Complyanceが切り開く”AIネイティブGRC”という新しい安心
「また監査の準備か……」
年度末や四半期の終わりが近づくと、チェックリスト、証跡集め、関係部署への催促が一気に増えて、心がざわつく。
そんな経験、ありませんか。
しかも最近は、データの扱い方ひとつで企業の信頼が揺らぎます。
情報漏えいだけでなく、委託先のミス、設定ミス、運用の抜け穴など、リスクは”じわじわ増える霧”みたいに広がっていく。
その霧の中で、たった年に1回や四半期に1回の監査だけで、本当に安全を確かめられるのでしょうか。
ここに「監査の季節」そのものを減らそうとするスタートアップが登場しました。
Complyanceです。
2026年2月11日、同社はGV主導で2,000万ドルのシリーズAを調達したと報じられました。
Complyanceとは何者か
「パーティーでスマホ設定を手伝う人」から始まった起業
創業者のRicha Kaulは、自分のことを「データプライバシー好き」と語っています。
パーティーの場で人のスマホのプライバシー設定を手伝うこともある、という少しユニークなエピソードが紹介されています。
でも彼女が見つけた”本丸”は、個人の設定ではありませんでした。
消費者のデータを守るいちばん確実な方法は、そのデータを持つ企業側を強くすること。
この考えから、Complyanceは生まれたのです。
何をする会社なのか
「GRC」を”終わらない健康診断”に変える
Complyanceは、企業の既存システムに組み込むアプリとして提供され、AIエージェントによってGRC(Governance, Risk, Compliance)を支援します。
ガバナンス(Governance)とは会社の意思決定や管理のルール作りのこと。
リスク(Risk)は事故や不正、損失につながる可能性の洗い出し。
そしてコンプライアンス(Compliance)は法令や規則、社内ルールの遵守を指します。
難しく聞こえるかもしれませんが、たとえるならこうです。
従来の監査は「年に数回の健康診断」。
一方でComplyanceが目指すのは「毎日の体温や脈拍を見守るウェアラブル」。
体調が崩れてから病院に駆け込むのではなく、崩れる前の”兆し”を拾う発想です。
Kaulによれば、AIは企業ごとの基準やリスク許容度に合わせてデータをチェックし、問題がありそうな点をフラグします。
なぜ今、こうした仕組みが必要なのか
手作業の監査は「時間がかかる」だけでなく「ズレやすい」
記事では、手作業のリスクレビューは数週間から数カ月かかることがある、と述べられています。
そして多くの場合、年1回や四半期1回など、周期的な”監査ベース”で回っている。
でも現実のデータは、毎日流れていく川のように動き続けます。
監査のタイミングだけ安全でも、次の日に設定が変われば、川の流れはすぐ別の顔になる。
Complyanceが掲げるのは、秒単位での継続チェックという方向性です。
「いつの間にか基準から外れていた」を、なるべく起きにくくする。
さらに、第三者ベンダー(委託先)リスクを評価するエージェントにも触れられています。
外部サービスの利用が当たり前になった今、ここは見落としがちな”割れ窓”になりやすい部分です。
「AIを足した」ではなく「AIネイティブ」という主張
既存の強者とどう違う?
この領域には、Archer、ServiceNow GRC、OneTrustといった既存プレイヤーがいます。
その中でComplyanceは「既存機能にAIを付け足した」のではなく、最初からAIを前提に組み立てた”AIネイティブ”だと説明しています。
ここは、知識として押さえておくと理解が深まります。
AIを後付けする場合、既存の画面や入力、ワークフローが中心となり、AIは補助輪になりやすい。
一方、AIネイティブの場合、最初から”自動で判断し、例外だけ人が見る”ように設計されやすいのです。
もちろん「AIネイティブ」と名乗れば勝てるわけではありません。
ただ、監査やコンプライアンス業務の現場が苦しむのは、だいたい”単純作業の多さ”です。
そこに真正面から切り込んでいる点が、今回の資金調達の背景にあるのだと思います。
2,000万ドルの意味
調達の中身と、次の一手
今回のシリーズAはGVがリードし、他にSpeedinvest、Everywhere Ventures、さらにAnthropicとMastercardのエンジェル投資家が参加したと報じられています。
また、これまでの累計調達額は2,800万ドル。
面白いのは、Kaulが資金調達を「ちょっとしたおとぎ話みたい」と表現し、GV側から声をかけてきたと語っている点です。
“探される側”になるには、プロダクトが現場の痛みに刺さっている必要があります。
そして資金の使い道は明確です。
GTM(Go-to-Market)拡大、つまり販売や導入を広げること。
そしてエージェントの追加です。
現在の16に加え、さらに30の目的別エージェントを増やしたいとしています。
ここで大事なのは、エージェントを増やす狙いが「派手なAIのデモ」ではないこと。
Kaulは、GRCチームが”雑務を追いかける状態”を変え、本当に見るべきリスクや戦略的優先度に集中できるようにしたい、と語っています。
Complyanceは2023年にステルスを脱却し、2024年末に最初の製品を市場投入しました。
顧客数は明かしていませんが、Fortune 500企業数社と協業していることが報じられています。
初心者向けに整理
「導入すると何が変わる?」を1枚の風景にしてみる
想像してみてください。
あなたの会社のコンプライアンス担当が、毎日やっていることは何でしょう。
多くの場合「このデータの扱い、ポリシーに合ってる?」「委託先のリスク評価、更新されてる?」「監査用の証跡、揃ってる?」といった問いに答えるために、メールを送り、台帳を開き、画面を切り替え、関係者に確認します。
それはまるで、夜の港で、懐中電灯ひとつで船の穴を探す作業。
一つ見つけたと思ったら別の場所から水が滲む。
しかも波は止まらない。
Complyanceが描く世界は、港全体を照らす「灯台」に近い。
すべてを完璧にする魔法ではないけれど”危ないところだけ明るくしてくれる”。
人は、暗闇を全部歩くより、照らされた道を優先して進めます。
仕事も同じです。
これからの論点
「便利」だけでは勝てない、GRC×AIのチェックポイント
GRC領域のAIで、今後の議論になりやすいポイントも押さえておきます。
まず、説明可能性(なぜそう判断したか)です。
監査やコンプライアンスは、結果だけではなく根拠が重要です。
AIがフラグを立てた理由を、誰が追えるか。
次に、誤検知と見逃しのバランス。フラグが多すぎると現場は疲弊し、少なすぎると事故につながる。
企業ごとの「リスク許容度」に合わせる設計が鍵になります(記事でも”基準やしきい値に合わせたチェック”に触れられています)。
そして、ベンダーリスクの現実性。
自社だけ守っても、委託先が穴になる。
第三者ベンダー評価の自動化は、今後さらに注目されそうです。
Complyanceが”AIネイティブ”としてどこまで実装で答えられるか。
ここが真価の分かれ目になるはずです。
まとめ
監査を「イベント」から「呼吸」に変える
Complyanceのニュースを一言でまとめるなら、こうです。
監査やコンプライアンスを、年に数回のイベントから、日々の呼吸へ変えようとしている。
GV主導の2,000万ドルシリーズAは、その挑戦が「現場の痛みを減らす現実的な一手」だと見なされた証拠でもあります。
そしてKaulが繰り返すのは、GRCの人たちを”雑務の追跡者”にしないこと。
彼らが本来やりたかったのは、ビジネスと顧客を守るための仕事だからです。
最後に、あなたの職場の風景に引き寄せて考えてみてください。
「監査が近いから頑張る」ではなく「安心が積み重なっていくから、挑戦できる」へ。
安全はブレーキではなく、走り続けるための路面です。
その路面を毎日ならしてくれる道具が増えるほど、私たちはもっと前へ進める。
Complyanceの挑戦は、その未来を少し現実に近づけてくれるのかもしれません。
参考:Complyance raises $20M to help companies manage risk and compliance
コメント