Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > No category > NIS2、DORA、EU AI法:欧州企業が対応に苦慮する理由

NIS2、DORA、EU AI法:欧州企業が対応に苦慮する理由

by Marc ten Eikelder updated 6月 5, 2026 規制コンプライアンス
Reading Time: 8 minutes

欧州の組織が規制コンプライアンスで失敗しているのは、意欲が足りないからではありません。3つの主要な規制フレームワークがほぼ同時期に施行され、それぞれ重複しつつも異なる要件、加盟国ごとに異なる実施タイムライン、そしてそれぞれ独自の文書化・監査・証拠チェーンを求めるコンプライアンス義務が発生したことが原因です。その結果、コンプライアンス環境は単に厳しいだけでなく、多くの組織が構築してきたセキュリティやガバナンスプログラムと構造的に整合していません。

Span Cyber Security Arenaカンファレンスで、サイバーセキュリティガバナンスの専門家であるAntonija Vojnović氏はこの問題に数値を示しました。EMEA地域の金融サービス企業の96%が、自社のデータレジリエンスがDORAの期待に達していないと報告しています。これは準備不足の組織だけの統計ではなく、何十年にもわたりコンプライアンスに多大なリソースを投じてきた業界全体のほぼ総意ともいえる結果です。

NIS2、DORA、EU AI法は、組織とその取り扱う個人データをシステミックなサイバーリスクやAI関連リスクから守るという共通の目的を持っていますが、その目的を実現するための適用範囲、証拠要件、執行機関がそれぞれ異なります。3つすべての適用対象となる組織にとって、コンプライアンス業務は単純な足し算ではなく、掛け算的に増大します。

5つの重要なポイント

1. EUの3大規制フレームワークが同時に施行されており、それぞれのガイダンスは部分的にしか提供されていない。

NIS2の施行は加盟国ごとに異なります。DORAのRTS技術基準はまだ最終化されていません。EU AI法の2026年8月の高リスク処理期限も一部カテゴリーで延長されています。組織は明確化を待つことはできず、進化し続ける要件に対応しながら、今すぐコンプライアンス基盤を構築する必要があります。

2. EMEA地域の金融サービス企業の96%が、自社のデータレジリエンスがDORAの期待に達していないと回答。

DORAは理想論的な規格ではなく、運用レベルの規格です。ICTリスク管理、インシデントの分類・報告、サードパーティベンダーの監督、デジタル運用レジリエンステストに関する具体的な要件が定められています。96%の未達は、業界が大きなギャップからスタートしていることを意味し、多くの組織が欠落しているコントロールはNIS2やEU AI法でも求められるものです。

3. NIS2の実装はEU加盟国ごとに大きく異なる。

国境を越えて事業を展開する多国籍企業は、監査タイムラインや各国の主管当局のプロセス、同じ指令文の解釈の違いに直面します。24時間以内の速報通知要件は加盟国ごとの違いを考慮しません。インシデント発生前に監査記録が存在していなければならず、発生時に組み立てるものではありません。

4. EU AI法の2026年8月高リスク処理期限が迫る中、AIデータ漏洩リスクへの認識は低い。

EUのAI関連支出は2029年までに2,900億ドルに達すると予測されています。AIが規制対象データに関与している箇所を棚卸しできていない組織は、すでに最大で全世界売上高の7%に及ぶ罰金リスクを伴う義務への対応が遅れています。ガバナンス外で動作する「シャドーAI」は、法令上AIインベントリの文書化が最初の必須ステップとされているため、直接的に関係します。

5. アーキテクチャ上の解決策は、3つのフレームワークすべてに同時にコンプライアンス証拠を生成できる単一プラットフォームの構築。

NIS2、DORA、EU AI法はいずれもアクセス制御、暗号化データ処理、インシデントログ、監査証跡を要求しています。これらのコントロールを統合プラットフォームで一度に実装すれば、3つの要件を同時に満たし、コストや監査リスクを増大させる3つの独立した証拠チェーンを維持する必要がなくなります。

どのデータコンプライアンス基準が重要か?

Read Now

NIS2が欧州の組織に実際に求めるもの

NIS2は、元のネットワークおよび情報システム指令を拡張し、エネルギー、輸送、金融インフラ、医療、デジタルインフラまで対象を広げ、コンプライアンス違反に対する経営層の直接的な責任も導入しました。対象組織の取締役や上級管理職は、NIS2の体系的な違反について個人的責任を問われる可能性があり、サイバーセキュリティガバナンスの重心がIT部門から経営層へと移行しています。

指令の実質的な要件には、リスクに応じた技術的・組織的対策が含まれ、特にサプライチェーンセキュリティ、アクセス制御、暗号化通信が重視されています。組織は重大なインシデントを認識してから24時間以内に各国の主管当局へ通知し、72時間以内に詳細な報告を提出しなければなりません。

24時間および72時間の通知期限は、運用上のプレッシャーポイントです。これを満たすには、インシデント発生前から監査ログや証跡記録が整備されている必要があり、発生時に寄せ集めるものではありません。メール、ファイル転送、クラウドストレージ、MFTなど複数のプラットフォームに分散したシステムログを使って侵害の経緯を再構築しようとすると、24時間はログ集約だけであっという間に過ぎてしまい、インシデント分析に時間を割けなくなります。

NIS2コンプライアンスはサプライチェーンにも及びます。対象組織は、重要なICTサービスプロバイダーが同等のセキュリティ基準を満たしていることを確認しなければなりません。ベンダー評価、契約上のセキュリティ要件、コンプライアンス体制がサードパーティにも及んでいることの証明が求められます。

DORAが多くの金融機関にとって未達となっている理由

DORAは、EUレベルで規制される金融機関(銀行、投資会社、保険会社、決済機関、および重要なICTサービスプロバイダー)に適用され、EU金融セクター全体でデジタル運用レジリエンスの統一的な枠組みを確立します。NIS2がベースライン要件を定め加盟国ごとに追加要件を認めているのに対し、DORAは指令ではなく規則であり、その要件はすべてのEU加盟国で直接適用され、統一されています。

EMEA地域での96%の未達は、DORAの運用上の期待値と、多くの金融機関が従来構築してきたICTリスク管理体制とのギャップを示しています。DORAは、特定・保護・検知・対応・復旧までをカバーする包括的なICTリスク管理フレームワークを要求します。組織はDORAで定められた基準に従ってICTインシデントを分類し、重大インシデントは定められた期限内に報告しなければなりません。

DORAのICTリスク低減要件は、金融機関が運用チャネル全体でデータを転送・保存する際の管理にも及びます。金融機関がカウンターパーティや規制当局、サービスプロバイダーと機密データをやり取りする際に利用する暗号化マネージドファイル転送システムは、DORAのセキュリティ基準を満たす必要があります。多くの組織は、パフォーマンス重視で構築された従来型MFTインフラが、DORAが求める監査証跡の深さを備えていないことに気づき始めています。

DORAのサードパーティリスク管理要件では、金融機関は重要な機能を支えるすべてのICTサービスプロバイダーの登録簿を維持し、セキュリティ基準やインシデント通知、監査権、データの所在に関する契約条項を盛り込み、プロバイダーのパフォーマンスを継続的に監視していることを監督当局に示さなければなりません。非公式なベンダー関係に依存してきた組織にとって、この登録簿や必要な契約インフラの整備は数カ月単位の取り組みとなります。

EU AI法がすでに逼迫した環境に加わる理由

EU AI法は、NIS2やDORAですでに負荷の高い環境に3つ目のコンプライアンス軸を加えます。雇用、与信判断、教育、法執行、重要インフラ管理などで利用されるAIの高リスクシステム要件は、リスク管理システム、データガバナンス、透明性、人による監督など、異なる法的枠組みと執行メカニズムで義務付けられます。

Vojnović氏の「エンタープライズAIツールによるAIデータ漏洩リスクへの認識が低い」という指摘は重要です。EU AI法の適用対象組織は、意図的に導入したAIシステムだけでなく、エンタープライズソフトウェアの組み込み機能やサードパーティ連携、従業員が独自に導入したツールを通じて環境に入り込むAIについても管理しなければなりません。シャドーAIの問題は、法令上AIインベントリの文書化が他のすべての義務に先立つ必須ステップとされているため、直接的に関係します。

重複する証拠生成の課題

NIS2・DORA・EU AI法環境が特に困難なのは、各要件が個別に非現実的だからではありません。課題は運用面にあります。3つすべてを同時に満たすには、3つの規制用語、3つの技術システム、3つの独立した監査プロセスにまたがる証拠を生成しなければなりません。

NIS2はインシデント検知・通知記録を求め、DORAはICTリスク管理文書やインシデント分類ログを、EU AI法はAIシステムのリスク評価やデータガバナンス文書を要求します。これらの証拠を生み出す基盤となるコントロール(アクセスログ、暗号化データ処理、監査証跡、インシデント対応手順)はほぼ共通です。しかし多くの組織は、これらをサイロ化して実装しており、メール用、ファイル転送用、クラウドストレージ用と分断されたログが、単一の信頼できる記録として3つのフレームワークすべてを満たすことができていません。

ゼロトラスト・アーキテクチャは、すべてのデータアクセスや交換イベントを認証・認可・属性付与・記録すべきポリシー決定として扱うことでこの課題に対応します。ゼロトラスト環境では、監査記録は設計上、継続的かつ包括的に生成され、事後的に寄せ集めるものではありません。これにより、NIS2のインシデント通知、DORAのICTリスク管理、EU AI法のデータガバナンス文書に必要な証拠が、属性情報も一貫した単一記録から生成されます。

統合プラットフォームアプローチがもたらす変化

Kiteworksプラットフォームは、NIS2コンプライアンス、DORAコンプライアンス、GDPRコンプライアンス機能を単一アーキテクチャで提供します。FIPS 140-3認証済みの暗号化、ABACによるアクセス制御、改ざん検知可能な監査ログが、セキュアメールSFTP、マネージドファイル転送、セキュアなファイル共有など、すべてのコンテンツ交換に同じポリシーエンジン・同じ監査記録で適用されます。

DORAについては、ICTインシデント分類の証拠、サードパーティとの通信ログ、アクセス制御文書など、DORA監査時に監督当局が求める情報がすでにKiteworksの監査証跡に記録されています。NIS2については、24時間以内の速報通知や72時間以内の詳細報告も、監査記録がすでに存在していれば対応可能です。EU AI法については、Kiteworks Secure MCP ServerとAI Data GatewayがAIエージェントのアクセスを統制し、すべてのやり取りを人間の操作と同じ改ざん検知可能な記録に残します。

目指すべきは、各規制を個別の導入プロジェクトとして扱うことではありません。3つのフレームワークが共通して求めるセキュリティ・ガバナンス基盤を一度構築し、そこから各規制が必要とする証拠を生み出すことです。Kiteworksのプライベートデータネットワークが、その基盤となります。

これらやその他のデータプライバシー規制へのコンプライアンス証明について詳しく知りたい方は、カスタムデモを今すぐご予約ください

よくあるご質問

NIS2は指令であり、EU加盟国が国内法に置き換える必要があるため、実施タイムラインにばらつきが生じます。エネルギー、輸送、金融インフラ、デジタルサービス全体に適用されます。DORAは規則であり、すべてのEU加盟国で直接適用され、金融機関に特化しています。両方の対象となる金融機関では要件が重複します。最も厳しい共通基準(改ざん検知可能な監査ログ、暗号化データ処理、サードパーティベンダー監督など)を満たすコントロールを構築することで、両プログラム間の重複を削減できます。

金融機関は、重要な機能を支えるすべてのICTサービスプロバイダーの登録簿を維持し、セキュリティ基準・インシデント通知・監査権・データの所在に関する契約を締結する必要があります。また、監督当局に対して継続的なモニタリングを証明しなければなりません。多くの組織にとって最大のギャップは契約文言ではなく、運用監督の証拠となるログの生成です。契約コンプライアンス中心で運用モニタリングが伴わないサードパーティリスク管理プログラムは、DORA審査に対して構造的な脆弱性を抱えています。

2026年8月2日が高リスクAIシステム義務の施行日であり、新規または大幅改修されたAnnex IIIシステムには16カ月、EU製品安全規制に組み込まれたAIには12カ月の段階的延長があります。これらの延長があっても、AIシステムのインベントリとリスク分類の維持という基本要件は8月2日から適用されます。違反時の罰金は全世界売上高の7%に達します。AIシステム監査を始めていない組織はすでに遅れています。

3つのフレームワークに共通するコントロールを特定し、統合アーキテクチャで一度に実装します。アクセス制御、暗号化データ処理、インシデントログ、監査証跡は、異なる用語であっても技術的には類似した対策が求められます。ABACによる強制、FIPS認証済み暗号化、改ざん検知可能なログを備えたプラットフォームでこれらを一元実装すれば、各規制が求める証拠を単一の信頼できるソースから生成できます。DORAのICTリスク管理のために構築したデータガバナンス体制は、NIS2の通知要件やEU AI法のデータガバナンス義務にも対応します。

最も幅広い証拠を生み出すコントロールから着手してください。すべてのコンテンツ交換をID属性とタイムスタンプ付きで記録するアクセスログ、すべてのデータ交換チャネルでの暗号化通信、文書化されたインシデント対応計画と通知手順のテスト。この3つの対策で、NIS2の通知要件、DORAのICTインシデント分類、EU AI法の運用モニタリング義務に同時対応できます。AIシステムのインベントリ調査も並行して進めるべきで、環境内にどんなAIが存在するかの把握が他のAI法義務の前提となります。

追加リソース

  • ブログ記事 データを巡る綱引き:CLOUD法とSHIELD法がセキュリティとプライバシーをどう対立させるか
  • ブログ記事 DSPMをコンプライアンス目標にマッピングして機密データを保護
  • ブリーフ 主な3つのFERPA違反とその回避方法
  • ブログ記事 大統領令14117:米国人の大量機微個人データを保護する
  • ブログ記事 NIS2コンプライアンスが必要ですか?まずはISO 27001から

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

デモを予約

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks