品質マネジメントシステム

あなたの組織はISO 9001:2026に備えていますか？

世界で最も認知されている品質マネジメント規格は進化しています。その変化は大きく、リスクベースの思考の強化から持続可能性の統合まで、新しい版ではレジリエンス、ステークホルダーのニーズ、継続的改善により鋭い焦点が求められます。

このアップデートでは、以下を詳しく解説します：

 ◾ 何が変わるのか - 主要な条項の更新、新たな重点分野、そして世界的なトレンドとの整合性。

 ◾ ISO改訂プロセスの現状 - そして2026年までのスケジュールの見通し。

 ◾ 準備方法 - スムーズな移行のために今すぐQMSを整える実践的なステップ。

2026年へのカウントダウンはすでに始まっています。早めに行動する組織は、新しい要件が義務化された際に戦略的な優位性を持つでしょう。

あなたのドキュメントの読み込みが完了しました

 Is your organization ready for ISO 9001:2026?

The world’s most recognized quality management standard is evolving; and the changes are significant. From strengthened risk-based thinking to sustainability integration, the new edition will demand a sharper focus on resilience, stakeholder needs, and continual improvement.

In this update, I break down:

 ◾ What’s changing - key clause updates, new emphasis areas, and alignment with global trends.

 ◾ Where we are now in the ISO revision process - and what the timeline looks like through to 2026.

 ◾ How to prepare - practical steps to align your QMS today for a smooth transition.

The countdown to 2026 has already begun. Organizations that act early will have a strategic advantage when the new requirements become mandatory.

Your document has finished loading

リスク文化

 

ポジティブなリスク文化を築くには、継続的なコミットメントと絶え間ない改善が必要です。これにより、人々はリスク管理能力を向上させ、時間をかけて行動を調整する機会を得ることができます。

組織ごとに異なるため、ポジティブなリスク文化を築くための「万能の方法」は存在しません。多くの定義や手法が利用可能です。VGRMFでは、ポジティブなリスク文化を築くプロセスを以下の3つの重要なステップで説明しています。

・組織の現在のリスク文化を理解し、望ましいリスク文化を定義すること

・組織の現在のリスク文化と望ましいリスク文化との間のギャップを特定すること

・時間をかけてギャップを埋めるために、組織のリスク文化を進化させるアプローチを定義すること

文化の進化は徐々に進むプロセスですが、組織はこれらのステップをより小さく実践的な行動に分解し、ポジティブなリスク文化の構築を支援することができます。

リスクマネジメント

 概要  

リスクレジスターは組織のリスクを体系的に記録する方法であり、リスク管理プロセスの中心的な役割を果たします。しかし、時間が経つにつれてリスクレジスターは一貫性を欠き、冗長なリスクが増え、関連するリスクが抜け落ちることがあります。そのようなリスクレジスターは専門家にとって管理が困難になることがあります。  

本論文では、リスクレジスターにおける一般的な問題に対処するための人工知能（AI）アシスタントのフレームワークを開発しました。AIアシスタントは、大規模言語モデル（LLM）を構造化ツールと検索強化生成（RAG）検索で強化して活用します。AIアシスタントは、組織のリスクレジスター、RAGナレッジベース、ユーザー入力から情報を読み取り、包括的な作業コンテキストを作成します。構造化ツールを用いて、リスクレジスターへの修正提案を行うことができます。複数のツールやデータソースを用いる多段階推論により、より複雑なタスクの完遂が可能です。  

Inclus Oyを対象としたケーススタディでは、AIアシスタントがリスクレジスターの速度、品質、複雑なデータの取り扱いにどのように影響を与えるかを検証し、信頼性の高いプロセスを維持しました。リスクレジスター、AIアシスタント、ケーススタディ参加者の観察に基づき分析的な一般化を行いました。研究結果は有望であり、AIアシスタントは重複リスクの統合、説明の調和、新たなリスクの追加を提案しました。調査では、AIアシスタントの使用によりリスクレジスターの網羅性が向上し、より正確かつ最新の状態になったことが明らかになりました。  

AIアシスタントはリスク管理タスクの大幅なスピードアップと品質向上を実現しますが、依然として誤認（ハルシネーション）が発生しやすいという課題があります。本研究は、AIアシスタントは人間の監督下で運用されるべきであり、ユーザーが提案された修正をすべて確認・承認する権限を保持する必要があることを示しました。さらに、人間の監督は参加者がリスク軽減にコミットすることを保証します。AIアシスタントは、データの質と処理速度を向上させることで参加型プロセスを強化できます。

職場安全

 

すべてのHSE専門家必読！

詳細はWhatsAppグループへ：https://lnkd.in/gH6psHqk

HSEリーダーとして、私たちは物理的なリスクに注目しがちですが、メンタルヘルスも同様に重要です。このILO「職場のメンタルヘルス」政策概要では、組織が以下のことを実現するための実践的な戦略を提供しています：

・心理社会的リスクの予防

・メンタルウェルビーイングの保護と促進

・メンタルヘルス問題を抱える労働者への支援

なぜこれが役立つのでしょうか？この資料は、安全であるだけでなく、支援的で包括的かつ生産的な職場を構築する知識をすべてのHSE専門家に提供するからです。

この文書は職業上の健康と安全の未来を形作る貴重なガイドです。ぜひご一読ください。🙏

品質マネジメントシステム

 

概要：本論文の著者は品質文化およびリスク文化の分野で長年にわたり研究・実務に携わってきたが、本研究では組織のマネジメントの有効性に決定的な影響を与える側面のみを強調している。文化の基本的特徴を包括的かつ開かれたシステムとして解釈することから始め、次に国民文化および組織文化という、人々が持続可能な成功を達成する能力を決定づける二つの基本的な柱に特に注目している。この文脈において、品質文化は組織文化の非常に重要な一部であるだけでなく、品質マネジメントの発起者かつ指導原理として捉えられる。これにはコミュニケーション、参加、相互の信頼と尊重、共通の目標と課題の理解、そして伝統と変化の両方をその矛盾や特性を踏まえつつ調和・両立させる努力が含まれる。継続的改善は成功するマネジメントの本質を成し、「マネジメントプロセスの所有感」、継続的な学習と訓練、真実へのコミットメントとともに、組織があらゆる部門でより効果的かつ効率的になることを可能にする。本論文は、品質文化の意識が発達していなければリスク文化の意識も発達し得ないことを強調している。これは非常に重要であり、発達したリスク文化は組織および従業員のリスクを特定し、効果的に管理し、予防的活動を創出する能力を高め、設定された目標の達成可能性を高めるからである。また、本論文は品質文化とリスク文化を効果的かつ体系的に結びつける人的および文化的要因の相乗効果の重要性も強調している。これらすべてがあらゆる種類の組織のより効果的なマネジメントに大きく寄与し、この意味で著者が特に注目する金融・銀行システムにおいても同様である。

安全と持続可能性

 

♻️ ‼️安全で持続可能な設計：

イノベーションの変革力を解き放つためのガイダンス💡‼️

🧪💊#化学および#医薬品イノベーションの未来は、#安全性、#持続可能性、そして戦略的先見性にあります。

👉2024年に発行された#Cefic のこの文書は、企業が#安全で持続可能な設計（SSbD）の原則を、イノベーションの初期段階から市場展開に至るまで、R&Dプロセスに組み込む上で、非常に重要かつ不可欠なフレームワークであり続けています。

これは、業界がコンプライアンスにとどまらず、価値創造への包括的なアプローチを採用するための行動喚起です。

💡化学および医薬品企業にとっての重要なポイントは次のとおりです。

✅ 安全性と持続可能性を、後付けではなく、最初から統合する。

🔄 #lifecyclethinking を活用して、バリューチェーン全体における環境と健康への影響を評価しましょう。

🧪 SSbD基準を材料、製品、プロセスに適用しましょう。

📊 データ駆動型ツールを活用し、透明性と情報に基づいた意思決定を行いましょう。

🤝 セクター間の連携により、グリーンイノベーションと共通の進歩を加速しましょう。

これは規制遵守だけではありません‼️

生成AI

𝗜𝗻𝘁𝗿𝗼𝗱𝘂𝗰𝘁𝗶𝗼𝗻 ✨

アルゴリズム、モデル、そして機械推論によって急速に形を変えつつある世界において、一つだけ明確になったことがあります。それは、人間は人間であるということです。

テクノロジー企業の幹部、政策立案者、開発者、プライバシー擁護者など、AIの仕組みを理解するだけではもはや十分ではありません。AIをどのようにガバナンスするかを理解する必要があります。

だからこそ、Caiky Avellar氏によるこの優れた学習ガイドを英語に翻訳してご紹介します。これは、2025年以降のAI倫理、コンプライアンス、リスク管理、そして現実世界のAI規制を探求するすべての人にとって基礎となる資料です。

📘 𝗪𝗵𝗮𝘁’𝘀 𝗖𝗼𝘃𝗲𝗿𝗲𝗱 𝗶𝗻 𝘁𝗵𝗲 𝗗𝗼𝗰𝘂𝗺𝗲𝗻𝘁𝗘

この詳細なガイドでは、以下の内容を解説します。

✅ 𝗙𝗼𝘂𝗻𝗱𝗮𝘁𝗶𝗼𝗻𝘀 𝗼𝗳 𝗔𝗜 – AIとは何か、どのように機能するのか、そしてなぜアラン・チューリングが今でも重要なのか。

✅ 人間の価値観がアルゴリズムを形成する理由 – なぜ人間の価値観がアルゴリズムを形作り、アルゴリズムがどのように人間を形成するのか。

✅ 人間の価値観が人間を形作る仕組み – 特化型AIと汎用型AI、ルールベースモデルと機械学習モデル、識別システムと生成システム（LLMや画像ジェネレーターを含む）を明確に分類します。

✅ サイバースペースの脅威 – 幻覚やディープフェイクから、偏見、データ汚染、そして悪名高い Paperclip Maximizer のような不正な AI シナリオまで。 ✅ 人工知能とAI – アルゴリズムによる差別、監視、環境への悪影響、そしてAIの新たな地政学。

✅ 人工知能 – 目標の不一致やモデルの不具合によりAIシステムが失敗した実世界の例。

✅ AIガバナンス – 公平性、説明責任、プライバシー、透明性、堅牢性、人間による監視、そして

善意を含む、知っておくべきフレームワークです。

🧠 AIガバナンス

2025年には、AIガバナンスはもはやオプションではなく、責任あるイノベーションのためのオペレーティングシステムとなります。

このドキュメントは、以下の方々にとって貴重な情報源となります。

• AI倫理との重複を検討しているプライバシー専門家

• AI管理と社内連携の構築に取り組むCISOおよびリスク管理担当者

• 責任あるロードマップを必要とする開発者および製品チーム

• グローバルベンチマークの設定を目指すAI政策戦略家および規制当局

✅ ガバナンス

📌 AIは計り知れない利益をもたらす力となり得ますが、それは適切なガバナンスが確立されている場合に限ります。

これらの学習ノートは、AIを安全に活用し、主導していく準備ができている方々にとって、タイムリーでアクセスしやすく、実践的な読み物です。

リスクマネジメント

 

保健衛生の緊急事態を管理し、リスクを軽減するためにリスクベースのアプローチを採用するためには、各国はまずハザードを特定し、国内のリスクレベルを評価する必要がある。 リスク評価の結果、保健緊急事態や災害の予防、軽減、早期発見、準備、対応、回復のための適切な計画と優先順位付けが可能になります。 リスク評価のための戦略的ツール（STAR）は、国や地方政府が、保健緊急事態への備えや災害リスク管理活動の計画立案や優先順位付けのために、公衆衛生リスクの戦略的かつエビデンスに基づく評価を迅速に実施できるようにするための、包括的で使いやすいツールキットとアプローチを提供する。 "

生成AI

 

AIは、コンプライアンス文書作成のスピードアップ、エラーの削減、テンプレートを特定のニーズに適応させることができます。 この記事では、AIを活用したドキュメンテーションの仕組み、それがもたらすメリット、そしてISO 27001やGDPRなどの規格を満たすためにAIがどのように役立つかを説明し

サイバーセキュリティ

 

𝗨𝗞 𝗖𝘆𝗯𝗲𝗿 𝗔𝘀𝘀𝗲𝘀𝘀𝗺𝗲𝗻𝘁 𝗙𝗿𝗮𝗺𝗲𝘄𝗼𝗿𝗸 (𝗖𝗔𝗙) 𝟰.𝟬: 𝗞𝗲𝘆 𝗘𝗹𝗲𝗺𝗲𝗻𝘁𝘀

🔵  𝗙𝗼𝘂𝗿 𝗛𝗶𝗴𝗵-𝗟𝗲𝘃𝗲𝗹サイバーレジリエンス: このフレームワークは、包括的なサイバーレジリエンスを確保するための 4 つの中核目標を中心に構成されています。

     𝗔. サイバーセキュリティ: ガバナンス、リスク管理、資産管理、サプライチェーンセキュリティに重点を置いています。

     𝗕.セキュリティポリシー: アクセス制御、データセキュリティ、スタッフの意識向上など、技術的および手続き的な保護手段の実装を重視します。

     𝗖.セキュリティ コンプライアンス: 疑わしいアクティビティを特定するための継続的な監視とプロアクティブな脅威ハンティングをカバーします。

     𝗗.サイバーセキュリティ対策：ビジネスの混乱を軽減するために、サイバーインシデントへの対応と復旧の計画に取り組みます。

🔵 明確な目標: CAF 4.0 は、規範的なチェックリストではなく、組織が特定のセキュリティ成果を達成したかどうかを評価します。これにより、実装の柔軟性が向上します。

🔵 明確な目標: 4 つの目標はそれぞれ、セキュリティ実践の指針となる具体的な原則に細分化されています。たとえば、目標 B (保護) では、「アイデンティティとアクセス制御」と「データセキュリティ」が原則として挙げられます。

🔵 セキュリティとセキュリティ: CAF 4.0 は、最新の脅威状況を反映するように更新されました。

     脅威インテリジェンス: リスク判断に脅威インテリジェンスを活用することを推奨します。

セキュリティの強化: 組織は受動的な監視にとどまらず、積極的に脅威を捜索することが求められています。

🔵 セキュアなソフトウェア プラクティス: 新しいセクションでは、セキュアなソフトウェア プラクティスの必要性について具体的に取り上げ、ソフトウェア サプライ チェーンのリスク管理の重要性を強調しています。

🔵 サイバーセキュリティの向上: このフレームワークには、AI と自動化システムの使用に関連するサイバーセキュリティのリスクに関するガイダンスが明示的に含まれるようになりました。

コーポレートガバナンス

 コーポレートガバナンス、リスクマネジメント、コンプライアンス（GRC）におけるベストプラクティス

コンプライアンスとは、誠実性の原則を具体化することを目的として、組織に期待されるもの（組織のアイデンティティを構成する規則、目的、価値観、原則の尊重）と、組織が日常的に実際に実践していることとの間の一貫性を常に追求することです。

組織のコンプライアンス・プログラムには、行動規範の逸脱、詐欺、汚職行為、マネーロンダリング、行政に対する違法行為などを防止、検知、是正するためのメカニズム、手順、ポリシー、ガイドライン、行動規範、内部告発チャネル、その他の手段が含まれなければなりません。

さらに、組織内のすべての人々の活動を組織の原則、価値観、目的と整合させ、誠実性の文化を促進する必要があります。

■ 取締役会および経営幹部は、倫理的な文化の醸成と組織のコンプライアンス・プログラムの強化にコミットし、支援しなければなりません。

■取締役会および経営幹部は、組織のコンプライアンス・プログラムを構成する価値観と方針の重要性を公然と宣言し、常に明確かつ一貫してその宣言に従わなければなりません。

■取締役会および経営幹部は、組織のコンプライアンス・プログラムの責任者が、必要な資金、物資、人的資源を適切に配分し、それを実践するための手段を確保しなければなりません。

■ガバナンス担当者は、組織の倫理文化の継続的な改善を促進し、その行動が常に従属する原則、価値観、法律、規制と整合したものとなるようにしなければなりません。

法令遵守に加えて、組織は、事業の実態と組織に適用される組織方針を策定しなければなりません。

方針は戦略的ガイドラインを反映し、組織の価値観、原則、目的に基づいていなければなりません。

方針は、組織構造、業界、法的性質、ガバナンスの成熟度などによって異なりますが、ブラジルの組織で最も一般的な方針をいくつか挙げることができます。

●階層構造など

●リスク管理

●コミュニケーション

●危機管理

●関連当事者間の取引

●寄付金

●経営陣および取締役の報酬

●多様性、公平性、包摂性

●成果の分配

●違法行為の防止および摘発

●汚職防止

●株式取引

●情報開示

ブラジル企業統治研究所（IBGC）🇧🇷

リスク評価

 

サードパーティリスク管理の一要素であるベンダー管理は、外部ベンダーまたはサプライヤーとの取引に伴うリスクの評価と管理に特に重点を置いています。ベンダー管理プログラムは、ビジネス目標の達成をサードパーティサービスに依存しているあらゆる組織にとって不可欠です。包括的なプログラムを構築することで、組織はサードパーティとの関係に関連するリスクを特定、評価、軽減することができます。また、ベンダー管理プログラムにより、組織はベンダーの選定、監視、評価プロセスを改善し、サードパーティプロバイダーから期待されるサービスとコミットメントを確実に受けられるようになります。この文書の目的は、ベンダー管理プロセスの重要な要素を明らかにし、該当する場合は、SOC 2®レポート1がそのプロセスとどのように整合しているかについて説明することです。この文書の主な対象読者は、ベンダー管理プログラムの導入（または改善）を検討しており、この文書をベストプラクティスのフレームワークとして使用する組織です。この文書は、ベンダー管理プログラムに関する統制とプロセスをレビューする監査人やその他の第三者プログラム評価者が、すべての期待される領域が期待どおりに設計、実装、運用されていることを確認するために使用することも意図されています。

リスクヒートマップは、リスクを格付けし、リスク評価プロセス全体を通じて議論や意思決定を可能にするために使用される、視覚的で、多くの場合色分けされたツールである。 広範な企業リスクマネジメントプロセスの一環として実施されるにせよ、より焦点を絞った内部統制プロセスとして実施されるにせよ、各リスクをマッピングすることは、リスクマネジメントに取り組む上で重要なステップである。 この評価には、財務的及び非財務的な性質を持つ特定されたリスクの可能性と潜在的影響を評価することが含まれる。

 "

組織が管理可能なリスクの量を決定する能力は、リスク選好度を通じて伝えられ、リスク管理を戦略目標と整合させる上で重要な要素として認識されています。リスクの定義と記述に使用される用語、リスクの認識、伝達、解釈の方法が異なることを考えると、組織の文化を真に反映する一貫したリスク選好度を確立することは容易な作業ではないことは明らかです。リスク選好度を表明する必要性は、組織が情報セキュリティを確保し、ステークホルダーの信頼を促進できることを実証するという、ますます高まる要求と結びついています。これらはいずれも、組織が情報セキュリティリスク許容度を確立する必要性を支えるものです。組織がこれをどのように行い、情報セキュリティポリシーに組み込むかは、既存の研究におけるギャップとして特定され、本論文で取り上げるべき点です。文献レビューを構築するための理論的枠組みと、本研究の過程で構築された概念的枠組みを適用することにより、主要なリスクテーマ間の関係性と相互作用を捉え、リスク認識とリスク選好の関係に関する研究におけるギャップを浮き彫りにすることができました。本研究はケーススタディ組織を用いて実施され、組織との長期的な関与の中で、リスク成熟度モデルの適用、テーマ別分析、アンケート調査という3つの手法を用いて、インタビューを含む4つの異なるデータグループを分析することができました。これにより、組織のリスクエクスポージャーを把握するために導入されているメカニズムを調査し、リスク許容度を把握・表現するために使用されているツールを特定することができました。

リスク選好とは？

1.4 組織の「リスク選好」には様々な定義がありますが、いずれも組織がどのような種類のリスクをどれだけ取る意思があるかという点に集約されます。リスクは機会と脅威の両面から考慮する必要があり、通常は金銭に限定されるものではありません。組織の能力、パフォーマンス、そして評判にも必ず影響を与えます。

このガイドでは、オレンジブックにおけるリスク選好の定義を採用しています。「組織がいかなる時点においても受け入れ、許容し、またはさらされる覚悟のあるリスクの量」

1.5 リスク選好とは、長期的なリターンが短期的なリターンよりも大きいと見込まれる、十分に検討されたリスクを取ることです。

セキュリティ

 

最高セキュリティ責任者（CSO）は、事業体全体のセキュリティ体制を戦略的に監督する役割を担っています。 CSOは、従業員が高度なセキュリティ意識を持ち、企業運営にセキュリティを組み込む実践を通じて強化されるような企業文化を醸成する責任を負っています。 "

リスクマネジメント

 

リスク管理 の目的は、機関内で価値を創造し、保護することです。リスク管理とは、機関が自らの活動や目標達成に影響を与える可能性のあるリスクを特定し、管理するために講じる措置を指します。

リスク管理は、機関の意思決定と目標達成を支援する、体系的かつ透明性の高いプロセスです。

効果的なリスク管理の重要な要素には、以下が含まれます。

• リスク、管理、および行動に対する明確な責任の確立

• 強固なリスク管理慣行とリスクを認識した積極的な行動の構築

• プロセスの開始時点からリスクを考慮し、設定されたリスク許容度の範囲内でリスクを回避、軽減、または受容する

• あらゆる意思決定、事業戦略、および運用上の選択にリスク管理を組み込む

• 最悪のシナリオを検討し、それがリスク許容度の範囲内で許容可能かどうかを判断する

機関のあらゆる分野にリスク管理を組み込むことで、レジリエンス（回復力）が向上し、変化への対応、機会の獲得、そして情報に基づいた意思決定が可能になります。

ポジティブなリスク文化を構築するには、継続的なコミットメントと継続的な改善が必要です。これにより、従業員はリスクマネジメント能力を成長・向上させ、行動を徐々に調整する機会を確保できます。

組織はそれぞれ異なるため、ポジティブなリスク文化を構築するための「万能」なアプローチは存在しません。様々な定義と手法が用いられます。VGRMFは、ポジティブなリスク文化を構築するプロセスを3つの主要なステップで説明しています。

• 組織の現在のリスク文化を理解し、望ましいリスク文化を定義する。

• 組織の現在のリスク文化と望ましいリスク文化との間のギャップを特定する。

• 組織のリスク文化を進化させ、ギャップを埋めるためのアプローチを定義する。

文化の進化は段階的なプロセスですが、組織はこれらのステップをより小さく、より実践的なアクションに分解することで、ポジティブなリスク文化の構築を支援することができます。

近年、リスク管理は大きく発展しましたが、組織のリスクユニバースを包括的かつ首尾一貫した視点で捉える、新たな統合アプローチが必要です。

私たちは、組織が自社のビジネスモデルをリスクというレンズを通して、そして外部環境という文脈の中で捉えることで、これを実現できると考えています。

本ディスカッションペーパーは、ビジネスモデルを通してリスクを統合するためのフレームワークと、取締役会における効果的なリスク対話のための体系的なアプローチを提案しています。私たちは、このモデルをさらなる調査を通して検証していきます。本稿は、すべての組織がリスクリーダーシップを再考し、専任の経営幹部によるリスクリーダーシップの役割の価値を検討すべきであると主張している最近の報告書「明日のリスクリーダーシップ：リスクレジリエンスとビジネスパフォーマンスの実現」を補完するものです。

大災害

 

大災害による甚大な被害を予測することは困難です。私たちの生活の質は長期にわたって低下し、医療、教育、インフラ、そして経済の安定を担う複雑に相互に関連したシステムが混乱をきたします。社会の結束、資源へのアクセス、そして人々の健康全般に長期的な影響を及ぼすでしょう。

このような甚大な被害は、緊急管理システムと政府を圧倒し、商業活動における通常業務（BAU）体制にも影響を与えます。大規模な対応と復旧に必要な資源は、ニュージーランド国内では確保できません。国際的な経験から、大災害発生時には、意思決定者は資源不足に対処するために優先順位を付けざるを得ないことが分かっています。

この大災害ハンドブック（ハンドブック）は、以下の取り組みの始まりです。

• 緊急管理システムの即応性を向上させる

• 対応を全国的に調整するための枠組みを提供する

• 即応体制のギャップに対処するために緊急管理システムを主導する

• 対応のための初期復旧活動の概要を示す

関係者は内容を確認し、さらなる計画を実施するための領域を見つけることが期待されます。」

サイバーセキュリティ

 サイバーアセスメントフレームワーク（CAF）は、必須機能に対するサイバーリスクが担当組織によってどの程度管理されているかを評価するための体系的かつ包括的なアプローチを提供する。 CAFに基づく評価は、責任組織自身（自己評価）、または独立した外部組織（規制当局／サイバー監督機関、またはNCSCが保証する商業サービスプロバイダーのような、規制当局の代理として行動する適切な資格を有する組織）のいずれかによって実施することができる。 "

サイバー情報エンジニアリング (CIE) 1) CIE は、設計上の決定とエンジニアリング制御を活用して、サイバー攻撃の手段を排除または軽減します。2) CIE は、事後にサイバーセキュリティ制御を追加するのではなく、設計および運用ライフサイクル全体を通じてエンジニアリングを活用して特定の有害な結果を排除する機会を提供します。3) CIE はエンジニアと技術者に焦点を当て、サイバー教育、意識向上、説明責任のためのフレームワークを提供します。4) CIE は、既存の業界安全文化に沿ったセキュリティ文化の構築を目指します

サイバーセキュリティとは、簡単に言えば、テクノロジーの利用によって生じる潜在的な悪影響から組織を守るプロセスです。何か問題が起こるのを待つのではなく、積極的に準備を整えておくことが重要です。

🟦 今後ともよろしくお願いいたします:

💡 今後ともよろしくお願いいたします?これらは、ビジネスに損害を与える可能性のある、テクノロジーに関連するあらゆる脅威や脆弱性です。サイバーセキュリティだけにとどまらず、以下のようなものが含まれます。

🔏 脅威：データ侵害、マルウェア、ランサムウェア、フィッシング攻撃。

⚙️ 脅威：ダウンタイムを引き起こすハードウェアの故障、ソフトウェアの不具合、またはネットワーク障害。

🧑‍💻 不適切な点: 従業員が誤って重要なデータを削除したり、詐欺に遭ったりする。

🎯 不適切な点: データ保護に関する業界の規制に従わず、罰金や法的トラブルに巻き込まれる。

🌐 企業セキュリティ侵害: サードパーティのソフトウェアプロバイダーでセキュリティ侵害が発生し、それが会社に影響を及ぼす。

🖥️ 脆弱性: サポートが終了し、攻撃に対して脆弱な古いシステムを使用している。

🟦 リスクマネジメントとは？ このプロセスは、以下の継続的なサイクルで構成されています。

✔️ リスクマネジメント：テクノロジーリスクを把握します。コンピューターやサーバーからソフトウェアやデータまで、すべてのテクノロジー資産の詳細なインベントリを作成します。

✔️ リスクマネジメント：各リスクの発生確率と、発生した場合の潜在的な影響を把握します。これにより、最も重要な脅威に優先順位を付け、集中することができます。

✔️ リスク軽減：リスクを軽減または排除するための対策を講じます。具体的には、ファイアウォールや多要素認証などのセキュリティ対策の導入、データのバックアップとリカバリ計画の作成、従業員へのトレーニングの実施などが挙げられます。

✔️ リスク管理：新たなリスクを継続的に監視し、管理策の有効性を検証し、テクノロジーと脅威の状況の変化に合わせて戦略を更新します。

情報セキュリティは、情報を保護する上で重要な要素です。保護すべき貴重品を特定し、盗難や破損の危険性を把握し、そうした事態を防ぐための安全対策を講じます。

✨ サイバーセキュリティ 🛡️、GRC ⚙️、新興テクノロジー 🚀 に関する洞察に満ちたコンテンツをご覧になるには、NOMAN RAHEEM をフォローしてください。

。

財務管理

 

世界金融危機以降、財務実務は著しく複雑化しています。不確実性とリスクが渦巻いています。同時に、ビッグデータとバリューチェーン・ファイナンスは、組織の財務業務のあり方を変革する新たな強力な機会をもたらしています。財務のダイナミックな性質は、その責任者にとって課題となっています。現金、リスク、市場を重視する財務は、他の財務活動とは異なります。業務面でも戦略面でも、ツール、システム、そして事業部とのやり取りが複雑であるため、財務に必要なスキルの一部は専門化されています。財務責任を負う管理会計士は、財務部門と非財務部門を横断した業務に多くの時間を費やし、リスク管理の文化を主導し、株主モデルと経済モデルを開発・検証しています。このガイドは、投資、資金調達、リスク戦略に関する意思決定を行う際に、管理会計、税務、財務機能間の緊密な連携、理解、そして協力の必要性を強調しています。組織の資産の守護者として、管理会計士は流動性の管理、資本構成の最適化、そしてすべてのステークホルダーに価値を生み出す戦略の実行支援に責任を負っています。特に2008年の世界的金融危機以降、あらゆる組織の財務機能は、価値を生み出すために、はるかに複雑な環境で活動しています。管理会計士はスキルをアップデートする必要があります。

AICPAとCIMAが共同で策定したグローバル管理会計の原則（Global Management Accounting Principles）は、大小を

問わずあらゆる組織におけるこの資産管理の役割の企業データとは何でしょうか？企業は通常、データを単なるファイル、スプレッドシート、データベース、ダッシュボードとしてしか捉えていません。しかし、エンタープライズデータには、実に多くのレイヤー、あるいは断面（とでも言うべきでしょうか）が存在します。 分かりやすいもの： - 場所：データの保存場所（サーバー、クラウド、机の下など） - 機密性：「公開パンフレット」から「極秘の製法」まで - ライフサイクル：作成、使用、アーカイブ、削除 そして、あまり知られていないもの： - 居住地：どの国の法律で管理されているか - 変動性：1年に1回…あるいは1秒間に20回変更される - 重要度：あったら便利、ビジネスに欠かせない これらの横断的なデータを理解し、マッピングすることは、私にとって、以下のことを実現する最も簡単な方法の一つです。 - 真のリスクを明らかにする - コンプライアンスギャップを特定する - 重要な事項を優先順位付けする これらのデータ横断的な全体像をマップにまとめました

重要性を強調しています。この原則は、より良い意思決定を促す関係性とコミュニケーションの重要性を示し、価値創出プロセスに不可欠な関連情報の分析から得られた洞察を提示するプロセスについても指針を提供しています。

グローバル管理会計の原則は、価値創造のプロセスに寄与する14の実務分野を特定しています。戦略と財務の全ての要素には相互依存があるものの、本書が詳述する重要な実務分野は以下の通りです。 X 財務管理とキャッシュマネジメント X 財務戦略 X 投資評価 X リスクマネジメント 本書は、財務管理の専門職であるAssociation of Corporate Treasurers（ACT）と協力し、その技術的専門知識と財務管理の能力フレームワークを活用して執筆されました。これにより、新たな課題を認識し、関連する機会を活かすための能力開発を目指す管理会計士にとって、非常に有益な財務管理リソースとなっています。

生成AI 国際規格

 責任あるAI管理のための最初の国際規格であるISO / IEC 42001に関する新しいレポートが、AI管理に関する国際連合委員会（AI管理委員会）を通じて公開されました。ファブリツィオ・シリリ氏が執筆し、2015年に出版された「AI 42001」というタイトルの報告書です。

本書では、ISO/IEC 42001が世界中でどのように採用されているかをマッピングし、そのハイレベルストラクチャー（高位構造）と、業界や地域をまたいだ実際の認証活動について考察しています。MicrosoftやGoogleといった大手AI開発企業も参加しており、両社はMastermindを通じてISO/IEC 42001認証を取得しています。

23ページには、ISO/IEC 42001の導入に関する市場の認識形成における当社の役割が取り上げられています。当社は、認証業務を通じて得た現場情報を提供し、顧客の準備状況、業界固有の課題、国レベルでの導入状況などについて情報を提供しました。これらの情報は、ISO/IEC 42001がAIシステムに既に及ぼしている世界的な影響に関する本報告書の分析に役立ちました。

責任ある AI がどこに向かっているのか、そしてすでにその道を歩んでいる人々から得られる教訓を明確に理解したいなら、これは必読です。大規模言語モデル(LLM) を取得して、このレポートを自分の好みの言語に翻訳することも検討してください。

偽認証発行の防止 IAF

 

IAF、会員向けにグローバル偽造防止ポリシーを発表（遅ればせながら）

国際認定フォーラム（IAF）は、偽造証明書が国際貿易、セキュリティ、そして企業の評判に対する重大な脅威であると認識し、2025年8月6日に「IAF ID 17:2025 – 偽造証明書に関するリスクポリシー」を発表しました。ISO 31000リスクマネジメントフレームワークに基づくこのポリシーには、定義、種類、影響、予防・是正措置、監視メカニズムが含まれています。

📌 偽造証明書とは？

製品、サービス、個人、または組織のコンプライアンスを証明していると主張する文書ですが、実際にはコンプライアンスを満たしていません。

例：

• 有効期限切れの証明書を有効なものとして提示する

• 認可されていない機関から証明書を取得する

• 文書の適用範囲を、実際には存在しない方法で提示する

📂 主な種類

• IAF/ILAC以外の「並行」システム文書

• 有効期限が変更された文書

• 認可されていない機関からの「同等」を主張する文書

• 偽のWebサービス/検証サービス

• 改ざんされたコピー

🔍 一般的な手法

ロゴの無許可使用、規制されていない文書の作成、名称の類似性を利用した欺瞞、誤解を招く広告、複数国での登録による信頼感の醸成

💥 影響

• 社会的信頼の失墜

• 合法的な取引へのダメージ

• 製品の不合格、経済的損失

• 品質および安全性に関するリスク

• 公正な競争の歪曲

🛡 リスク管理アプローチ

積極的対応：偽造防止ポリシー、情報共有ネットワーク、IAF CertSearchの活用、サプライヤー選定におけるデューデリジェンス

事後対応：疑わしい文書の報告、調査、当局との連携

非常時対応：高リスク状況における特別審査、ブロックチェーンベースの検証

🔄 実施と監視

このポリシーはIAF加盟国に拘束力を持つ。実施には専任チーム、ガイドラインの設置、定期的なレビューと監査が含まれ、違反者にはブラックリストへの掲載と制裁措置が適用される。

🤝 国際協力

インターポール、ユーロポール、WCO、WIPOなどの機関とデータベースおよびインテリジェンスを共有し、共同作戦を実施する。 👏

トルコの視点

近年、「8つの書類で5,000トルコリラ」といった、認証も規制もされていない、全く無効な認証を宣伝するキャンペーンが、ソーシャルメディアやインターネット上で蔓延しています。これらの書類は、「国際的に有効」や「IAF承認済み」といった言葉で宣伝されることもありますが、実際には法的、技術的、あるいは認証上の正当性はありません。

これらの偽造書類は、企業や個人を誤解させるだけでなく、業界の評判や、国際貿易における我が国の信頼感を損ないます。真の認証プロセスに見られるような公平な監査、認証管理、そして定期的な監督は、これらの不正なシステムでは全く見られません。

問題はISO認証に限ったことではありません。偽造卒業証書や専門資格証明書などの例は、この脅威が教育から商業にまで及んでいることを示しています。これは社会の信頼と優秀な労働力に直接的な影響を与えます。規格は私たちの未来です。この詐欺行為を阻止できるのは、明確な規制と効果的な管理だけです。

品質マネジメントシステム

 https://youtu.be/hDD_DEoJQ

https://youtu.be/hDD_DEoJQxg

気候変動は、要件4.1および4.2で追加されました。ISO 9001の。これは基準を変更するものではありませんが、組織が気候変動が自社の状況に関連しているかどうか、および利害関係者がこのトピックに関連する期待を持っているかどうかを評価する必要がある付録を追加します。このISO 9001附属書の適用について詳しく理解する - https://lnkd.in/d3dGyX7z 

 

➡️ あなたの会社が認定を受けている場合は、コンテキストと利害関係者の分析でこのシナリオを確実に検討しています。この要件をどのように適用するかをコメントに残すことについてどう思いますか?

生成AI

 

MLシステムを保護するための説得力のある理由として、マイクロソフトが28社を対象に実施した調査では、業界の実務者のほとんどが敵対的機械学習（ML）についてまだ理解していないことが明らかになりました。28社のうち25社は、MLシステムを保護するための適切なツールを導入していないと回答しています。さらに、これらの企業は明確なガイダンスを求めています。準備不足は小規模組織に限ったことではなく、フォーチュン500企業、政府機関、非営利団体など、多岐にわたる組織に及んでいることがわかりました。顧客はAIシステムのセキュリティ保護の必要性を認識していますが、その方法がわからないのです。このホワイトペーパーは、組織がAIシステムのセキュリティ体制を評価するための第一歩です。しかし、組織が従うべき新たなフレームワークを追加するのではなく、既存のセキュリティリスク評価フレームワークに簡単に組み込める形でコンテンツを提供することを目指しました。このホワイトペーパーには3つの目標があります。

• AIシステムのセキュリティに関する包括的な視点を提供する。 AIシステムのライフサイクルの各要素、すなわちデータ収集、データ処理、モデルの展開について、実稼働環境において検証しました。また、AIサプライチェーンに加え、AIシステムに関連するバックアップ、リカバリ、コンティンジェンシープランニングに関する管理策とポリシーも考慮しました。

• 重要なAI資産に対する脅威と、それらを保護するためのガイダンスを概説します。エンジニアとセキュリティ専門家を直接支援するため、AIシステム構築プロセスの各ステップにおける脅威ステートメントを列挙しました。次に、AIシステムにおける既存のプラクティスを補完し、強化する一連のガイドラインを提供します。

MITは、AIリスク軽減策を体系化する、これまでにない最も強力なツールの一つをリリースしました。

📘 内容：

「AIリスク軽減策のマッピング」は、MIT AIリスク・リポジトリ・インデックス・チームによる2025年7月の最新レポートです。これは、13の主要なガバナンスおよび安全性フレームワークから収集された、831の実際のAIリスク軽減策を体系的にエビデンススキャンしたものです。

その結果、AIガバナンスコミュニティに明確さ、整合性、そして実行可能性をもたらすように設計された、23のパートからなる軽減策分類が生まれました。

これは、4つの主要領域に分かれており、軽減策の統一言語に最も近いものです。

ガバナンスと監督管理

技術とセキュリティ管理

運用プロセス管理

透明性と説明責任管理

🔍 これが重要である理由：

現在、AI関係者は分散しています。政策立案者、研究機関、そしてバイヤーは、互いに意見が食い違っています。

このタクソノミーは、ライフサイクルの段階、リスクカテゴリー、そして組織の役割に合わせて緩和策を整合させることで、ノイズを排除します。

注目すべき洞察：

テストと監査は、すべての文書の中で最も頻繁に言及されている緩和策の種類です。

モデルの整合、内部告発者保護、そして利益相反ルールは、現在の実践では未整備のままです。

LLMは抽出を支援するために使用されていましたが、依然として人間による監視が必要であり、AIガバナンス自体におけるAIの限界を浮き彫りにしています。

💡 AIポリシーの設計、監査の実施、あるいは大規模なモデルガバナンスの構築を行っているなら、これは必読です。

さらに、MITはこのタクソノミーをAirtable形式で提供しており、組織のリスクプログラムで直接使用できます。

このガイドは、基本的なクエリの枠を超え、より効果的な意思決定中心のリスクマネジメント（RM2）を可能にする、プロンプトエンジニアリングへの様々な高度なアプローチを紹介・探求することを目的としています。

ここでは、シンプルなプロンプトを反復的に改良することで精度と関連性を向上させる基礎的な手法である、基本的なゼロショットプロンプト最適化について説明します。この手法は良い出発点となりますが、複雑なシナリオへの対応には不十分な場合が多くあります。このガイドを読み進めていくと、より高度な手法が基本的なゼロショットプロンプトを大幅に上回る方法を学ぶことができます。

連鎖ゼロショットプロンプトは、複雑なクエリを相互に関連する一連のプロンプトに分解します。この手法により、特に複雑な意思決定の文脈において、各応答を体系的に構築して分析を深めることで、よりきめ細かなリスクの探究が可能になります。

少数ショットプロンプトは、厳選された少数の例に基づいてモデルを導き、RM2の原則に沿った出力を生成する強力なアプローチです。この手法は、モデルの応答が適切であるだけでなく、組織の意思決定中心のニーズに合わせてカスタマイズされていることを保証する上で特に効果的です。

このガイドでは、複雑なリスクに関する議論を管理する上で重要な、複数のやり取りやRAGにわたって会話の連続性を維持するコンテキストメモリの埋め込みについても説明します。メモリを埋め込むことで、モデルは以前のやり取りに基づいて構築できるため、より一貫性があり情報に基づいた出力が得られます。

次に、モデルが推論プロセスを段階的に概説するように促す思考連鎖プロンプティングについて学習します。この手法は、リスク分析の透明性と深度を高め、意思決定のあらゆる側面を徹底的に検討できるようにします。

自己一貫性チェックは、モデルの出力の信頼性を向上させる方法として導入されています。モデルは自身の応答を相互参照することで矛盾を減らし、より正確な洞察を提供できます。これは、ハイステークスリスク管理において重要な機能です。最後に、このガイドでは、LLMパラメータ調整について解説します。これは、様々なモデルパラメータを調整して応答を微調整する高度な手法です。これにより、モデルの出力をより詳細に制御できるようになり、正確かつ一貫性のある出力が得られます。

リスクマネジメント

 

リスク管理フレームワークは、監査室が組織全体のリスク管理に取り組むアプローチを概説したものです。その目的は、以下のとおりです。

• 効果的な意思決定を支援する

• 革新と発展を促進しながら、リスク管理に対する一貫性と有効性を確保する

• リスク管理を是正措置ではなく意思決定の肯定的な側面と捉える、リスク認識型文化を育み、促進する

• 監査室の計画、品質保証、リスク管理システムを整合させ、それらを監査室の業務のあらゆる領域に統合する

このフレームワークは、監査室の経営システムとプロセス、企業計画、業績報告、主要なビジネス上の意思決定と統合され、全社的なリスク管理アプローチを実施します。このフレームワークは、監査室のガバナンス・フレームワークであるガバナンス・ライトハウスの8つの主要原則の1つでもあります。

リスクとは、不確実性が事業目標に及ぼす影響です1。監査室の事業目標は、監査室の2020～2024年度コーポレートプランに概説されています。監査室の戦略リスクとは、監査室のビジョン、目的、将来の姿を含む企業計画の達成を妨げる可能性のある不確実性を指します。リスク管理とは、組織内のリスクを特定、評価、管理するための文化、プロセス、および体制です。リスク管理は、組織が許容するリスクの量を設定し、戦略計画および事業計画に貴重な情報を提供します。また、業務、プロジェクト、監査プロセスを含むプロセス、サービス、および主要なビジネス上の意思決定に適用されるべきです。

南オーストラリア州政府（SA政府）は、効果的なリスク管理をその活動の中核に据え続けることに尽力しています。各機関は、リスク管理を意思決定、組織文化、そしてプロセスに組み込むことを目指し、機関およびSA政府の戦略目標の達成に貢献する必要があります。このベタープラクティスガイドは、SA政府の状況において、各機関が国際規格AS ISO 31000:2018「リスクマネジメント - ガイドライン」（国際規格）を採用する際に役立ちます。

この冊子は、公共部門リスク管理フレームワーク（以下「フレームワーク」）について、迅速かつ容易に参照できる情報源を提供します。このフレームワークは、公共財政管理法および地方財政管理法の要件に基づき、機関が効果的、効率的、かつ透明性の高いリスク管理・統制システムを導入・維持するための要件を満たすために策定されました。フレームワークの理解を深め、導入を容易にするために、多くの補足ガイドライン、テンプレート、導入ツールが開発されています。さらに、ユーザーがフレームワークの理解度を実践的に確認できるように、ウェブベースのeラーニングモジュールも開発されています。フレームワーク全文

リスクは「不確実性が目標に及ぼす影響」1 と定義され、リスク管理は「リスクに関して組織を指揮し、統制するための協調的な活動」1 と定義されます。

本局では、リスクとその管理を2つの視点から捉えています。1つは、事業にマイナスの影響を与える可能性のある事象（すなわち脅威）を考慮する視点、もう1つは、ある程度のリスクを受け入れることを機会と捉える視点です。

リスク管理を実施するにあたり、職員は、期待される結果（プラスまたはマイナス）に影響を与える可能性のある問題や事象を考慮するよう指示されています。当社のリスクは、事象の結果と、その事象が発生する可能性という観点から評価されます。これは、オーストラリア規格であるAS ISO 31000リスク管理ガイドライン1 に準拠しており、特にACTIAリスクマトリックスを活用しています。

AI リスク

 

AIリスク軽減策に関する新たな知見！

MIT AI Risk FutureTechによる「AIリスク軽減策のマッピング：証拠調査と軽減策分類案」

💠概要💠

#MIT チームは、13の文書を分析し、831件ものAIリスク軽減策を抽出しました。

彼らの作業は、実用的な分類案を作成し、これらの軽減策を4つの重要なカテゴリーに分類することに成功しました。

🔸ガバナンスと監督のための統制：

🔸技術およびセキュリティに関する統制：

🔸運用プロセスに関する統制：

🔸透明性と説明責任に関する統制：

👀‼️興味深いことに、#運用プロセスに関する統制が最も頻繁に言及されたカテゴリー（全軽減策の36%）として浮上し、様々なフレームワークにおけるその広範な重要性を浮き彫りにしました。

👀‼️この中で、最も多かったサブカテゴリーは「#テストと#監査」でした。

👀‼️本レポートでは、#AIリスクマネジメント自体の進化についても触れており、定義が多様な新興概念であるため、連携に課題が生じる可能性があると指摘しています。

💠化学・製薬業界への応用💠

本文書は、創薬、プロセス最適化、品質管理、個別化医療などの分野でAIの活用が進む#化学・製薬業界におけるAI関連リスクへの対応に適応できる堅牢なフレームワークを提供しています。

🔷ガバナンスと監督管理：

🎯応用：

研究開発、製造、臨床試験におけるAIの利用に関する明確な社内ポリシーを確立する。

医薬品の処方や患者診断など、重要なAIアプリケーションについては、多者間レビュープロセスを導入する。

🔷技術およびセキュリティ管理：

🎯適用：

機密性の高い研究データ、患者情報、または独自の化学式を扱うAIシステムには、厳格なサイバーセキュリティ対策を実施します。

AIモデルを共同開発する際には、フェデレーテッドラーニングなどの技術を用いてデータプライバシーを保護します。

AIが化学プロセスにおいて危険な化合物を生成したり、安全でない推奨を行ったりすることを防ぐために、モデル安全性エンジニアリングを採用します。

🔷運用プロセス管理：

🎯適用：

特に薬剤効能予測、毒物学、化学プロセス制御といった重要なアプリケーションにおいては、AIモデルの広範な「テストと監査」を優先します。

これらの業界におけるAIの精度向上に不可欠なデータの品質と整合性を確保するために、堅牢なデータガバナンスフレームワークを実装します。

製品の品質、安全性、または規制遵守に影響を与える可能性のあるAIの障害に対する、明確なインシデント対応および復旧プロトコルを策定します。

🔷透明性と説明責任のコントロール：

🎯適用：

すべてのAIシステムについて、アーキテクチャ、学習データ、使用目的、制限事項、パフォーマンス指標を詳細に記載した包括的なドキュメントを維持します。

👀‼️これは、規制遵守と外部監査において特に重要です。

AIを活用した製品やプロセスの制限事項と潜在的なリスクについて、関連するステークホルダーに明確なリスク開示を行うためのメカニズムを導入します。