GRCのリーディングカンパニー NAVEX、企業統治・リスク・コンプライアンスにおける2026年の予測を発表

ガバナンス、リスク、コンプライアンス（GRC）分野のソフトウェアにおけるグローバルリーダーであるNAVEX（本社：米国オレゴン州、代表：アンドリュー・ベイツ）は、2026年におけるGRC領域の主要トレンド予測を発表します。

NAVEXの「Whistleblowing & Incident Management Benchmark Report」によると、内部通報やリスク報告の内容が年々多様化しており、特定の分野に限定されない、組織横断的なリスクが増加傾向にあります。

生成AIの業務利用、ハラスメント対応、越境データ管理といった高影響リスクは、いずれも現場主導で発生・拡大しやすく、従来のように領域ごとに制度や管理体制を分けて対応する前提が揺らぎ始めています。

NAVEX　Japanのカントリーマネージャーの三ツ谷直晃はこうした変化を背景に、2026年においてこれらのリスクがどのように捉え直され、どのような観点で管理・評価されていくのかについて、3つの主要トレンドとして整理しました。

■AI利用の可視化

NAVEXが昨年実施した「リスク・コンプライアンス実態報告」調査において、日本拠点の組織に所属する従業員のうち36%がAIの利用に「積極的に関与している」と回答し、AIはすでに「導入するかどうか」を議論する段階を超えています。
生成AIの業務利用は現場主導で急速に広がり、部署や用途ごとに多様な使われ方が進んでいます。AIはすでに「導入するかどうか」を議論する段階を超え、日常業務の前提となりつつあります。一方で、どのAIが、どの業務で、誰の判断によって使われているのかを、組織全体として把握しきれていないケースが増えています。

その結果、インシデントや誤判断が生じた際に、なぜその判断に至ったのかを説明できない状態が生まれています。

2026年において、AIガバナンスが「指針を整備しているか」から、「実際の利用実態と判断の経緯を把握し、説明できているか」へ移行していくと予測しています。AIはIT管理の枠を超え、統治・リスク管理の枠組みの中で管理される対象となり、組織の統治能力そのものが問われる領域へと位置づけが変わっていくでしょう。

■ハラスメント対応の実効性

多くの企業で、ハラスメント防止に関する制度や研修、相談窓口の整備は進み、形式的な対応は一定程度整っています。大半の企業が何らかのハラスメント防止施策を導入しているとされ、制度整備そのものは一般化しつつあります。一方で、実際に懸念が上がった後の対応については、判断や対応の質、一貫性は外から見えにくい状況が続いています。相談や通報があった際の対応プロセスが管理職や現場の裁量に委ねられているケースも少なくありません。制度が存在していても、「声を上げて大丈夫か」「きちんと向き合ってもらえるのか」といった従業員の信頼が十分に担保されていない状況では、組織としての姿勢そのものが問われることになります。

2026年において、ハラスメント対策が「実施しているかどうか」から、「実際に効果を上げているかが問われる段階」に移行していくと予測しています。研修の回数や制度設計そのものではなく、懸念に対してどのような判断が行われ、どのようなプロセスで対応されたのかを、組織として説明できているかが、コンプライアンスの中核的な指標として重視されるようになるでしょう。

■越境データ管理における統治の重要性
グローバル取引や海外展開が進む中で、企業は贈収賄防止、経済制裁、輸出管理など、国境をまたぐさまざまなリスクへの対応を求められるようになっています。個人情報保護法（APPI）への対応も進み、多くの企業で方針や規程は整備されている一方、データの国外移転については、実際の運用や管理の実態が見えにくい領域になりがちです。近年問われているのは「違反があったかどうか」ではなく、企業としてどこまでリスクを把握し、事前に統治していたかという点です。越境データ移転においても、問題はデータを国外に移転していること自体ではなく、どのデータが、どこに移転され、誰の判断で管理されているのかを、組織として説明できない状態にあります。

2026年において、越境データ管理の評価軸が「違反の有無」から、リスクを把握し、統治していたかどうかへと移行すると予測しています。規制当局やステークホルダーは、方針の存在そのものではなく、個人データに関するリスクをどのように特定・追跡し、継続的に管理しているかを重視するようになるでしょう。越境データ移転は、贈収賄防止や制裁対応と同様に、グローバルリスクの一部として統合的に管理されることが前提となっていきます。

■NAVEX 日本支社 カントリーマネージャー 三ツ谷直晃からのコメント

生成AIの活用、ハラスメント対応、越境データ管理はいずれも、これまで個別の制度や対策として扱われてきましたが、現在は共通して「組織として説明できるかどうか」が問われる段階に入っています。
重要なのは、ルールや方針を整備しているかではなく、実際にどこで何が起きており、誰の判断で管理されているのかを把握し、必要に応じて説明できる状態にあるかという点です。
今後、GRCは単なるリスク回避の枠組みではなく、企業の統治能力そのものを示す指標として捉えられるようになると考えています。NAVEXは、企業がこうした高影響リスクを横断的に可視化し、判断と対応のプロセスを継続的に管理できる体制づくりを支援していきます。

■NAVEX について  
NAVEX は、Fortune 100および500企業の75% を含む13,000の組織から信頼を得ており、ガバナンス・リスク・コンプライアンス管理ソリューション分野のグローバルリーダーです。NAVEX One のプラットフォームは、業界屈指のベンチマークデータとインサイトを活用し、リスク・コンプライアンスプログラムを強化することで、組織の力を高めます。NAVEX One は企業、第三者、エコシステムに関するリスクを 360 度の視点で把握し、規制遵守の強化と積極的なリスク管理を可能にします。NAVEX は、オレゴン州レイクオスウィーゴに本社を構え、グローバルに展開しており、ガバナンス・リスク・コンプライアンスの未来を切り拓き続けています。NAVEXに関する詳細は、以下のリンクよりご覧ください。 ブログ │LinkedIn│Facebook│YouTube

■会社概要
・NAVEX Global, Inc.（本社）
   本社：5885 Meadows Road, Suite 500 Lake Oswego, OR, 97035 United States
   CEO（最高経営責任者）：アンドリュー・ベイツ
   NAVEXウェブサイト：https://www.navex.com/ja-jp/

・NAVEX Japan合同会社（日本支社）
　所在地：東京都中央区京橋3-1-1 東京スクエアガーデン 14F
　設立：2026年1月
　カントリーマネージャー：三ツ谷 直晃
　事業内容：日本市場におけるNAVEX製品の販売・導入支援・カスタマーサクセス