AIBIZ
規制・社会

AIエージェントの漏えいリスク、中間工程に潜む

#AIエージェント#プライバシー#セキュリティ#情報漏えい#業務効率化
記事バナー画像

POINT

  • AIエージェントがメールやカレンダー、ファイルを自律的に操作する時代、プライバシー侵害の8割超はパイプラインの「中間工程」で起きている——最終出力が無害に見えても安心できない。
  • 人間による意図的な情報持ち出しとは異なり、AIエージェントの漏えいは「誰も気づかないまま進行する」構造的リスクだ。導入前に設計レベルで手を打つ必要がある。
  • この記事では、AIエージェントがどこで・なぜ情報を漏らすのか、そして職場導入時に何を確認すべきかを整理する。

「最終出力がクリーン」でも、プロセスは漏れている

AIエージェントが生成したレポートを見て「個人情報は入っていない」と判断する。この確認は間違いではないが、不十分だ。

AgentSCOPE論文が示したデータは端的だった。62のマルチツールシナリオを用いた評価で、プライバシー侵害は80%以上のシナリオで発生する。さらに、最終出力がクリーンに見える場合でも侵害が起きていたケースが24%に上った。アウトプットを目視チェックするだけでは、4件に1件を見逃す計算になる。

なぜそうなるのか。AIエージェントは単にテキストを生成するだけでなく、カレンダー、メール、個人ファイルといったシステムに接続し、ツールを呼び出してタスクを完了する。その「クエリを投げてツール応答を受け取る」という中間の情報フロー——ここが盲点だ。従来のプライバシー評価は入力と最終出力の境界にしか目を向けていなかった。

AIエージェント実行中のプライバシー侵害率(62シナリオ評価)
評価対象 62 マルチツールシナリオ 評価モデル 7種類の最先端LLM 対象規制領域 8領域(医療・金融等) 最終出力でも侵害あり 56% 出力はクリーンだがプロセスで侵害 24% 侵害なし 20% 全体の 80% 以上のシナリオでプライバシー侵害が発生 なぜ防げない? 中間プロセスに潜む「情報の漏洩」 1. 入力 ユーザーが指示を送信 (プロンプト入力) 2. 中間プロセス(盲点) 外部ツール連携時に 中間の情報フローで漏洩 3. 最終出力 レポート等はクリーン 24%の侵害を見逃す 62 評価シナリオ 7種 評価モデル 8領域 対象規制 80%以上 のシナリオでプライバシー侵害が発生 最終出力でも侵害あり (56%) 出力クリーンだがプロセスで侵害 (24%) 侵害なし (20%) なぜ防げない? 中間プロセスの盲点 1. 入力(プロンプト送信) ユーザーがエージェントに指示を与える 2. 中間プロセス(ツール連携) 外部ツール呼び出し時の中間フローで情報が漏洩 ※ここが従来のプライバシー評価の盲点 ! 3. 最終出力(レポート生成など) 出力結果がクリーンでも、プロセスで既に漏洩 目視チェックだけでは4件に1件(24%)を見逃す
※AgentSCOPEによる62のマルチツールシナリオ評価に基づくデータ。最終出力が安全に見えても、ツール呼び出し時の中間フローで情報が漏洩しているケースが24%存在します。

漏えいの震源地はAPIの「無差別な返答」

同研究が特定した最大の発生源は、ツール応答の段階だ。APIが機密データを無差別に返すことが主因として挙げられている。

たとえばAIエージェントが「来週の会議を調整して」と指示されたとする。エージェントはカレンダーAPIを呼び出し、参加者の連絡先、過去の会議内容、添付ドキュメントをまとめて取得する。タスク完了に必要なのは空き時間の情報だけだが、APIはそれ以上を返す。エージェントはその全データを処理し、次のツールに渡す。最終的なカレンダー招待に余計な情報は含まれないが、処理の途中で機密データは複数の境界を越えている。

論文はこの問題に対処するため「Privacy Flow Graph」というフレームワークを提案した。エージェントの実行全体を一連の情報フローに分解し、各フローにコンテキスト・インテグリティの5つのパラメータを付与して、侵害を発生源まで追跡できる設計だ。8つの規制領域(医療、法律、金融など)にわたる62シナリオには正解データが設定されており、7種類の最先端LLMで評価した。いずれのモデルも、中間フローの評価では高い精度を出せていない。

人間のインサイダーリスクとは何が違うのか

一方で、人間による情報漏えいは依然として深刻だ。米国防関連企業で起きた事件はその典型例だった。

TechCrunchの報道によれば、L3Harrisの部門Trenchantのゼネラルマネージャー、ピーター・ウィリアムズ(当時39歳、オーストラリア国籍)は、社内の安全なネットワークへの「フルアクセス」を利用してハッキングツールをポータブルハードドライブにダウンロードし、ロシアのOperation Zeroに売却した。2022年から2025年の間に受け取った報酬は暗号資産で合計130万ドル。Trenchantが算出した損失額は3500万ドルに上り、ウィリアムズは少なくとも87か月の禁錮刑を言い渡された。

この事件の本質は「意図」だ。正当なアクセス権を持つ人間が、意思を持って情報を外部に運び出した。AIエージェントのケースとは構造が根本的に異なる。エージェントは漏らそうとしているわけではない。設計上の隙間から、誰も気づかないまま情報が境界を越える。発覚しにくく、ログも残りにくく、責任の所在も曖昧になりやすい。

どちらのリスクも実在する。だが対策は別々に考える必要がある。

職場でAIエージェントを使う前に確認すべき3点

挿絵

AIエージェントを職場に導入する、あるいはすでに使っている場合、チェックすべきポイントは具体的だ。

ツールが返すデータの範囲を絞れているか

APIが「必要以上のデータ」を返す設計になっていないか確認する。メールAPIなら本文全体ではなく件名と送受信日時だけを返すよう制限できる場合がある。エージェントに渡す権限を「タスクに必要な最小限」に設定することが出発点だ。

中間ログを取得・監査できるか

最終出力だけを確認しても24%の侵害を見逃す。エージェントがどのAPIを呼び出し、何を受け取り、次にどのツールへ渡したかのログを記録・確認できる仕組みが必要だ。ログがなければ事後の検証もできない。

扱うデータの規制領域を把握しているか

AgentSCOPEが対象とした8つの規制領域(医療、法律、金融など)は、それぞれ情報の流通ルールが異なる。自社のエージェントがどの領域のデータに触れるかを先に整理することで、どの境界を特に厳しく管理すべきかが見えてくる。医療情報を扱うエージェントと、社内スケジュールだけを扱うエージェントでは、リスクの重みがまったく違う。

まとめ

AIエージェントの情報漏えいリスクは、アウトプットを目視するだけでは管理できない。漏えいはプロセスの中間で、誰の意図もなく起きる。導入前に「ツールへの権限範囲」「中間ログの可視化」「扱うデータの規制区分」の3点を確認することが、最初の実務的な一手になる。

参照元