DataGrail報告:AIソフトの6割がデータ転送先を非開示

データプライバシー企業DataGrailが6月1日に発表した『2026 Privacy and AI Trends Report』によると、AI機能を謳う業務ソフトウェアベンダーの約3分の2が、ユーザーデータを処理する第三者AIサブプロセッサーを開示していない。

同報告書は2,400社のベンダーを分析し、63.6%が法的文書でサブプロセッサーを一切明らかにしなかったとしている。

「シャドーAI」:データが目に見えない連鎖を流れる

サブプロセッサーとは、ベンダーのツールが依存する第三者AIモデルのこと。企業がA社のソフトを購入しても、データはB社の大規模言語モデルに渡り、さらにC社に渡る可能性がある。契約はA社とのみ交わしており、それ以降は知る由もない。

DataGrailはこの現象を「シャドーAI」と呼ぶ。問題が発生しても、誰に責任を問えばよいか企業には分からない。

さらに、AIシステムの32.8%が少なくとも1つの高リスク業務を実行している。サブプロセッサーの不透明さと相まって、企業は手探り状態だ。

規制が急増する一方、コンプライアンスチームは縮小

報告書は矛盾した状況を描く。2025年、米国の州は145件のAI関連法を可決し、さらに1,000件以上の法案が審議中。トラッキングピクセルを巡る集団訴訟は年間1,400件を超えた。

しかし、プライバシーコンプライアンスチームは削減の対象となっている。一部のチームでは最大33%の人員削減が行われた。ルールは増え、罰金は厳しくなり、対応する人員は減っている。

DataGrailのCEOダニエル・バーバー氏は2026年のプライバシー状況を次のように総括した:

「2026年のデータプライバシーを一言で表すなら『more』だ。規制もリスクもプレッシャーも、すべてが増えている。」

企業の42%がプライバシー懸念でAIプロジェクトを中止

報告書はまた、2025年に企業の42%がプライバシー懸念を直接の理由にAIプロジェクトを中止したと明らかにした。

2年にわたりAIをあらゆる業務に詰め込んできたが、多くの企業はデータの流れを追跡できず、サブプロセッサーを特定できず、厳しくなる規制に対応できないことに気づいた。半数近くがプロジェクトを断念した。

主要数値
AIサブプロセッサーを非開示のベンダー63.6%
高リスク業務を実行するAIシステム32.8%
2025年にプライバシー懸念で中止されたAIプロジェクト42%
2025年に可決された州のAI法145件
プライバシーチームの人員削減率最大33%

報告書の核心は、AIを避けるべきということではなく、導入前にデータの行き先を把握すべきということだ。その一見些細な点が、大きな隠れ負債になりつつある。

出典:CocoLoop;145 AI laws passed in 2025 and privacy teams aren't catching a break(Help Net Security);DataGrail Privacy and AI Trends Report 2026(DataGrail)