AIデータコンプライアンス危機：88%の企業がガバナンスとセキュリティに苦慮

エンタープライズAI革命は、多くの組織が対応できていないデータセキュリティ危機を引き起こしています。Theta Lakeの2025/26デジタルコミュニケーションガバナンスレポートによると、99%の組織がAI活用を拡大している一方で、すでに88%がAIデータガバナンスやデータセキュリティの課題に直面しています。

主なポイント

1. AI導入がガバナンス能力を上回っている。 ほぼすべての組織（99%）がAI活用を拡大していますが、すでに88%がガバナンスやデータセキュリティの課題に直面しています。この導入スピードとガバナンス体制の準備不足のギャップが、既存のフレームワークでは対応できない全社的なリスクを生み出しています。
2. AIによる機密データの露出は見落とされがち。 約半数の組織（45%）は、AI生成コンテンツに機密情報が含まれているかどうかを検知できません。AIが機密データを含むコンテンツを生成した場合、その情報がどこに拡散したかを追跡できなくなる組織は40%に上ります。
3. 規制当局はAIコンテンツにも責任を求めている。 FINRAは、AIであれ人間であれ、企業が発信するコミュニケーションには責任があると明言しています。AI生成コンテンツがコンプライアンス基準を満たしているか確保できない組織は47%に達しており、規制リスクは大きく拡大しています。
4. インフラのガードレールだけでは機密データを守れない。 アクセス制御や利用権限はAIツールの利用者を管理しますが、AIがそのアクセスで何を生成するかまでは管理できません。組織には、コンテンツ検査や行動ベースのガバナンスによる機密データの露出やコンプライアンス違反の特定が必要です。
5. ガバナンスはAIシステムに流入するデータも管理すべき。 AIリスクはインプットとアウトプットの両方に存在します。従業員がAIに何を共有するか、AIがそのデータから何を生成するか、データ交換のポイントで管理しなければ、個々のAIツール内のガードレールだけでは機密データの露出を防げません。

米国および英国の金融サービス企業500名のIT・ユニファイドコミュニケーション・コンプライアンス部門のシニアリーダーを対象としたこの年次調査は、憂慮すべき傾向を明らかにしています。組織は前例のないスピードでAI機能を導入していますが、機密データを保護したり規制コンプライアンス義務を果たすためのガバナンスフレームワークが不足しています。過去数年で記録保持や監督の不備による世界的な罰金総額が40億ドルを超える中、規制当局はAI生成コンテンツにも注目し始めています。

この調査は金融サービス業界に焦点を当てていますが、その影響はすべての規制業界に及びます。機密データを扱うあらゆる組織—医療、法務、政府、製造業—が同様のAIデータガバナンス課題に直面しています。AI導入の急加速は、機密情報の露出や規制リスクを生み出し、組織が最も重要なコンテンツを管理する能力を上回っています。

AI導入がセキュリティとコンプライアンスを上回る

導入スピード

エンタープライズAI導入のスピードは驚異的です。ほぼすべての参加者（99%）が、ユニファイドコミュニケーションおよびコラボレーションツール内でAI機能を導入または拡大する計画を持ち、AI機能が事実上あらゆるビジネス機能に組み込まれつつあります。

導入されている具体的なAI機能からも、リスクの広がりが見て取れます。調査データによると、企業が今後導入・拡大を予定しているAI機能の上位は、生成AIアシスタント（92%）、AIによる会議メモ作成・要約（81%）、カスタマイズされたエージェンティックAI（77%）です。さらに、68%の企業が今後12カ月でAIツールの利用がさらに増加すると予測しています。

これらの導入はすべて、機密データ露出の新たな経路を生み出します。生成AIアシスタントは、従業員の問い合わせに機密情報が含まれる場合があります。会議要約ツールは、機密性の高い議論を記録・要約します。エージェンティックAIシステムは、アクセスできるデータに基づき自律的に行動します。

新たなリスクカテゴリー

本レポートでは、「aiComms（AI生成コミュニケーション）」という新たなガバナンス対象カテゴリーを特定しています。AIアシスタント、生成AIツール、エージェンティックAIは、従来とは異なるコミュニケーションや行動を生み出します。これらのaiCommsは、記録・監督すべき新たなコミュニケーション手段であり、やり取りの新たな参加者となることで、追加のコンプライアンス、ガバナンス、セキュリティ課題を生み出しています。

これは、エンタープライズデータリスクの根本的な変化を意味します。AIはもはや情報を処理するだけでなく、機密データから新たなコンテンツを生成します。従来の、保存中や転送中のデータ保護を前提としたデータセキュリティフレームワークでは、AIシステムが生成・変換・配信するコンテンツには対応できません。

88%問題

AI導入とガバナンス体制の準備不足のギャップは、危機的なレベルに達しています。参加者の88%が、すでにAIデータガバナンスやデータセキュリティの課題に直面していると回答しており、包括的なガバナンス戦略の必要性が急務であることを浮き彫りにしています。

これは将来の懸念ではなく、調査対象のほぼ9割の組織が直面している現在進行形の危機です。課題がないと回答した残り12%も、実際には効果的なガバナンスではなく、可視性の欠如を反映している可能性が高いでしょう。

AIが生み出すデータセキュリティの脆弱性

AIアウトプットによる機密データ露出

AIデータセキュリティで最も重大なリスクは、AI生成コンテンツに機密情報が含まれることです。レポートによると、45%の組織が、生成AIのアウトプットに機密またはセンシティブなデータが含まれているか検知するのが難しいと感じています。

この露出は複数の経路で発生します。AIによる会議要約は、戦略的な機密議論を広く配信する可能性があります。生成AIアシスタントは、外部と共有される回答に機密データを含める場合があります。エンタープライズデータで学習したAIツールは、予期しない文脈で機密情報を表面化させることがあります。

AIシステムは、個々の入力が無害に見えても、データを集約・変換することで機密情報を露出させる場合があります。複数参加者の発言をまとめた会議要約が競合情報を明らかにしたり、複数文書を参照したAIの回答が保護対象情報を共有可能な形で合成することもあります。

AIとのやり取りの可視性不足

組織は、見えないものを管理できませんが、多くは従業員がAIシステムとどうやり取りしているかを把握できていません。レポートでは、41%の組織がAIツールとのやり取りにおけるリスクのあるエンドユーザー行動の特定に苦労していると示されています。

従業員は、リスクを理解せずにAIプロンプトに機密データを入力する場合があります。顧客情報、財務データ、知的財産、戦略計画などが、カジュアルな問い合わせを通じてAIシステムに流れ込んでいます。こうしたやり取りの可視性がなければ、被害が発生するまで露出を特定できません。

シャドーAIの利用がこの問題をさらに深刻化させます。従業員がITガバナンス外でAIツールを導入し、セキュリティチームが監視・制御できないデータフローが生まれます。機密コンテンツが、エンタープライズのセキュリティ制御やデータレジデンシー保証、適切なアクセス制御がないAIシステムに流入します。

AIコンテンツの拡散追跡不能

AIが機密データを含むコンテンツを生成すると、組織はその情報がどこに拡散したかを追跡できなくなることが多いです。レポートでは、40%の組織が問題のあるAI生成コンテンツやコミュニケーションがどこで誰と共有されたかを特定できないとしています。

機密情報を含むAI生成の要約が、メールやチャット、ファイル共有、外部コミュニケーションを通じて拡散し、誰も露出に気づかない場合があります。コンテンツレベルでの追跡がなければ、組織は漏洩の封じ込めや範囲の特定ができません。AI生成コンテンツの分散性により、従来のDLPアプローチでは不十分です。

ガードレール検証の失敗

多くの組織はAIツールにアクセス制御や利用制限を設けていますが、これらのガードレールは実際には機能しないことが多いです。調査では、36%の組織がAIツールのデータアクセスやエンドユーザーのAIツール・モデルへのアクセスに関するガードレールが期待通りに機能しているか検証できないとしています。

追加のガバナンスギャップも問題を複雑化させています。35%は、ポリシー違反時に不適切なAI生成コンテンツを会話から削除するのに苦労し、33%はAI制御の是正やインシデント後のユーザーへの通知・再教育に課題を抱えています。AI制限の意図と実際の運用のギャップは依然として大きいままです。

規制コンプライアンスの課題

AI生成コンテンツの責任

規制フレームワークは、AI生成コンテンツにも人間が作成したコミュニケーションと同じ基準で責任を求めます。最大の課題は、AI生成コンテンツの正確性と規制基準への準拠を確保することで、ほぼ半数（47%）の組織がこの点を挙げています。

AIのエラーや幻覚（hallucination）には規制上の免責はありません。AIが不正確なコンテンツを顧客や取引先に届けた場合、その出所に関わらず組織が責任を負います。生成AIがもっともらしいが誤った情報を生み出す傾向があることを考えると、これは重大なリスクです。

AIにも及ぶ記録保持義務

規制上の記録保持要件はAI生成コミュニケーションにも適用され、多くの組織がこのコンプライアンス課題を解決できていません。レポートでは、92%の企業がビジネスコミュニケーションの記録保持や監督義務を満たすためのキャプチャに苦労しているか、コンプライアンス上の懸念から機能を無効化せざるを得ない状況にあります。

AI特有のコンプライアンス課題も深刻です。調査では、41%の組織が生成AIアシスタントに関する課題を、さらに41%がAIによる会話要約やメモ作成に関する課題を挙げています。

一部の組織は、コンプライアンス違反リスクを避けるためにAI機能自体を無効化する対応を取っています。しかしこの方法では、生産性向上のメリットを犠牲にし、AIがコアビジネスツールに組み込まれるにつれて持続可能性が失われます。

規制当局の監視強化

規制当局は、組織がAI生成コンテンツをどのように管理しているかを積極的に調査しています。ビジネスコミュニケーション管理の課題は、継続的な規制監視の中で浮き彫りになっています。近年、SECやCFTCによる調査を中心に、記録保持や監督の不備で世界的な罰金総額が40億ドルを超えています。

正確性の問題

AIの正確性の欠如は、誤ったコンテンツが顧客や取引先、パブリックチャネルに届いた際に、特有の規制リスクを生み出します。生成AIシステムは、製品やサービス、業績、規制事項について自信満々だが誤った説明をする場合があります。顧客向けAIコミュニケーションにエラーや誤解を招く情報が含まれると、開示違反や適合性問題を引き起こす可能性があります。

現状では、組織がAIの正確性を大規模に検証する体系的な手法を持っていません。手動レビューはAIコンテンツ生成の量に追いつかず、自動化された正確性検証もまだ未成熟です。

従来型ガバナンスの限界

インフラガードレールの限界

多くの組織は、役割ベースのアクセス制御やデータ分類、利用権限といったインフラ制御でAIデータガバナンスに取り組んでいますが、これらは必要であっても本質的に不十分です。

レポートでは、金融サービス企業においてAIの広範な導入が新たな行動ややり取り、リスクタイプを生み出し、インフラガードレールだけでは守りきれないことが強調されています。

インフラ制御は、誰がAIツールにアクセスできるか、AIがどのデータにアクセスできるかを管理しますが、そのアクセスでAIが何を生成するかまでは管理できません。適切な権限を持つ従業員が、適切に設定されたAIツールを使っても、機密情報を露出させたりコンプライアンス要件に違反するコンテンツを生成する可能性があります。組織には、AIとのやり取りやアウトプットに対する行動ベースの検査が必要です。

分断されたシステムが盲点を生む

AI機能は分断された技術環境に導入されており、ガバナンスの盲点を生み出しています。昨年の調査結果と同様、現代の職場では複数のUCCツールが使われており、82%の組織が4つ以上のツールを利用、10個以上のツールを使う割合は12%と3倍に増えています。

分断されたシステムに埋め込まれたAI機能が、異なるチャネルを通じて一貫性のない制御下でコンテンツを生成します。エンタープライズ全体でAI生成コンテンツを一元的に把握する手段はありません。あるAIツールに適用したガバナンスが他のツールには及ばず、機密データがギャップを通じて拡散するリスクが生まれます。

ポリシーベース制御の限界

ポリシーによるAI利用管理に依存する組織は、根本的な限界に直面しています。AIによるメモ作成やアシスタントの利用を禁止している組織では、60%が禁止事項を記載したポリシーや免責事項に依存し、56%が従業員に書面でポリシーを共有、47%が従業員や第三者が独自のAIツールをコミュニケーションで使っていないか積極的に追跡しています。

ポリシーは期待値を伝えるものの、機密データ露出を防ぐことはできません。従業員は意図せず、あるいは故意にポリシーに違反する場合があります。ポリシー遵守の追跡には技術的な制御が必要ですが、多くの組織はこれを持っていません。AIが普及するにつれ、ポリシーベースのガバナンスはますます不十分になります。

データ品質の課題

効果的なAIデータガバナンスには、ほとんどの組織が提供できない完全かつ文脈的なデータが必要です。回答者の半数はAIによって監督の有効性・効率が向上したとする一方、残り半数は分断されたデータソースやカスタムインフラによる課題に直面しています。具体的には、31%がデータ品質の向上に取り組んでいます。

組織は、キャプチャできないAIとのやり取りを管理できません。文脈理解なしにAIアウトプットを分析できず、可視性がなければポリシーを強制できません。AIデータガバナンスに必要なデータ基盤は、多くのエンタープライズで依然として欠如しています。

AI対応データガバナンスの構築

投資による対応

組織は現行アプローチの限界を認識し、投資を拡大しています。企業はコミュニケーションコンプライアンスへの投資を大幅に増やしており、aiCommsを含むデジタルコミュニケーションの複雑化や継続的な規制監視への対応が背景にあります。すでに86%が投資を増やしており（昨年の65%から増加）、さらに12%が投資を計画しています。

既存アプローチへの信頼は崩壊しています。既存アプローチへの信頼は2%と非常に低く、昨年の8%からさらに減少しました。このほぼ全組織的な不十分さの認識が、新たなガバナンスモデルへの緊急性を生み出しています。

独立調査もこの傾向を裏付けています。Metrigyの年次ワークプレイスコラボレーション調査によると、予備結果では65%以上の企業がAI脅威の増大に対応するためセキュリティとコンプライアンスへの支出を増やす計画です。90%以上の組織が、AI専用のセキュリティ・コンプライアンス戦略を策定済み、または策定予定としています。

AIデータガバナンスの主要要件

効果的なAIデータガバナンスには、多くの組織が現時点で持っていない機能が求められます。

• コンテンツ検査は、AIツールへのアクセス者だけでなく、AIが何を生成したかを調べる必要があります。組織はAIアウトプットの可視性を確保し、機密データ露出、コンプライアンス違反、正確性の欠如を特定する必要があります。
• 文脈理解は、AIコンテンツを規制要件や組織ポリシーと照らし合わせて分析する必要があります。生データの取得だけではガバナンス判断を支えられません。
• 包括的なキャプチャは、従来のコミュニケーションと並行してAIとのやり取りも保存する必要があります。選択的なキャプチャでは、規制当局や訴訟関係者に突かれるギャップが生まれます。
• 行動検知は、従業員によるAI利用のリスクパターンを特定する必要があります。異常な問い合わせや機密データ入力、ポリシー違反は、被害が出る前に特定する必要があります。

AIデータライフサイクル全体へのガバナンス拡張

AIリスクはデータライフサイクルの両端—従業員がAIシステムに機密データを入力するインプット時と、AIがそのデータからコンテンツを生成するアウトプット時—に存在します。包括的なガバナンスは両方の経路に対応しなければなりません。

AIシステムへのデータ入力を制御することは、機密コンテンツが露出リスクのある環境に入るのを防ぐために不可欠です。これには、データ交換のポイントでガバナンスを機能させ、どのプライベートコンテンツがAIツールに流入しているかを追跡し、露出前にポリシーを強制する仕組みが必要です。

Kiteworks AI Data GatewayやMCP Serverのようなソリューションは、AIシステム間や内部への機密データフローをガバナンス制御することで、この課題に対応します。組織は、どのプライベートコンテンツがAI環境に入るかを可視化し、AIデータアクセスにポリシーを適用し、コンプライアンスのための監査証跡を維持できます。このデータ交換ポイントでの制御レイヤーがなければ、個々のAIツール内のガードレールだけでは機密コンテンツの露出を防げません。

AIデータコンプライアンスギャップの解消

今日のエンタープライズが直面する根本的な課題は明確です。AI導入がガバナンス能力を大きく上回っています。88%の組織がAIデータガバナンスに苦慮し、45%がAIアウトプットでの機密データ露出を検知できず、47%がAIコンテンツの規制基準適合を確保できていません。導入と管理のギャップは拡大し続けています。

リスクは規制罰金にとどまりません。AIシステム発のデータ侵害は、顧客情報や知的財産、戦略計画の露出につながります。コンプライアンス違反は、事業運営を制約する行政処分を招く可能性があります。AI関連インシデントによる評判毀損は、顧客やパートナーの信頼を損ないます。

今後必要なのは、インフラガードレールからコンテンツ検査・行動ベースガバナンスへの根本的な転換です。組織は、AIシステムに流入するデータ、AIが生成するコンテンツ、そのコンテンツの拡散先を可視化しなければなりません。システムアクセスだけでなく、データ交換のポイントでポリシーを強制する必要があります。

今、包括的なAIデータガバナンスを導入する組織は、リスクを低減し規制当局からの信頼を維持できます。一方、対応を遅らせる組織は、AIがビジネス運営にさらに組み込まれる中で、ガバナンスギャップの解消がますます困難になるでしょう。