データプライバシー企業DataGrailが6月1日に発表した『2026 Privacy and AI Trends Report』によると、AI機能を謳う業務ソフトウェアベンダーの約3分の2が、ユーザーデータを処理する第三者AIサブプロセッサーを開示していない。
同報告書は2,400社のベンダーを分析し、63.6%が法的文書でサブプロセッサーを一切明らかにしなかったとしている。
「シャドーAI」:データが目に見えない連鎖を流れる
サブプロセッサーとは、ベンダーのツールが依存する第三者AIモデルのこと。企業がA社のソフトを購入しても、データはB社の大規模言語モデルに渡り、さらにC社に渡る可能性がある。契約はA社とのみ交わしており、それ以降は知る由もない。
DataGrailはこの現象を「シャドーAI」と呼ぶ。問題が発生しても、誰に責任を問えばよいか企業には分からない。
さらに、AIシステムの32.8%が少なくとも1つの高リスク業務を実行している。サブプロセッサーの不透明さと相まって、企業は手探り状態だ。
規制が急増する一方、コンプライアンスチームは縮小
報告書は矛盾した状況を描く。2025年、米国の州は145件のAI関連法を可決し、さらに1,000件以上の法案が審議中。トラッキングピクセルを巡る集団訴訟は年間1,400件を超えた。
しかし、プライバシーコンプライアンスチームは削減の対象となっている。一部のチームでは最大33%の人員削減が行われた。ルールは増え、罰金は厳しくなり、対応する人員は減っている。
DataGrailのCEOダニエル・バーバー氏は2026年のプライバシー状況を次のように総括した:
「2026年のデータプライバシーを一言で表すなら『more』だ。規制もリスクもプレッシャーも、すべてが増えている。」
企業の42%がプライバシー懸念でAIプロジェクトを中止
報告書はまた、2025年に企業の42%がプライバシー懸念を直接の理由にAIプロジェクトを中止したと明らかにした。
2年にわたりAIをあらゆる業務に詰め込んできたが、多くの企業はデータの流れを追跡できず、サブプロセッサーを特定できず、厳しくなる規制に対応できないことに気づいた。半数近くがプロジェクトを断念した。
| 主要数値 | 値 |
|---|---|
| AIサブプロセッサーを非開示のベンダー | 63.6% |
| 高リスク業務を実行するAIシステム | 32.8% |
| 2025年にプライバシー懸念で中止されたAIプロジェクト | 42% |
| 2025年に可決された州のAI法 | 145件 |
| プライバシーチームの人員削減率 | 最大33% |
報告書の核心は、AIを避けるべきということではなく、導入前にデータの行き先を把握すべきということだ。その一見些細な点が、大きな隠れ負債になりつつある。
出典:CocoLoop;145 AI laws passed in 2025 and privacy teams aren't catching a break(Help Net Security);DataGrail Privacy and AI Trends Report 2026(DataGrail)