアペタイトを意思決定に組み込む

•

モニタリング、報告、レビューのプロセスを明確にする

•

リスクアペタイト、組織文化の成熟度、戦略の変更に関する定期的なレビューを含む、継続的な改善プロセスを実施する。図2に、継続的な改善プロセスの一例を示します。

リスクアペタイト・ステートメントでは、組織が受け入れるリスクの種類と量を設定する際に、文化、戦略、目標、リスクキャパシティを考慮する必要があります（図2を参照）。

リスク選好は、組織の成功にとって本質的に不可欠です。

組織のリスク選好を明確にすることは、取締役や経営幹部に重要な洞察をもたらします。私たちは、その理解を深め、リスク選好を意思決定の不可欠な要素として推進したいと考えています。

COSOの「エンタープライズ・リスク・マネジメント：戦略とパフォーマンスとの統合」1では、リスク選好を次のように定義しています。

組織が価値を追求するために受け入れる意思のある、広義のリスクの種類と量。

この定義には、いくつかの重要なポイントが含まれています。リスク選好とは、

•

組織全体に適用できるよう意図的に広範に定義されており、組織内の様々な部門で異なる可能性があることを認識しながらも、変化するビジネス環境においても関連性を維持しています。

•

長期的な成功を促進する戦略を追求するために必要なリスクに焦点を当てています。

•

リスクは個人の意思決定以上のものであることを認識しています。

•

価値と結びついています。つまり、組織が価値を創造し、維持する方法に関する選択に結びついています。

この考察論文は、取締役が

このガイダンスペーパーは、リスクマネジメント協会（IRIS）のワーキンググループの全体的な指導の下、作成されました。ワーキンググループは、アイデアの検討とペーパーの方向性の合意形成のため、一連の会議を開催し、多くのオンライン討論も重ねてきました。活発な議論が行われました。テーマの性質上、意見の相違が生じる領域もありました。私たちは様々な会議で考え方の概要を提示し、このペーパーの初期草稿を50名を超える方々に配布しました。また、より広範な協議のためにこのペーパーを公開し、多くのご意見をいただきました（回答をいただいた方々と組織の一覧は付録Bをご覧ください）。この作成プロセスを経て、私たちは、あらゆるセクターの様々な種類の組織の多くの人々に関係するテーマを扱っており、このガイダンスを発行するのに十分な課題とアプローチに関するコンセンサスが得られていると確信しています。このガイダンスの将来版は、大幅な改訂の対象となる可能性が高いことを認識しています。これは、良好で健全な進歩の兆候です。こうした状況を踏まえ、リスク選好度とリスク許容度というテーマに関する取締役会の審議を支援するため、本書を提示します。本書は、特に取締役会メンバー向けに、このテーマの概要を一般向けに提供することを目的としたエグゼクティブサマリーと、取締役会にこれらの事項について助言する役割を担う人々を支援することを主眼としたより詳細な文書で構成されています。本書の完全版は、IRMのウェブサイトおよびパートナー組織から無料でダウンロードできます。エグゼクティブサマリーの印刷版も入手可能です。本稿の当初の意図は、英国コーポレートガバナンス・コードにおいて「取締役会は、戦略目標を達成するために取る意思のある重要なリスクの性質と範囲を決定する責任がある」（財務報告評議会、2010年）と規定されている条項の遵守について取締役会に助言する役割を担う取締役、リスク専門家、その他の関係者にガイダンスを提供することでした。しかしながら、協議プロセスからのフィードバックから、このテーマは英国内外の公共部門、民間部門、そして国外でも大きな関心を集めていることがわかりました。具体的な内容は異なる場合もありますが、根底にある原則はあらゆる部門、あらゆる地域に当てはまります。本書に含まれるアプローチは、リスク選好とリスク管理というテーマに関心を持つすべての人にとって、広く共感を呼ぶものであることがわかりました。

リスクマネジメント

 

健全性基準CPS 220 #リスク管理（CPS 220）および健全性基準SPS 220 リスク管理（SPS 220）で求められるリスク管理フレームワークの一環として、APRA規制対象事業体は、以下の事項を策定し、維持しなければなりません。

(a) オペレーショナルリスクの監視のためのガバナンス体制。

(b) 指標、リスク限度額、および許容レベルによって裏付けられたリスク選好度を定義したオペレーショナルリスクプロファイルの評価。

(c) オペレーショナルリスク管理のために効果的に設計され、運用されている内部統制。

(d) オペレーショナルリスクの適切な監視、分析、報告、ならびに業務上のインシデントおよび事象に関するエスカレーションプロセス。

(e) 許容レベル内での混乱を事業体が特定、管理、および対応する方法を定め、深刻だが起こり得るシナリオを用いて定期的にテストされる事業継続計画（BCP）。

(f) サービスプロバイダー契約の管理プロセス。

17. CPS 220およびSPS 220に基づくリスク管理枠組みの必須レビューの一環として、APRA規制対象事業体は、オペレーショナルリスク管理をレビューしなければなりません。レビューは、パラグラフ16に規定されているオペレーショナルリスク管理の側面をカバーしなければなりません。

18. オペレーショナルリスク管理は、APRA規制対象事業体の全体的なリスク管理枠組みおよびプロセスに統合されなければなりません。事業継続計画は、APRA規制対象事業体の復旧・撤退計画と整合し、かつ、これらと矛盾したり、これらを阻害したりしてはなりません。

19. APRAは、APRA規制対象事業体のオペレーショナルリスク管理に重大な欠陥があると判断した場合、以下の措置を講じることができます。

(a) 当該事業体のオペレーショナルリスク管理に関する独立したレビューを求める。

(b) 当該事業体に是正プログラムの策定を求める。

(c) 必要に応じて、当該事業体に追加資本の保有を求める。

(d) 当該事業体のライセンスに条件を課す。

(e) この健全性基準の監督において必要なその他の措置を講じる。

監督の強度と実効性の向上は、G20首脳が承認した金融安定理事会（FSB）のシステム上重要な金融機関（SIFI）のモラルハザード削減のための枠組みの重要な要素である。そのため、特にSIFIにおけるリスク管理に対する監督上の期待は高まっている。2011年10月に発表された監督強化に関するFSBの進捗報告書1では、金融機関と監督当局の双方が実行可能かつ測定可能な効果的なリスクアペタイト・フレームワーク（RAF）がまだ広く導入されていないと指摘されている。報告書は、効果的なRAFの構築は金融機関と監督当局の双方にとって重要であり、双方が注意を払う必要があると結論付けている。報告書は、監督当局に対し、「優れた」リスクアペタイト・フレームワークに求められる期待事項、そしてそれらの期待事項を踏まえた監督方法について議論することを推奨している。これらの調査結果を踏まえ、FSBはリスクガバナンスに関するピアレビューを開始し、2013年2月に公表しました。

2 このレビューの結果に基づき、5つの勧告が示されました。そのうちの1つは、FSBに対し、関係する基準設定主体と協力し、効果的なリスクアペタイト・フレームワーク（RAF）に含まれる主要要素に関するガイダンスを策定するよう求めました。また、報告書は、監督当局と金融機関の間、および金融機関内部でのコミュニケーションを促進するため、RAFで使用される用語の共通定義をFSBが確立することを勧告しました（セクションIIを参照）。

FSB原則は、(i)効果的なリスクアペタイト・フレームワーク、(ii)効果的なリスクアペタイト・ステートメント、(iii)リスク限度額、(iv)取締役会および上級管理職（s）の役割と責任の定義という主要要素を示しました。

ESG

 

IFCは、発展途上市場の企業と投資家のESG問題への意識を高めるための幅広い取り組みの一環として、本ガイドブックを作成しました。ESG問題の適切な管理は、短期的な収益性の向上にとどまらず、企業価値向上にも不可欠であるとの認識が高まっています。本ガイドブックとIFCの統合ESGアプローチ推進への取り組みは、特に低所得国および脆弱・紛争地域（FCS）における市場創出と民間資本の動員に重点を置いた新たな企業戦略であるIFC 3.0と整合しています。複数の基準や規範が存在し、ESGを取り巻く環境の急速な変化は、ある程度の複雑さを生み出しています。投資家、発行体、規制当局、その他の市場参加者間の対話を促進するため、様々なステークホルダーが協力して基準の合理化と整合性の確保に取り組んでいます。しかし、投資におけるESGパフォーマンス2の考慮は比較的新しい取り組みであり、今後も進化していくでしょう。焦点は、パフォーマンスに重大な影響を与える可能性のあるESG問題、つまりセクターによって異なり、企業ごとに重要度が異なる可能性のある問題に焦点を合わせてきました。かつてはニッチな分野でしたが、ESG要因を投資判断に組み込むことは、今日ではより一般的になっています。そのビジネスケースは実証されており、統合的なアプローチは、収益性の向上、健全なリスク管理、そしてよりレジリエンスの高いビジネスにつながります。

セキュリティ

 サプライチェーン #リスク管理: サプライチェーン全体にわたるサイバーセキュリティリスクへのエクスポージャーを管理し、適切な対応戦略、ポリシー、プロセス、および手順を策定するための体系的なプロセス。

「サイバーセキュリティ・サプライチェーン・リスク管理計画: 情報システムまたは運用環境向けに選択されたサイバーセキュリティ・サプライチェーン・リスク管理 (C-SCRM) コントロールの実装、要件、制約、および影響を記述した正式な文書。これらのコントロールは、C-SCRM 戦略、ポリシー、および実装計画と連携して機能し、企業全体のサイバーセキュリティ・サプライチェーン・リスク管理に対する体系的かつ包括的なアプローチを提供します。C-SCRM 計画は、システムプライバシーおよびセキュリティ計画と統合され、1 つの統合文書にまとめられる場合があります。」

システムセキュリティ計画、システムプライバシー計画、およびサイバーセキュリティサプライチェーンリスク管理計画は、総称してシステム計画と呼ばれます。これらは、システムの目的、リスク管理要件を満たすために選択および割り当てられた管理策の運用状況、およびシステムを管理、サポート、およびアクセスするすべての担当者の責任と期待される行動を規定します。本書は、セキュリティ、プライバシー、およびサイバーセキュリティサプライチェーンリスク管理の観点から、システム計画の重要な要素を特定し、システムのミッションや業務機能に関わらず、組織全体で一貫した情報収集を促進します。

キーワード

承認境界、承認担当者、共通管理策の承認、管理策の実装の詳細、サイバーセキュリティサプライチェーンリスク管理計画、プライバシー計画、プライバシーリスク管理、リスク管理フレームワーク、セキュリティ計画、セキュリティリスク管理、運用承認、使用承認、承認担当者が指名した代表者、CASES法、管理策の実装、管理策、FASCSA、FISMA、継続的な承認、プライバシー法、プライバシー計画、サプライチェーン、サプライチェーンリスク管理、システムプライバシー計画、システムセキュリティ計画、システム所有者。

コンピュータシステムに関するレポート

リスクベースの監査

 

🔍 リスクベース監査：真に重要なものを監査する

今日のダイナミックなビジネス環境において、リスクベース監査（RBA）は単なる手法ではなく、考え方です。

RBAは、すべてのプロセスを平等に扱うのではなく、業務、財務、風評など、最も影響の大きい領域に組織が監査の取り組みを集中させるのに役立ちます。

✅ 高リスクプロセスを優先する

✅ 最も重要な内部統制を強化する

✅ データに基づく意思決定を可能にする

✅ 真に持続可能な改善を推進する

監査の取り組みをリスクエクスポージャーと整合させることで、組織はコンプライアンスを強化するだけでなく、部門全体に戦略的価値を付加することができます。

航空、ヘルスケア、インフラ、製造業など、どのような業界であっても、RBAは監査機能をチェックリストの作業から戦略的パートナーへと変革します。

📌 重要なポイント：

リスクベース監査とは、問題が発生する前に「ここで何が問題になる可能性があるのか​​、そしてそれをどのように防ぐのか」を問いかけることです。

監査をただ行うのはやめましょう。

目的を持って監査を行いましょう。

リスクマネジメント

 

組織は目標達成に向けて日々リスクに直面しています。適切な監督を行う上で、経営陣と取締役会は根本的な問いに取り組まなければなりません。それは、これらの目標達成において、どの程度のリスクが許容できるのか、という問いです。さらに、規制当局やその他の監督機関は、取締役会による監督を含む、組織のリスク管理プロセスのより明確な説明を求めています。このソートリーダーシップ文書は、トレッドウェイ委員会組織委員会（COSO）が後援する、組織によるエンタープライズ・リスク・マネジメント（ERM）の導入を支援するための一連の文書の一つです。COSO文書「エンタープライズ・リスク・マネジメント - 統合フレームワーク」は、組織が目標達成においてリスクを受け入れなければならないと明確に述べています。重要なのは、組織がどの程度のリスクを許容できるかを理解することです。さらに、組織はどの程度のリスクを許容できるかをどのように決定すべきでしょうか。許容するリスクは、ステークホルダーの目標とリスクに対する姿勢をどの程度反映すべきでしょうか。組織は、各部署が特定の種類のリスクに対する組織の許容度を示す範囲内で業務を遂行していることをどのように確認するのでしょうか？

リスク許容度とは、広義のリスクの量です。

エンタープライズ・リスク・マネジメント（ERM）の成長は目覚ましいものがあります。完全なERMプロセスを導入していると主張する組織の割合は、2010年の9%から2023年には34%に急増しました。1 リスクの複雑性と相互接続性の高まり、そして規制強化を背景に、世界のリスク管理市場は、2025年の90億ドル規模から2033年には320億ドル以上に成長すると予想されています。2 しかし、リスク管理と戦略的意思決定の強化というERMのメリットを受け入れる組織は増えているものの、そのメリットを十分に享受している組織は比較的少数です。

ベーカー・ティリーと内部監査財団が専門家を対象に行った調査3によると、ERMプログラムの10件中6件は組織の戦略計画と連携していますが、ERMによって提供される情報や洞察を戦略的意思決定プロセスと連携できていない組織が多くあります。調査のその他の主な結果は以下の通りです。

•

•

•

組織には、企業全体のリスク認識を高める機会があります。回答者の半数未満（49%）が、リスク認識が組織全体に浸透していることに同意または強く同意しています。

ERMプログラムは、新興テクノロジーをより有効に活用する余地があります。調査回答者の10人中約6人（59%）が、自社のプログラムは依然としてワープロやスプレッドシートなどの基本的なツールに依存していると回答しています。ガバナンス、リスク、コンプライアンス（GRC）プラットフォームを使用している回答者はわずか21%で、社内テクノロジーを使用している回答者は20%です。

人工知能（AI）がリスク管理においてより大きな役割を果たす可能性は大きくあります。

回答者の10人中1人未満が、AIはリスクの特定を支援するために頻繁に使用されている（6%）、またはリスク管理活動へのデータ入力に多用されている（2%）と回答しています。

本レポート「強化されたERMと戦略的意思決定」は、最も重要となる問題に対処するための戦略を示しています。

ISO9001:2026 附属書

 

音声ガイド

リスクベースの監査

 

ほとんどの監査がチェックリストに重点を置いているのに対し、賢い監査はリスクに重点を置いている。 なぜなら、リスクベースの監査は、本当に重要なことに優先順位をつけるのに役立ち、単にチェックボックスにチェックを入れるのではなく、マネジメントシステムが実際に有効であることを確認できるからです。 ISO 27001の内部監査の方法については、こちらの関連記事をご覧ください：

サイバーセキュリティ

 「システム（サイバーサプライチェーン、インフラ、オペレーティングシステム、アプリケーション、データ）のセキュリティリスク管理活動は、組織のリスク管理フレームワークに組み込まれている。」 - GOV-03 「システム（サイバーサプライチェーン、インフラ、オペレーティングシステム、アプリケーション、データ）のセキュリティリスクは、使用が承認される前に承認され、運用期間全体を通じて継続的に監視および管理されている。」 - GOV-05

「システム（サイバーサプライチェーン、インフラ、オペレーティングシステム、アプリケーション、データ）のビジネス上の重要性が決定され、文書化されている。」 - IDE-01

「システム（インフラ、オペレーティングシステム、アプリケーション）は、ビジネス上の重要性、および機密性、完全性、可用性の要件に従って、計画、設計、開発、テスト、導入、保守、廃止されている。」 - PRO01

リスクマネジメント

 

リスクマネジメント

 

このようなリスクをよりよく理解し、それに備えるために、国連は世界規模の調査を実施した。 国際連合は、政府、民間セクター、市民社会、国連機関などの関係者を対象とした世界規模の調査を実施した。 政府、民間セクター、市民社会、学界の関係者を対象とした世界規模の調査を実施した、 および学界の関係者を対象とした世界規模の調査を実施した。 この調査では、どのようなリスクが最も重要で この調査では、どのリスクが最も重要で、多国間機関はどのリスクに を尋ねた。 調査の結果、11のリスクからなる4つのグループが浮かび上がった。 調査結果からは、4つのグループ、11のリスクが非常に重要であり、また最も準備不足であることが浮かび上がった。 私たちはこれらを これらをグローバル・ヴァルネラビリティと呼ぶ。 これらのリスクには 政治的、技術的、社会的、環境的なリスクを含む。

マネジメントシステム

監査はあらゆるマネジメント・システムの基礎であり、プロセス、システム、統制が組織の目的、コンプライアンス基準に合致していることを保証するものである。 組織目標やコンプライアンス基準を満たすことを保証するものである。 リスクベースの監査は、これをさらに推し進めるものである。 リスクが最も大きい分野に焦点を当てる。 このアプローチは、従来の このアプローチは、従来の「チェックリストの考え方」から脱却し、リスク評価を監査プロセスに組み込むことで、有効性、コンプライアンス、効率性を高めるものである。 有効性、コンプライアンス、効率性を高める。 以下では、リスクベース監査の概念、従来の監査との違い、そしてなぜリスクベース監査が有効なのかについて解説する。 従来の監査との違い、そして継続的な改善を目指す組織にとってなぜ重要なのか、について掘り下げていく。 以下では、リスクベース監査の概念、従来の監査との違い、継続的改善を目指す組織にとって重要な理由について掘り下げていく。

信用リスクは、金融サービス組織にとって常に重要なリスクであり、多くの組織にとっておそらく最も重大なリスクであると考えられてきました。世界金融危機後、規制当局と監督当局はこのリスクに焦点を当て、信用活動の資本への影響、レバレッジファイナンスのリスク、そしてカウンターパーティリスクの重要性を測定できる正確なモデルの必要性を強調しました。これらの新たな要件と監督当局の期待の高まりにより、内部監査は信用リスク評価においてより重要かつ積極的な役割を担うようになっています。さらに、組織の取締役会は信用リスクの監視とガバナンスに直接的な責任を負っているため、内部監査は、その使命、中核原則、および基準（2017年IPPFに含まれる）に従って、適切なガバナンス機関に対して独立した保証を提供する必要があります。本ガイダンスの目的は、内部監査員に、組織の信用リスク管理フレームワークとプロセスの有効性をテストおよび評価するための基本的なスキルセットを提供することです。

インダストリー4.0

 

要約

インダストリー4.0は、第四次産業革命を特徴付ける新しい産業モデルです。この高度な製造モデルは、大規模産業におけるインテリジェント、バーチャル、デジタルの性能を特徴とし、それ以前の三度の産業革命を覆すものとして出現しました。この新しい産業モデル自体には、工場全体にわたる統合構造と、産業活動の様々な分野における潜在的な技術が含まれており、これらの技術はインダストリー4.0の設計原則に内在しており、この新しい産業の革新的なパフォーマンスを保証する役割も担っています。このような説明を踏まえ、本稿の目的は、インダストリー4.0とは何か、その起源、そして主な特徴を明らかにすることです。このように、第四次産業革命とは何かを理解することで、読者は次章で紹介される新しい産業の多様な可能性に関する内容をより深く理解できるようになります。

キーワード：インダストリー4.0、第四次産業革命、インダストリアルモデル4.0、高度な製造、設計原則