私は過去10年にわたり、頻繁に日本を訪問をしてきました。プログラムの成熟度が異なるさまざまな企業のコンプライアンス責任者の方々と面談し、刻々と変化する規制環境に適応しようとする中で彼らが抱える課題について話を聞いてきました。先日の訪問も例外ではありません。繰り返される話題は、言葉は違えど同じ質問です。「我々は実際に先手を打てているのか、それとも単に忙しくしているだけなのか?」
これは良い質問です。ほとんどの組織については、正直なところ、答えは後者です。
LRNの2026年プログラム有効性レポート日本版は、現状を明確に示しています。倫理およびコンプライアンスプログラムにおいて、前年比で改善が見られたと報告している日本の組織はわずか59%であり、世界平均の74%を下回っています。倫理的文化のレジリエンスは66%で、世界平均の82%に及ばず、プログラムの有効性に対する認識も69%にとどまり、世界平均の84%を下回っています。プログラムの有効性を積極的に評価するために分析を活用している企業は13%にすぎません。しかも、高度な分析を活用している企業が13%なのではなく、何らかの分析を少しでも使用している企業がわずか13%にとどまっているのです。
これらは、世界的な基準から見た些細な差異ではなく、1つのパターンを示しています。行動、測定、説明責任に対して等分に投資を行わずに、インフラだけに投資してきたプログラムは、2026年に求められる要件に対応できる状態にはありません。2026年に求められている要件は極めて重大なものです。
内部通報に関する法律は変わりましたが、ほとんどのプログラムは手つかずのままです。
日本の公益通報者保護法の2025年改正案は2025年6月に成立し、遅くとも2026年末までに施行されます。これは5年ぶりの実質的な改正であり、通報窓口の設置を義務付ける枠組みから、その窓口が機能していることを組織が証明することを求める枠組みへと移行します。
最大の変更点は、報復行為の推定です。内部通報を行ってから1年以内に当該の従業員に対して行われた解雇や懲戒処分はすべて、当該の通報に関連していると推定されるようになります。そうではないことを立証する責任は雇用主側に課されます。また、報復行為を行った個人には刑事罰が適用されるようになり、報復行為を行った企業には、最大3,000万円の罰金が科されます。
これに伴い、コンプライアンス担当者が慎重に検討すべき点が2つあります。第一に、人事部門とコンプライアンス部門は、別々の枠組みで機能することはできなくなります。私が接するほとんどの組織では、内部通報に関する情報はコンプライアンス部門や法務部門が管理し、業績評価、異動、懲戒処分に関する決定は人事部門が行っており、両者の間には体系的な連携がほとんどありません。
この1年間の推定規定により、この分離は法的なリスクとなります。通報の対象期間内に行われたすべての人事措置には、文書化されたコンプライアンスチェックが必要となります。これは単なるポリシーの更新ではなく、プロセスの再設計です。
第二に、この法律は、現在契約中のフリーランサーに加え、過去12か月以内に契約が終了したフリーランサーも対象としています。外部人材を広く活用している組織にとって、内部通報に関する義務の範囲は大幅に拡大します。
また、消費者庁も今や実効性のある権限を与えられています。同庁は、指定された内部通報対応責任者の選任を怠った組織に対して、法的拘束力のある命令を発令し、立入検査を実施し、罰則を科すことができます。
従業員300人を超える企業には、すでにこの義務が課されていました。2025年の改正により、規制当局はこれを執行できるようになりました。どのような組織であれ、日本で従業員を雇用し、その従業員が苦情を申し立てた後に解雇する場合は、注意が必要です。
コンプライアンスチームと話をする際に、私が繰り返し言及しているのは、次の点です。上記のすべては、実際に誰かが通報窓口を利用する、という前提に基づいています。昨年末に公開した行動規範に関するQ&Aでは、日本の従業員のうち、行動規範を実用的なリソースとして活用していると回答したのは49%にとどまり、世界平均の70%を下回っていることを指摘しました。従業員の大半が行動規範の存在を知っていると喜ぶ企業もありました。しかしさらに詳しく尋ねてみると、その認知レベルは「車のグローブボックスに取扱説明書が入っていることを知っている」という程度のものでした。一度も使ったことがない、あの説明書です。つまり、一度たりとも読んだことがないのです。
同様のギャップは、ほぼ間違いなく通報の窓口にも当てはまります。従業員の51%が利用しようと思わないようなホットラインは、コンプライアンス管理手段とは言えません。それはロゴの付いているだけの、リスク要因に過ぎません。
窓口を設置して、あとは上手くいくことを願うだけの時代は終わりました。規制当局は、その仕組みが機能していること、従業員がそれを認識し、信頼しており、それを使用しても不利益を被ることはないと信じていることの証拠を求めています。こうした信頼は、ポリシーの文言ではなく、目に見える形での徹底した対応を通じて築かれるものです。ここでは、管理者向けの研修が何よりも重要になります。ほとんどのコンプライアンスプログラムにおける最大のギャップは、トップのリーダーシップが掲げる価値観が、中間管理職を通じて実際にそれを聞く必要のある人々にまで届いていないことです。この失敗は、「通報」の観点においては極めて危険です。
輸出管理、制裁、およびAML:日本の産業界において過小評価されているリスク
日本では、特に重工業や産業分野において、十分な注意が払われていないコンプライアンスリスクのカテゴリーが存在します。
輸出管理、制裁、およびマネーロンダリング防止 (AML) の義務は、往々にして貿易コンプライアンス部門や法務部門が対応する手続き上の問題として扱われ、出荷や通関の時点で初めて表面化します。しかし、そのようなモデルは次第に限界を迎えつつあり、業界によってはすでに危険な状況にあります。
大型産業機械、クレーン、精密工学機器、建設・鉱業用ハードウェアを製造する日本のメーカーの立場を考えてみましょう。物理的な製品自体は、分類、出荷、書類作成は、単純明快であるかもしれません。
しかし、現代の産業機械が単独の機械資産として出荷されることはほとんどありません。それらは、組み込みソフトウェア、遠隔診断機能、ファームウェア更新インフラストラクチャ、そして製造元システムとの継続的な接続機能を搭載して出荷されます。そのソフトウェアレイヤーの存在が、コンプライアンスの計算式を根本から変えてしまうのです。
ソフトウェアの更新が米国、EU、または英国の制裁対象となる法域から開始された場合や、エンドユーザー企業の実質的所有者が制限対象地域に所在する場合、あるいは機械内のサードパーティ製コンポーネントやシステムが他国の輸出管理分類に該当する場合、メーカーは、たとえ当初の出荷が完全にコンプライアンスを遵守したものであったとしても、複数の法域にまたがって同時に法執行のリスクにさらされる可能性があります。米国商務省、OFAC、および英国とEUの対応機関は、販売時点だけに注目しているわけではありません。彼らは、継続的な関係、ソフトウェア保守契約、そして世界中に設置された機器とメーカーをつなぐデジタルスレッドにますます注目しています。
これは単なる理論上のシナリオではありません。産業用機器における物理的な製品とソフトウェア定義の機能の融合により、出荷書類と品目分類を中心に構築された従来の貿易コンプライアンス研修では、もはや不十分となっています。これは先週、あるコンプライアンス責任者に共有した実際の事例です。
エンジニアリング、ソフトウェア開発、アフターサービス、およびカスタマーサクセスといった部門の従業員は現在、輸出管理や制裁措置のコンプライアンス対象範囲内に位置していますが、ほとんどの研修プログラムはそのような変化に追いついていません。
AMLのリスクが、この状況をさらに複雑にしています。
大型機械の取引には、複雑な資金調達構造、仲介販売業者、そして複数の管轄区域にまたがって活動する代理店が関与することが頻繁にあります。
実質的所有者に関する問題、すなわち、最終的に機器を受け取る事業体を統制しているのは誰か、誰が取引に資金を提供しているのか、誰がその取り決めから利益を得ているのかという点は、金融サービスと同様に重工業においても重要な課題です。
日本の金融インテリジェンスの枠組みは近年大幅に強化されましたが、製造業や産業企業の社内研修インフラはそれに追いついていません。
これらの分野におけるコンプライアンス担当者に対する実践的な推奨事項は、輸出管理、制裁、およびAMLに関する実質的な研修を受ける対象者を、貿易部門や法務部門以外にも拡大することです。
ソフトウェア更新のパイプラインを管理するエンジニア、慎重を要する市場での設置機器を持つ顧客との関係を担当するアカウントマネージャー、そして資金調達の枠組みを構築する営業チームは、いずれも、彼らが実際に下している意思決定を反映したシナリオベースの研修を必要としています。
当社の2026年のレポートによると、日本では依然として対面式研修が主流であり、日本企業の45%が対面研修を好んでいるのに対し、世界平均は27%にとどまっています。こうした文化的傾向はここでは強みとなり得ます。実際の製品や顧客の状況に基づいて構築されたシナリオ主導のワークショップは、一般的な金融サービスの受講者向けに作成されたeラーニングモジュールよりも高い効果を発揮するでしょう。
サプライチェーンおよびサードパーティの研修:拡大し続けるギャップ
当社の2026年日本版レポートによると、サードパーティのデューデリジェンスの確認に多大な労力を費やしている日本の組織はわずか14%で、世界平均の27%を下回っています。継続的なサードパーティの監視は19%で、世界全体の32%を下回っています。これらの数値は、
世界の平均値である42%を大きく下回る日本のアナリティクス導入率27%と、前年比でほとんど変化が見られないデジタルツールの導入率と並んで示されています。
これらの数字を総合すると、状況は明らかです。日本の組織は、世界の同業他社に比べてサードパーティに対する精査が不十分であり、そのためのツールや、それが機能しているかどうかを評価するためのデータも不足しています。サプライチェーンの複雑性が高く、特に欧州の顧客をはじめとするグローバルな取引先が、契約上の保証ではなく、サードパーティの管理体制に関する文書化された証拠をますます求めるようになっている市場において、この組み合わせは構造的なリスクとなります。
この問題におけるサプライヤー研修の重要性は、見過ごされがちです。ほとんどのサードパーティリスク管理プログラムは、取引開始時の初期デューデリジェンスに重点を置いています。サプライヤーに対して有意義な研修の機会を提供している組織は少なく、契約段階で設定された期待にサプライヤーの行動が実際に沿っているかどうかを監督する仕組みを構築している企業は、さらに少ないのが実情です。
当社の2025年版行動規範レポートによると、現在、世界中の主要な行動規範の80%以上にサードパーティ管理に関する項目が盛り込まれています。ポリシー上の期待値を掲げることと、サプライヤーとの間に実務的な研修関係を構築することの間のギャップこそが、現在ほとんどの日本の組織が直面している課題です。
テクノロジーの導入率の低さが、これをさらに悪化させています。過去1年間に自社のE&Cプログラムから取得するデータ量と種類を増やした日本の組織がわずか16%となり、サプライヤーの行動を検証するために必要な監視インフラは、ほとんどの場合、存在すらしないことになります。追跡、測定、報告が行われ、コンプライアンス責任者が取締役会や規制当局に提示できるコンプライアンスダッシュボードに連動したサプライヤー向け研修プログラムは、依然として例外であり、一般的ではありません。
私が日本のコンプライアンス責任者の方々に繰り返し訴えていること(おそらく聞き飽きていることと思いますが)は、サードパーティ研修は、サプライヤーに対する単なる好意的措置ではないということです。それは、自社のプログラムに対するリスク管理への投資なのです。
贈収賄防止に関する期待、制裁スクリーニング要件、またはデータ処理の基準を理解していないサプライヤーは、契約書に何が書かれていようとも、組織にとっては管理に失敗したリスク要因となります。
AIガバナンスとポリシー:これを任意とする猶予期間は終わりに近づいている
2025年5月に制定され、2025年6月から大部分が施行された日本のAI推進法には、罰金を科すものではありません。また、ライセンス制度を設けるものでもありません。民間企業に課される主な義務は、政府の措置に協力する「最善の努力義務」であり、これは日本の法制度によく見られる形式であり、意図的に具体的な規定を設けないものです。
一部のコンプライアンス説明会において、この点が誤って説明されているのようなので、その点は明確に述べておく必要があります。日本は、EUが取ったようなアプローチを行っていません。国としての姿勢は、明確に推進第一です。政府は、日本が世界で最もAIフレンドリーな国になることを望んでおり、立法にもその方向性が反映されています。
しかし、罰則ないからといって、リスクがないわけではありません。
政府には、権利侵害を調査し、法令違反を公表する権限があります。2026年1月、政府は初めてその権限を行使し、性的ディープフェイクに関する正式な調査を開始しました。それは、この枠組みが実際にどのように機能するかを示す最初のシグナルです。つまり、金銭的罰則よりもまず評判への影響を重視しつつ、確実に機能するというものです。
2025年3月に改訂された経済産業省および総務省の「AI事業者ガイドライン」は、経営陣レベルの責任を明確に求めており、倫理的なAIガバナンスをサイバーセキュリティと同様に捉え、組織構造に組み込み、定期的に見直し、上層部へ報告すべきものとして位置づけています。
当社の2026年日本版レポートによると、日本の組織の31%が現在コンプライアンス研修にAIを活用していますが、データに基づいたツールをプログラム全体に拡大する計画があるのはわずか28%にとどまっています。その導入格差も課題ではありますが、最も差し迫った問題ではありません。
私の意見では、より差し迫った問題はガバナンスです。
業務、調達、カスタマーサービス、製品開発においてAIツールを使用している日本の組織の大半は、承認されたユースケース、許容されるデータ入力、人間による監視要件、または問題が発生した際のエスカレーションプロトコルを定義するポリシーなしで運用しています。世界的な調査によると、行動規範においてAI倫理に言及している組織はわずか33%に過ぎません。日本では、その数値はさらに低くなっています。
ワークフローの至る所でAIツールが普及しつつある日常を過ごす従業員にとって、組織としての明確な方針がないことは、よいことではありません。それは、一貫性を欠き、文書化されておらず、潜在的に有害な利用を招く要因となります。
ここでのタイムラインについて、率直に申し上げたいと思います。12か月前であれば、行動規範にAIガバナンスに関する文言がないことは単なる不備でした。しかし今日では、それは過失と見なされ始めています。日本の法律がまだそれを義務付けていないからではなく、世界市場全体でAIに関連するリスク事象(評判、法務、運用上のリスク)を蓄積する速度が、年次の行動規範の見直しサイクルよりも速くなっているからです。
規制による義務化を待ってからAIガバナンスをポリシーに組み込む組織は、10年前にデータプライバシーに関して組織が犯したことと同じ過ちを繰り返しています。つまり、法的に強制力を持つようになる前から見えていたリスクに追いつくために、何年も費やすことになるのです。
ここで求められる実践的な措置は、複雑なものではありません。
まず、どのAIツールをどのような条件で使用承認するかを定義します。次に、外部モデルに入力してはならないデータのカテゴリーを明示します。そして、従業員、顧客、またはサードパーティに影響を与えるようなAI関与の意思決定には、必ず人間による監督を義務付ける必要があります。
AIの出力に異議が唱えられた場合や、害が生じた場合の明確なエスカレーション手順を策定してください。AI倫理を、独立したテクノロジーポリシーとしてではなく、自動化されたシステムとしてどのように使用すべきか、または使用すべきでないか、組織の価値観の表明として、行動規範に明示的に盛り込んでください。
実務においてそれが何を意味するのかについて、管理者を教育してください。なぜなら、業績評価でAIによる要約を使用するかどうか、あるいはサプライヤー評価においてAIによるリスクスコアに依拠すべきかといった判断は、現時点において、何も指針がないまま中間管理職レベルで行われているからです。
AIガバナンスに関するAPAC地域での日本の立ち位置は、すでにシンガポールに遅れを取っています。シンガポールは、2026年1月のダボス会議で世界初の「エージェント型AI向けモデルAIガバナンスフレームワーク」を発表しました。日本の現在の平均値とそのベンチマークとの差は、自然に縮まるものではありません。
ESGの現状:すでに始まっている段階的な義務
日本のサステナビリティ基準委員会は、サステナビリティ全般および気候関連の開示を対象とした初の開示基準を2025年3月に最終化しました。金融庁は、2026年3月期より、まずは時価総額3兆円以上のプライム市場企業に対してこれらを適用しています。
これは将来的な対応を求めるものではありません。日本の最大手企業にとって、これらの基準に基づく最初の報告期間はすでに始まっています。
日本には人権デューデリジェンスを義務付ける法律はなく、現在提案されているものもありません。しかし、その枠組みだけではリスクの全容を捉えることはできません。EUの企業サステナビリティデューデリジェンス指令(CSDDD)は、2025年の適用範囲の見直しや施行時期の延期が行われた後も、一定の要件を満たす日本企業に対しては域外適用の効力を引き続き有しています。
欧州の顧客、投資家、またはサプライチェーンの取引先を持つ日本の組織は、CSDDDを他人事として扱うことはできません。
当社の2026年日本版レポートのサプライチェーンデータでは、準備態勢の遅れが無視できないほど顕著です。デューデリジェンスへの取り組み(14%)、監視の優先(19%)といった数値は、正しい方向に向かっているとは言えません。これらは、外部からの監視が強まる一方のリスク領域において、構造的な投資不足が起きていることを示しています。欧州の顧客や投資家を持つ日本の製造業者にとって、サプライチェーンの健全性と市場アクセスとの関連性は、直接的な問題となりつつあります。
取締役会への報告に関する問題
東京アメリカンクラブで開催された私たちのネットワーキングイベントでは、参加者から多くの質問が寄せられました。当社の2026年日本版レポートによると、日本の取締役会のうち、E&C報告において外部のベンチマークや比較データを受け取っているのはわずか26%にとどまっており、これは世界平均の40%を下回っています。
取締役会への報告の強化を計画している組織は、日本が25%であるのに対し、世界平均は42%です。日本は世界平均よりも頻繁にE&Cの取締役会レビューを実施しており、年2回のレビューを行っている割合は世界平均31%に対し44%と上回っています。しかし、頻度と質は別の物です。
研修の修了率、ホットラインへの通報件数、およびポリシー確認率といった数値のみを受け取っている取締役会は、単に活動データを受け取っているに過ぎません。これはガバナンスとはいえません。
企業文化の健全性指標、先行的なリスクシグナル、報復行為に対するフォローアップ率、調査完了までの期間、サードパーティの異常値、AIユースケースの追跡は、プログラムが実際に機能しているかどうかについて取締役会が判断を下すための材料となります。しかし、日本の取締役会の多くは、こうした情報を把握できていません。
内部告発者に関する法律の改正、AIガバナンスへの期待、輸出管理のリスク、そしてESGの義務を、組織的なリスクという筋の通った話として一貫性を持って提示できるコンプライアンス責任者こそが、今後規制当局や取締役会から投げかけられる問いに対し、最も効果的に応えることができるでしょう。
日本のコンプライアンス責任者が答えなければならない問い
私は、数週間前に執筆したシンガポールに関する記事の冒頭で、コンプライアンスの未来とは、信頼に裏打ちされた文化とデータの統合であるとの見解を述べました。これは日本においても同様であり、2026年の規制環境は、実践的な形で試すものとなるでしょう。
問題は、ポリシーが存在するか否かではありません。従業員が報告システムを利用するのに十分な信頼を寄せていること、管理者が報復リスクを生じさせることなく情報開示に対処できる能力を備えていること、AIツールが他のあらゆる重大なプロセスと同じ厳格さで管理されていること、サプライチェーンやサードパーティとの関係に契約上の形式にとどまらない実態を伴う監視が組み込まれていること、貿易コンプライアンス研修が現代の産業製品におけるソフトウェア定義という現実に適応していること、そして取締役会に形式的な報告ではなく、実質的な意思決定に資する情報が提供されているかが問われています。
日本は世界から後れを取っているとは言いません。むしろ、転換点にあると言えます。
日本の高インパクトなプログラムは、すでにデータ活用において他社を1.2倍上回る成果を出しています。高インパクトなプログラムが持つ構造的な優位性は、この市場のあらゆる組織が享受できるものです。しかし、その優位性を生み出すための条件に、多くの組織がまだ本気で取り組んでいないのが現状です。
2026年の規制環境では、もはやそのような格差は許されないことと言えるでしょう。