AI Governance

• ISACA の 2025 年サイバーセキュリティ調査で、技術職への需要は増えているが採用・保持の課題が続いている。
• AI 活用と AI ガバナンスへの関与も増加しており、ソフトスキルや適応力が最重要資格へと昇格した。
• 社会工学攻撃が頂点となりストレス環境が強まり、チームのウェルビーイングに注力するよう推奨されている。

サイバーセキュリティ人材の確保と AI 統合におけるガバナンス強化が業界全体の健全性を決定づける現状であるため重要。

• 欧州の IT プロフェッショナルは約 4 対 10 の組織でサイバー攻撃が増加しており、専門家は高ストレス状態にある。
• 予算や人員の改善が見られるものの、脅威に対応するペースに追いつけておらず採用も課題を抱えている。
• AI ガバナンスへの関与が急増している一方で、EU の AI 法や NIS2 などの規制対応が緊迫している。

欧州のサイバー脅威が拡大し、組織の準備自信が低い現状で、AI ガバナンスと人材確保が新たな課題となっている。

• ISACA の新規調査「Tech Trends & Priorities Pulse Poll」が、2026 年にテクノロジープロフェッショナルが最も懸念する課題を明らかにした。
• 調査対象者は 59 パーセントと半数以上が、「AI 駆動されたサイバー脅威」と深層偽造（deepfakes）による夜更かしを予測している。
• 組織側では AI 関連リスク管理と規制コンプライアンスが最優先事項であり、多くの専門家が業務リテラシーの向上に注力する見通しだ。

2026 年のデジタル信頼を定義する新たな脅威環境（AI サイバー攻撃・規制複雑化）を理解し、組織のレジリエンス構築や人材育成への移行戦略が重要な課題となるため。

• ISACA と Nasscom がインドの労働力のデジタルスキル標準化を目的に合意書を取り交わした。
• CISA や CISM など主要認証が NSQF と対等なレベルで正式教育と統合される。
• AI 管治に関する新カリキュラムも取り入れられ、NQR に登録して学点も取得可能にした。

インドの IT 業界と政府による大規模スキル強化計画において、国際的認証の標準化が人材確保に不可欠であるため。

• ISACA がデジタル信頼を強化するため、ITAudit Framework (ITAF) の改訂第 5 版を更新し公開した。
• AI やクラウドといった新興技術に対応し、従来の監査枠組みを超えた包括的なガイドラインを提供する。
• データ分析やアジャイル監査も取り入れ、組織規模を問わず実践的かつ透明性の高い監査業務を支援する。

AI の発展に伴う新たなリスクとガバナンス要件に対応し、デジタルエコシステムにおける信頼性を高めるための包括的な枠組みとして重要なツールとなる。

• ISACA の調査によれば、企業は AI を急速に採用しつつも、セキュリティインシデントへの対応体制や人間による監視が十分でない。
• 56% の組織はセキュリティ事象で AI システムを即座に停止できるスピードの把握できておらず、43% は調査・説明能力に自信を持っている。
• AI 生成物の開示義務の不備や責任者の不明確さが浮き彫りとなり、EU AI 法のような規制強化に向けた準備が必要である。

AI の採用速度がセキュリティガバナンスを上回る状況下で、組織は重大なリスクが発生した際の対応と説明責任を正しく果たせないままいる。

• 欧州の組織が AI システムを停止・回復する能力や、故障後の説明責任を認識できていないと ISACA の新調査が示した。
• EU AI Act の施行に先立ち、説明可能性と管理体制の欠如は法的リスクと信頼性を大きく増大させる。
• AI リスク管理はサイバーセキュリティ対策ではなく、企業全体のガバナンス課題として再定義されることが必要である。

EU AI Act の施行時期に迫り、実務上の説明責任と対応能力のギャップが深刻化しているため、規制適合策定に直結する重要度が高い。

• EU パラメントが「チャットコントロール」による私的通信の広範な監視を廃止し、4 月からの期間限定措置が終了した。
• メタやグーグルなどの米社による自動化されたメッセージ・画像スキャンが停止され、デジタルプライバシーが復元される。
• 誤検知問題やリソース浪費に加え、匿名性の維持など真の子供の保護アプローチへの転換が必要とされる。

個人の通信プライバシーの法的権利を強化し、非効率的な AI 監視システムから真の実質的な捜査への移行を促す画期的な決定である。