Delve の匿名告発問題とセキュリティ懸念まとめ

みなさん、こんにちは。今回は、コンプライアンス関連のスタートアップ企業「Delve（デルブ）」に関するちょっと気になる話題をお届けします。

Delveに対する匿名告発の内容とは？

今週、匿名の人物が書いた Substack の投稿で、Delve が「多くの顧客に対して、プライバシーやセキュリティ規制に準拠していると誤って信じ込ませている」と指摘されました。これにより、顧客は HIPAA（米国の医療情報保護法）違反の刑事責任や、GDPR（欧州の個人情報保護規則）による高額な罰金のリスクにさらされている可能性があるというのです。

Delve は Y Combinator の支援を受け、昨年は 3,200 万ドルの資金調達を行い、評価額は 3 億ドルに達している注目のスタートアップです。しかし、この告発に対して Delve はブログで「誤解を招く内容であり、多くの不正確な主張が含まれている」と反論しています。

告発者「DeepDelver」の主張

告発者は自らを「DeepDelver」と名乗り、かつて Delve の顧客だったと述べています。彼らは Delve から「顧客の機密レポートが漏洩した」というメールを受け取ったことをきっかけに、Delve の対応に疑念を抱き、複数の顧客と協力して調査を行ったそうです。

その結果、Delve は「実際には存在しない会議やテストの証拠をでっち上げ、認証機関の報告書も形だけのものを作成し、顧客に100％の準拠を達成したと偽って伝えている」と結論づけました。さらに、Delve は顧客に「偽の証拠を受け入れるか、ほとんど手作業での対応を強いられるか」の二択を迫っているとも言います。

また、Delve の顧客が利用している監査会社 Accorp と Gradient は実質的に同じ組織で、主にインドに拠点を置き、米国では名ばかりの存在だと指摘。これらの監査会社は Delve が作成した報告書をただ承認しているだけで、独立した監査が行われていないと批判しています。

さらに、Delve は実際には実装していないセキュリティ対策を顧客の「信頼ページ」に掲載し、一般に誤解を与えているとも述べています。

Delveの反論と今後の展開

これに対し Delve は、自社はあくまで「コンプライアンス情報を自動化して監査人に提供するプラットフォーム」であり、最終的な監査報告書や意見は独立した監査人が発行すると説明しています。また、顧客は自分で監査人を選ぶこともでき、Delve のネットワークにある第三者監査会社を利用することも可能だとしています。

「偽の証拠を提供している」という指摘については、Delve は「テンプレートを提供しているだけで、事前に記入された証拠ではない」と反論しました。

一方、告発者の DeepDelver は Delve の反論を「ずさんで厚かましい」と評し、まだ説明されていない重要な疑惑もあると指摘。今後、告発の続編も予定しているとのことです。

セキュリティ上の懸念も浮上

さらに、SNS上では Delve のシステムに複数のセキュリティホールがあると指摘する声もあり、従業員の身元調査や株式の権利確定スケジュールなどの機密情報にアクセスできたという報告も出ています。

今回の件は、急成長中のスタートアップが抱えるリスクや、コンプライアンス分野の難しさを改めて考えさせられる内容かもしれません。Delve 側も調査を続けているようなので、今後の動きに注目したいですね。引き続きウォッチしていきたいですね！