Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > No category > 英国におけるエージェンティックAIガバナンスの導入遅れ:Salesforce 2026年コネクティビティベンチマークレポートが示すエンタープライズ・コンプライアンスへの影響

英国におけるエージェンティックAIガバナンスの導入遅れ:Salesforce 2026年コネクティビティベンチマークレポートが示すエンタープライズ・コンプライアンスへの影響

by Patrick Spencer updated 2月 24, 2026 サイバーセキュリティー・リスク管理
Reading Time: 12 minutes

エンタープライズ全体にAIエージェントを12体導入することも、2年間で67%の成長を見込むこともできます。デジタルトランスフォーメーション施策と呼び、年次報告書に記載することもできるでしょう。

しかし、その半数のエージェントが部門ごとのサイロで稼働し、どのエージェントが先週の火曜日に個人データへアクセスしたかを規制当局に説明できないのであれば、それはAI戦略ではありません。まだ引き金が引かれていないコンプライアンスインシデントです。

これは、Salesforceが発表した2026年コネクティビティ・ベンチマークレポートの裏にある、不都合な現実です。このレポートは、Salesforce傘下のMuleSoftがVanson BourneおよびDeloitte Digitalと共同で作成したもので、2025年10月から11月にかけて9カ国のITプロフェッショナル1,050人(うち英国から100人)を対象に調査を実施しています。調査結果はガバナンスのギャップを指摘するだけでなく、急速なAI導入、断片化したデータ基盤、そして「私たちを信じてください」という姿勢がもはや通用しない規制環境が交錯する中で危機が進行していることを数値で示しています。

調査結果が示す数字と、それがなぜCISO、コンプライアンス責任者、デジタルトランスフォーメーションリーダーのAI導入戦略に対する考え方を変えるべきなのかを解説します。

5つの重要なポイント

1. 導入がガバナンスを大きく上回る。両者の差は歴然。 Salesforceの2026年コネクティビティ・ベンチマークレポートによると、英国・アイルランドの組織の89%がAIエージェントを導入していますが、中央集権的なガバナンスフレームワークと正式な監督体制を持つのは54%に過ぎません。AIエージェントを運用している企業のほぼ半数が、どのエージェントがいつ、どのような管理下で個人データにアクセスしたかを規制当局に説明できません。これは単なるギャップではなく、リスクの入り口です。

2. AIエージェントの半数が「見えない場所」で稼働。 導入済みエージェントの50%が部門ごとのサイロに分断されており、統合もガバナンスもなく、エンタープライズレベルでの可視性もありません。これらのエージェントは、中央監督なしで機密データにアクセスしています。エージェントが何に触れているか把握できなければ、それを守ることもできません。監査時に保護していた証拠を示すこともできません。

3. エージェントの導入数は爆発的に増加。ガバナンスは追いつかない。 現在、組織は平均12体のAIエージェントを運用していますが、2年後には67%増加する見込みです。一方で、回答者の75%が「エージェントがビジネス価値よりも複雑性を増すのでは」と懸念しています。ガバナンスがなければ、エージェントが増えるほどリスクも指数関数的に増大します。

4. シャドーAIは、規制リスクを伴うシャドーIT。 従業員が契約書や顧客情報、知的財産をIT部門の知らないうちに消費者向けAIツールにアップロードしています。10年前のシャドーIT問題とは異なり、シャドーAIはEU AI法、GDPR第25条、NIS2の直接的な違反を引き起こし、それぞれ数千万ユーロ規模の罰金リスクを伴います。リスクの次元が異なります。

5. データ基盤が、エージェントに求められる役割に追いついていない。 組織の97%がAI活用のためのデータ利用に障壁があると回答しています。これは調査上の誤差ではなく、現場のほぼ全員が「インフラが野心に追いついていない」と認めている証拠です。平均796のアプリケーションを運用し、そのうち3分の1しか統合されていません。AIエージェントはデータを必要としますが、インフラは安全にそれを提供できる状態にありません。

89%が導入済み。50%がガバナンス外。計算してみてください。

まずは、レポート全体の前提を覆すこの事実から見ていきましょう。

英国・アイルランドの組織の89%がすでにAIエージェントを導入しています。パイロットや評価段階ではなく、本番環境で運用中です。これらのエージェントは、顧客情報、財務データ、契約書、知的財産、部門や事業部、地域をまたぐ業務システムにアクセスしています。

しかし、その半数—50%—が部門ごとのサイロに分断されています。エンタープライズレベルで統合されておらず、中央集権的なガバナンスフレームワークにも報告していません。どのチームも、これらのエージェントがどのデータにアクセスし、どのように処理し、その処理が組織の規制要件を満たしているかを把握できていません。

もう一度確認してください。現在、英国企業内で稼働しているAIエージェントの半数は、エンタープライズガバナンスから見えない存在です。

AIエージェントに対し、中央集権的なガバナンスフレームワークと正式な監督体制を持つ組織は54%にとどまります。つまり、これらのシステムを運用する企業のほぼ半数が、EU AI法、GDPR、NIS2、サイバーレジリエンス法が求める基本的な管理策なしで運用しています。

MuleSoftのSVP兼ゼネラルマネージャー、アンドリュー・コムストック氏は次のように課題を表現しています。「エージェンティックな企業の真の成功は、導入したエージェントの数ではなく、それらのエージェント全体の有効性にあります。エージェントがどのように発見され、ガバナンスされ、連携して動作するかを考える必要があります。」

しかし、その「連携」は実現していません。そして、規制のタイムリミットは待ってくれません。

自社のセキュリティを信じていますか?その証明はできますか

今すぐ読む

シャドーAIはシャドーITではない。リスクの桁が違う。

Salesforceレポートのガバナンスギャップには、セキュリティチームがこの1年訴え続けてきた現象が表れています。しかし、多くの経営層はまだ耳を傾けていません。

シャドーAIとは、従業員や事業部門がIT部門の承認や把握なしにAIエージェントを導入し、機密データを消費者向けAIツールにアップロードし、AI支援のワークフローを構築する現象です。これは、AI導入の技術的ハードルが下がる一方で、ガバナンス体制が3年前と変わらないまま放置された結果、必然的に起きたことです。

Deloitte Consultingのマネージングディレクター兼APIトランスフォーメーションリーダー、カート・アンダーソン氏は、記者会見で次のように指摘しました。「知識を活用できる人の手に渡すというリーダーシップ原則は重要です。」しかし同時に、「過去から学び、適切なガバナンスを確保する必要があります。セキュリティや信頼性のないシステムを個人が自由に構築すれば、どんな結果になるかは分かっていますし、ライセンスコストも膨らみます」と警鐘を鳴らしました。

シャドーITとの類似性は参考になりますが、リスクの深刻さは比較になりません。10年前に従業員が未承認SaaSツールを導入した場合、問題はライセンス管理やデータサイロ化程度でした。しかし、今や従業員が顧客契約書や財務モデル、患者記録をChatGPTやClaudeにアップロードすれば、GDPR違反、EU AI法の透明性違反、データ侵害リスクが同時に発生します。3つの規制枠組みが、1回の不用意なアップロードで一気に問題化するのです。

Salesforceのデータは、まさにこうしたインシデントが起こりやすい土壌を示しています。組織は平均796のアプリケーションを運用し、そのうち33%しか統合されていません。数百のシステムが孤立して稼働する環境では、シャドーAIは周辺だけでなく、システム間の「隙間」を埋めるように発生します。そして、その「隙間」は無数に存在します。

4つの規制。1つのガバナンスギャップ。罰金は複利で膨らむ。

本レポートのガバナンスギャップは、単なる運用上の課題ではありません。規制上のリスクであり、その経済的インパクトは深刻です。

欧州企業は現在、AIシステムが機密データへアクセス・処理・保護する方法について、個別の要件を課す複数の規制に直面しています。中央監督のないサイロ化したAIエージェントは、これらの枠組みのいずれか一つではなく、すべてに同時に違反することになります。

EU AI法は、高リスクAIシステムに対しデータガバナンス、透明性、セキュリティ管理を義務付けています。部門サイロで運用され、監査証跡やアクセス制御、中央報告のないエージェントは、設計段階でこれらの要件を満たしていません。偶然ではなく、アーキテクチャの問題です。罰金は最大3,500万ユーロまたは全世界売上高の7%に達します。

GDPRは、第25条で「設計段階からのデータ保護」、第5条で「データ最小化」を義務付けています。エージェントがサイロで稼働している場合、規制当局が必ず問う「どのAIシステムがこの個人データに、どの条件でアクセスしたのか?」という根本的な質問に答えられません。答えられなければコンプライアンス違反です。プライバシーポリシーに何が書かれていても関係ありません。罰金は最大2,000万ユーロまたは全世界売上高の4%です。

NIS2指令は、組織にデジタルサプライチェーン全体のリスク管理を求めています。ガバナンスのないAIエージェントは、可視性やインシデント報告管理のないまま重要インフラデータへアクセスする「監視されていない攻撃面」となります。罰金は最大1,000万ユーロまたは売上高の2%です。

サイバーレジリエンス法は、AIエージェントを含むソフトウェア製品に「設計段階からのセキュリティ」を義務付けています。正式なセキュリティ管理策、アクセス管理、脆弱性監視のないエージェントは要件を満たしません。「急いでいたので例外」は認められません。

今後施行されるEUデジタル・オムニバス法は、これらの枠組みをさらに連携させ、複雑な規制網を形成します。1つのガバナンス失敗が複数のコンプライアンス義務に連鎖的に波及します。各規制を個別に扱ったり、「AI導入はまだ規制対象外」と考える組織は、気づかぬうちに大きなリスクを積み上げています。

97%の組織がAI活用のデータ障壁を抱える—これは誤記ではありません

コネクティビティ・ベンチマークレポートは、ガバナンス危機の根底にある「データ基盤の未整備」という構造的課題を明らかにしています。

組織の97%が、AI活用のためのデータ利用に障壁があると回答しています。「ほとんど」や「大多数」ではなく、97%です。最大の障壁として35%が挙げたのは、データサイロやシステムの分断による「時代遅れのITアーキテクチャ・インフラ」でした。

エンタープライズは平均796のアプリケーションを運用し、そのうち3分の1しか統合されていません。AIエージェントは価値を生み出すためにデータアクセスが不可欠ですが、数百のアプリケーションが孤立して稼働する環境では、統一ガバナンスレイヤーなしでアクセスを許可することは、「使い物にならないほど制限する」か「十分な管理策なしで開放する」かの二択になります。多くの組織は—自覚の有無にかかわらず—後者を選んでいます。

Deloitte AIインスティテュートのグローバルリーダー、ビーナ・アマナス氏はレポートの序文で次のように述べています。「AI導入のスピードは1年前の予測をも上回っており、エンタープライズCIOの84%が『AIはインターネットと同等に重要になる』と考えています。」すでに40%の組織が自律型エージェントを導入済み、さらに41%が1年以内に導入予定です。ガバナンス基盤構築の「猶予期間」は、もはや残されていない組織も多いのです。

これは孤立した調査結果ではありません。プロセスマイニングプロバイダーCelonisが発表した2026年プロセス最適化レポート(年商5億ドル以上の企業のグローバル経営層1,600人が対象)でも、異なる角度から同じ傾向が見られました。81%が「プロセスの可視化なしではAIプロジェクトは失敗する」と回答し、76%が「現行プロセスが足かせになっている」と答え、85%が「3年以内にエージェンティックな企業になりたい」と考えています。野心は普遍的ですが、準備は整っていません。

AIエージェントはすでに、日々あなたの最重要データに触れている

ガバナンスが「将来の課題」だと感じる場合は、AIエージェントがすでにどこで稼働し、どんなデータに触れているかを考えてみてください。

同じ週に発表されたSalesforceの別レポート(グローバルState of Sales第7版)では、2026年の英国営業手法トップ3にエージェンティックAIがランクインしています。トップ営業担当者は、成績が伸び悩む担当者よりも1.7倍AIエージェントを活用しており、英国の営業担当者の46%がすでにエージェントを利用済み。営業チームは、見込み客リサーチやメール作成の所要時間が38%短縮されると期待しています。

これらは生産性向上の素晴らしい数字ですが、同時に多くの組織が失敗しているガバナンステストでもあります。これらのエージェントは、顧客データベース、CRM記録、コミュニケーション履歴、価格情報、契約内容など、GDPRや業種によってはNIS2やEU AI法の規制対象となるデータに日常的にアクセスしています。

重要なのは次の違いです。適切なガバナンス—統一アクセス制御、監査証跡、データ最小化—の下で運用されていれば、生産性向上が実現します。しかし、ガバナンスなしでは、導入のたびに複利で増えるコンプライアンスリスクとなります。同じ技術でも、アーキテクチャが違えばリスクプロファイルはまったく異なります。

ガバナンスされたAIデータアーキテクチャとは—そして多くの組織が持っていない理由

「AIエージェントを導入するかどうか」はもはや議論の余地がありません。英国組織の89%はすでに導入済みです。問われているのは、ガバナンスが次の監査・侵害・規制措置より先に到達できるかどうかです。

そのためには、AIデータアクセスに対する組織の考え方を根本的に変える必要があります。既存導入後にガバナンスを後付けしても機能しません—Salesforceレポートが示す通り、50%のエージェントが依然としてガバナンス外のサイロで稼働しています。エンタープライズには、AIエージェントと機密情報の間に位置する「中央集権的なデータガバナンスレイヤー」が必要です。そのレイヤーは、次の5つの機能を提供しなければなりません。

AIエージェントの統一アクセス制御。 どのエージェントが、どのデータに、どの条件・権限でアクセスするかを一元管理するプラットフォーム。これにより、サイロ化した導入によるセキュリティ抜け道を防ぎ、ゼロトラスト・アーキテクチャをすべてのAIエージェントと機密データのやり取りに拡張できます。

すべてのAIインタラクションの完全な監査証跡。 規制当局が「どのAIシステムが個人データにアクセスしたか」を問う際—EU AI法やGDPR下では必ず問われます—組織は明確かつ包括的な回答を即座に示す必要があります。6つのツールをつなぎ合わせて3週間かけて調査するのではなく、即答できる体制が必要です。

データ最小化の徹底。 AIエージェントは、特定タスクに必要なデータだけにアクセスすべきです。細かな制御によるマスキングや期間限定アクセス付与などがGDPR第5条を直接サポートし、過剰な権限付与による侵害リスクを防ぎます。

シャドーAIの防止。 従業員が未承認AIツールに機密データを投入するのを検知・ブロックし、ガバナンスされたAI支援ワークフローの代替手段を提供します。データ損失防止(DLP)ポリシーは、AI特有の流出経路にも対応する必要があります。従来のDLPでは不十分であり、ツールの進化が求められます。

サードパーティAIベンダー管理。 安全なデータ交換プロトコル、データ処理契約、サードパーティAIアクセスの継続的監視。NIS2のサプライチェーンセキュリティ要件により、これは「必須」であり「理想」ではありません。

Kiteworks:AIデータアクセスのガバナンスを1つのプラットフォームで

この課題を解決するために設計されたのが、Kiteworksプライベートデータネットワークです。

エンタープライズがAI導入を拡大する中、KiteworksはAIエージェントと機密データのすべてのやり取りを制御・監視・監査する統一データガバナンスレイヤーを提供します。既存のガバナンストールと「連携する」ことを期待するのではなく、それらの間に生じる「制御されていない空白」を埋めます—つまり、AIエージェントが契約書や顧客情報、財務データ、知的財産に中央監督や監査証跡なしでアクセスし、コンプライアンス証明もできない状態を解消します。

他のアプローチとの違いは重要です。従来のセキュアファイル共有プラットフォーム(BoxやDropbox)は、AI特有のガバナンス制御を備えていません。消費者向けAIツールへのデータ流出を防げず、AIエージェントのアクセス監査証跡も提供できません。EU AI法にも対応していません。2年前には十分だった問題への対応にとどまっています。

SymantecやForcepointなどの検知型DLPツールは、違反発生後にフラグを立てることはできますが、承認済みAIワークフローのガバナンス付きデータアクセスは提供できません。彼らのモデルは「ブロックか許可か」ですが、AIガバナンスには「有効化と制御」が必要です。両者は別物です。

新興のAIガバナンスプラットフォームは、モデルガバナンス(モデル挙動の監視、出力の追跡、リスク管理)に注力していますが、AIエージェントがアクセスする基盤データの制御はできません。データガバナンスなしのモデルガバナンスは、金庫の扉を開けたまま玄関の鍵だけかけるようなものです。

Kiteworksは、これら既存アプローチがカバーできない領域—AIエージェントが必要とする機密データのガバナンス—を担い、GDPR、NIS2、サイバーレジリエンス法、EU AI法のコンプライアンス要件を単一プラットフォームで満たします。1つの監査証跡、1つのアクセス制御フレームワーク、規制当局の質問に答えるための「1つの場所」を提供します。

CISOにとっては、サイロ化したエージェント導入リスクを排除する中央制御プレーンです。コンプライアンス責任者にとっては、EU規制当局が求める監査証跡と透明性のドキュメントです。デジタルトランスフォーメーションリーダーにとっては、AI拡張を妨げずに推進できるガバナンス基盤です。

猶予期間は終わりつつある。すでに終わった組織も。

Salesforce 2026年コネクティビティ・ベンチマークレポートは、状況を具体的に示しています。英国組織の89%がAIエージェントを導入済み。その半数はガバナンス外のサイロで稼働中。エージェントの導入数は2年で67%増加。欧州の規制は統合され、数億ユーロ規模の罰金が現実味を帯びています。

今、ガバナンスされたAIデータアーキテクチャを構築する組織は、安全にAIを拡張し、規制当局の要求に即応し、AIによる生産性向上を競争優位に変えられます。そうでない組織は、規制調査やデータ侵害、あるいは「ガバナンスコストが端数に見えるほどの罰金」を通じて、自らのギャップを知ることになるでしょう。

もはや計画段階の話ではありません。これは運用上の必須要件です。そして問われているのは、「AIエージェント用のデータガバナンスレイヤーが必要かどうか」ではなく、「次の監査で説明を求められる前に構築できるかどうか」です。

よくある質問

エージェンティックAIガバナンスギャップとは、エンタープライズがAIエージェントを導入するスピードと、それを管理するために必要なガバナンスフレームワーク、セキュリティ管理策、コンプライアンス体制の整備が追いつかないという乖離を指します。Salesforceの2026年コネクティビティ・ベンチマークレポートによると、英国組織の89%がAIエージェントを導入していますが、中央集権的なガバナンスフレームワークと正式な監督体制を持つのは54%にとどまり、EU AI法、GDPR、NIS2、サイバーレジリエンス法が求める管理策なしで運用されているAI導入がほぼ半数に上ります。

EU AI法は、特定のAIシステムを高リスクと分類し、データガバナンス、透明性、人による監督、セキュリティに関する基準を満たすことを求めています。機密データへアクセスしたり、自動化された意思決定で個人に影響を与えたり、金融サービスや医療、重要インフラなど規制業種で稼働するエンタープライズAIエージェントは、これらの要件の対象となります。部門ごとにサイロ化し、監査証跡やアクセス制御、中央報告のないエージェントは、設計段階で要件を満たしていません。違反時の罰金は最大3,500万ユーロまたは全世界売上高の7%です。

シャドーAIとは、従業員がIT部門の承認や把握なしに、未承認のAIツールやサービスを利用することを指します。これには、機密性の高い顧客データや契約書、知的財産をChatGPT、Claude、Geminiなど消費者向けAIプラットフォームにアップロードする行為も含まれます。従来のシャドーITとは異なり、シャドーAIはGDPR(未承認の個人データ処理)、EU AI法(未登録の高リスクAI利用)、NIS2(監視されていない重要データアクセス)などの直接的な違反を引き起こし、それぞれ数千万ユーロ規模の罰金リスクを伴います。

Salesforceの2026年コネクティビティ・ベンチマークレポートによると、エンタープライズは平均12体のAIエージェントを導入しており、今後2年間でその数は67%増加すると予測されています。しかし、そのうち50%は部門ごとのサイロで運用されており、エンタープライズレベルでの統合やガバナンスがなく、データアクセスやコンプライアンスの盲点が生じており、規制当局が特定しやすい状況です。

エンタープライズAIエージェントには、複数の欧州規制がガバナンス要件を課しています。EU AI法(高リスクAIシステムのデータガバナンス・透明性・セキュリティ、罰金最大3,500万ユーロまたは売上高の7%)、GDPR(第25条の設計段階からのデータ保護、第5条のデータ最小化、罰金最大2,000万ユーロまたは売上高の4%)、NIS2(重要インフラのサプライチェーンリスク管理、罰金最大1,000万ユーロまたは売上高の2%)、サイバーレジリエンス法(ソフトウェア製品の設計段階からのセキュリティ)などです。今後施行されるEUデジタル・オムニバス法は、これらの枠組みをさらに連携させ、複雑なコンプライアンス網を形成します。

AIエージェント用のデータガバナンスレイヤーとは、どのAIシステムがどの機密データに、どの条件・権限でアクセスできるかを一元管理する中央プラットフォームです。すべてのAIインタラクションの監査証跡を提供し、データ最小化を徹底し、DLP制御による未承認AIデータアクセスを防止し、サードパーティAIベンダーのアクセス管理や規制対応レポートも可能にします。Kiteworksプライベートデータネットワークは、このガバナンスレイヤーとして機能し、GDPR、NIS2、EU AI法、サイバーレジリエンス法のコンプライアンスを単一プラットフォームで実現します。

Kiteworksプライベートデータネットワークは、AIエージェントと機密データのすべてのやり取りを制御・監視・監査する統一データガバナンスレイヤーを提供します。AI特有の制御を持たない従来のファイル共有プラットフォームや、ガバナンス付きアクセスを有効化できない検知型DLPツール、データガバナンスに対応しない新興AIガバナンスプラットフォームとは異なり、KiteworksはAIエージェントがアクセスする機密データをガバナンスし、統一アクセス制御、完全な監査証跡、データ最小化の徹底、シャドーAI防止、サードパーティAIベンダー管理を単一プラットフォームで実現し、欧州の複数規制のコンプライアンス要件を満たします。

追加リソース

  • ブログ記事 ゼロトラスト・アーキテクチャ:信頼せず、常に検証
  • 動画 Microsoft GCC High:防衛請負業者がよりスマートな優位性を求める理由
  • ブログ記事 DSPMで機密データが検知された後のセキュリティ対策
  • ブログ記事 ゼロトラストアプローチで生成AIの信頼を築く
  • 動画 ITリーダーのための機密データ安全保管の決定版ガイド

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

デモを予約

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks