AIに調べ物を任せると機密が漏れる|研究が暴いた盲点
ChatGPTやGeminiの「ディープリサーチ」に社内資料を渡して調べさせると、AIが外部検索する過程で機密が漏れる——ServiceNowの研究MosaicLeaksがこの盲点を実証しました。「気をつけて」と指示しても効かない理由と、今日からの対策を解説します。
目次
「この資料、AIに渡して関連情報まで調べてもらおう」——便利ですよね。最近のChatGPTやGeminiには「ディープリサーチ」という、社内資料と外部のWeb検索を組み合わせて、自分でレポートまで作ってくれる機能があります。
でも、ここに見落としがちな落とし穴があります。AIが外部を検索する“その途中”で、あなたが渡した機密情報がこぼれ出ているかもしれないんです。
これは陰謀論ではありません。ServiceNowという企業の研究チームが、実際に検証して論文として公開しました。今回はその「MosaicLeaks(モザイクリークス)」という研究をもとに、何が危ないのか、どう守ればいいのかを噛み砕いて解説します。
まず結論
- ChatGPT/Geminiのディープリサーチは、社内資料+Web検索を組み合わせて自動でレポートを作る便利機能
- だが、AIがWeb検索するときに機密情報の断片を検索ワードに混ぜてしまい、外部に漏らすリスクがある
- ServiceNowの研究**「MosaicLeaks」**で、多くのAIが実際に機密を漏らすと判明。性能だけを鍛えると漏洩はむしろ悪化
- 怖いのは、「気をつけて」と指示しても、ほとんど効かないこと
- 個人にも企業にも、今日からできる現実的な対策があります
ニュース元: MosaicLeaks: Can your research agent keep a secret?(Hugging Face / ServiceNow)
1. そもそも「ディープリサーチ」って何?
ディープリサーチは、ひとことで言うと**「AIに調べ物を丸ごと外注する」機能**です。
たとえば「この社内データをもとに、競合の動向も調べてレポートにして」とお願いすると、AIは——
- あなたが渡した社内資料(非公開情報)を読む
- 足りない情報を自分でWeb検索しに行く
- 両方を組み合わせて1本のレポートにまとめる
——という多段階の作業を、人間の代わりに自動でこなします。2026年6月にはGeminiもこうした自律的な多段階作業をこなすエージェントへ進化していて、もはや特別な機能ではなくなりつつあります。
便利なのは間違いありません。問題は、②の「自分でWeb検索しに行く」ところにあります。
2. MosaicLeaksが暴いた「断片漏洩」の仕組み
ここがこの記事の核心です。落ち着いて読んでください。
AIが社内資料を読んだあと、関連情報を探すためにWeb検索をします。このとき、AIは検索の精度を上げようとして、社内資料から得た固有名詞や数字を、検索ワードにこっそり混ぜてしまうことがあります。
たとえば、社外秘の「新製品コード名」や「未公表の取引先名」を、AIが良かれと思って検索エンジンに打ち込む。その瞬間、その情報は外部の検索サービスに渡ってしまうわけです。
ひとつひとつの検索ワードは断片的でも、それを集めるとモザイク画のように全体像が浮かび上がる——だから「Mosaic(モザイク)Leaks(漏洩)」と名付けられています。
ServiceNowの研究チームは、これを検証するために専用のテスト(架空の企業資料と固定のWeb情報を使い、3社ぶんの文脈をまたぐ多段階の質問)を作りました。結果は厳しいものでした。
検証したAIモデルの多くが、頻繁に機密情報を漏らした。しかも、タスクの性能だけを鍛えると、漏洩はかえって悪化した。
「賢く調べさせよう」と性能を上げるほど、漏洩が増えるという皮肉な結果です。
3. いちばん怖いのは「気をつけてと言っても効かない」こと
普通、こう思いますよね。「じゃあAIに『機密は検索に入れないでね』と指示すればいいのでは?」
ところが、それがほとんど効かない——これがMosaicLeaksの最も重要な発見です。
研究チームの言葉を借りるとこうです。
プライバシーは“指示で”入れることはできない。“訓練で”入れるしかない。
つまり、プロンプト(指示文)で「気をつけて」と言うだけでは針が振れない。代わりに、AIが検索ワードをどう組み立てるかそのものを訓練し直す方法(研究では「PA-DR」と命名)を使うと——
| 指標 | 従来 | 訓練改善後(PA-DR) |
|---|---|---|
| 厳密なタスク成功率 | 48.7% | 58.7% |
| 機密の漏洩率 | 34.0% | 9.9% |
漏洩を3分の1以下に減らしつつ、タスクの精度はむしろ上がりました(出典:Hugging Face / ServiceNow)。
ここから読み取るべき教訓は、わたしたちユーザー側にとってもシンプルです。**「AIに口頭で注意したから大丈夫」は通用しない。**仕組みとして漏らさない環境を選ぶ・作るしかない、ということです。
補足:漏れ道は検索ワードだけじゃない
別の研究では、こうした調査エージェントが1回の依頼で70〜140ものサイトにアクセスするため、通信の“見え方”からも情報が推測されうる、と指摘されています(arXiv 2508.20282)。漏洩の経路は思っているより多い、と考えておくのが安全です。
4. 今日からできる対策
怖がらせるのが目的ではありません。現実的にできることを整理します。
個人でできること
- 無料・個人版に社外秘を入れない:ChatGPTなどの個人向け無料プランは、入力がデフォルトでAIの学習に使われる場合があります。機密はそもそも入れないのが鉄則です(ナレフルチャット)
- 「調べ物」と「秘密の資料」を分ける:本当に外部検索が必要な調査と、社内資料を読ませるだけの作業を、できれば別のセッションに分ける
- 固有名詞をぼかす:渡す資料の社名・人名・コード名を、検証段階では仮名に置き換える
企業でできること
- 法人向けプランを使う:学習に使われない契約形態(Team/Enterprise等)を選ぶ
- 過大な権限を与えない:AIエージェントにメール・ファイル・社内システムへの広いアクセスを渡しすぎない。2026年は「権限を持ちすぎたAIエージェントが新たな内部脅威になる」と複数の専門家が警告しています(SC Media)
- ログだけに頼らない:AIが裏で何を検索したかは、通常のログでは追いきれないことがある。利用範囲そのものをルール化する
あなたへの影響
- AIに調べ物を任せている人 → 影響大。便利さは本物ですが、「外部検索を伴うリサーチ」に社外秘を混ぜるのは、いま時点ではリスクが高いです。当面は分けて使いましょう。
- 企業でAI導入を進める担当者 → 影響大。「個人版を業務で使わせない」「権限を絞る」の2点だけでも、リスクは大きく下がります。社内ルールに今すぐ追記する価値があります。
- AIを“調べ物の相棒”として軽く使っている人 → 影響は限定的。公開情報を調べる用途なら過度に心配は不要です。ただ「秘密の資料は入れない」だけは覚えておいてください。
まとめ
ディープリサーチは強力ですが、「便利さ」と「漏れやすさ」は背中合わせです。MosaicLeaksが教えてくれたのは、「AIにお願いベースで注意しても守れない」という、ちょっと厳しい現実でした。
怖がって使わないのも、無防備に使うのも、どちらも極端です。機密は入れない・権限は絞る・個人版は業務に使わない——この3つを押さえれば、便利さは活かしつつ大きな事故は避けられます。
関連記事
参考にしたソース
- MosaicLeaks: Can your research agent keep a secret?(Hugging Face / ServiceNow, 2026-06-18) — 研究の一次情報。漏洩率34%→9.9%等の数値
- Network-Level Prompt and Trait Leakage in Local Research Agents(arXiv 2508.20282) — 通信メタデータからの漏洩研究
- 2026 AI reckoning: Agent breaches, NHI sprawl, deepfakes(SC Media) — 過大権限エージェントの内部脅威化
- ChatGPTの情報漏洩リスクとは?3つの事例と11の対策(ナレフルチャット) — 個人版と法人版のデータ扱いの違い
- Geminiの情報漏洩リスクと企業のセキュリティ対策(LANSCOPE) — 企業導入時のリスクと対策
ーー Synth
ヘッダー画像: Photo by Scott Webb on Pexels