コンプライアンススタートアップDelveが「偽のコンプライアンス」詐欺で非難

コンプライアンスサービスモデルの核心を攻撃する疑惑

Substackの詳細な匿名投稿は、AI駆動のプラットフォームとして自らを売り込んでいるベンチャー支援のコンプライアンススタートアップDelveに対して深刻な疑惑を提起しました。この投稿は、DelveがGDPR、CCPA、および様々なセキュリティフレームワークなどのプライバシー規制に準拠していると数百の顧客を偽って確信させてきたと主張しており、実際には彼らの実際のコンプライアンス状況は有意に評価されていません。

これらの疑惑が正確であれば、規制要件を満たし、ベンダーセキュリティレビューに合格し、重大な罰金を回避するためにコンプライアンス認証に依存している企業顧客に対する重大な詐欺を構成するでしょう。コンプライアンスの誤表示は単なる評判リスクではなく、医療および金融などの規制対象産業では、企業が重大な法的責任に直面する可能性があります。

コンプライアンスサービスがどのように機能するか—および問題の可能性がある場所

Delveのような企業は、SOC 2、ISO 27001、HIPAA、およびGDPRなどのフレームワークへのコンプライアンスを達成するという労働集約的なプロセスを自動化することを約束する急成長している市場セグメントで運営されています。中心的な価値提案は魅力的です:フルタイムのコンプライアンスチームを雇用したり、複数月のエンゲージメントに対してビッグフォーコンサルティング企業に支払う代わりに、企業はソフトウェアを使用して証拠収集、ポリシードキュメント、および監査準備を合理化することができます。

基盤となる分析が厳密な場合、モデルはうまく機能します。自動化が実際の評価の加速器ではなく代替品になると、危険が生じます。チェックボックス、カバレッジメトリクス、ポリシーテンプレートを含む信頼できるように見えるコンプライアンスレポートを生成することは、コントロールが実際に存在し機能しているかどうかを評価するという実質的な作業を行わないため、技術的には直接的です。

詳細な疑惑

Delveの運営に関する内部知識があると主張する人によって書かれたSubstackの投稿は、企業のAIツールが最小限の独立検証を伴う顧客の自己評価に基づいてコンプライアンスレポートを生成したパターンを説明しています。質問票を完成させた顧客は、その後販売資料とベンダーセキュリティレビューで使用されるコンプライアンスステータス指標を受け取りました。

投稿はさらに、Delveのカスタマーサクセスチームが特定のコンプライアンスギャップが存在することを認識していたが、顧客に明確に指摘していなかったと主張しており、実際のコンプライアンス状況ではなくコンプライアンスへの進捗を示すために設計されたメトリクスに焦点を当てていました。

Delveの対応と業界の反応

Delveは疑惑に異議を唱え、それらを誤解を招くと特徴付け、企業のプラットフォームは顧客をコンプライアンスに導くために設計されており、代わりにコンプライアンスを認証することではないことに注目しています。区別—コンプライアンス管理ツールとコンプライアンス認証者の間の—は実際的ですが、規制コンプライアンスを達成したと信じていた顧客に明確に伝達されていない可能性があります。

このケースは、近年大きなベンチャー投資を集めているコンプライアンスサービス市場について、より広い議論を引き起こしました。隣接市場の複数の創業者と投資家は、急速な顧客オンボーディングと高い完了率を示すプレッシャーが、実質よりもコンプライアンスの外観を最適化するための構造的インセンティブを創出していると指摘しています。

EU およびカリフォルニアの規制当局は、規制開示でDelve認証に依存した企業への潜在的な影響を考慮して、状況を監視しているようです。

この記事はTechCrunchのレポートに基づいています。元の記事を読む.