Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > No category > EUのDORA準拠率96%未達が湾岸諸国にもたらす2つのコンプライアンス課題

EUのDORA準拠率96%未達が湾岸諸国にもたらす2つのコンプライアンス課題

by Marc ten Eikelder updated 6月 5, 2026 規制コンプライアンス
Reading Time: 7 minutes

Span Cyber Security Arenaカンファレンスで発表された統計は、ヨーロッパだけでなく注目に値します。EMEA地域の金融サービス企業の96%(湾岸地域に本社を置く、または湾岸から運営する企業を含む)が、自社のデータレジリエンスがDORAの要件をまだ満たしていないと報告しています。これは、コンプライアンスインフラに多額の投資を行ってきた業界のほぼ総意です。この失敗率はリソースの問題ではなく、アーキテクチャの問題です。

欧州で事業を展開している、EUの顧客データやEUデータ主体を扱うGCC(湾岸協力会議)各国の組織にとって、この統計はヨーロッパのニュースではなく、自社の運用状況の現実を示しています。DORAは、ICTサービスプロバイダーがどこに登記されているかを問いません。EU規制下の金融機関に重要なICTサービスを提供している場合、そのコンプライアンス状況はDORAの枠組みで審査の対象となります。

私が湾岸地域で関わる組織は、同時に2方向からのコンプライアンス圧力に直面しています。EUの3つの新たな規制波(NIS2、DORA、EU AI法)が欧州事業から押し寄せ、GCC各国のデータ保護フレームワークも国内側から急速に成熟しています。

UAE個人データ保護法は2023年9月に施行され、GDPRと多くの点で類似した同意取得やデータ主体の権利義務を定めています。サウジアラビアの個人データ保護法も2024年の施行規則により、サウジ国民のデータを扱う組織に同様の義務を課しています。カタールの個人データプライバシー保護法も、正式なデータ保護要件を持つGCC3カ国目となりました。複数のGCC諸国で事業を展開する組織は、NIS2、DORA、AI法に直面する欧州企業と同様、構造的には類似した(詳細は異なるものの)複数フレームワークの国内コンプライアンス環境に直面しています。

コンプライアンスの計算は単純な足し算ではありません。EUフレームワーク、GCCフレームワーク、SAMA、CBUAE、QCBなど金融規制当局による業界固有要件が重なり合うことで、コンプライアンス業務は単純な合計ではなく乗算的に増大します。特に、それぞれのフレームワークが独自の文書フォーマット、監査証拠、インシデント通知手順を要求する場合、その負担はさらに大きくなります。

5つの重要なポイント

1. DORAの96%不適合率は欧州の話題ではなく、湾岸地域組織の運用現状を示す指標

EMEA地域の金融サービス企業の96%が、自社のデータレジリエンスがDORAの要件をまだ満たしていないと報告しています。EU規制下の金融機関に重要なICTサービスを提供している場合、登記国に関わらず、そのコンプライアンス状況はDORAの枠組みで審査の対象となります。この失敗率はリソースの問題ではなく、アーキテクチャの問題です。

2. 湾岸地域の組織は、同時に2方向からのコンプライアンス圧力に直面

EUの3つの規制波(NIS2、DORA、EU AI法)が欧州事業から押し寄せ、UAE、サウジアラビア、カタールのデータ保護法も国内側から成熟しています。コンプライアンスの計算は単純な足し算ではなく、EUフレームワーク、GCCフレームワーク、金融規制当局の業界固有要件が重なり合うことで、業務負担は乗算的に増大します。

3. 分断された監査インフラは、両方の規制要件に同時に対応できない

組織の61%が、複数システムにまたがる分断された監査ログを持っています。二重規制環境下で分断されたログは、すべての監査サイクルごとに証拠の再構築作業が必要となり、2つの異なる規制要件、2つの異なる証拠フォーマットに対応しなければなりません。DORA監督官とサウジPDPL監査官は、異なる用語を使いながらも、同じ根本的な記録を求めているのです。

4. 意図した範囲外で動作するAIエージェントは、複数フレームワークの同時事象

組織の3分の2が、AIエージェントが既に意図した範囲外のデータにアクセスした疑いがあると考えています。EUとGCC両方の規制下で事業を展開する湾岸地域の組織にとって、これはDORAのICTインシデント、GDPRのデータ保護問題、UAE PDPLの通知義務、そして場合によってはサウジPDPLの越境移転違反にも該当します。AIガバナンスは単一の法域の問題として扱うことはできません。

5. 両方の規制要件を満たすアーキテクチャは同一である

DORA、NIS2、EU AI法、GCCデータ保護法が共通して要求するコントロールは本質的に同じです。アクセス制御、暗号化されたデータ処理、帰属情報付きのインシデントログ、規制審査に耐えうる監査証跡。これらをすべてのチャネルで一度実装し、単一実装から各フレームワークが求める証拠を生成できます。

現行の証拠生成モデルが失敗する理由

Ciscoプライバシーベンチマーク調査によると、組織は現在平均3,891のSaaSおよびAI環境を運用しています。これらの環境で生成されるアクセスログ、インシデント記録、データ転送記録は、数十種類のフォーマットと帰属基準で作成されます。DORA監督官がICTインシデント分類の証拠を求めたり、サウジPDPL監査で越境データ転送や同意文書の記録が必要になった場合、メールシステム、ファイル転送プラットフォーム、クラウドストレージ、MFTインフラ、AIインタラクションログから記録を収集・再構築するプロセスは、コンプライアンスチームの数週間分の工数を消費するのが常態化しています。

Kiteworks 2026年データセキュリティ&コンプライアンスリスク予測レポートによれば、組織の61%が複数システムにまたがる分断された監査ログを持っています。単一フレームワークのコンプライアンス環境下では、分断されたログは運用上の不便で済みますが、EUとGCCの両規制が同時に適用される二重規制環境では、すべての監査サイクルで証拠再構築作業が必要となり、2つの異なる規制要件、2つの異なる証拠フォーマットに対応しなければなりません。

Akeyless 2026年AIエージェントIDセキュリティ調査(IT・セキュリティリーダー400名対象)では、組織の3分の2がAIエージェントが既に意図した範囲外のデータにアクセスした疑いがあると回答しています。EUとGCC両方の規制下でAIを展開する湾岸地域の組織にとって、異なるデータ分類要件、同意基準、越境移転ルールが存在する中、AIエージェントの意図外動作は単なるセキュリティイベントではありません。これは同時にDORAのICTインシデント、GDPRのデータ保護問題、UAE PDPLの通知義務、そして場合によってはサウジPDPLの越境移転違反にも該当します。

EU AI法が「第3の次元」を加える

EU AI法のハイリスク義務は2026年8月に施行されます。EU顧客向けにAI搭載サービス(金融リスク評価、自動文書処理、EUデータ主体に関わる顧客向けAIシステムなど)を提供する湾岸地域の組織にとって、同法が求める文書化、リスク管理、人による監督要件は必須です。8月の期限はAIシステムがEU個人に与える影響に適用され、システムのホスティング場所や開発元の所在地は問いません。

サイバーセキュリティガバナンスの専門家Antonija Vojnović氏はSpanカンファレンスで、エンタープライズAIツールによるAIデータ漏洩リスクへの認識が依然として低いと指摘しました。私が湾岸・EMEA地域の組織と仕事をする中でも、AI導入意欲は強い一方で、マルチリージョン規制環境でAIを安全に展開するために必要なAIガバナンスインフラとの間に大きなギャップがあるのが現状です。

アーキテクチャに求められる要件

DORA、NIS2、EU AI法、UAE PDPL、サウジPDPL、QCBデータガバナンス指針が共通して求めるコントロールは、本質的に大きな違いはありません。アクセス制御、暗号化データ処理、帰属情報付きインシデントログ、規制審査に耐えうる監査証跡、サードパーティベンダーの監督。フレームワークごとに用語や執行メカニズムは異なりますが、根本的な技術的コントロールは同じです。

二重規制環境で持続可能なコンプライアンスアーキテクチャは、これらのコントロールをすべてのチャネル、すべての法域で一度実装し、単一実装から各フレームワークが求める証拠を生成します。DORA用、UAE PDPL用といった別々のコンプライアンスプログラムは不要です。すべてのデータアクセスイベントについて帰属可能かつ改ざん検知可能な記録を生成し、どの規制審査にも対応できるフォーマットで提供する統合データ環境が必要です。

Kiteworksプライベートデータネットワークは、メール、ファイル共有、MFT、SFTP、Webフォーム、API、AI連携を1つのポリシーエンジンと統合監査ログで管理します。GDPR、DORA、NIS2向けの事前構築済みコンプライアンスダッシュボードは、同じ基盤データからフレームワーク別の証拠を生成します。1つのアーキテクチャで2つの規制要件、1つの証拠基盤を実現します。

今まさにコンプライアンスアーキテクチャを構築している組織は、どの規制期限が最も差し迫っているかに関わらず、DORAギャップの解消、GCC監査サイクルの対応、AI法8月期限の同時達成が同一投資で可能です。逆に、規制ごとに個別プログラムを構築する組織は、コンプライアンス業務負担がチームの処理能力を上回るスピードで増大することになるでしょう。

DORAの96%不適合率は、欧州企業への警告ではありません。EU規制フレームワークに関わるすべての組織、特に湾岸地域でその影響は大きく、今後さらに拡大していく指標です。

DORAコンプライアンス証明の詳細については、カスタムデモを今すぐご予約ください

よくあるご質問

はい。DORAは、登記国ではなく、EU規制下の金融機関に対してどのような機能を提供しているかによって適用されます。貴社のサービスがEU金融機関の重要な機能を支えている場合、そのコンプライアンス状況はDORAの審査対象となります(ICTリスク管理、インシデント報告、サードパーティ監督義務などを含む)。EMEA地域の金融機関の96%がDORAのデータレジリエンス要件をまだ満たしていないため、コンプライアンスインフラの整備が最優先課題です。

両フレームワークが共通して求める技術的コントロール(アクセス制御、暗号化データ処理、帰属情報付きインシデントログ、改ざん検知可能な監査証跡)は本質的に同じです。これらを一度実装し、単一の仕組みからフレームワーク別の証拠を生成する統合データ交換プラットフォームを利用すれば、両要件を満たせます。Kiteworksプライベートデータネットワークは、同じ監査記録からGDPR、DORA、NIS2向けの事前構築済みコンプライアンスダッシュボードを提供します。

はい。EU AI法は、AIのアウトプットがEU個人に影響を与えるかどうかで適用され、AIシステムのホスティング場所や開発元の所在地は問いません。湾岸地域の組織がAIを活用した金融リスク評価、自動文書処理、EU顧客向けのAIシステムを提供する場合、2026年8月までに同法が求める文書化、リスク管理、人による監督要件を満たす必要があります。重大な違反に対する罰金は、全世界年間売上高の最大7%に達する可能性があります。

根本原因は分断されたログです。組織の61%が、メール、ファイル転送、MFT、クラウドストレージ、AIインタラクションシステムに監査記録が分散しています。すべての機密データ交換を1つのポリシーエンジンと監査ログで統合するコントロールプレーンを導入すれば、証拠再構築作業は不要になります。DORA、サウジPDPL、UAE PDPLの監査が来ても、証拠はすでに生成済みであり、報告書として提出でき、フォレンジック調査プロジェクトにはなりません。

組織の3分の2が、AIエージェントが既に意図した範囲外のデータにアクセスした疑いがあると回答しており、これはDORA、GDPR、GCCデータ保護法の同時義務を引き起こす可能性があります。解決策はデータレイヤーでのAIガバナンスです。すべてのエージェントリクエストを認証し、属性ベースアクセス制御を強制し、すべてのインタラクションをモデルや法域に依存しない改ざん検知可能な監査証跡に記録します。Kiteworks Secure MCP ServerおよびAI Data Gatewayは、単一のガバナンス基盤からすべての法域にこのパターンを適用します。

追加リソース

  • ブログ記事 データを巡る綱引き:CLOUD法とSHIELD法がセキュリティとプライバシーをどう対立させるか
  • ブログ記事 DSPMをコンプライアンス目標にマッピングして機密データを保護する方法
  • ブリーフ よくあるFERPA違反トップ3とその回避策
  • ブログ記事 大統領令14117号:米国人の大量機微個人データを保護する
  • ブログ記事 NIS2コンプライアンスが必要ですか?まずはISO 27001から始めましょう

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

デモを予約

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks