生成AI

 

先週ダボスで、シンガポールのエージェント AI 向けモデル AI ガバナンス フレームワークが発表されました。

リスク数理解

 リスク数理解（一般に「数理解」とも呼ばれます）とは、不確実性を伴う状況で、比率、百分率、確率といった数値を理解し、解釈し、活用する能力のことです。数理解が高いと、リスク認知・リスク分析・リスク管理がより適切になりますが、数理解が低いと、それらが体系的にゆがめられてしまいます。

リスク計算力 / リスクリテラシーとは何ですか?

・数理解力（Numeracy）：数を理解・活用し、計算を行い、数量の大きさを比較する能力。統計的数理解力は、確率・百分率・比率のスキルを加える（García‐Retamero ほか, 2019; Cokely ほか, 2012; Reyna & Brainerd, 2023）。

・リスク・リテラシー：リスクを評価・理解し、それに基づいて行動する実践的能力（例：検査結果の解釈、スクリーニングの便益、金融リスク）（García‐Retamero ほか, 2019; Cokely ほか, 2012; Perrin ほか, 2025; Reyna & Brainerd, 2023）。

・ベルリン数的リテラシーテストやRaschに基づく数理解力尺度のような検査は「リスク数理解力」を操作的に定義し、健康、金融、日常の意思決定にまたがるリスク課題での成績を予測する（Cokely ほか, 2012; Weller ほか, 2012; Lipkus ほか, 2001）。

数的処理能力がリスク認識と意思決定にどのように影響するか

リスク管理とリスク分析への影響

• 中核となる認知資源：モデル横断（ファジー痕跡理論、熟達意思決定理論、複数の数的能力）で、数的素養はIQや省察を超えて、適応的なリスクテイクや期待値（EV）に基づく意思決定を予測する中心的な指標である（García‐Retamero ほか, 2019; Sobków ほか, 2020; Reyna & Brainerd, 2023; Jasper ほか, 2013）。

• 組織および公共のリスクマネジメント：患者、専門職、公衆の数的素養の低さは、リスクコミュニケーション、遵守、政策順守を損なう（Reyna ほか, 2009; Peters, 2008; García‐Retamero & Cokely, 2017; Lipkus ほか, 2001; Schwartz ほか, 1997）。

• 緩和戦略：

結論

リスク数値力は、リスク・リテラシーの数的な土台です。私たちがリスクをどう捉え、どう伝え、どう管理するかを体系的に形作ります。数値力を高め、数値に配慮したコミュニケーションを設計することは、リスク分析や現実の場でのリスクに関する意思決定を改善するための重要な手段です。

数量化の罠：一次的な限界 vs. 三次的な現実――方法論の漂流が「数量化バイアス」を生み、監査人は質的な洞察よりも偽りの精密さを優先してしまっている。複雑適応系では、問題に数字を貼り付けることは支配しているかのような錯覚を与える一方で、根底にある現実を覆い隠してしまう。

リスク探究は深度で区分すべきである。

・一次的探究：記述的かつ表層的。線形の因果関係に焦点を当てる。

・二次的探究：相互連関、フィードバックループ、創発的効果を分析する。

・三次的探究：最も深い潜在層――社会的・文化的・政治的文脈――に踏み込む。

監査人における質的訓練の欠如は、組織風土や経営の廉潔性に対する「倒錯した盲目さ」を招いている。多くの監査人は三次的分析を実施する技術的資格を実は備えておらず、その訓練は社会学や心理学ではなくスプレッドシートに根差しているからである。

t「重大な結果を伴う領域では、専門的判断は法的免責と同義ではない。助言が生命安全に関わる意思決定に影響を与える場合、『助言者』と『意思決定者』の法的な区別は不明確になったり、リスクを生じさせたりする可能性がある」

代理責任：リスク、セキュリティ、安全、レジリエンス分野におけるコンサルタントおよび助言サービスへの示唆

ISO27001

 

組織がISO 27001とISO 42001に並行して取り組み始めると、両規格の重複はすぐに実務上の課題になります。

この無料のマトリクスは条項を並べて対応付けており、共通要件を把握しやすくし、重複した文書化を抑え、情報セキュリティとAIガバナンスの整合を取りやすくします。

両規格をできるだけ摩擦なく導入したい場合に、有用なリソースです。

リスク分析

 

不安：論理への物理的な壁 - 数に弱いことは、単なる知識不足ではなく、多くの場合は感情的な障害です。「数学不安」は、リスクを解釈するために必要な認知資源――とりわけワーキングメモリ――を消耗する、独特の心理状態です。興味深いことに、Rolison らの研究は微妙な媒介関係を示しています。客観的数的能力を統制すると、数学不安は正答率の低さと関連しますが、主観的数的能力を統制すると、その関連は消失します。これは、自分の能力に対する感情こそが、論理の真の関門である可能性を示唆します。

リスク数的能力とそれがリスクの意思決定を形作る方法 - リスク認知の隠れたゆがみとリスク分析の正確性

詳しく読む、ポッドキャストインタビューを聴く、またはビデオ概要を見るにはこちら -->> https://buff.ly/JmG4yMW

Cloude Cowork

 

Cowork を使って Claude に任せられることがいくつかあります。

今週の金曜日、私たちのチームが主催するライブデモで詳しくご紹介します。参加登録はこちら: https://lnkd.in/eJ6xKq2m

サイバーセキュリティ

 

「提示された分析は、2026年に企業を脅かすと見込まれる進化するデジタル脅威の状況を概説しています。生成AIが、ソーシャルエンジニアリングや詐欺的なディープフェイクの巧妙さを大きく高めることを強調しています。組織は、侵害された認証情報や自律的な非人間エージェントから守るため、アイデンティティ管理とゼロトラストアーキテクチャを優先するよう促されています。レポートはまた、ランサムウェア、サプライチェーンの脆弱性、クラウドの設定ミスが引き続きもたらす脅威も強調しています。」

サイバーセキュリティの脅威動向と対策（2026年見通し）

全文記事の閲覧、ポッドキャストインタビューの視聴、動画概要の視聴はこちら -->> https://buff.ly/MzN6pZ8

リスクマネジメント

 

従来のエンタープライズ・リスク・マネジメント（ERM）は、静的で定量化可能なデータへの依存が強いとしてしばしば批判されており、その結果として予測不能な「ブラックスワン」事象に脆弱になり得ます。研究では、深い不確実性や曖昧さ、従来の確率論では扱いきれない「未知の未知」に対処するために設計された戦略的リスク・マネジメントへの移行が提唱されています。シナリオ・プランニング、ロバスト意思決定、ダイナミック適応計画といった現代的な枠組みによって、経営層は複数の妥当な将来像にわたって有効性を保つ柔軟な戦略を構築できます。単なるコンプライアンスよりも組織のレジリエンスとアジリティを優先することで、企業は気候変動や地政学的ショックといった「厄介な問題」によりうまく対処できます。最終的に、研究は、こうした予防的かつ反復的な手法を統合することが、リスク・マネジメントを長期的な生存に不可欠な戦略的能力へと変革することを強調しています。この転換は、急速なグローバルな混乱を先取りするために、継続的なモニタリングと協働的なセンスメイキングをリーダーに促します。

この枠組みにおいて、確率は「リスク」そのものではなく、不確実性を表現するための道具にすぎません。この枠組みは、いわゆる「リスク水準」を確率と結果の積で表すという単純化を明確に退けています。さらに、確率を事実として扱うことに警鐘を鳴らし、確率は常に当時利用可能な背景知識（K）に条件づけられていることを指摘します。

「リスク分析：科学 vs.『標準』」

ポッドキャストを聴き、動画を観て、記事を読むにはこちら -->> https://buff.ly/U9RrDan

認識の安全保障とは、有害な影響に対して強靱な、健全な情報パイプラインを構築・維持することです。Demos では、認識の安全保障は民主社会が健全に機能するための重要な要素だと考えています。しかし、極めて精巧な偽コンテンツが蔓延する現代のデジタル時代において、認識の安全保障を守ることはますます難しくなっています。

中〜大規模組織に適した、セキュリティとセーフティを統合したリスク分析（SSRA）の、手順化された実務フレームワークです。これは、セキュリティのリスクマネジメント構造（特に脅威・重要度・脆弱性の評価を追加する点）と、安全科学で確立されたハザード、コントロール、システム効果、ドリフト／正常化への重視を組み合わせて構築されています。

Security & Safety Risk Analysis: Science vs. "Standards".

記事全文の閲覧、ポッドキャストの視聴、解説動画の視聴はこちら —>> https://buff.ly/LAmxzJU

継続的改善

 

ISO27001

 

堅実な ISO 27001 のリスクアセスメントは、明確な資産リストから始まります。

この無料チェックリストは、資産ベースのリスクアセスメントに向けて資産台帳を構築する際に役立つ、簡潔な手順、記録すべき主要な資産情報、そしてすぐに使える資産テーブルの例を提供します。

ISMS を構築中または見直し中であれば、実践的な出発点として最適です。

品質マネジメントシステム

 

ISO 9001:2026 – 変化の時代における品質卓越の最前線

待望のISO 9001改訂版が2026年9月にリリース予定です。急速に進化するビジネス環境で組織が成功するためのアップデートが盛り込まれています。新しいホワイトペーパーでは、ISO 9001:2026の目的、狙い、想定される成果、主要なメリットを解説。レジリエンスの強化やコスト削減から、ステークホルダーの信頼向上、グローバル競争力の強化まで、幅広い価値をご紹介します。

この規格が組織にもたらす力:

✅ デジタルトランスフォーメーションとサステナビリティに品質マネジメントを整合

✅ リーダーシップによる卓越の文化の醸成

✅ 効率化とイノベーションのためのプロセス最適化

スムーズな移行期間と他のISO規格との整合性により、ISO 9001:2026は未来に備えた品質マネジメントの設計図となります。📊

ホワイトペーパー全文を読み、この変革的アップデートへの準備方法をぜひご確認ください！

システム文書

データ統合

 

本書について

『恐れないデータインテグリティ』は、製薬業界の専門家が、常に査察を恐れることなく信頼できるデータシステムを構築するための、実践的で歯切れのよいガイドです。本書は、規制上の定義やチェックリストをなぞるだけでなく、中小規模から大企業に至るまでデータインテグリティが失敗する本当の理由に踏み込みます。プレッシャー、複雑なシステム、不明確な責任範囲、そして恐怖に基づく企業文化が、監査で露見するまで誰にも気づかれない形で、いかに静かにデータ品質をむしばんでいくかを明らかにします。

本書は、焦点を絞った5つの章を通じて、データインテグリティの真の意味、名の知れた企業でさえなぜ苦労するのか、人・プロセス・プレッシャーがどのように相互作用してリスクを生むのかを解説します。さらに、規制当局の期待と実地査察の現実を読み解き、FDA、EMA、WHOの査察官が実際に何を見ているのかを理解できるようにします。よくあるレッドフラッグ、警告書のパターン、そして根本原因に取り組むことで再発観察を防ぐ方法も取り上げます。

なにより重要なのは、『恐れないデータインテグリティ』が議論の軸足を「コンプライアンス」から「自信」へと移すことです。ガバナンス、SOP、トレーニング、QA・IT・経営の連携、内部監査、そして持続可能な文化変革まで、恐れのないデータインテグリティ体制を構築するための現実的な道筋を提示します。本書は、現場のオペレーターからシニアリーダーまであらゆるレベルのプロフェッショナルを対象に、すぐに実践できる示唆を提供します。

もし、データインテグリティを規制上の重荷として扱うのをやめ

43本の報告書の分析は、深まる分断とシステミックリスクに規定された世界を浮き彫りにしつつ、2026年の世界的不安定の包括的な予測を提示しています。専門家は気候変動を主要な脅威として挙げる一方、ウクライナ、台湾、中東といった地域で地政学的な対立が急速に激化していると指摘しています。情報源は、新興技術、特に人工知能とサイバーセキュリティ上の脆弱性が、労働力と国家安全保障の双方をいかに再形成しているかを検討しています。貿易保護主義や高インフレを含む経済的圧力は、米国、中国、欧州連合といった主要国の安定性に負担をかけると見込まれます。さらに、文書は高齢化や政治的分極化といった社会の変化を取り上げ、これらが信頼を損なう恐れがあることを論じています

循環型経済

 

WRF25 インサイトレポートが公開されました！

📑 2025年9月2日〜3日、WRF25 には60以上の国から450名の参加者が集まり、オンライン参加者も多数加わって、喫緊のグローバル課題と持続可能な資源移行への道筋を探りました。

🤝 マルチステークホルダーの議論を通じて、責任ある鉱物バリューチェーンからサーキュラーなビジネスモデル、デジタル・トレーサビリティ・システムに至るまで、実践的な解決策が強調される一方、協力、ガバナンス、そして政治的意思の重要性が改めて示されました。

💬 インサイトレポートは、会議での主要な議論、革新的な戦略、実行可能な示唆を収録しています。今後の対話を支え、今後数年にわたってインパクトを拡大する一助となることを目的としています。

ISO 59000 #CircularEconomy の説明は38ページに掲載されています 👏

ISO31000

 

はっきり言います——とくにここ、ISO 31000 のグループでは。

ほとんどの組織はすでに ISO 31000 を適用しています。

紙の上では、うまくやっているところも多い。

それでも、見慣れたギャップが繰り返し現れます。

リスクは特定される。

リスクは評価される。

リスクは文書化される。

でも、意思決定は大して変わらない。

CEO の視点から見れば、これは規格の問題ではありません。

不確実性下での意思決定の質の問題です。

リスクマネージャーの視点から見れば、これは感情的に消耗します。

フレームワークを満たすためのワークショップを回し、

抵抗や社交辞令、無関心に向き合い、

リスクは価値を生むはずだ——でも、その機会がほとんど巡ってこない、と感じながら。

私が銀行、フィンテック、規制当局、取締役会、急成長のテック企業で見てきた、不都合な真実はこれです。

👉 問題は ISO 31000 そのものではない。

👉 問題は、リスクワークショップの設計とファシリテーションにある。

リスクワークショップは要件ではありません。

納品物でもありません。

てこ（レバー）です。

うまく設計すれば、意思決定の実験室になります。

▶️  失敗する前に前提を表に出せる

▶️ 成長・レジリエンス・キャパシティのトレードオフを率直に議論できる

▶️ 早期のシグナルが、実際に動ける人に届く

設計が悪いと、ただのコンプライアンス劇場になります——それは誰の目にも明らかです。

だからこそ、少人数・実践型のプログラム「リスクワークショップの設計とファシリテーション」を開きます。

これは ISO 31000 の理論講座ではありません。

次のことを望むリスクのプロのための実践の場です。

意思決定に近いところでリスク対話を進める

抵抗やワークショップ疲れを減らす

ISO 31000 の原則を、本当に意味のあるリーダーシップ対話へと翻訳する

CEO が「我慢」ではなく「有用」と感じるワークショップを設計する

CEO がこれに費用を払う理由：

 彼らは研修そのものに払うのではありません。

 よりよい判断、より早いシグナル、より少ない不意打ちに払うのです。

 そして、場を壊すことなく、居心地の悪い対話を支えられる「リーダーとしてのリスクマネージャー」を支援します。

もしリスクワークショップがそれを強めるなら、それはコンプライアンスコストではありません。

ビジネスが理解できる保険です。

開始は2月17日。グループは意図的に少人数（最大6名）。

もし響くようでしたら、資料を添付していますので、ぜひお話ししましょう（面談予約はコメントのリンクから）。

響かなければ——それもまた重要な情報です 😊

なにしろ、ISO 31000 は文脈がすべてです。

意思決定に一歩近づく会話を。

本当の価値に一歩近づく一歩を。

デジタル規格

 

米国本土の防衛を優先することが求められる重大な危機の時代にあって、重要な米国の国家安全保障上の利益を支えるため、戦略上の要求を継続的に見直す必要があります（暫定国家防衛戦略ガイダンス、2025年）。これには、多領域環境における脅威に対抗するための防衛能力の継続的かつ迅速な近代化、ならびに同盟国・パートナーとの共同生産の必要性が含まれます。省はこの文脈で防衛システムを開発・近代化・維持していくにあたり、米国の競争優位を定義し、牽引し、さらに研ぎ澄ますための標準の高度化を優先すべきです。

「機械可読形式のインタフェース仕様および支援文書の

利用可能なリポジトリを確立・維持し、

元の装備メーカーとの調整なしに

第三者による統合を可能にする……」

「緊急に必要な能力の迅速な実戦配備を加速するための

戦闘獲得システムへと国防調達システムを転換するための覚書」

2025年11月

伝統的に、戦争省（DOW）は、人間が読める文書ベースの標準を用いて、工学的または技術的な方法、プロセス、実践に関する要求事項を取りまとめてきました。省が工学、取得、維持のプロセスをデジタルに変革する流れの中で、文書ベースの成果物やプロセスを超え、モデル、シミュレーション、デジタルツールなどのデジタルなプラットフォームや形式へと進化し、プロセスの加速に寄与しています。

さらなる革新を促進し、進展を確実なものにするために、省は文書ベースの標準の策定・管理実務を変革し、アクセス可能で統合されたデジタル／モデルベースのアプローチを支援します。これにより、(1) 必要とされるスピードで能力を提供し、(2) 現在および新たな脅威を抑止するという需要に応えます。

標準のデジタル化は、DOW 内で進行中の他のデジタル取り組み（例：デジタルエンジニアリング、デジタルツイン、モデルベースシステムズエンジニアリング）と類似する原則、プロセス、手法を伴います。これは、標準化管理活動（SMA）およびユーザーコミュニティが標準を策定・管理し、相互運用性の機会を検討する方法に革命をもたらします。工学はデジタル標準が適用され自動化や効率化の可能性がある唯一の領域ではありませんが、今日、デジタルエンジニアリングこそがデジタル標準に対する最も強い需要シグナルを生み出していると言えます。デジタル標準は、DOW を完全に統合されたデジタル・エコシステムへと前進させます。

デジタル標準とは、機械可読・機械解釈可能な形式で公開され、デジタルツールやプロセスでの利用を可能にする標準化プロダクト（例：仕様書、規格、データ項目記述（DID））を指します。これには、文書ベースではないモデルやその他の標準化されたプロダクトも含まれます。

AIとリスク

 

フロンティアAIの監査に関する新しい論文について、ここしばらくずっと考えていました。これは、フロンティアモデルを組み込んだ「一般的な」高リスクAIに対して私たちが行ってきたAIアシュアランスととてもよく似ています。

本当に重要なリスクの多くは、モデルのベンチマークや高レベルの評価には現れません。実際の制約のもとで、具体的なユースケースにおいて、システムがつなぎ合わされ、人々がそれに頼り始めたときに現れてきます。

だからこそ、アクセスやモデルレベルのテストに主眼を置くアシュアランス手法（重要ではあるけれど、それだけでは足りないことが多い）には懐疑的になることがよくあります。難しいのは、オーケストレーション、ガードレール、人間の意思決定からどのようにリスクが生まれるのかを理解し、それを防御可能な形でどう検証するかを見極めることです。

この論文は大きな前進です。AIアシュアランスに実質を持たせたいなら、現実世界のリスクを具体的でシナリオ駆動の評価に落とし込むことを、もっとずっと上手くやれるようにならなければいけません——答えが不都合だったり不完全だったりしても。

リスク

 

世界的な関税をめぐる継続的なリスクは、今後も企業と各国経済を試し続けます。専門家は、トランプ時代の関税政策に駆動された現在の米国のアプローチが、より広範で持続的な世界成長への脅威から注意をそらすべきではないと警告しています。エコノミストは、貿易の混乱の激化、政策不確実性の高まり、技術変化の加速を理由に、今後1年で世界経済が弱含むと予想しています。その結果、絶え間ない混乱と構造的な分断が形作る新たな事業環境が生まれています。

世界経済フォーラムは、こうした圧力が循環的ではなく構造的なものになっていると警鐘を鳴らしています。経済学者の大多数は、天然資源とエネルギー（78%）、テクノロジーとイノベーション（75%）、貿易とグローバル・バリューチェーン（63%）、そして国際経済機関（63%）において、長期的な混乱が生じると見ています。個別のショックに後追いで対応するのではなく、世界経済は根本的な再編の途上にあります。これにより、企業のリーダーが負う責任は一段と重くなり、戦略、協調、レジリエンスを見直す必要があります。

「新たな経済環境の輪郭はすでに形になりつつあります。貿易、テクノロジー、資源、制度の各分野にまたがる混乱がそれを特徴づけています」と、世界経済フォーラムのマネージング・ディレクターであるサーディア・ザヒディ氏は説明します。「リーダーは、今日の動揺を明日の強靭性へと転換するため、緊急性を持って協働し、適応しなければなりません。」

生成AI

 

研究ガイダンスにおけるGenAIフロンティア

欧州委員会の研究・イノベーション総局が発行した本ドキュメントは、科学コミュニティにおける生成AI（#GenAI）採用の「指数関数的な急増」を乗りこなすための基盤的な政策ブリーフです。

主な目的は次のとおりです。

🎯「生きた指針」の確立：AI利用を、研究倫理の4本柱（信頼性、誠実性、敬意、説明責任）と整合させる。

🎯システミックリスクの低減：「テクノロジー疎外」、公共の信頼の低下、悪意ある誤情報の可能性といった懸念に対処する。

🎯開示の標準化：科学報告におけるAI利用の「誰が・何を・どこで」に関する業界横断的な標準化を推進する。

対象読者 👥

本ブリーフは、「許容可能な利用」の境界を定義する政策立案者、研究資金配分機関、学術出版社、そして全分野の研究者にとって不可欠です。

📍研究全体での中核的な活用領域📍

➡️ GenAIはニッチな道具から遍在するアシスタントへと転換し、学術文献での言及は2022年末から2023年末にかけて13倍に増加しました。

➡️ 学術執筆（33.7%）：言語・トーン・文体を改善し、非英語話者のハンディを是正。

➡️ 研究実施：文献レビューの効率化、設計のブレインストーミング、やさしい言葉での要約生成。

➡️ 査読：出版社が研究の健全性チェック、フォーマット整備、査読者選定を行う際の支援。

💊深掘り：化学・製薬分野での応用 🧪

報告書は、#ヘルスサイエンス（21.2%）と#応用科学（54.4%）がAI統合の主たる牽引役であると強調しています。

化学・製薬セクターでは、その影響は変革的です。

🔹医療情報学・データマイニング：医療情報学の関心度は期待値の5倍。研究者はGenAIを用いて、分類、テキストマイニング、大規模データからのセマンティック情報の抽出を行い、診断パターンを特定しています。

🔹試作の加速：短時間で多数の設計バリエーションを生成し、新規分子や製品処方の開発サイクルを大幅に短縮。

🔹「信頼できる知識」の処理：Scopus AIやElicitのようなツールにより、膨大な学術文献を「前例のない速度」で要約でき、製薬研究者は最新の臨床動向を確実にキャッチアップできます。

🔹倫理的警戒（「システム品質」要件）：製薬分野では、有害な医療助言や誤った化学安全データにつながりうる「幻覚（ハルシネーション）」を防ぐ必要性が極めて重要だと指摘しています。

課題❓

応用から評価へと移行すること。

私たちはGenAIで発見を加速しているのか、それとも「テクノロジー疎外」のリスクを招いているのか❓

コメントで議論しましょう。👇

是正予防処置

 

是正処置と予防処置はしばしば同じ意味で使われますが、これらを取り違えることは監査での不適合のよくある原因です。

本記事では、是正処置・予防処置・単なる是正の実務上の違いと、ISO 27001のようなISO規格が今日CAPAをどのように扱うことを求めているのかを説明します。焦点は、根本原因、実効性、再発防止であり、コンプライアンスのためだけの書類作成ではありません。

監査やマネジメントシステムの改善に役立つ明確な参考資料としてダウンロードできるよう、PDFを添付しました。

計測の規格

 

私の同僚のアリステア・ノーウォードは、現在改訂中のISO 10007 構成管理—指針に関して、昨夜、2026年に発行予定の新しい計測マネジメント規格 ISO 10012 に関する一般公開のホワイトペーパーを送ってくれました。

この規格は「組織がどのように測定を行うかという手順を規定するのではなく、さらに踏み込み、測定を行うために必要な考え方や会社の構造を定義している。企業が測定を実施する方法において、最も大きな変革の一つとなる規格である」。

私たちがレビュー（ISO DIS 9001）や策定（ISO 10012）を行うすべてのISO マネジメントシステム（MS）規格と同様に、ISO MS 規格作成者（ISO/IEC 指針 第1部 付属書2、附属書SL 9）は、ハーモナイズド・ストラクチャーと呼ばれる標準化された箇条および小項目を用いなければなりません。

注：HSは「ISO MSS 作成者」のためのものであり、ユーザーが自らのMS（または統合MS）を箇条4～10で文書化することを意図したものではありません。むしろ、ISO 9000:2015 の品質マネジメント原則である「プロセスアプローチ」または図1、すなわち「SIPOC」によって文書化すべきです。HSの箇条間には相互関係がないためです。

スタンダーズ・オーストラリアは、ISOミラー委員会 QR-008 から、Darryl Yaniuk 博士と Graham Dibdin の2名をISO 10012に派遣し、委員として参画しました。

アリステアは以下の委員会メンバーです：

- ISO 10012、

- ISO QS3 のメンバー、

- BSI QS3（品質規格）の議長、

- BSI SS6（統計計量）の議長、

- 英国カンブリアのセラフィールド（原子力廃止措置機関）で計量学のSME（分野別専門家）として勤務。

ISO 10012 ホワイトペーパーをお楽しみください。アリステアとBeamexに感謝します。

リスク

 

地球規模のリスクが規模・相互連関・速度の面で渦を巻くように拡大し続けるなか、2026年は「競争の時代」を画しています。各国政府が多国間の枠組みから後退し、協調のメカニズムが崩れるにつれて、安定は包囲攻撃にさらされています。短期（2年）および長期（10年）の世界見通し――「今後の期間について、世界に対するあなたの見通しを最もよく表すのは次のうちどれですか？」――の文脈では、対立が協力に取って代わる「争われる多極的」な様相が現れつつあり、協力の通貨である信頼は、その価値を失いつつあります。

品質マネジメントシステム

 

ISO 9001の次の地平を切り拓く：2026年版に向けた主要インサイトと計画

ISO 9001:2026 国際規格案（DIS）が、メキシコで開催される作業部会29（2026年1月24日〜30日）の国際メンバーによるレビューに付される準備が整いました。Standards Australiaの品質委員会Q-008およびISOの「ミラー委員会」も参加しています。

これは、組織が自社のプロセスおよび支援する文書化された情報（手順等）を見直し・準備し、改訂版のISO 9001 QMS要求事項をそれら（現行およびDIS 9001の箇条5.1）に統合するうえで、極めて重要な節目となります。

QMSの再調整と継続的改善を支援するため、SAI Globalのホワイトペーパーを同梱しました。本資料は、ISO 9001:2015の基盤に基づき、戦略ツールで補強し、ISO TC176の品質保証（QA）・品質管理（QM）の知識体系（ISO 10013:2023やISO 9000:2015の「プロセスアプローチ」など）への一部参照を加えた、包括的なFAQガイドです。なお、「プロセスアプローチ」はISO DIS 9001においても中核となっています。

内容は以下の通りです：

✅ 石川馨博士の三種のうちタイプ2に関する、質問の要約を示す特性要因図と、その詳細回答を記した同一図

✅ 必要に応じて、ISO 9001の箇条4〜10に沿った文書構造ではなく、プロセスベースの再調整を形作るための「スリー・ホライズン・フレームワーク」

　（ISO 9001:2015 序文および0.1 一般「この国際規格の意図」を参照）

✅ 変化への優先順位付けと複雑性の管理、そして事業運営を「箇条」ではなく「プロセス」で捉えることへの移行に伴う難しさへの対処に役立つ「チェンジ・ピラミッド」

［補足：すべてのISOマネジメントシステム規格（MSS）は、ISO MSSの起草者により改訂・策定されます。いずれかのマネジメントシステムを文書化する際に、ISO/IEC指令 第2部 付属書SL 9の「調和化構造（HS）」にある箇条4〜10を単に写すことは、HSの箇条および要求事項4.4に照らして「不適合」となる可能性があります。］

ISO 9001は2026年9月の発行に向けて予定どおり進行中です。注：国際航空宇宙品質グループ（IAQG）および国際自動車タスクフォース（IATF）は、すでにそれぞれのIA9100（旧AS9100D）およびIATF 16949のQMSに、ISO 9001:2026を組み込む準備を開始しています。私のISO 9000およびISO 9001に関する4本のホワイトペーパーは2018年にSAI Globalを通じて掲載され、現在は品切れですが、なお有用で公開承認済みです。当時の編集者である#NatashaNaude氏と、SAI Globalのグラフィックチームに感謝します。

リーン生産方式

 

成功を“努力いらず”に感じさせる日本の秘密。

大きなブレイクスルーは必要ありません。必要なのは「カイゼン」です。

この日本の概念は「より良く変える」という意味です。

もともとはビジネスの世界で生まれましたが、

人生の改善にも役立ちます。

小さな一歩を積み重ねて、

やがて大きな変化につなげる考え方です。

なぜ効くのか:

✅ シンプルで続けやすい

✅ すぐに勢いがつく

✅ 失敗を糧に変えられる

🚀 ライフタイム・アクセス・パス（90%オフ）— 一度の支払いで、無制限にダウンロード。

👉 ライフタイムアクセスを手に入れる（90%オフ）：https://payhip.com/b/I5oaj

新しいニーズが出るたびにテンプレートを1つずつ買うのはやめましょう。

✅ 買い切り（サブスクリプション不要）

✅ 無制限ダウンロード

✅ 現在のライブラリ＋今後の全リリース

✅ Excel＋Googleスプレッドシート（対応分）

👉 ライフタイムアクセスを手に入れる（90%オフ）：https://payhip.com/b/I5oaj

カイゼンを実践に落とし込む方法:

1. ひとつに絞る

小さく始めましょう。ちょっとした習慣、シンプルなルーティン。

少しずつ良くしていく。これが変化を楽にします。

2. 失敗から学ぶ

うまくいかなかった？大丈夫。

何が原因か見極め、学び、前に進みましょう。

3. 小さな成功を祝う

通勤の近道を見つけた？

素晴らしい！小さな積み重ねが大きな差になります。

4. フィードバックを大切にする

周りの声に耳を傾けましょう。

他者の気づきが改善を助けます。

5. 継続する

小さな改善を

毎日の習慣に組み込みましょう。

6. 仲間を巻き込む

歩みを共有しましょう。

カイゼンは仲間と一緒だと加速します。ともに成長を。

7. 進捗を振り返る

どこが良くなったか時間をとって振り返り、

次の目標を設定しましょう。

8. シンプルに保つ

最良の変化はたいていシンプルです。

複雑にしすぎないこと。

9. 焦らない

良い結果には時間がかかります。

続ければ、必ず成果が見えてきます。

10. 止めない

改善の余地はいつでもあります。

より良くする方法を探し続けましょう。

カイゼンは単なる概念ではありません。生き方です。

小さく始め、着実に続ける。

そしていつの日か振り返ったとき、

信じられないほど遠くまで来ている自分に気づくはずです。

サイバーセキュリティ

 

2026年のサイバーセキュリティは、脅威の増大、地政学的な分断、そして広がるテクノロジー格差の中で加速しています。人工知能（AI）は攻防双方を変革し、防御を強化する一方で、より巧妙な攻撃も可能にしています。各組織はイノベーションとセキュリティの両立を目指し、ガバナンスの枠組みや人材の専門性が追いつかない中でも、AIや自動化を大規模に取り入れています。その結果、テクノロジーが新たなレジリエンスの可能性を開く一方で、混乱が国境を越えて迅速に拡散する、スピード感のある変貌著しい状況が生まれています。

戦略的インサイト 🔔

サイバーセキュリティ規制を実行へとつなげるには：

取締役会、QA、ITが知っておくべきこと

ここ数週間、ENISAの「NIS Investments 2025レポート」と「サーベイデータ付随文書」を読み込んできました。欧州でサイバーセキュリティ規制が実際にどう実装されているかを最も明確に示す資料のひとつです。

特に印象的だったのは、化学・製薬・医療機器の現場で日々目にする実情と非常に合致している点です。

➡️ 原動力はコンプライアンス、

➡️ 人材不足は構造的課題、

➡️ パッチ適用とサプライチェーンリスクは依然として弱点、

➡️ 取締役会の期待値は上昇中、

➡️ そして部門横断の協働はもはや必須。

今日は、これらの示唆を特に高規制・高重要度の分野で活動するリーダーのために、実務的な指針へと落とし込みます。

各レイヤーのリーダーに対する明確な期待事項は次のとおりです。

🧭 取締役会・経営層

・サイバーセキュリティをIT課題ではなく企業リスクとして扱う

・NIS2に整合したKPI/KRI（パッチ、アセスメント、サプライヤ成熟度）を求める

・実運用上のエクスポージャーを反映した予算配分を確保する

🧪 QA・RAリーダー

・サイバーセキュリティをQMS、バリデーション、サプライヤ評価に組み込む

・ITと共同でパッチ適用と変更管理を担う

・監査官がCSVだけでなくサイバー態勢についても質問することを想定して準備する

💻 IT・OTチーム

・LIMS、MES、SCADA、QMSのハードニングとネットワーク分割を進める

・パッチの遅延を削減し、定期的にアセスメントを実施する

・部門横断のエスカレーションを含むインシデント対応を強化する

🤝 部門横断のリーダー

・デジタル資産、データフロー、クラウド活用の共同責任体制を構築する

・研究所、生産、サプライチェーン向けに的を絞った意識向上トレーニングを促進する

📍私の結論：

サイバーセキュリティは、今や戦略的かつ品質に直結し、部門横断で担うべき責務です。

規制は最低ラインを示すに過ぎず、真のレジリエンスは実行から生まれます。

👉 規制産業でNIS2、CRA、サイバーセキュリティ・ガバナンスに取り組んでいる方は、ぜひつながって知見を交換しましょう。

NISTサイバーセキュリティ・フレームワーク（CSF）の導入は、技術的な管理だけの話ではなく、ガバナンスとポリシーの話です。多くの組織はNIST CSFを技術的なロードマップとして扱っています。しかし、しっかりしたポリシーテンプレートガイドがなければ、砂上の楼閣に過ぎません。

NIST CSF 2.0への移行で状況は一変しました。もはやIdentify・Protect・Detect・Respond・Recoverだけではありません。新たに「Govern（GV）」機能が中心に据えられ、セキュリティを組織のリーダーシップの織物に織り込むことが求められています。

今期ポリシーテンプレートを更新するなら、見落としがちな次の3つの変化を織り込む必要があります。

1️⃣ 「Govern」へのピボット:

ポリシーには「サイバーセキュリティ供給網リスク管理（C-SCRM）」を明示的に定義しなければなりません。自社の境界を守るだけでは不十分で、ベンダーのベンダーまで含めたリスクをどう管理するかを文書化する必要があります。

2️⃣ 静的から「プロファイル」へ:

良いテンプレートガイドは単なるTo-Doリストではありません。現状プロファイルと目標プロファイルの作成を支援すべきです。ポリシーは、今いる地点から到達すべき姿へどう移行するかを橋渡しするものです。

3️⃣ 成果ベースの言語へ:

NIST CSF 2.0は「規定的手順」よりも「成果」に軸足を移しました。ポリシーテンプレートには、どのツールを使うかではなく、「成功の姿」（例：「アクセスは認可されたユーザーに限定されている」）を反映させるべきです。

なぜこれが重要か？

適切にテンプレート化されたポリシーは次をもたらします。

✅ 監査準備性: SOC2、HIPAA、ISO 27001に向けた「コンプライアンス火消し」を大幅に減らします。

✅ ステークホルダーの合意形成: 「サイバー用語」を取締役会が理解できるビジネスリスクに翻訳します。

✅ スケーラビリティ: 毎年ルールブックを書き換えることなく、セキュリティ体制を拡張できます。

車輪の再発明はやめましょう。構造化されたテンプレートガイドを使い、ポリシーを紙切れではなく「防御力」にしましょう。

NISTにポリシーを整合させる際に直面した最大の課題は何でしたか？

ゼロトラスト（ZT）は情報技術（IT）の単なるソリューションではなく、包括的なサイバーセキュリティのアプローチです。ZTはテクノロジーや特定の製品を活用することはあっても、単一の機能やデバイスを指すものではありません。ZTの導入は、機能・技術・ソリューション・プロセス・実現手段を統合していく「旅路」です。この取り組みを前進させるには、関係者が参画して整合性と合意形成を図ること、資源を効果的に集中させるための優先順位付けの仕組みを設けること、そして継続的な改善と適応のためのフィードバックループを回し続けることが必要です。

https://1drv.ms/b/c/730b2c0a011d4f4e/IQBOTx0BCiwLIIBz5AgAAAAAAXZylc56eBjQzWMWhueGUYA

生成AI

 

ISO 9001の遵守に汎用AIを使うのは、もうやめましょう。

それは「自信満々の嘘つき」です。

あなたの具体的な状況を知りません。

あなたの版管理の履歴も知りません。

ましてや、あなたが昨日「SOP-8.4」を更新したことなんて知るはずがありません。

条文をChatGPTに貼りつけてチェックリストを作らせるのは、自分で不適合を自動化しているようなものです。

でも…解決策はあります。

私たちはAIツールを徹底的にストレステストし、製造業向けISO 9001コンプライアンスのための究極の「手動AIスタック」を構築しました。

「ゼロコスト」設計図（スライドで解説）:

🧠 脳: Google Gemini 3 Pro（ディープサーチ用）

👮‍♂️ 監査官: Grok（容赦ない批評用）

📚 図書館: NotebookLM（確かな根拠のため）

このスタックは機能します。人間の監査員が見落とす点と点をつなげてくれます。とはいえ、プロセスを管理し、最適化する必要があります。

ドキュメントを更新した瞬間、このスタックは壊れます。

だから、更新したファイルや新しいログを手動で再アップロードしなければなりません。AIを最新に保つために、ファイルのヘッダーに律儀にタイムスタンプを付けて版を管理する必要があります。

さらに、NotebookLMのワークスペースやフォルダは期間ごとに命名し、ファイル名にバージョン番号を付けて、システムを見通しよくするべきです。

そこで私はSamrianを作りました。

このスタック全体を自動化し、ファイル整理の心配をなくしました。あなたは結果に集中するだけでいいのです。

それでも自分でこのスタックを作りたいなら、手順をスライドにすべて分解してあります。➡️

リスクマネジメント

 

不確実性は、リスクがどのように概念化され、モデル化されるかにおいて中心的な役割を果たします。ISO 31000のリスクの定義では、不確実性が主役として位置づけられており、リスクの多くの構成においても、不確実性は確率、もしくはもう少し緩やかに言えば起こりやすさとして、中核的な教義になっています。私が実施した多くのワークショップや研修コースで、参加者に不確実性を説明してもらうようお願いしてきました。説明の内容はさまざまでしたが、リスクを論じる際に不確実性の単一の側面にほぼ専ら焦点を当てる傾向がありました。

同様の現象は、多くのリスクリポートや「リスク登録簿」にも見られます。不確実性が極めて狭く捉えられているのです。

私はテリエ・アーヴェン（Terje Aven）の仕事の大ファンであることを隠しません。彼の論文や著書をまだ読んでいないなら、読んでください。待たずに、今すぐに！

テリエは不確実性の多くの側面を論じていますが、彼が広範に著している領域の一つが、不確実性（リスク）という概念を構築するために用いるデータや情報自体の不確実性です。言い換えれば、私たちは皆、データや情報に依存し、それを解釈して知識を生み出し、それをリスク評価に投入しています。しかし、こうした「入力」についてどれほど確信が持てているのでしょうか。私たちはどのような前提に依拠しているのでしょうか。その前提を把握しているでしょうか。検証したでしょうか。これらの前提やその他の不確実性が、リスク評価の出力・結論・結果にどのような影響を与えるのか、理解しているでしょうか。

テリエは、リスクモデルの不可欠な要素として「知識の強さ（strength of knowledge）」という用語を用いています。私自身、リスク実務家として、リスクプロダクトの利用者（COOとして）、そしてコンサルタント（しばしば他者の業務をレビューし助言する立場）としての経験から、単一のリスク評価の中であっても知識の強さに大きなばらつきがあるのを見てきました。それは、非常に信頼できて妥当なものから、ありがちな「ほとんど当て推量」に至るまで幅があります。定量評価では、特定の出力に信頼区間が示されることがあります（本来あるべき頻度よりはかなり稀ですが）、一方で、定性評価ではほとんど考慮されません。それにもかかわらず、私たちはリスクに関して意思決定を行い、「高」とラベル付けされたものを「重要」とラベル付けされたものより自動的に重視しがちです。しかし、これらの推定値の周りの不確実性を含めたなら、「重要」とされたリスクの推定が「中」から「極めて高い」までの幅を持つことがわかるかもしれません。これは、単に「重要なリスク」とされるよりも、はるかに検討に値するリスクです。

したがって、知識の強さを理解することは有用であり、特にそれをリスクの評価と判断に組み込むなら、なおさらです。知識の強さが低い「重要」なリスクは、知識の強さが高い同程度のリスクより、はるかに重要である可能性があります。

とはいえ、これは不確実性の多面的な性質のうちの一側面にすぎません。こうした側面を理解することは、より良く、より示唆に富むリスク評価につながり得ます。本稿には、不確実性についての私の最近の思索に基づく論文を添付しています。

消えるテクノロジー

 

🚨 2030年までに、身近なテクノロジーのいくつかは永遠に姿を消すかもしれません 👋📉

周りを見渡してみてください。

私たちが日々頼っているツールの一部は、すでに猶予期間に入っています ⏳

2030年までに、デジタル化、AI、よりスマートな接続性によって、身近なテクノロジーが静かに姿を消し、日常が再構築されるかもしれません 👇

🔐 パスワード → 生体認証＆パスキー

💳 現金・プラスチックカード → デジタルウォレット

🗝️ 金属の鍵 → スマートロック

📺 テレビのチャンネル → オンデマンド配信

🧾 紙のレシート → デジタル記録

🔌 ケーブル・リモコン → ワイヤレス操作

💾 外付けドライブ → クラウドストレージ

これらの変化はテクノロジーだけの話ではなく、習慣の変化でもあります。

⚡ もっと速く

 🔒 もっと安全に

 🌍 もっと持続可能に

 🧠 もっとシームレスに

AI、クラウド基盤、スマートデバイスは、日常から静かに摩擦を取り除く一方で、セキュリティやプライバシー、アクセスの在り方も再定義しています。

これらの変化はテクノロジーだけの話ではなく、習慣の変化でもあります

サイバーセキュリティ

 

首相は、政府は国を共通の目的のもとに団結させるために存在していることを明確にしてきました。その目的とは、市民を守り、公的サービスを支え、すべての家庭に機会を確保することです。その精神に則り、本書では、政府および公共部門のサイバーセキュリティとレジリエンスを迅速に向上させ、デジタル政府に対する英国民の安心と信頼を守るために、私たちが講じる実践的で測定可能な施策を示します。

公共サービスのデジタル化は、英国に大きな利点をもたらします。私たちは、納税者にとってより効率的で、利便性が高く、費用対効果の高いサービスを提供できます。しかし、これらの利点を実現するには、公共サービスを安全にし、信頼でき、かつ強靭であることを確保する必要があります。これを達成できなければ、デジタル化の進展に伴い、サイバーおよびデジタル・レジリエンスのリスクが高まってしまいます。

政府サイバー行動計画は、より広範な「現代的なデジタル政府に向けたロードマップ」の一環として、公共サービスをいかにして信頼でき、かつ強靭なものとして確保する

サイバーセキュリティのリスクマネジメントは、組織の情報資産や技術資産に対するリスクを特定・評価・低減するプロセスです。

これは、データ・システム・ネットワークに対する潜在的な脅威や脆弱性を把握し、それらを軽減するための管理策を実装することを含みます。

目的は、情報の機密性・完全性・可用性（CIAトライアド）を保護することです。

💡 サイバーセキュリティ・リスクマネジメントの重要性 🛡️

サイバーセキュリティのリスクマネジメントは、組織の規模や業種を問わず不可欠です。単にデータ侵害を防ぐだけでなく、事業運営や評判を守ることが目的です。その重要性は次のとおりです。

◾ 資産を保護: 顧客データや知的財産などの貴重な情報を守ります。

◾ コンプライアンスの確保: 法令や規制（例: GDPR、HIPAA）への適合を支援し、罰則の回避に寄与します。

◾ 事業継続性の担保: サイバーインシデントからの迅速な復旧を可能にし、業務の中断を最小化します。

◾ 信頼の構築: データ保護への取り組みを示し、顧客やステークホルダーの信頼を高めます。

◾ 意思決定の支援: 組織のセキュリティ状況を明確化し、賢明な投資判断を後押しします。

🚀 事前構築されたツールキットでインフォセックを強化！

ゼロから堅牢な情報セキュリティマネジメントシステム（ISMS）を構築するのは膨大で時間のかかる作業です。リソースを消耗し、強固なセキュリティ態勢の確立を遅らせます。

👉 InfoSec ISMS リスクマネジメント・ツールキットが包括的な解決策を提供します。

これは単なるドキュメント集ではありません。むしろ次のようなものです。

◾ 方針や手順のための、すぐに使えるカスタマイズ可能なテンプレートを備えた戦略ガイド。

◾ リスクの特定・評価・低減を支援し、ゼロから作り上げなくても、強力で成熟したリスクマネジメントプログラムを実現します。

このツールキットは、世界水準のセキュリティプログラムを迅速に確立する力を与え、組織を受動的な姿勢から能動的なセキュリティ態勢へと導きます。

今日こそ、苦労に終止符を打ち、セキュリティ卓越への道を歩み始めましょう！

https://lnkd.in/dzr7HkkM

🛑 自分だけで抱え込まないでください！この情報を必要としている人がきっといます。共有すれば感謝されます。

CYVEER をフォローして、サイバーセキュリティに関する洞察やリソースをさらにチェック！ ✨

プライバシーガバナンス

 

ISO/IEC 27701:2025：なぜ今、プライバシー・ガバナンスはITの作業ではなく取締役会の課題なのか

長年、多くの組織はプライバシーを情報セキュリティの「付け足し」として扱い、ISO 27001の後回しにしたり、ポリシーの中に埋め込んだり、法務やITに丸投げしたりしてきました。

ISO/IEC 27701:2025は、その時代の終わりを告げます。

この新しい版は、単にプライバシー管理策を「更新」するだけではありません。特に銀行、フィンテック、政府機関、厳格に規制された環境において、2025年以降に組織が個人データをどのように統治すべきかを再定義します。

リーダーが注目すべき点はこちらです 👇

1️⃣ プライバシーは独立したマネジメントシステムに

ISO 27701はもはやISO 27001に依存しません。

プライバシーは、単なるセキュリティの延長ではなく、ビジネスのケイパビリティとして、独立して統治できるようになりました。

この変化が大きいのは次のような組織です：

- 金融機関

- フィンテックやSaaSプラットフォーム

- 公的機関や規制当局

2️⃣ アカウンタビリティはもはや任意ではない

この規格はデータライフサイクル全体にわたる明確な責任の所在を求めます：

- だれがデータ収集を承認するのか？

- だれが保存期間の判断を持つのか？

- だれがデータ共有を許可するのか？

2025年、規制当局は「ポリシーはありますか？」とは聞きません。

彼らは「だれが責任者ですか？」と問います。

3️⃣ グローバル規制とAIの現実に適合

ISO/IEC 27701:2025は、GDPR、英国GDPR、AIガバナンス、そして新興の各国プライバシー法と整合しています。

- 多国籍企業にとっては次の意味を持ちます：

- 1つのフレームワークで複数の規制要件に対応

- 監査や調査でのより強固な防御

- イノベーションと対立せずにスケールするプライバシー

4️⃣ ガバナンスが中心へ

プライバシーには次が求められます：

- 取締役会の可視性

- 経営層の後援

- 全社的リスクマネジメントとの統合

より大きなメッセージ

ISO/IEC 27701:2025は、規制およびガバナンスの明確な期待を示しています：

プライバシーは、もはやコンプライアンスのチェックリストではなく、リーダーシップ、説明責任、信頼の問題です。

プライバシーを文化・ガバナンス・リスク管理として捉える組織は、次のことが可能になります：

- 規制変更により迅速に対応

- 顧客や市民からより大きな信頼を獲得

- 規制市場でより競争力を発揮

- 事案発生時の精査に耐える

そうしない組織は、どれだけ多くのポリシーを公開しても苦戦するでしょう。

最後の考え

2025年に問うべきは「プライバシーポリシーはありますか？」ではありません。

本当の問いはこうです：

「プライバシーが統治され、責任者が明確で、業務に組み込まれていることを、いつでも証明できますか？」

それがハードルを定める規格、ISO/IEC 27701:2025です。

添付の文書はPeer Saheb Shaikが所有しています。Th

品質

 

ラウル・モルテーニ氏が国際品質アカデミー（IAQ）の会長に就任したとき、彼は袖をまくって——働く準備、耳を傾ける準備、そして導く準備を整えていた。彼のビジョンはIAQの目的を書き換えることではなく、人工知能、サステナビリティ、そして地球規模の相互接続性によって品質そのものの意味が再定義されつつある世界において、その目的を行動へと変えることにある。

モルテーニ氏は明確にしている——IAQの未来は彼ひとりが決めるものではない。それは大陸をまたぐアカデミシャンたちによって形作られる集合的な旅路であり、品質は関連性を保つために進化しなければならないという信念に根ざしている。

I. 戦略が重要である理由

目的から行動へ：IAQが自らの未来を再考すべき理由

IAQの創設ミッション——「私たちの相互の貢献によってIAQは前進し

刊行のお知らせ — QORニュースレター 2025年12月号

品質・オペレーショナルリサーチ（QOR）ニュースレター第5巻第3号の発行をお知らせします。本号の制作に尽力いただいた皆さまに心より感謝申し上げます。

本号は、私たちのグローバルコミュニティの質の高さ、思慮深さ、そして惜しみないご協力を映し出す内容となっています。洞察、研究、経験、告知を共有くださった全ての寄稿者の皆さまに、心からの謝意を表します。

特集記事

• 自動車向けSPICEによるAI/MLセーフティ — Subi Ravi、Bodo Seifert、César Flores、Siddartha R.

• 統合プロセス・エクセレンス — John M. Cachat

オピニオン

• ワン・モデルの背景：Total Leadership Performance™ — Paul Bellavance、Dirk Coetsee

• 世界の大学運営優秀校トップ25 — Dale Weeks

• TÜV Rheinlandが専門性・責任・成長をどう両立するか — Dr. Achim Ernst

お知らせ

• One Model: Total Leadership Performance™ — Paul Bellavance、Dirk Coetsee（マレーシア）

• ICRTETBM-2026 — P. K. Kapur教授（アミティ大学、インド）

• ICQEM26 — Paulo Sampaio教授、André M. Carvalho博士（ノヴァ大学リスボン、ポルトガル）

• Global OE Index — Dawn Ringrose

高品質で、関連性が高く、意義深いコンテンツをご提供くださった全ての著者の皆さまに感謝申し上げます。皆さまの取り組みにより、私たちの専門コミュニティは最新の知見を共有し、つながり続け、継続的に学ぶことができています。

本号およびバックナンバーへのアクセスは、QORニュースレターのウェブページ https://lnkd.in/gQAWcwF をご覧ください。

今後の号へのご寄稿にご関心がありましたら、同ページの投稿要領をご確認のうえ、編集チームまでお気軽にご連絡ください。

寄稿者の皆さま、そして世界中の読者の皆さまに、心より感謝いたします。

品質は偶然に生まれるものではありません。強固な仕組み、経営陣のコミットメント、そして継続的改善によって築かれます。

本スライドでは、ISO 9001の概要、条項、利点、原則に加え、導入から認証取得までの実務的なプロセスを簡潔にまとめ、組織が一貫性、顧客からの信頼、持続的な成長を実現する一助となる内容を提供します。

プロセスを強化したい方や認証取得に向けて準備を進めている方にとって、最初の一歩として最適な資料です。

ISOやQMSの枠組みが硬直的な文書化を解体し、口頭での会話を独立した手段として扱うという主張は、厳格に規制された業界にとって支持材料とは見なすべきではありません。重大な不正確さやリスクがあるため、口頭のみが有効な証拠形態になることは決してありません。医薬品の品質システムはISO-QMSに基づいているため、読者は、重要なプロセス、逸脱・フォローアップ、サプライヤー関連事項・資格付与、変更管理、バッチ記録の各ステップには、正式な文書化とトレーサビリティが必要であることを理解し、注意する必要があります。口頭の方法だけでは、これらの要件を満たすことはできません。要するに、何も変わっていません—こうした事業を口頭ベースで運営することは、厳格に規制された業界では決して不可能です。同様に、文書化については、ISOは企業に対し、種類・性質・量を厳格な制限なしに自社で決定することを認めています（これは「ISOは重い文書を要求する」という長年の批判を和らげるためのものです）。しかし、これも厳格に規制された業界には当てはまりません。必須の文書化要件は依然として存在し、他の選択肢はありません。以上、よろしくお願いします。

PDCA

 

 

リスクマネジメント

 この雑誌で繰り返し取り上げられるテーマとして、企業はリスクマネジメントに消極的で、依然として進捗を妨げたりイノベーションを抑えたりするコンプライアンス作業と見なしがちだ、という指摘があります。提案されている解決策のひとつは、役割の捉え方を転換し、リスクマネジメントは害を避けるだけでなく「適切なリスクを取る」ことでもあると明確に示すことです。

次に、チーフ・リスク・オフィサー（CRO）という肩書があります。取締役会の関心をどう得て意思決定に影響を及ぼすか、というよくある懸念もあります。CRO職の台頭はしばしば前進として語られ、権限の拡大、可視性の向上、戦略的影響力の強化を示唆します。

最後に「リスクリーダー」という考え方があります。実際にリスクリーダーであるとはどういう意味なのか、そして今日、有効なリスクリーダーシップを形作る資質とは何か。私がその問いをリスクコミュニティに投げかけたところ、答えは実に多様でしたが、いくつかの明確なテーマが浮かび上がりました。

欧州連合の機関・団体・事務所・機関（EUI）による、個人データの処理を伴うAIシステムの開発・調達・導入は、プライバシーやデータ保護を含むがこれらに限定されない、データ主体の基本的権利と自由に重大なリスクをもたらします。規則2018/1725（EUDPR）の要である説明責任の原則は、（行政目的の個人データについては）第4条第2項、（業務目的の個人データについては）第71条第4項に明記されており、EUIに対し、これらのリスクを特定・低減し、その方法を示すことを求めています。とりわけ、AIシステムは、複数の関係者が様々な立場で個人データを処理する複雑なサプライチェーンの産物であることが多く、この点は一層重要です。

本ガイダンスは、データ管理者として行動するEUIが、これらのリスクの一部を特定し、低減することを支援することを目的としています。より具体的には、EUDPRで示された特定のデータ保護原則に対する不遵守のリスクに焦点を当て、管理者が実装すべき低減策が技術的性格を持ち得るもの―すなわち、公平性、正確性、データ最小化、セキュリティ、そしてデータ主体の権利―を取り上げます。したがって、本ガイダンスに掲げる技術的管理策は決して網羅的なものではなく、EUIが自らの特定の処理活動によって生じるリスクを独自に評価する責務を免除するものでもありません。その際、本ガイダンスはリスクの発生可能性や重大性の順位付けは行いません。

サイバーセキュリティ

 

(U) 「NSA/CSS テクニカル・サイバー脅威フレームワーク v2（NTCTF v2）」は、国家情報長官サイバー脅威フレームワークの技術的な拡張として策定されました。これは、オペレーティングシステムに依存しない共通の技術レキシコンを用いて、NSA が敵対者の活動をどのように記述・分類するかを標準化することを目的としており、業界の定義とも密接に整合しています。この共通の技術サイバーレキシコンは、情報コミュニティ全体における共有、製品開発、作戦計画、知識駆動型の運用を支援します。技術サイバーレキシコンを一般に公開することで、コミュニティ全体との協働が可能になります。NTCTF を用いることで、知識管理を支えるために敵対者の活動を整理・検討し、分析作業を可能にします。

(U) 「NSA/CSS テクニカル・サイバー脅威フレームワーク v2」と題するサイバーテクニカルレポートは、敵対者のライフサイクル全体にわたる活動について、米国政府がパートナーや関係者と協力して議論する際の参照として用いる標準定義の基盤を提供します。

サイバー脅威情報とは、組織がサイバー脅威を特定・評価・監視し、対応するのに役立つあらゆる情報のことです。サイバー脅威情報には、侵害の指標（IoC）、脅威アクターが用いる戦術・技術・手順（TTPs）、攻撃を検知・封じ込め・防止するための推奨アクション、そしてインシデント分析から得られた知見が含まれます。サイバー脅威情報を共有する組織は、自組織だけでなく他組織のセキュリティ体制の強化にも寄与できます。

本書は、サイバー脅威情報の共有関係を構築し、参加するためのガイドラインを提供します。本ガイダンスは、情報共有の目標を定め、サイバー脅威情報の情報源を特定し、共有活動の範囲を明確化し、脅威情報の公開と配布を管理する規則を策定し、既存の共有コミュニティと関与し、組織全体のサイバーセキュリティ実務を支援する形で脅威情報を有効活用するのに役立ちます。

政府、医療機関、重要なインフラストラクチャ、または多国籍環境で活動する組織は、ビジネス上の前提として侵害の可能性を認識しなければ、レベル 1 のリスクを合理的に受け入れることはできません。

これは、リスク実務者からよく聞く、しかもますます分断を生む発言のひとつです。

質問としてではありません。スローガンとしてです。

▪️「リスク登録簿の使用をやめろ」

▪️「そんなのは役に立たない」

▪️「付加価値がない」

繰り返されることは多いのに、説明はほとんどありません。

このカルーセルはまさにそのために作られました。何をやめるべきかばかりが語られ、誰も次の点を明確に説明しないことに、多くの実務者がうんざりしているからです。

▶️ なぜリスク登録簿が実務で機能不全に陥るのか

▶️ それでも妥当性があるのはいつか

▶️ そして妥当でないときに何で置き換えるべきか

このシリーズは、リスク登録簿を盲目的に擁護しません。

同時に、廃止も訴えません。

その代わりに、リスク登録簿がどのような条件のもとで

▪️有用になり得るのか

▪️制限が不可欠なのか

▪️そして必然的に有害化するのか

を、明確で譲れない基準として示します。

もし次の点について疑問に思ったことがあるなら:

✔️ なぜリスク登録簿がしばしば官僚的な一覧表に堕してしまうのか

✔️ それをやめれば本当に問題が解決するのか

✔️ ISO 31000 が明示的・暗黙的にリスク登録簿をどう位置づけているのか

👉 このカルーセルはあなたのためのものです。

スワイプして、リスク登録簿が本当にマネジメントを支えるのはいつか、そして最も規律ある選択が、それらを単純化し、縮小し、あるいは明確さと自信をもって手放すことなのはいつかを見てみましょう。🙏