詳細を読む
プライバシープラットフォームのDataGrailが2026年版レポートを公開し、AI機能を宣伝するソフトウェアベンダー2,400社を調査した結果、63.6%がサードパーティのAIサブプロセッサーをDPA(データ処理契約)に記載していないことが判明しました。企業が導入したAIツールが、契約に明示されていないOpenAIやGeminiなどのモデルに個人情報を送信している可能性があります。
同レポートによると、AI機能を開示しているシステムの32.8%が機密情報処理や自動意思決定など高リスク活動にも関与しています。個人データ処理が47.1%、自動意思決定が20.7%、健康・金融情報など機密データ処理が16.5%を占めました。2026年1月に発効したCCPAのリスク評価義務により、こうした未開示の処理は法的リスクを急激に高めています。
規制の執行は急速に強まっています。米国の州政府は2025年に34.25億ドルの罰金を科し、過去5年間の合計を上回りました。データ削除要求は2021年比567%増で過去最高を更新し、全リクエストの87%を占めています。中規模企業の手動処理コストは年間約150万ドルに達し、もはや人力対応は現実的ではありません。
一方でプライバシーチームの人員は最大33%削減されており、AI統治の需要拡大と逆行する状況です。90%のプライバシープログラムがAI対応で業務を拡大したにもかかわらず、成熟したAIガバナンス体制を持つ組織はわずか12%にとどまっています。DataGrailのCEOは、次の脅威としてエージェントAIが未検証のデータ処理を組織全体に自律的に拡散するリスクを指摘しました。
企業が長年依拠してきたDPAは、AIの急速な進化に追いつけず信頼性を失いつつあります。Gartnerは2026年末までに企業アプリの40%にAIエージェントが搭載されると予測しており、人間の監視が及ばない自律的データ処理の拡大は避けられません。プライバシー対策の自動化と、契約書の実態検証を早急に進めることが企業に求められています。