コンプライアンスは「証明書」か「実態」か | テック

YCombinator支援のスタートアップDelveが、数百社のコンプライアンス認証を「偽造」していたと告発された。3200万ドルを調達した企業に何が起きたのか。コンプライアンス自動化の本質的な問題を問う。

「あなたの会社は100%準拠しています」——その言葉が、実は自動生成された虚偽の証拠だったとしたら？

今週、コンプライアンス自動化スタートアップ Delve をめぐる深刻な告発が、匿名のSubstackポストによって公開されました。投稿者「DeepDelver」は、自らを元Delveクライアントの従業員と名乗り、同社が「数百社の顧客に対してプライバシーおよびセキュリティ規制への準拠を偽って信じ込ませた」と主張しています。その影響は、HIPAAに基づく刑事責任やGDPRに基づく高額罰金にまで及ぶ可能性があるとされています。

何が起きたのか：告発の核心

Delve は、Y Combinator の支援を受け、昨年 3200万ドル のシリーズAを調達。評価額は 3億ドル に達し、Insight Partners が主導したラウンドで注目を集めた新興企業です。SOC 2やGDPRといったセキュリティ・プライバシーフレームワークへの準拠を「最速」で実現すると謳い、多くの企業に採用されていました。

事の発端は2024年12月。Delve が「機密クライアントレポートを含むスプレッドシートを流出させた」という内部メールでした。CEO Karun Kaushik 氏は顧客に対し「準拠状態は維持されており、外部への情報漏洩はない」と説明しましたが、DeepDelverを含む複数の顧客はこの説明に疑念を持ち始めます。

「Delveへの不満を共有していた私たちは、何かおかしいという感覚から、共同で調査することにした」——DeepDelverはそう記しています。

調査の結論は厳しいものでした。DeepDelverによれば、Delve は「最速プラットフォーム」という看板を維持するために、実際には行われなかった取締役会議、テスト、プロセスの偽造証拠を顧客に提供していたとされます。さらに、顧客は「偽の証拠を採用するか、ほぼ手作業で対応するか」という二択を迫られていたといいます。

監査についても問題が指摘されています。DeepDelverの主張では、Delve のクライアントのほぼ全員が Accorp と Gradient という2社の監査法人を利用しており、この2社は「同一の運営体」であり、主にインドを拠点として米国には名目上の存在しかないとされています。これらの法人は、Delve が生成したレポートをそのまま承認する「ゴム印」に過ぎないというのです。

構造的な問題として、DeepDelverはこう指摘します。「独立したレビューが行われる前に、監査人の結論・テスト手順・最終レポートを生成することで、Delveは実装者と検査者の両方の役割を担っている。これは些細な問題ではない。認証全体を無効にする構造的詐欺だ」

Delveの反論：「私たちは自動化プラットフォームに過ぎない」

Delve はブログ上でこれらの告発を「誤解を招くもの」と反論しました。同社の主張は明確です——自社はコンプライアンスレポートを発行しておらず、あくまで「自動化プラットフォーム」として情報を整理し、独立した監査人に提供するだけだ、というものです。

広告掲載について

[email protected]

「最終的なレポートと意見は、Delveではなく、独立した有資格の監査人によってのみ発行される」と同社は述べています。また、顧客は自分たちが選んだ監査人と連携することもできると説明しています。

「偽造証拠」という告発に対しては、「コンプライアンス要件に従ってプロセスを文書化するためのテンプレートを提供しているに過ぎない。ドラフトテンプレートは『事前入力された証拠』とは異なる」と反論しています。

しかし今週、さらなる問題が浮上しました。X（旧Twitter）ユーザーの James Zhou 氏が、従業員のバックグラウンドチェックや株式ベスティングスケジュールなど、Delve の機密情報へのアクセスに成功したと報告。セキュリティ研究者の Jamieson O'Reilly 氏も「Delveの外部攻撃面に複数の重大なセキュリティホールが存在する」と詳細を共有しています。

TechCrunch が Delve のメディア連絡先にメールを送ると、メールはバウンスされ、代わりに「Delveデモ」のカレンダー招待が届いたといいます。

なぜ今、この問題が重要なのか

観点	Delveの主張	DeepDelverの告発
役割	自動化プラットフォーム（監査は独立機関）	実装者と検査者を兼ねる構造的詐欺
証拠の性質	プロセス文書化のためのテンプレート	実在しない会議・テストの偽造証拠
監査法人	業界で広く使われる独立した認定機関	同一運営の「ゴム印」機関（主にインド拠点）
顧客の準拠状態	適切に準拠している	HIPAAの刑事責任・GDPRの高額罰金リスクあり
セキュリティ	外部への情報漏洩なし	重大なセキュリティホールが複数存在

コンプライアンス・アズ・ア・サービス（CaaS）市場は、規制の複雑化とともに急成長しています。SOC 2、ISO 27001、GDPRといったフレームワークへの準拠は、特にB2Bスタートアップにとって、顧客獲得の前提条件となりつつあります。Drata、Vanta、Secureframe といった競合他社も同様のポジショニングで市場に参入しており、「準拠の自動化」は一つの産業カテゴリーを形成しています。

しかしここに根本的なジレンマがあります。コンプライアンスの本質は「実態」であるはずなのに、市場は「証明書の取得速度」で競争しているのです。

日本企業にとってもこの問題は他人事ではありません。海外のSaaSベンダーを採用する際、そのベンダーが取得しているSOC 2やISO 27001の認証を信頼の根拠とすることは一般的です。しかし今回の告発が示すように、その認証プロセス自体が形骸化している可能性があるとすれば、サプライチェーン全体のリスク評価を見直す必要が生じます。個人情報保護法の改正が続く日本においても、外部委託先のコンプライアンス実態をどう確認するかは、企業のコンプライアンス担当者にとって切実な課題です。

三つの視点から考える

スタートアップ・投資家の視点：Delve は評価額 3億ドル で資金調達を行っており、Insight Partners をはじめとする著名投資家が関与しています。今回の告発が事実であれば、投資家はデューデリジェンスの段階でコンプライアンス企業自身のコンプライアンスをどう検証すべきだったか、という問いに直面します。

規制当局の視点：HIPAAやGDPRの執行機関にとって、今回の告発は「コンプライアンス証明書」の信頼性そのものへの疑問を提起します。認証を発行する監査法人の独立性と実態をどう担保するか、という規制上の空白が浮き彫りになっています。

顧客企業の視点：最も深刻なのは、善意でコンプライアンスツールを導入した企業が、知らないうちに「偽の準拠状態」に置かれていた可能性です。医療データを扱う企業がHIPAA違反の刑事責任を問われるリスクは、経営上の問題を超えた深刻さを持ちます。