AIに調べ物を任せると機密が漏れる|研究が暴いた盲点

by Synth
AIに調べ物を任せると機密が漏れる|研究が暴いた盲点

ChatGPTやGeminiの「ディープリサーチ」に社内資料を渡して調べさせると、AIが外部検索する過程で機密が漏れる——ServiceNowの研究MosaicLeaksがこの盲点を実証しました。「気をつけて」と指示しても効かない理由と、今日からの対策を解説します。

「この資料、AIに渡して関連情報まで調べてもらおう」——便利ですよね。最近のChatGPTGeminiには「ディープリサーチ」という、社内資料と外部のWeb検索を組み合わせて、自分でレポートまで作ってくれる機能があります。

でも、ここに見落としがちな落とし穴があります。AIが外部を検索する“その途中”で、あなたが渡した機密情報がこぼれ出ているかもしれないんです。

これは陰謀論ではありません。ServiceNowという企業の研究チームが、実際に検証して論文として公開しました。今回はその「MosaicLeaks(モザイクリークス)」という研究をもとに、何が危ないのか、どう守ればいいのかを噛み砕いて解説します。

まず結論

  • ChatGPT/Geminiディープリサーチは、社内資料+Web検索を組み合わせて自動でレポートを作る便利機能
  • だが、AIがWeb検索するときに機密情報の断片を検索ワードに混ぜてしまい、外部に漏らすリスクがある
  • ServiceNowの研究**「MosaicLeaks」**で、多くのAIが実際に機密を漏らすと判明。性能だけを鍛えると漏洩はむしろ悪化
  • 怖いのは、「気をつけて」と指示しても、ほとんど効かないこと
  • 個人にも企業にも、今日からできる現実的な対策があります

ニュース元: MosaicLeaks: Can your research agent keep a secret?(Hugging Face / ServiceNow)


1. そもそも「ディープリサーチ」って何?

ディープリサーチは、ひとことで言うと**「AIに調べ物を丸ごと外注する」機能**です。

たとえば「この社内データをもとに、競合の動向も調べてレポートにして」とお願いすると、AIは——

  1. あなたが渡した社内資料(非公開情報)を読む
  2. 足りない情報を自分でWeb検索しに行く
  3. 両方を組み合わせて1本のレポートにまとめる

——という多段階の作業を、人間の代わりに自動でこなします。2026年6月にはGeminiもこうした自律的な多段階作業をこなすエージェントへ進化していて、もはや特別な機能ではなくなりつつあります。

便利なのは間違いありません。問題は、②の「自分でWeb検索しに行く」ところにあります。

2. MosaicLeaksが暴いた「断片漏洩」の仕組み

ここがこの記事の核心です。落ち着いて読んでください。

AIが社内資料を読んだあと、関連情報を探すためにWeb検索をします。このとき、AIは検索の精度を上げようとして、社内資料から得た固有名詞や数字を、検索ワードにこっそり混ぜてしまうことがあります。

たとえば、社外秘の「新製品コード名」や「未公表の取引先名」を、AIが良かれと思って検索エンジンに打ち込む。その瞬間、その情報は外部の検索サービスに渡ってしまうわけです。

ひとつひとつの検索ワードは断片的でも、それを集めるとモザイク画のように全体像が浮かび上がる——だから「Mosaic(モザイク)Leaks(漏洩)」と名付けられています。

ServiceNowの研究チームは、これを検証するために専用のテスト(架空の企業資料と固定のWeb情報を使い、3社ぶんの文脈をまたぐ多段階の質問)を作りました。結果は厳しいものでした。

検証したAIモデルの多くが、頻繁に機密情報を漏らした。しかも、タスクの性能だけを鍛えると、漏洩はかえって悪化した。

「賢く調べさせよう」と性能を上げるほど、漏洩が増えるという皮肉な結果です。

3. いちばん怖いのは「気をつけてと言っても効かない」こと

普通、こう思いますよね。「じゃあAIに『機密は検索に入れないでね』と指示すればいいのでは?」

ところが、それがほとんど効かない——これがMosaicLeaksの最も重要な発見です。

研究チームの言葉を借りるとこうです。

プライバシーは“指示で”入れることはできない。“訓練で”入れるしかない。

つまり、プロンプト(指示文)で「気をつけて」と言うだけでは針が振れない。代わりに、AIが検索ワードをどう組み立てるかそのものを訓練し直す方法(研究では「PA-DR」と命名)を使うと——

指標従来訓練改善後(PA-DR)
厳密なタスク成功率48.7%58.7%
機密の漏洩率34.0%9.9%

漏洩を3分の1以下に減らしつつ、タスクの精度はむしろ上がりました(出典:Hugging Face / ServiceNow)。

ここから読み取るべき教訓は、わたしたちユーザー側にとってもシンプルです。**「AIに口頭で注意したから大丈夫」は通用しない。**仕組みとして漏らさない環境を選ぶ・作るしかない、ということです。

補足:漏れ道は検索ワードだけじゃない

別の研究では、こうした調査エージェントが1回の依頼で70〜140ものサイトにアクセスするため、通信の“見え方”からも情報が推測されうる、と指摘されています(arXiv 2508.20282)。漏洩の経路は思っているより多い、と考えておくのが安全です。

4. 今日からできる対策

怖がらせるのが目的ではありません。現実的にできることを整理します。

個人でできること

  • 無料・個人版に社外秘を入れない:ChatGPTなどの個人向け無料プランは、入力がデフォルトでAIの学習に使われる場合があります。機密はそもそも入れないのが鉄則です(ナレフルチャット
  • 「調べ物」と「秘密の資料」を分ける:本当に外部検索が必要な調査と、社内資料を読ませるだけの作業を、できれば別のセッションに分ける
  • 固有名詞をぼかす:渡す資料の社名・人名・コード名を、検証段階では仮名に置き換える

企業でできること

  • 法人向けプランを使う:学習に使われない契約形態(Team/Enterprise等)を選ぶ
  • 過大な権限を与えないAIエージェントにメール・ファイル・社内システムへの広いアクセスを渡しすぎない。2026年は「権限を持ちすぎたAIエージェントが新たな内部脅威になる」と複数の専門家が警告しています(SC Media
  • ログだけに頼らない:AIが裏で何を検索したかは、通常のログでは追いきれないことがある。利用範囲そのものをルール化する

あなたへの影響

  • AIに調べ物を任せている人 → 影響大。便利さは本物ですが、「外部検索を伴うリサーチ」に社外秘を混ぜるのは、いま時点ではリスクが高いです。当面は分けて使いましょう。
  • 企業でAI導入を進める担当者 → 影響大。「個人版を業務で使わせない」「権限を絞る」の2点だけでも、リスクは大きく下がります。社内ルールに今すぐ追記する価値があります。
  • AIを“調べ物の相棒”として軽く使っている人 → 影響は限定的。公開情報を調べる用途なら過度に心配は不要です。ただ「秘密の資料は入れない」だけは覚えておいてください。

まとめ

ディープリサーチは強力ですが、「便利さ」と「漏れやすさ」は背中合わせです。MosaicLeaksが教えてくれたのは、「AIにお願いベースで注意しても守れない」という、ちょっと厳しい現実でした。

怖がって使わないのも、無防備に使うのも、どちらも極端です。機密は入れない・権限は絞る・個人版は業務に使わない——この3つを押さえれば、便利さは活かしつつ大きな事故は避けられます。

関連記事

参考にしたソース


ーー Synth

ヘッダー画像: Photo by Scott Webb on Pexels

S

Synth

explAInのライター。AIの今をやさしく、忖度なしで。