コンプライアンス遵守を支援するDelve社が、多数の顧客に対し、プライバシーおよびセキュリティ規制に準拠していると誤認させていた疑いが浮上しました。匿名Substackへの投稿が発端となり、RegTech業界におけるAI監査の信頼性に対する懸念が高まっています.

事件の概要：Delve社に対する告発

ある匿名の内部告発者が、Substackへの投稿を通じて、Delve社が「数百もの顧客に対し、プライバシーおよびセキュリティ規制に準拠していると誤って認識させていた」と告発しました. この告発は、Delve社が顧客企業のコンプライアンス状況について組織的に誤った情報を提供していたと主張しており、これらの企業が規制当局からの罰金、訴訟、そして評判の低下に晒されるリスクを高めています.

Delve社とは？

Delveは、企業がSOC 2、HIPAA、ISO 27001、GDPR などのコンプライアンス要件を迅速かつ低コストで満たすことを支援する企業として知られていました. MIT出身のAI研究者であるKarun KaushikとSelin Kocalarによって2023年に設立されたDelveは、AIエージェントを活用してコンプライアンス業務を自動化し、企業がコンプライアンス認証を迅速に取得できるよう支援することを謳っていました. 2025年7月には、Insight Partnersが主導するシリーズAラウンドで3200万ドルを調達しています.

告発内容の詳細

• 監査結論の事前作成: 顧客が企業概要やネットワーク図を提出する前に、「独立サービス監査人の報告書」およびすべてのテスト結論がすでに記入されていた.
• コピー＆ペーストのテンプレート: リークされたSOC 2レポートの99.8%（494件中493件）が同一のテキスト、文法的な誤り、無意味な記述を含んでおり、企業名、ロゴ、署名のみが異なっていた.
• 証拠の捏造: デバイスのセキュリティチェック、身元調査、トレーニングなど、実際には完了していない従業員に対しても、Delveが自動的に合格証拠を生成していた.
• 偽の「米国拠点」の監査法人: Delveは監査人を米国のCPA（公認会計士）事務所として宣伝していたが、調査の結果、主要なSOC 2監査人（Accorp）は米国のバーチャルオフィスアドレスを使用するインドの事業者であることが判明した.
• 要件のスキップ: 主要なフレームワーク要件が完全にスキップされていたにもかかわらず、顧客には100%準拠していると伝えていた.

RegTech業界への影響

今回の事件は、コンプライアンス遵守をサービスとして提供するRegTech業界全体に影響を与える可能性があります。企業がコンプライアンス検証を外部委託する場合、自動化された評価の精度に大きな信頼を置くことになります. Delve社に対する告発は、このモデルにおける脆弱性を露呈させました。

企業が被るリスク

もし告発が事実であれば、Delve社のサービスを利用していた企業は、以下のようなリスクに晒される可能性があります:

• 規制当局からの罰金: GDPRなどの規制フレームワークでは、グローバル年間収益の最大4%に相当する罰金が科される可能性があります.
• 訴訟: コンプライアンス違反により、顧客や関係者からの訴訟に発展する可能性があります.
• 評判の低下: 企業としての信頼が損なわれ、顧客やパートナーからの信頼を失う可能性があります.
• 刑事責任: HIPAA要件の違反は、刑事責任を問われる可能性があります.

Delve社の反応

Delve社のCEOであるKarun Kaushik氏は、これらの告発を「捏造された」ものであり「AIが生成した」ものであると否定しています. Delve社は公式声明を発表し、Substackの記事における多くの不正確な主張に対して反論しています. Delve社は、自社が監査を実施したり、偽のSOC 2レポートを発行したりすることはなく、顧客がコンプライアンス要件を実装するのを支援する自動化プラットフォームであると主張しています. また、Delve社は、テンプレートを提供することで顧客がプロセスを文書化するのを支援しているだけであり、顧客は提供された資料を確認、修正、最終決定する責任があると述べています. さらに、Substackの記事で主張されているよりも多くの自動化された統合をサポートしていると主張しています.

今後の展望

Delve社に対する告発とそれに対する同社の反論は、RegTech業界におけるAIの役割と責任について重要な問題を提起しています。規制当局がこの問題にどのように対応するか、そしてコンプライアンス・アズ・ア・サービス・プラットフォームがどのように精査され、監査されるかという点において、今回の事件が業界の将来を形作る可能性があります.

コンプライアンスにおける注意点

企業がコンプライアンスを確保するためには、以下の点に注意する必要があります:

• データの暗号化とアクセス制御: データの不正アクセスを防ぐために、適切なセキュリティ対策を講じる必要があります.
• プライバシー・バイ・デザインの実装: 製品やサービスを設計する段階からプライバシーを考慮に入れる必要があります.
• 定期的な監査とスタッフのトレーニング: コンプライアンス状況を定期的に評価し、スタッフに適切なトレーニングを提供する必要があります.
• データ保護法と規制の遵守: GDPR、CCPA、HIPAAなどのデータ保護法と規制を遵守する必要があります.

AIを活用したコンプライアンスツールは、効率性とコスト削減の可能性を提供する一方で、その信頼性と透明性を確保することが不可欠です。今回のDelve社の事例は、AI監査ツールを利用する企業にとって、ベンダーの選定と継続的な監視の重要性を改めて認識させるものとなりました。