DataGrailの「プライバシーとAIトレンドレポート2026」によると、2025年に州議会で成立したAI関連法は145件にのぼり、新たに提出または改定された法案は1,000件を超えています。
データ主体リクエストを手動で管理した場合の平均コスト(出典:DataGrail)
シャドーAIのリスク
AI機能を標榜する主要ビジネスソフトウェアプロバイダー2,400社のうち、63.6%が法的文書においてサードパーティのAIサブプロセッサーを開示しておらず、企業は自覚のないままシャドーAIリスクにさらされている状況です。
AIリスクを適切に管理するには、AIがどのように使われ、どのデータを処理しているかを把握することが不可欠です。DataGrailの調査では、AIシステムの32.8%が、機密データの処理や自動意思決定など、少なくとも一つのハイリスクな活動に関与していることが明らかになりました。
AIの機能が法的文書に明記されないケースも多く、個人データへのアクセスや処理の実態が見えにくい状況が続いています。AIアプリケーションの柔軟性ゆえに、より高いリスクをはらむ用途を事前に予測することも困難です。
オプトアウトのコンプライアンス
2025年、カリフォルニア州が公表した同意管理に関する和解金の総額は430万ドルに達しました。この数字には非公開の和解は含まれていません。
トラッキングピクセルやセッションリプレイソフトウェアをめぐる民間法律事務所の調査により、2025年には1,400件以上の集団訴訟が提起されました。さらに、示談で解決したとみられる数千件の案件は含まれておらず、コンプライアンス違反を許容リスクとして扱うことは、もはやコスト面で現実的ではなくなっています。
企業が見落としがちなコンプライアンス対策の一つが、ブラウザのオプトアウトシグナルへの対応です。規制当局はプライバシーポリシーを精査する前に、このシグナルへの対応状況を企業のプライバシーコンプライアンスの入口として確認することがあります。
米国10州以上のプライバシー法は、Global Privacy Controlを含むユニバーサルなオプトアウトメカニズムの尊重を義務付けていますが、それでも63%のウェブサイトがオプトアウトシグナルに対応できていない状況です。
一部または全ての非必須トラッキングについて明示的にオプトアウトを選択するユーザーは、全体の15%未満にとどまっています。何も選択せずにサイトを離れたユーザーは、サイトや管轄地域によって異なるトラッキングの扱いを受ける可能性があり、計測結果にも影響を与えることがあります。
規制当局は、クッキー同意バナーにおけるダークパターンやその他の欺瞞的なデザイン手法を禁止する方向で動いています。バナーへの操作をしなかったユーザーを「トラッキングへの有効な同意あり」とみなす事例も、執行措置の対象となっています。
消費者リクエストへの対応
データ主体リクエストの件数は5年連続で増加しており、組織の処理能力を圧迫するとともに、リクエストを漏れなく完了させることをより困難にしています。
年間ユニーク訪問者数500万人規模の中規模企業では、データ主体リクエストを手動で処理する際のコストが年間平均150万ドルに達しています。
「2026年のデータプライバシーを一言で表すとすれば、それは『増加』です。規制も、リスクも、プレッシャーも増えています。唯一増えていないのは、それを担うプライバシー専門家の数だけです」と、DataGrailのCEOであるDaniel Barber氏は述べています。
「データ主体リクエストの件数、新たなAI法、そして執行措置は一向に減速する気配がなく、プライバシーチームはもはや従来のアプローチでこの複雑さに対処することはできません。2026年に成功するプライバシープログラムは、規模の大きさではなく、プライバシーファーストのAIツールに投資してプログラムをスマートにスケールし、規制の変化を先取りし、ビジネスに安全なAIを提供できるかどうかにかかっています」とBarber氏は続けています。
データブローカーに対する削除リクエストの増加幅が最も大きく、2024年と比較して2025年は398%増加し、月平均2,000件以上に達しました。2021年からの累計増加率は567%にのぼります。また、「販売・共有しないでください」というリクエストは、月平均900件以上処理されています。
健康、金融、位置情報に関するデータを扱う業界では、2025年に最も多くのデータ主体リクエストが寄せられました。これまであまり目立たなかった複数のセクターがトップ5に入り、特に専門サービス企業は平均的な組織と比べて4.6倍ものデータ主体アクセスリクエストを受け取っています。
リスクアセスメントの義務化
今年からカリフォルニア州では、プライバシーリスクアセスメントが法的義務となりました。組織はこれを実施し、2028年4月から始まる年次監査にその結果を提出しなければなりません。また、各レビューは偽証に対するペナルティを伴う宣誓のもと、経営幹部が直接署名することが求められます。
CCPAは米国内で最も厳格なプライバシーアセスメント要件を定めており、一部の領域ではGDPRの要件をも上回っています。多くの米国企業にとって、正式なプライバシーリスクアセスメントを実施するのは今回が初めての経験となるでしょう。
アセスメントは、消費者のプライバシーにリスクをもたらす可能性のある処理活動すべてに対して義務付けられています。個人データや自動意思決定への潜在的な影響を考慮すると、AIを活用した取り組みは特に注意が必要です。
2025年には企業の42%がAIプロジェクトを中止し、その主な要因としてデータプライバシーへの懸念が挙げられています。プライバシーチームが早期から関与することで、必要な保護措置の特定、コンプライアンスリスクの低減、製品開発の支援が可能となります。その第一歩となるのが、AIリスクアセスメントです。
プライバシーチームでは最大33%の人員削減が報告される一方で、対応すべきコンプライアンス義務は拡大し続けています。こうした状況を受け、各組織はプライバシー関連業務の支援にAIを活用する計画を進めています。
翻訳元: https://www.helpnetsecurity.com/2026/06/01/datagrail-ai-privacy-risks-report/
