今週公開された匿名のSubstack投稿は、コンプライアンスのスタートアップ企業Delveが、プライバシーおよびセキュリティ規制に関して「数百もの顧客を偽って準拠していると確信させた」と非難しており、それらの顧客は「HIPAAに基づく刑事責任やGDPRに基づく巨額の罰金」に晒される可能性があるとしている。
DelveはY Combinatorの支援を受けるスタートアップで、昨年は3億ドルの評価額で3,200万ドルのシリーズA資金調達を発表した(このラウンドはInsight Partnersが主導した)。金曜日、同社はこの告発を自身のブログで反論しようとし、Substackの投稿を「誤解を招く」ものであり、「多数の不正確な主張が含まれている」と述べた。
Substackの投稿は「DeepDelver」によるもので、彼らは(現在は元)Delveの顧客企業で働いていたと述べている。TechCrunchからのメールでの質問に対し、DeepDelverは自身とその協力者が「Delveによる報復を恐れて匿名でいることを選んだ」と語った。
DeepDelverは投稿の中で、12月にスタートアップが「機密の顧客レポートを含むスプレッドシートを漏洩した」と主張するメールを受け取ったと述べている。DelveのCEOであるKarun Kaushikは、その後のメールで顧客に対し、同社がコンプライアンスを遵守しており、外部の誰も機密データにアクセスしていないと確約したようだが、DeepDelverは自身や他の顧客が疑念を抱いたと語った。
「Delveの経験に期待外れだと感じた共通の経験があり、何か怪しいことが起こっているという全体的な感覚があったため、私たちはリソースをプールし、一緒に調査することにした」と彼らは書いている。
彼らの結論は?Delveは「偽の証拠を作成し、レポートにゴム印を押すだけの認定機関に代わって監査人の結論を生成し、主要なフレームワーク要件をスキップしながら、顧客には100%のコンプライアンスを達成したと伝えることで、最速のプラットフォームであるという主張を達成している」というものだった。
DeepDelverはこれらの主張についてかなりの詳細を述べ、スタートアップが顧客に「決して行われなかった取締役会、テスト、プロセスの捏造された証拠」を提供し、その後、それらの顧客に「偽の証拠を採用するか、実際の自動化やAIがほとんどない手作業をほとんど行うか」の選択を強いたと非難した。
DeepDelverはまた、Delveの顧客のほぼすべてが、AccorpとGradientという2つの監査法人を経由しているようだと主張した。これらは「同じ事業の一部」であり、主にインドで事業を行い、米国での存在は名目上のものであると彼らは説明した。
これらの法人は、Delveが生成したレポートにただゴム印を押しているだけだと彼らは述べた。その結果、DeepDelverは、このスタートアップが通常のコンプライアンス構造を「逆転させている」と述べた。「独立したレビューが行われる前に監査人の結論、テスト手順、最終レポートを生成することで、Delveは自らを実装者と検査者の両方の役割に置いている。これは技術的な問題ではない。これは、すべての証明を無効にする構造的な詐欺である。」
Delveが顧客を誤解させていると非難するだけでなく、DeepDelverは、このスタートアップが「決して実施されなかったセキュリティ対策を含むトラストページをホストすることで、顧客が一般の人々を誤解させるのを助けている」と述べた。
DeepDelverは、彼らの会社がDelveとの問題について話し合っていた際、スタートアップが「私たちを満足させるために、複数の箱に入ったドーナツを送ってきた」と述べた。しかしながら、DeepDelverの雇用主はトラストページの公開を取りやめ、もはやコンプライアンスのためにDelveに頼っていないという。
Delveは、コンプライアンスレポートは一切発行していないと反論した。代わりに、同社はコンプライアンスに関する情報を取り込み、その情報を監査人に提供する「自動化プラットフォーム」であるとしている。
同社は「最終レポートおよび意見は、Delveではなく、独立した認可された監査人のみが発行する」と述べた。
Delveはまた、顧客が「自由に選択した監査人と協力するか、Delveの独立した認定された第三者監査法人のネットワークから選択するかを選ぶことができる」と述べた。これらの監査人は、「他のコンプライアンスプラットフォームを含め、業界全体で広く利用されている確立された企業」であるとスタートアップは語った。
顧客に「偽の証拠」を提供しているという非難に対し、Delveは、それは「他のコンプライアンスプラットフォームと同様に、チームがコンプライアンス要件に従ってプロセスを文書化するのを助けるテンプレート」を提供しているに過ぎないと反論した。
「ドラフトテンプレートは『事前に入力された証拠』とは異なる」と同社は述べた。
Delveは「いかなる漏洩も積極的に調査している」とし、「Substackのレビューを続けている」と付け加えた。
Delveの回答について尋ねられた際、DeepDelverはTechCrunchに対し、「その怠慢さ、不器用さ、厚かましさに呆れた」と語った。
「彼らは『事前に入力された証拠』を持っていることを否定し、代わりにそれを『テンプレート』と呼ぶことで、責任から逃れようとしている。これは、顧客が『テンプレート』をそのまま採用したことへの責任を効果的に転嫁している」とDeepDelverは述べた。「彼らはレポートを『発行』する立場ではないと主張しているが、レポートの発行を最終的な承認を与えることだと定義すれば、それは簡単に主張できることだ。」
彼らは「非常に深刻な主張が多数ある」と付け加えた。
ソース: 原文へ
※本記事はAIによって自動生成された日本語訳です。内容の正確性については、必ずソース元の原文をご参照ください。
🏷️ 関連タグ: #コンプライアンス #スタートアップ #詐欺 #セキュリティ #GDPR #HIPAA
コメント