コンプライアンス業界を揺るがす告発
2026年3月21日、匿名のSubstack投稿「DeepDelver」が、Y Combinator出身のコンプライアンススタートアップDelveに対して衝撃的な告発を行いました。Delveは2025年7月にInsight Partners主導で3,200万ドルを調達し、バリュエーション3億ドルと評価された注目企業です。しかし告発によれば、同社は顧客企業に「偽のコンプライアンス」を提供し、実際には規制要件を満たしていないのに準拠済みと信じ込ませていたとのことです。
告発の核心は、Delveが「最速のコンプライアンスプラットフォーム」という看板を、正当な手段ではなく証拠の捏造で実現していたという点にあります。DeepDelverは報復を恐れて匿名を選んだと説明しており、それ自体がこの告発の深刻さを物語っています。
具体的な告発内容
DeepDelverが指摘した問題点は多岐にわたります。最も深刻なのは、Delveが存在しなかった取締役会の会議、テスト、プロセスの「捏造された証拠」を顧客に提供していたという点です。顧客は偽の証拠を採用するか、ほぼ手動で作業を行うかの二択を迫られていたとされます。
また、Delveのクライアントのほぼすべてが「Accorp」と「Gradient」という2つの監査会社を経由していますが、これらは実質的に同一運営で、主にインドを拠点とし米国にはわずかな存在感しかないと告発者は主張しています。通常、コンプライアンスでは実装者と審査者が独立していることが重要ですが、Delveはこの構造を「逆転させている」と指摘されました。これは、自分でテストを作って自分で採点するようなもので、「構造的詐欺」と表現されています。
さらに深刻なのは、Delveが顧客の「信頼ページ」に実際には実装されていないセキュリティ対策が含まれていると主張していた点です。HIPAAやGDPRといった規制は厳格で、違反すれば刑事責任や多額の罰金が科される可能性があります。もし告発が事実なら、Delveの顧客企業は知らないうちに重大なリスクにさらされていたことになります。
セキュリティ上の脆弱性も発覚
告発とは別に、技術的な問題も浮上しています。X(旧Twitter)ユーザーのJames Zhouは、Delveから従業員の身元調査や株式ベスティングスケジュールなどの機密情報にアクセスできたと報告しました。セキュリティ専門家のJamieson O’Reilly(Dvuln創設者)もZhouとの会話から「Delveの外部攻撃面にある複数の大きなセキュリティホール」の存在を確認しています。
コンプライアンスを提供する企業自身がセキュリティ上の欠陥を抱えているというのは、皮肉を通り越して深刻な問題です。さらに2025年12月には、Delveが機密クライアントレポートを含むスプレッドシートを漏洩したとの告発もあります。
Delveの反論
Delveはブログ投稿でこれらの告発に反論しています。同社は「最終的なレポートと意見はDelveではなく、独立したライセンスを持つ監査人のみが発行する」と述べ、顧客は自分が選んだ監査人か、Delveのネットワークから独立した第三者監査会社を選択できると主張しました。
「偽の証拠」提供の告発に対しては、コンプライアンス要件に従ってプロセスを文書化するための「テンプレート」を提供しているだけであり、他のコンプライアンスプラットフォームも同様だと反論しています。Delveは「下書きテンプレートは『事前入力された証拠』とは異なる」と強調しました。
また、AccorpとGradientについては「業界全体で広く使用されている認定された確立した企業」であり、他のコンプライアンスプラットフォームも使用していると説明しています。リークについては「積極的に調査中」としています。
告発者の追加反論
しかしDeepDelverはDelveの反論に対し「怠慢さ、不器用さ、厚かましさに唖然とした」と述べ、「彼らは『事前入力された証拠』ではなく『テンプレート』と呼ぶことで責任逃れをしようとしている」と批判しました。告発者は「インドの告発、AIの欠如、実装されていないコントロールを含む信頼ページなど、多くの深刻な告発に全く対応していない」と指摘し、「パートIIは近日公開予定」と予告しています。
興味深いことに、DeepDelverはDelveが苦情を言う顧客に「複数箱のドーナツを送った」とも主張しており、同社の危機管理の稚拙さを示唆しています。
フリーランスへの影響
この騒動は、フリーランスや小規模事業者にとって重要な教訓を含んでいます。まず、コンプライアンスツールを選ぶ際は、単に「自動化」や「最速」といった謳い文句に惑わされてはいけないということです。特にHIPAAやGDPRのような厳格な規制に関わる場合、ツールが本当に要件を満たしているかを慎重に確認する必要があります。
フリーランスでヘルスケア関連のクライアントを持つ方や、EU圏の顧客データを扱う方は、コンプライアンスツールの選択を誤ると刑事責任や罰金のリスクにさらされる可能性があります。今回の騒動は、高額な資金調達を受けた有名スタートアップでさえ信頼できない場合があることを示しています。
また、監査会社の独立性も重要なチェックポイントです。実装者と審査者が実質的に同一である場合、それは真のコンプライアンスとは言えません。Delveの例は、ツール提供者が推奨する監査会社をそのまま使うのではなく、独立した第三者機関を選ぶ重要性を教えてくれます。
現時点でDelveを使用している方は、自社のコンプライアンス状況を第三者の専門家に再確認してもらうことをお勧めします。特に医療データや個人情報を扱っている場合は、早急な対応が必要かもしれません。
まとめ
Delveの騒動はまだ進行中で、真相は明らかになっていません。しかし、コンプライアンスという信頼が命の分野で、これほど深刻な告発がなされたこと自体が警鐘です。フリーランスとしてコンプライアンスツールを検討している方は、この事例から「自動化」の甘い言葉に惑わされず、独立した監査プロセスを重視し、複数の情報源で確認することの重要性を学べます。少なくとも、この騒動が落ち着くまではDelveの使用は様子見が賢明でしょう。DeepDelverが予告している「パートII」の公開も注目です。
参考リンク:TechCrunch元記事
コメント