Press Release
新たな調査で、多くの組織が自社データの所在を証明できていないことが明らかに
61%が統合された監査証跡を作成できていません。57%がデータゲートウェイを一元化できていません。AIとデータ主権への対応は待ったなしです。
Kiteworksは、機密データの送信、共有、受信、利用のあらゆる場面でリスクを効果的に管理できるよう企業を支援しています。本日、Kiteworksは包括的な分析レポートであるデータセキュリティ&コンプライアンスリスク:2026年予測レポートを発表しました。このレポートは、規制当局、監査人、AIシステムが共通して投げかける根本的な問い「あなたのデータはどこに存在し、それを証明できますか?」に大半の組織が答えられない現状を明らかにしています。
本調査は、10業界・8地域にわたる225名のセキュリティ、IT、コンプライアンス、リスクリーダーを対象に実施され、可視性と説明責任の危機が組織全体に蔓延していることを浮き彫りにしています。自社データが外部パートナーによってどこで処理・学習・推論されているかを把握できている組織はわずか36%。一方で、61%は証拠として提出できる品質の文書を作成できない断片的な監査証跡しか持たず、57%はデータフローを追跡・制御・証明するために必要な中央集約型データゲートウェイを備えていません。
「多くの組織は、長年にわたりガバナンスフレームワークを紙の上で構築してきました。今、そのフレームワークが本当に機能しているか証明を求められていますが、大半の組織はそれができません」とKiteworks チーフストラテジーオフィサー Tim Freestoneは述べています。「規制当局から顧客データの処理場所を問われたり、取締役会からAIシステムによる機密情報へのアクセス状況を問われたり、データレジデンシーの証明を求められる主権監査が実施された場合、約3分の2の組織は明確な回答を出すのに苦労します。これはテクノロジーの問題ではなく、説明責任の問題です。」
データ主権法は現在、100カ国以上に広がり、データの保存・処理・転送先に関する要件も国ごとに異なります。しかし、レポートによれば、多くの組織はコンプライアンスを証明するためのインフラが不足しています。中央集約型ゲートウェイや統合された監査証跡がなければ、データレジデンシーの証明は手作業でエラーも発生しやすい作業となり、場合によっては証明自体が不可能です。規制当局の期待と現場の運用能力のギャップは縮まるどころか、拡大し続けています。
AIの導入がこの問題をさらに加速させています。調査対象となったすべての組織がエージェンティックAIの導入計画を持っていますが、63%はAIエージェントの目的制限を強制できず、60%は強制停止(キルスイッチ)機能を持たず、72%はAIモデルのSBOM(ソフトウェア部品表)を管理していません。AIシステムは機密データへアクセスし、処理・学習していますが、その基盤となるガバナンスインフラはデータの所在や利用状況を追跡・証明できていません。
サードパーティとの関係も可視性の課題を深刻化させています。多くの組織がAIベンダーやクラウドプロバイダー、パートナーに機密データを拡張していますが、そのデータが最終的にどこに行き着くかを確認するための契約上・技術上の可視性がありません。レポートによれば、89%がサードパーティAIパートナーとのインシデント対応訓練を一度も実施したことがなく、78%は学習データの品質を検証できていません。検証できないまま信頼が拡張されている状況です。
政府部門は最も厳しい課題に直面しています。調査対象となった政府組織のうち、90%がAIの目的拘束を持たず、81%がAIシステムをネットワークアクセスから隔離できず、33%はAI専用の管理策すら持っていません。それにもかかわらず、市民データや重要インフラを扱っています。政府のガバナンスプログラムは民間セクターに比べて一世代遅れています。
「これらの問いに答えられる組織には共通点があります。それは取締役会の関与です」とKiteworks アメリカ地域マーケティング&業界調査担当SVP Patrick Spencerは述べています。「取締役会が積極的に関与している組織は、すべてのガバナンス指標(データの可視性、AI管理策、監査対応力など)で最大28ポイント高いスコアを記録しています。しかし、54%の取締役会はこれらの課題に関与していません。データの所在を証明できる組織とできない組織の差は、取締役会の関与から始まっています。」
本調査は、参考とすべきモデルも明らかにしています。オーストラリアはほぼすべての指標で他地域を10~20ポイント上回り、強固なガバナンスと迅速なイノベーションが両立可能であることを示しています。また、レポートでは「キーストーン機能」(統合監査証跡と学習データのリカバリー)が他のすべての指標で成功を予測する要素であり、これらを導入した組織は最大32ポイントの優位性を示しています。
「規制当局、監査人、AIシステムが投げかける問いはシンプルです。『データはどこにあり、それを証明できますか?』」とFreestoneは締めくくっています。「2026年末までに、中央集約型データゲートウェイと証拠品質の監査証跡は差別化要素ではなく、必須条件となります。分散したインフラで断片的なガバナンスを続ける組織は、選択を迫られるでしょう。統合して証明するか、すべての監査・データ主権調査・AI導入が管理不能なリスクであることを受け入れるか。」
データセキュリティ&コンプライアンスリスク:2026年予測レポートの全文はこちらからダウンロードできます。
Kiteworksについて
Kiteworksのミッションは、組織が機密データの送信、共有、受信、利用のあらゆる場面でリスクを効果的に管理できるよう支援することです。Kiteworksプラットフォームは、顧客にデータガバナンス、規制コンプライアンス、データ保護を提供するプライベートデータネットワークを提供します。このプラットフォームは、組織内外を移動する機密データを統合・追跡・制御・保護し、リスク管理を大幅に向上させ、すべての機密データ交換における規制コンプライアンスを確実にします。本社はシリコンバレーにあり、Kiteworksは1億人以上のエンドユーザーと1,500社を超えるグローバル企業および政府機関を保護しています。
報道関係お問い合わせ先:
David Schutzman
PRマネージャー
david.schutzman@kiteworks.com