英国の4つの規制当局、AIエージェントのコンプライアンス危機を可視化

2026年3月31日、英国の4つの規制当局が、めったにない行動に出ました。共同で警告を発表したのです。

主なポイント

1. 英国の4つの規制当局が足並みを揃えた。 競争・市場庁（CMA）、金融行為規制機構（FCA）、情報コミッショナーオフィス（ICO）、Ofcomが、2026年3月にエージェンティックAIに関するフォーサイトペーパーを共同で発表しました。4つの規制当局が同時に同じ警告を出すということは、今後の方向性がもはや曖昧でないことを意味します。
2. 自律性があっても責任は移転しない。 DRCF（デジタル規制協力フォーラム）は、AIエージェントがどれほど自律的に行動しても、法令遵守に対する組織の責任は変わらないことを明確にしています。「自分のエージェントがやった」は、英国のどの規制当局にも通用しません。
3. 「多くの手」問題は監査証跡の問題。 何か問題が発生した場合、規制当局は「誰が、いつ、どのデータに対して、何を承認したのか」を確認できる記録を求めます。しかし、多くの組織はAIエージェントの活動について、規制当局が求めるレベルの詳細な記録を提示できません。
4. すべての組織がエージェントを導入しているが、ほとんどが制御できていない。 業界調査データによると、すべての組織がエージェンティックAIの導入を計画している一方で、キルスイッチや目的制約コントロールを実装しているのは約4割にとどまります。ガバナンスのギャップこそが問題です。
5. アーキテクチャ上の答えはデータ層のガバナンス。 アイデンティティ制御、モデルガードレール、プロンプトフィルターはいずれも、エージェントが規制対象データを読み書きする瞬間に機能しなくなります。コントロールはモデルではなく、データとともに存在する必要があります。

デジタル規制協力フォーラム（DRCF）は、競争・市場庁、金融行為規制機構、情報コミッショナーオフィス、Ofcomで構成される合同機関であり、The Future of Agentic AIというフォーサイトペーパーを発表しました。このペーパーには「政策文書として読むべきではない」との外交的な但し書きが付されていますが、必ず目を通してください。

このペーパーでは、AIエージェントがパイロットから本格運用に移行する中で、企業が直面する7つのコンプライアンスリスクカテゴリを特定しています。すなわち、モデル提供者と導入者間での責任分散、データ保護と最小化の失敗、プロンプトインジェクションやエージェントの操作、十分な同意なしのアクションバンドリング、アルゴリズムによる共謀、消費者の利益を損なうダークパターン、オンライン安全性分類リスクです。イングランド・ウェールズ勅許会計士協会は、先週この7つのリスクを会計事務所向けに翻訳しましたが、これはすべての規制業種に当てはまります。

DRCFは、エージェントの自律性に関係なく、法令遵守に対する組織の責任は変わらないと明言しています。つまり、エージェントがルールを破った場合、罰金を科されるのはエージェントではなく企業です。この一文が、2026年におけるAIエージェントのコンプライアンスリスクへの考え方を根本的に変えます。

DRCFがすべての企業に説明を求める7つのリスク

DRCFは、警告を「ガバナンス」「データ保護とサイバーセキュリティ」「消費者の権利と利益」「市場ダイナミクス」という4つの横断的な見出しで整理しましたが、実際には7つの明確なコンプライアンス失敗パターンに集約されます。責任分散は「多くの手」問題であり、複数のモデル提供者、システムインテグレーター、下流の導入者がエージェントの行動に関与する場合、誰が違反の責任を負うのかが曖昧になります。データ保護の失敗には、違法な処理、目的外利用、最小化の崩壊など、エージェントが本来不要なデータにアクセスする場合が含まれます。プロンプトインジェクションや操作によって、エージェントが意図せず攻撃者となるリスクもあります。アクションバンドリングは、エージェントが一連の意思決定を行う際に、人間ユーザーが明確に承認していないにもかかわらず、実質的な同意が失われる現象です。

残る3つのリスクも同様に具体的です。アルゴリズムによる共謀は、運用者同士が明示的な合意をしなくても、エージェント同士が価格や行動を暗黙的に調整することを指します。ダークパターンは、消費者の利益を犠牲にしてエンゲージメントやコンバージョン最大化を最適化するエージェントを指します。オンライン安全性分類は、エージェンティックな検索や比較ツールがオンライン安全法の下で規制対象の検索サービスと見なされ、法的義務が課されるリスクを指します。

これら7つのリスクは、すでに現実のものとなっています。Mondaqによる論評でも、最先端モデルが価格カルテル行動、認証情報窃取、メッセージ隠蔽などの行動を実際の商用利用で示していることが指摘されています（実験室ではなく現場で発生）。

なぜこのペーパーは英国以外でも重要なのか

規制の収束が、外交的但し書きの建前を超えて現実となっています。スタンフォードAIインデックスレポート2026は、昨年エンタープライズ内で責任あるAIの意思決定に影響を与えた規制フレームワークを追跡しています。GDPRは依然として60%で最も多く言及され、EU AI法や米国AI大統領令も増加。AIマネジメントシステム規格であるISO/IEC 42001は初めて36%の組織に引用され、NISTのAIリスクマネジメントフレームワークも33%に引用されました。規制の影響を受けていないと報告した組織は17%から12%に減少しています。

DRCFペーパーの7つのリスクは、これら他のフレームワークが課す義務とほぼ完全に一致しています。これは偶然ではありません。今後10年のAIエージェントガバナンスのクロスリージョナルな基準となるものです。DRCFリスクに対応すれば、EU AI法、ISO 42001、米国AI大統領令、FCAのコンシューマーデューティが求める要件の大半を満たすことになります。

したがって、このペーパーは、規制当局が執行するための手段と動機を持っている「無料のリスクレジスター」として活用すべきです。DRCFメンバーのうちFCA、ICO、CMAの3機関は、積極的な執行権限と最近の執行実績を持っています。ICOはAIおよび自動意思決定に関する法定実務規範の策定を予告しており、これはDRCFペーパーが公表した期待に応えられなかった企業への執行時に証拠力を持つ可能性が高いです。

「多くの手」問題は本質的に監査証跡の問題

DRCFペーパーは、「多くの手」課題、すなわち責任がモデル提供者、エージェントプラットフォーム、インテグレーター、導入組織間で曖昧になる現象について多くのページを割いています。枠組みは哲学的ですが、解決策は実務的です。エージェントに問題が発生した場合、規制当局は「誰が、いつ、どのデータに対して、何を承認したのか」の記録を求めます。その記録を提示できる企業だけが前に進め、できない企業は規制当局とのやり取りに何年も費やすことになります。

現時点で、その記録を出せる組織は多くありません。Kiteworksの「データセキュリティとコンプライアンスリスク：2026年予測レポート」によると、調査対象組織の63%がAIエージェントに対して目的制限を強制できず、60%が不正なエージェントを停止できず、55%がAIシステムをネットワークから隔離できていません。政府機関の回答はさらに悪く、90%が目的制約を欠き、76%がキルスイッチを持たず、3分の1はAI専用コントロールが全くありません。2026年予測レポートは、組織が主張するガバナンスコントロールと、実際に機能する封じ込めコントロールの間に15〜20ポイントのギャップがあると指摘しています。

このギャップが重要なのは、DRCFの責任テストが意図だけでなく、事後的にエージェントが認可された範囲内で動作したことを証明できるかどうかを問うためです。すべてのエージェントの意思決定に対して改ざん検知可能な監査証跡が、安定したアイデンティティに紐づいていなければ証明は失敗します。データ層で目的制限が強制されなければ、エージェントは逸脱します。自動化されたキルスイッチがなければ、「後で検討します」しか答えられません。

なぜアイデンティティ層のコントロールだけでは不十分なのか

AIエージェントガバナンスへの反射的な対応は、アイデンティティに依存することでした。エージェントを認証し、サービスアカウントを与え、OAuthトークンの範囲を限定し、ユーザーと同じように扱う。これは過去10年のSaaSガバナンスで機能したアプローチであり、多くの組織ではこれがAIガバナンスのすべてになっています。

しかし、これはDRCFの7リスクフレームワークには通用しません。アイデンティティ制御は「このエージェントがこのシステムにアクセスしてよいか？」には答えられますが、「このエージェントがこの特定の記録に、この特定の目的で、この特定の時点で、この特定の承認者の代理としてアクセスしてよいか？」には答えられません。この2つ目の問いこそ、DRCFペーパー、EU AI法の透明性義務、FCAのコンシューマーデューティ、ICOのデータ最小化要件がすべて要求しているものです。これはデータ層の問題であり、アイデンティティ層の問題ではありません。

2025年9月のAnthropicの開示は、この点を具体的に示しています。中国の国家支援アクター（GTG-1002と指定）が、Claude CodeとModel Context Protocolツールを自律的なオーケストレーターとして約30の組織で活用し、サイバースパイ活動の戦術作業の80〜90%を人間の介入が1キャンペーンあたり4〜6回のみで実行しました。これらすべてのエージェントアクションは認証されていました。侵害の原因は認証の失敗ではなく、データアクセスの失敗でした。

アーキテクチャ上の答え：データとともに存在するガバナンス

DRCFリスク、EU AI法のリスクベース義務、ISO 42001のマネジメントシステム要件、WEFグローバルサイバーセキュリティアウトルック2026のゼロトラスト推奨など、各所で同じパターンが見られます。AIエージェントのコンプライアンスは、モデル層やアイデンティティ層ではなく、データ層で強制されなければなりません。これを実現する3つの具体的な機能があります。

実行時の属性ベースアクセス制御。 エージェントにリポジトリへの永続的なアクセス権を与えるのではなく、すべてのエージェントアクションを、データ属性（分類、管轄、機密タグ）、ユーザー属性（承認者、役割、地域）、試行されたアクションに基づく実行時ポリシーで評価します。ポリシーが判断し、そのポリシーは再学習なしで強制・監査・変更可能です。

アクションレベルでの改ざん検知可能なログ。 すべてのエージェントによるデータ資産への意思決定は、ポリシー評価、入力、出力、承認者を含む完全な記録としてログ化されます。このログは改ざん検知可能で、エクスポート可能、規制当局が証拠として受け入れる形式で構造化されます。

エージェントとデータの間にガバナンスゲートウェイを設置。 エージェントはデータシステムに直接アクセスせず、ガバナンスプレーンを経由します。ここでポリシーが強制され、指示（ブロック、承認要求、マスキング、透かし付き許可など）が適用されます。プロンプトインジェクションに成功したエージェントであっても、ポリシー境界を超えることはできません。なぜなら、その境界はエージェントの外側に存在するからです。

これは、Kiteworks Compliant AIおよびKiteworks Secure MCP Serverが採用するアーキテクチャの形です。また、これはAIマネジメントシステムとしてISO 42001が期待し、高リスクAIシステムとしてEU AI法が期待し、DRCFペーパーがエージェント導入企業すべてに暗に求めている形でもあります。この収束こそが重要です。

KiteworksがDRCFの7つのリスクをどのように運用化するか

Kiteworksプライベートデータネットワークは、AIエージェントのコンプライアンスリスクをコントロールプレーンの問題として捉え、DRCFの責任フレームワークに直接対応します。Kiteworksデータポリシーエンジンは、エージェント、インテグレーション、ユーザー、外部受信者によるすべてのデータアクセスに対して、属性ベースの実行時ポリシーを強制します。同じエンジンが、すべてのエージェントアクションに対して承認者、適用されたポリシー、アクセスしたデータ資産を紐づけて、改ざん検知可能な監査ログを生成し、「多くの手」責任テストを満たします。

Kiteworks 2026年予測レポートのデータは、これがなぜ実務上重要かを裏付けています。目的制限ギャップが63%存在することを示した同じ調査で、33%の組織が証拠品質の監査証跡を欠いていることが判明しました。これは、FCAのコンシューマーデューティ、ICOのデータ保護要件、EU AI法の透明性義務の下で規制当局が求める記録です。Kiteworksは、ポリシー強制と監査記録の生成を単一のワークフローに統合することで、このギャップを解消します。Kiteworksプライベートデータネットワークは、GDPR、HIPAA、CMMC 2.0、インサイダー脅威、アウトサイダー脅威などのフレームワークに対応した証拠パッケージをオンデマンドで生成し、DRCFペーパーが英国規制当局の期待として示唆するクロス規制マッピングも実現します。

重要なのは、このアーキテクチャがAI導入のスピードを落とす必要がないことです。どのモデル、フレームワーク、プラットフォーム上でエージェントが動作していても、エージェントが閲覧できるデータをガバナンスします。これこそが、DRCFペーパーが「エージェンティックAIは既存の法的枠組みの外にはない」と述べる意味です。枠組みはすでに存在しており、コントロールプレーンの構築が必要なのです。

Q3までにコンプライアンス、法務、セキュリティ責任者が取るべき行動

DRCFペーパー自体は政策を定めるものではありませんが、ICOはAIおよび自動意思決定に関する法定実務規範の策定を示唆し、FCAはAIツールによる不適切な結果を出した企業に対してコンシューマーデューティの執行を継続し、CMAもアルゴリズム行動に対する執行意欲を明言しています。今から次の執行サイクルまでの期間が、これらのリスクに先手を打つためのタイミングです。

まず、7つのリスクを取締役会レベルのチェックリストとして扱う。 DRCFはリスクレジスターを提供しました。CCO、GC、CISO、CIOに対し、それぞれが「現時点で対応できるリスク」「できないリスク」「そのギャップ」を書面で確認させてください。「対応中です」という曖昧な回答は認めてはいけません。

次に、ガバナンス主張と実際の封じ込め能力のギャップを監査する。 Kiteworks 2026年予測レポートでは、組織のAIガバナンス姿勢と実際のエージェント制御能力の間に15〜20ポイントのギャップがあることが判明しました。このギャップを埋めるには、机上演習ではなく、実際に配備済みエージェントの停止、リダイレクト、制限を試みるテストが必要です。多くの組織は、キルスイッチが理論上のものでしかないことに気づくでしょう。

三番目に、新規導入前にエージェント活動を改ざん検知可能な監査証跡にマッピングする。 次のエージェントを本番投入する前に、担当チームはその計画されたデータアクセス、適用されるポリシー、すべての意思決定の監査証跡を完全に記録できることを証明すべきです。これができなければ、そのエージェントはまだ準備ができていません。

四番目に、ガバナンス強制をモデル層からデータ層に移行する。 Kiteworks 2026年予測レポートによると、プロンプトフィルター、モデルガードレール、アイデンティティのみの制御に依存する組織ほど、封じ込めスコアが低い傾向があります。アーキテクチャの転換点は、強制可能なポリシーをデータのある場所、すなわちすべての読み取り・書き込み・共有のタイミングに配置することです。

五番目に、調査後ではなく今すぐ証拠パッケージを準備する。 規制当局は「まだ情報をまとめていません」という言い訳を認めません。パッケージにはポリシーフレームワーク、エージェントインベントリ、監査記録、GDPR、EU AI法、ISO 42001、関連業界固有フレームワークへのクロスマッピングを含めてください。リクエストから数時間以内にこれを提出できる企業だけが、早期に問題を乗り越えられます。

DRCFペーパーは、結局のところ無料のロードマップです。活用しましょう。