2026年、AIエージェントを巡るコンプライアンスの議論が変わった。「AIを使うべきか」から「AIをどこで動かすか」に。
GDPR、HIPAA、SOC 2など規制フレームワークの下にある組織にとって、答えは重要だ。顧客プロンプトをクラウドAIサービスに送ると個人データが組織境界を越える。それがデータ処理要件、ベンダー評価、DPA、監査義務をトリガーし、多くのチームは準備ができていない。
セルフホストAIはこれらの複雑さの大部分を回避する。データは自社インフラに留まる。処理は自社ハードウェアで行われる。監査証跡は自社管理下。ただし「セルフホスト」は自動的にコンプライアンスを意味しない——細部を正しくする必要はある。
GDPR:何がトリガーされるか
GDPRはEU居住者の個人データを処理するときに適用される。顧客メッセージやサポートチケットを扱うAIエージェントはほぼ確実に個人データを処理している。
クラウドAIサービスを使う場合: クラウドプロバイダがGDPR下のデータ処理者になり、DPAが必要。データがEU外に転送される可能性(第5章の制限をトリガー)。プロバイダのデータ保持ポリシーが自社の問題になる。
セルフホストAIエージェント(ZeroClaw + Ollama)を使う場合: AI推論にサードパーティデータ処理者なし。越境データ転送なし。既存のデータ保護ポリシーがAI処理をカバー。AI部分に追加のDPA不要。
HIPAA:PHIの課題
HIPAAの要件はAIデプロイにおいてGDPRより厳格。PHIをクラウドAIサービスに送るにはBAA(事業提携者契約)が必要で、2026年初頭時点でHIPAA準拠エンドポイントを提供するクラウドAIプロバイダは一握り。
セルフホストはBAA要件を完全に排除:PHIがHIPAA準拠インフラから出ない。既存のセキュリティ管理がAI処理をカバー。ZeroClawのSQLCipherメモリ暗号化、deny-by-defaultアローリスト、シングルバイナリデプロイが特に有用。
SOC 2:監査証跡
SOC 2 Type II監査はセキュリティ管理の運用有効性を時間経過で検査する。ZeroClawの設定ベースアクセス制御とファイルレベル権限がSOC 2要件に直接マッピングされる。セルフホストモデルはスケジュール通りに更新され、変更管理プロセスを経由する。
コスト比較
クラウドAIのコンプライアンスコストは初期予算で見えないことが多い:DPA交渉5,000〜15,000ドル/プロバイダ、HIPAA BAA設定10,000〜25,000ドル、SOC 2監査範囲拡大8,000〜20,000ドル/サイクル。これらは毎年発生。セルフホストはこの大部分を排除する。ハードウェア投資(GPU付きサーバー2,000〜5,000ドル)は1年で回収できる。
規制下の産業にとって、セルフホストAIはもはやプライバシーの好みではない。コンプライアンス抵抗が最も少ない道になりつつある。