SecurityWeekのCyber Insights 2026では、今後12か月にわたってサイバーセキュリティの関心領域が十数分野以上でどのように進化していくと見込まれるかについて、専門家の見解を検証します。私たちは何百人もの個別の専門家に話を聞き、彼らの専門的見解を得ました。ここでは、2026年に向けたサイバー規制とコンプライアンスの見通しを取り上げ、今年そしてその先に待ち受けるものに備えてサイバーセキュリティチームを準備させることを目的とします。
ゴルディアスの結び目とは、ほどくことができず、破壊するしかない難題です。私たち自身の「ゴルディアスの混沌」は、ほどくことも破壊することもできない、規制が増え続けて絡み合った状態です。
サイバー規制は、政治とビジネスが交差する場所――ビジネスが政治的現実に従属する場所です。
ここ数年、政治は地政学的緊張によって形作られてきました。地域や国ごとに、政治も姿勢もよりナショナリスティックになっています。伝統的に「リベラル」とされてきたEUでさえ、いまや中道右派と表現するほうが適切です。この世界的なナショナリズムの高まりの全体的な効果として、地域、国、州は自らのデジタル主権をますます強く主張するようになっています。
規制は、彼らがこのデジタル主権を作り、維持するための手段です。
厳密に言えば、ある地域が管轄権を持つのはその地域内に限られますが、インターネットのグローバルな性質によってそれが揺さぶられます。その結果、地域は物理的拠点がなくても、サイバー上の存在が少しでもある海外企業に対して権限を主張するようになります。結果として、EU加盟国に販売したい米国企業はEUのサイバー規制に適合しなければなりません。米国に販売するEU企業も同様であり、実際には、他の外国の主体に販売したいあらゆる企業が同じ状況に置かれます。
その結果、重複し、ときに相互に矛盾する何百もの法的要件が、すべての国際組織によって遵守されなければなりません。これはほどくことのできない現代のゴルディアスの結び目であり、私たちが現在のサイバー規制の状態を「ゴルディアスの混沌」と呼ぶ理由でもあります。
国際的なサイバー規制をうまく管理する以外の唯一の代替案は、インターネットのさらなるバルカン化が進むことです。それはゴルディアスの結び目を断ち切ることに等しいでしょう。
規制:動き続ける要件のゴルディアスの混沌
地政学的緊張がグローバリゼーションを殺しました。グローバリゼーションは、各国それぞれのデジタル主権と地域主権へと置き換えられ、各国政府や地方州は、自国の市民と自国のデジタル資産を自分たちのやり方で守ることに注力しています。
「世界各国の政府において、国家安全保障、主権、介入主義がサイバー政策と規制アジェンダを支配しています」と、NCC Groupの政府渉外責任者であるVerona Johnston-Hulse氏は説明します。
それは政治レベルの話です。サイバーレベルでは、インターネットは依然としてグローバルな現象であり、世界市場を提供しています。この世界市場に商品やサービスを提供したい組織は、必然的に複数の法域の規制に適合しなければなりません。これらの規制は重複し、同一であることはまれで、ときに矛盾します。
「国際的に事業を展開する組織にとって、状況は複雑です。複数の法域は複数のルールとガイダンスを意味し、非遵守のリスクを高めます」と、Xalientのグループ情報セキュリティ&コンプライアンス・ディレクターであるCraig Ingham氏は述べています。
結果として生じる複雑さは深刻です。たとえば「医療データ交換は、HIPAAのセキュリティ要件、GDPRのデータ最小化、カリフォルニア州CPPAの規則、そして数十の法域にまたがる相互に矛盾する侵害通知のタイムラインを同時に満たさなければなりません。この断片化した状況は、合理的な主権的権限(各国がプライバシーとセキュリティのトレードオフで正当に異なる)である一方で、コンプライアンスコストがスタートアップより既存企業を有利にするという、グローバル商取引に対する不合理な負担でもあります」と、Kiteworksの欧州事業担当VP兼GMであるDario Perfettibile氏は説明します。
「彼らは、複数法域にまたがるデータ・レジデンシー、モデル・ガバナンス、監査パイプラインを扱うことで、コンプライアンスをエンジニアリング上の課題に変えてしまいます。これによりコストと遅延は増えますが、必ずしもセキュリティが向上するわけではありません」と、IANS Researchの教員でありBedrock SecurityのCSOであるGeorge Gerchow氏は付け加えます。
規制とセキュリティの違いは重要です。規制は人々を守ったり経済を前進させたりするための政治的手段である一方、サイバーセキュリティはビジネスを守るための商業的手段です。「規制は行動を促す助けにはなりますが、侵害を防ぐことはできませんし、熟練したサイバー専門家が必要だと分かっていることを実行する代わりにはなりません」と、Binalyzeの市場戦略担当VPであるMarie Wilcox氏は述べています。
規制はゴルディアスの混沌となり、ほどく方法も破壊する方法もありません。
この基本的な混沌は、揺れ動く国内政治によってさらに複雑化しています。執筆時点での代表例は、米国のビッグテックがEU規制への適合を強いられ、従わなければ欧州から罰金を科されることに対する米国政治の懸念が高まっていることです。米国政府は、Spotify(本社はスウェーデン、登記はルクセンブルク)などの欧州企業に対して報復すると脅しています。
ここでさらに疑問が生じます。インターネット上で利用可能である以外に正式な拠点を持たない組織に対して、ある法域は裁定を執行できるのでしょうか。おそらく可能ですが、部分的に限られるでしょう――そして現在、4chanがその限界を試しています。
4chanの運営の主要な原則は匿名性です。これにより、組織がコンテンツを取り締まることは事実上不可能になりますが、これは英国のオンライン安全法(Online Safety Act)への適合に必要な要件です。米国の4chanは、英国規制当局Ofcomからの要請を無視し、最終的にOfcomは同組織に2万ポンドの罰金を科しました(コンテンツそのものではなく、規制当局への協力を拒否したことに対して)。
4chanは罰金も無視しましたが、その一方で米国で報復的な訴訟を起こし、この規制は組織に合衆国憲法修正第1条への抵触を強いる(インターネット自体が米国の発明であるのに)こと、そして英国には4chanに対する管轄権がないことを主張しています。
「罰金の支払い拒否はかなり単純です」と、Jumioのグローバル・プライバシー責任者兼DPOであるJoe Kaufmann氏は言います。「しかしOfcomは、支払い拒否が続くなら、英国のインターネットサービスプロバイダに対して4chanへのトラフィックを遮断するよう最終的に要求できます」。
同氏は続けます。「この法律は、あらゆる国内法と同様に、英国ではほぼ確実に執行されるでしょう。しかし4chanは米国連邦裁判所でOfcomを相手取って提訴もしています。これは、国際法の域外適用が米国企業に及ぶかという点に対する、やや興味深い挑戦です。とりわけ憲法上の権利を根拠とする抗弁が含まれているからです。ただし、国際的に有効な先例となる可能性は比較的低いでしょう」。
英国の新たな年齢確認要件にも、同様の懸念があります。
規制緩和の可能性も、さらなる複雑化要因です。2025年11月、FCCは2対1で、CALEAが米国キャリアにネットワークの保護を義務付ける法的要請であるとした2025年1月の裁定を撤回することを決議しました。元の裁定は、2024年末に発見された中国の国家支援によるSalt Typhoonスパイ活動キャンペーンへの対応でした。
なお、この撤回決議は党派に沿ったものであり、政治が規制に対してますます最終決定権を持つようになっていることをさらに示すとともに、政治とサイバーセキュリティの分離を浮き彫りにしています。
「米国の通信事業者に対する最低限のサイバーセキュリティ要件を解体するFCCの投票は、運用上の現実から完全に切り離された政策立案の典型例です。Salt Typhoonのような複数年にわたるキャンペーンで、国家支援の脅威アクターが200社超の通信事業者を密かに侵害した後に、業界が最も必要としていないのは、『規制緩和』に偽装された規制の空白です」と、Exabeamのセキュリティ運用ストラテジストであるGabrielle Hempel氏は述べています。
サイバーセキュリティ規制に政治が加わることで、規制は単なるゴルディアスの混沌ではなく、商業企業が何とか扱い、航行しなければならない「動く標的」であることが示されています。
例外的な論点
年齢確認
年齢確認は現在、英国においてポルノまたは自傷行為を提供するサイトに対する要件となっています。これはオンライン安全法に由来しますが、2025年7月に「児童保護行動規範(Protection of Children Codes of Practice)」が施行されたことで正式化されました。
EUでも、同様だがより広範で正式な年齢確認要件の導入が進んでおり、13歳未満のソーシャルメディアへのアクセスを全面禁止することも含まれます。これは複数の欧州諸国で導入済み、または試行中であり、2026年末までにEU全加盟国で義務化される見込みです。
ランサムウェアの支払い
身代金の支払いは長らく推奨されてきませんでしたが、違法化する動きが強まっています。米国では、身代金支払いを禁じる連邦法はありません(受領者が制裁対象である場合を除く)一方、いくつかの州では特定セクターに対する独自の禁止規定があります。
英国は、公的部門および重要国家インフラ(CNI)による身代金支払いの全面禁止を進めています。これは2025年7月に確認され、2026年中に施行される可能性が高いです。
身代金支払いを禁止することに賛成する論拠は単純です。犯罪者がランサムウェア(恐喝)で金を稼げなければ、やめるだろうというものです。しかし、これは繊細で難しい領域です。「身代金の支払いを禁止するのは理論上は良さそうに聞こえます」と、HackuityのCROであるPierre Samson氏は言います。「しかし、それによって市場が地下化し、排除するどころか支払いサービスの闇市場を生む現実的なリスクがあります」。
E2EEのバックドア
政府は数年にわたり、E2EEサービスへのバックドアの挿入とアクセスを要求してきました。論拠は、暗号化メッセージへの法執行機関(LEA)のアクセスが国家安全保障と重大犯罪の防止に必要だというものです。多くの技術者はこの概念を好まず、いかなるバックドアもいずれ悪意ある者の手に渡ると考えています。
ImmuniwebのCEOであり、Platt Lawのサイバーセキュリティ・パートナーでもあるIlia Kolochenko氏は、現実的な見方を示します。
「各国がバックドアの義務化を求める法律を可決する可能性は低いでしょう。なぜなら、ほとんどのベンダーは単に市場から撤退し、その国は中世に逆戻りするからです。バックドアの代わりに、法執行機関は、現在利用可能な合法的ハッキングの手法、費用対効果の高い盗聴技術、そして昔ながらの抑圧的な尋問によって容疑者にパスコードを吐かせるべきです。ほとんどの場合、重大犯罪を含め、これはかなりうまく機能します」と同氏は述べています。
しかし同氏は、バックドアは単に法執行機関の仕事を容易にするだけであり、バックドアがないからといって、法執行機関が本気でデータを取りに来た場合に人々を守れるわけではない、とも指摘します。
AI規制:非常に厄介なゴルディアスの混沌
「2026年、規制はAIの未来を形作る最大級の力の一つになるでしょう。しかし同時に、最も混沌としたものの一つにもなるでしょう」と、Baker TillyのプリンシパルであるChris Tait氏は述べています。
(2025年12月11日に署名されたトランプの大統領令Ensuring a National Policy Framework for Artificial Intelligenceについては、特定の適用除外が含まれており、複数の州――特にカリフォルニア州とコロラド州――から法的に争われる可能性が高いため、ここでは扱いません。興味深いことに、カリフォルニア州知事は4chanの主張の一部に概念的に似た擁護を表明しています。要するに「私たちが発明したのだから、自州内での利用をコントロールする権利がある」というものです。この大統領令が2026年を通じてどう展開するかはまだ分からないため、当面は無視します。)
今日私たちが知るAIの利用を規制するうえでの主要な問題は2つあります。第一に、AIは確率的性質を持つ(特定の入力に対してどう応答するかを保証できない)こと。第二に、驚異的な速度で進歩(そして変化)していることです。それでも、私たちはそれを規制しなければなりません(少なくとも、そうすべきです)。すでに、未成年者を含む複数の事例で、チャットボットの出力がその後の(ひょっとすると結果としての)自殺に関与しているとされるケースが出ています。
Tait氏はAI規制の問題を要約します。「AI監督を『所有』する単一の権限主体は存在せず、技術の急速な普及が効果的な立法能力を上回っています。消費者向けツールは問題を浮き彫りにしています。未規制のコンテンツ生成から、Grok AIのようなプラットフォームが不適切な応答を生成することまで、ガードレールの欠如が社会的リスクを生み、とりわけ若い世代に影響しています。」
同氏は続けます。「グローバルな不整合は事態をさらに悪化させます。ある国が制限するものを、別の国は許容する。さらに、ユーザーが機微なデータを公開AIツールに貼り付けてしまうというプライバシー上の悪夢が加わります。情報がどこへ行くのかを制御する明確な枠組みがないため、規制当局が右往左往しているのも無理はありません。」
Kolochenko氏は、AIが政府に問題をもたらすと考えています。「生成AIは現時点で効果的に検閲できません」と同氏は言い、「…しかし、有害で違法かつ危険な素材を大量に拡散することができ、実際にそうしています」。
これには、社会の混乱や体制転換の可能性を狙って、ボットが偽情報を大量拡散することも含まれ得ますし、すでに含まれています。
問題はE2EEの利用と似ています――一度利用可能になり普及すると、制御は非常に困難です。政府は製造者に対して、源流で制御を挿入するよう説得を試みてきました。Kolochenko氏はAI規制にも潜在的に同様のアプローチがあり得ると見ています。「AIベンダーに対する政府の統制を事実上独占し、どのチャットボットも地域法や不文律の慣習で禁じられていることを決して行わないようにすることです。」
エージェンティックAIは問題になり得ます。これは自律的に設計され、自ら意思決定を行い、最終的には人間の介入なしにその意思決定を自動的に実行することを目指します。しかし、エージェンティックシステムの開発者は、それがいつどの内部・外部データソースに接続するのかを常に把握しているわけではありません。さらに、エージェンティックシステムは潜在的に自己変更する可能性もあります。
「AIセキュリティのベースラインを強制するためのさまざまなアプローチは、EUの規制優先から、英国の推奨ガイドライン、米国のイノベーション優先の連邦姿勢と、それに続く分散した州主導の規制まで幅があります」と、ZenityのAIセキュリティおよび政策提言ディレクターであるKayla Underkoffler氏は述べています。「そして真実は、これだけあっても、企業内ですでに稼働している自律エージェントの現実に、誰も本当に向き合っていないということです。」
主要な国際AI規制で先陣を切ったのはEUのAI法(AI Act)でした。「EU AI Actは大きな前進です」と、Drataのセキュリティ担当SVP兼CISOであるMartin Davies氏は述べ、「しかし2026年には、多くの組織が依然としてどれほど準備不足かが明らかになると思います。GDPRやNIS2でも、企業は土壇場まで待ち、そこで初めてコンプライアンスがいかに複雑かを思い知りました。今回の違いは、AIが月ごとに変化するため、ゴールポストが常に動いていることです。」
多くの主要規制と同様に、域外適用の範囲が大きい――そのため、米国のAI開発者は、EUに販売する場合、あるいはEU域内でAIの出力を利用する場合でさえ、その適用可能性を認識しておく必要があります。
混乱が残る領域の一つが、同法が「高リスクAI」と呼ぶものです。同法の多くはすでに施行されていますが、この領域は現在保留で、2026年8月2日まで有効化されない予定です。しかし、2025年11月に公表されたデジタル・オムニバスは、AIの「高リスク」とGDPRの「高リスク」を整合させる作業がまだ継続中であり、2027年末までに完了しない可能性があることを示唆しています。
「何が『高リスクAI』に該当するのかについて、依然として明確さが大きく欠けています」とDavies氏は続けます。「EUの行動規範(Code of Practice)は遅れており、加盟国は規則を異なる形で解釈するでしょう。それが欧州全体でコンプライアンスの分断を生みます。過剰に遵守する国もあれば、様子見を選ぶ国もあるかもしれません。」
ビジネスにおけるAI利用の世界的重要性、そして伝統的にリベラルなEUと、ほとんど極端な自由市場志向を持つ米国政権との政治的分断を踏まえると、国際企業にとってAIコンプライアンスは複雑になるでしょう。
コンプライアンス管理:現在と将来
コンプライアンス――サイバー法および規制への適合を実証すること――はますます難しくなっており、予見可能な将来にわたってさらに難しくなり続けるでしょう。主因は、グローバリゼーションからナショナリズムへの地政学的後退と、国家データ主権と、インターネットと呼ばれるグローバルな取引媒体との不協和の拡大です。あらゆる地域、国家、州が、自国の市民と自国の経済を自分たちのやり方で守りたいと考えています。
「現在、世界には160を超えるプライバシー法が存在し、米国では18州が包括的なプライバシー法制を持ち、組織の69%が規制は複雑すぎると報告しています。しかもGDPRの罰金だけで年間50億ドルを超える時代です」と、KiteworksのPerfettibile氏は述べています。「国際的な調和がなければ、組織は自動化されたコンプライアンス技術への依存を強めざるを得なくなる一方で、法域間で矛盾する法的義務には技術的解決策がないという根本問題に直面します。」
サイバー規制の有意義な国際調和は見込み薄です。「政府と規制当局は、ランサムウェア支払いの制限、年齢に基づくAIアクセス、あるいは既存の無数のプロセスの更新など、いずれにせよサイバーおよびプライバシーのルールを引き締め、多様化し続けるでしょう」と、SecurEnvoyのVPであるMichael Downs氏は付け加えます。「難しさは、これらの法律がパッチワーク状であり、独立した構造で存在している点にあります。国別およびセクター別の政策は、多国籍組織に対して、重複ししばしば相互に矛盾する義務を乗り越えることを引き続き強いるでしょう。」
100%の継続的なグローバル・コンプライアンスは事実上不可能です。「企業がコンプライアンスを管理するのは確実に難しくなっています」と、Blank Rome法律事務所のパートナーで、プライバシー・セキュリティ&データ保護部門の共同議長であるSharon Klein氏も同意します。「企業はしばしば80/20のアプローチを取り、各種法律の一般原則に従う、あるいはより保護的な法律に適合し、それをゴールドスタンダードとして用いようとします」と同氏は続けます。「データセキュリティの目的では、NIST CSFのような業界で受け入れられている情報セキュリティ標準に適合すること、またはSOC 2 Type 2、ISO 27001、27002、27017といった標準の第三者認証を取得することへの後押しも見られます。」
主要標準にコンプライアンスの焦点を当て、それが個別規制の大部分を満たすと信頼する方向への移行は一般的です。「進化し続ける規制の絶え間ない変動は、企業に主導権を取らせ、ISO 27001、27701、42001のようなサイバー、プライバシー、AIのフレームワークに整合させることで、スケーラブルで国際的に認知されたコンプライアンスの設計図を提供するよう促しています」と、コンプライアンス・プラットフォームIOのCEOであるChris Newton-Smith氏は述べています。「これにより、地域・地方・地理的な差異に対応するための小さな適応だけで、グローバルに事業を運営できるようになります。」
Perfettibile氏も同意します。「企業は、統一フレームワーク(ISO 27001、NIST、SOC 2)に、法域固有の適応を補完することでコンプライアンスを管理しています。しかし、それは指数関数的に難しくなっています。」
XalientのIngham氏は付け加えます。「複数の法域は複数のルールとガイダンスを意味し、非遵守のリスクを高めます。ISO 27001、NIST、MITRE ATT&CK、D3FENDのような標準は、組織を導くのに役立つ、構造化され、監査可能で、適応可能なフレームワークを提供します。」
標準に適合した後、次の問題は、自組織に最も関連する特定規制に適合するために必要な適応をどう管理するかになります。「嵐はまだ強まる一方です。AI、プライバシー、サイバーセキュリティの義務が衝突し、アルゴリズムでさえ自らを説明しなければならないという、規制の複雑性の新時代を生み出しています」と、Zenarmorのマーケティング担当VPであるAsha Kalyur氏は述べています。「優位に立つのは、コンプライアンスを生きたシステム――継続的で、適応的で、アーキテクチャの織り目にコードとして組み込まれたもの――へと変える人々です。」
ZenarmorのCEOであるMurat Balaban氏は付け加えます。「先見的なチームは『compliance-as-code』を受け入れています。」
One Identityの最高戦略責任者であるLarry Chinski氏は続けます。「コンプライアンスチームは、もはや静的な年次監査に頼れません。代わりに、ガバナンスが実際に機能していることを示す生きたシステムが必要です。最小権限や継続的検証といったアイデンティティ管理に使われる同じ技術は、自然とコンプライアンスツールそのものとして考えられるようになり、規制当局が求めるリアルタイムの証拠を生成できるようになります。2026年末までに、『証拠に基づくガバナンス(proof-based governance)』が新たな標準になるでしょう。」
この最後のコメントは、悪化するコンプライアンス状況に対する将来の――皮肉ではあるものの――解決策の手がかりを示しています。AI、より具体的にはエージェンティックAIです。人工知能はあらゆる場所でビジネスを破壊的に変え、新たな問題を生む一方で別の問題を解決しています。AI規制は、その枠組み作りにおいても遵守においても厄介でしょう。しかしAIは、一つの問題を生みながら、自身の問題と、より広い規制コンプライアンスの複雑性に対する解決策を提供することになります。
MomentumのCTO兼共同創業者であるMoiz Virani氏は説明します。「将来は、AI駆動のコンプライアンスツールの利用が増え、この複雑性の管理が容易になる方向を示しています。」第一に、規制マッピングのためのAIです。「LLMは新しい規制を取り込み、特定の要件を既存の内部統制に自動的にマッピングし、ギャップをリアルタイムで特定できます。」
第二に、継続的監査です。「エージェンティックシステムは、インフラとデータフローを継続的に監視して、ポリシーへの継続的な遵守を確保できます――たとえばGDPRのためのデータ・レジデンシーをチェックし、即時に監査可能なレポートを生成します。」
第三に、自動化されたポリシー強制です。「AIネイティブなセキュリティツールは、検出された規制コンテキストに基づいて統制を強制します。たとえば、禁止されている法域をまたいでデータが移動する際に、PIIを自動的にマスキングします。」
最終的に同氏はこう主張します。「規制環境そのものはより難しく、より断片化していく一方で、コンプライアンスを管理するためのツールとプロセスは、AIと自動化によって、著しく容易に、迅速に、そして正確になっていくでしょう。」
