投稿者 global-ai-media 
DuckDuckGoが提供する「Duck.ai」は、ユーザーのデータを追跡・学習させることなく主要な大規模言語モデル(LLM)を利用できる新しいサービスです。本記事では、このニュースを皮切りに、日本企業が生成AIを安全に活用するためのデータ保護とガバナンスのあり方について解説します。
プライバシー特化型検索エンジンが提示する新たなAIアプローチ
DuckDuckGoは、ユーザーの検索履歴を追跡しないことで知られる検索エンジンです。同社が新たに展開する「Duck.ai」は、そのプライバシー保護の思想を生成AIの世界に持ち込んだサービスと言えます。最大の特長は、OpenAIのChatGPTやAnthropicのClaudeといった主要な大規模言語モデル(LLM)を、親会社(AI開発元)にデータをトラッキング(追跡)されることなく利用できる点です。通常、無料のAIチャットボットに入力したデータは、AIモデルの精度向上や再学習に利用される可能性がありますが、Duck.aiを経由することでユーザーの入力内容を匿名化し、学習へのデータ利用を防ぐ仕組みが提供されています。
なぜ「学習利用のオプトアウト」が企業にとって重要なのか
生成AIを業務で利用する際、最大の懸念事項となるのが情報漏えいリスクです。顧客の個人情報、未公開の財務データ、開発中のソースコードなどをAIに入力してしまった場合、それがモデルの学習に取り込まれ、将来的に第三者への回答として出力されてしまう危険性があります。日本においても、経済産業省や総務省が策定する「AI事業者ガイドライン」などで、入力データの取り扱いに関する透明性と保護が強く求められています。入力データが学習に利用されない(オプトアウトされている)状態を確保することは、企業がAIを活用する上での必須条件となっています。
日本企業における「シャドーAI」対策の観点
日本国内の多くの企業では、情報漏えいを恐れるあまり生成AIの利用を一律禁止するケースも見受けられます。しかし、実態としては従業員が個人のスマートフォンや私用のクラウドアカウントでこっそりとAIを利用してしまう「シャドーAI」が横行しやすく、かえってセキュリティリスクを高める結果を招いています。こうした現状において、Duck.aiのように「プライバシーが初期設定で保護されている」ツールの存在は注目に値します。従業員が日々の業務で文章の要約や翻訳を行いたい場合、入力データが保護される安全な経路を用意することは、シャドーAIを防ぐ有効な手段となります。
エンタープライズ向けAIサービスとの違いと限界
一方で、Duck.aiのようなプライバシー保護に特化したサービスを、そのまま大企業の全社共通インフラとして導入するには限界があります。本格的な組織利用においては、単に入力データが学習されないだけでなく、誰がいつどのようなプロンプトを入力したかを管理者が追跡できる「監査ログ」や、社内システムと連携するための「シングルサインオン(SSO)」などの機能が不可欠です。したがって、日本企業が全社的にAI基盤を構築し、社内データと連携させるようなシステム開発を行う際には、Azure OpenAI ServiceやAmazon Bedrockといったクラウド環境、あるいは各AIベンダーのエンタープライズ向けプランを契約することが王道となります。Duck.aiは、あくまで「手軽かつ安全に複数モデルを試せる入り口」や、個人の業務効率化を補助するツールとして捉えるのが適切でしょう。
日本企業のAI活用への示唆
これまでの内容を踏まえ、日本企業がAIを活用していく上での実務的なポイントを以下にまとめます。
・データ取り扱いポリシーの明確化:利用するAIサービスが、入力データを学習に用いるか(オプトアウト可能か)を常に確認し、利用可能なツールと入力してよいデータのレベル(機密情報の可否など)を社内ガイドラインに明記する必要があります。
・シャドーAIを前提とした環境整備:AIの一律禁止は根本的な解決になりません。安全な代替手段(セキュアなAIチャット環境など)を公式に提供することで、従業員の利便性とガバナンスを両立させることが重要です。
・目的に応じたツールの使い分け:全社的な業務システムへの組み込みにはエンタープライズ契約のAPIやクラウド環境を利用し、日常的な情報収集にはプライバシーが確保されたセキュアなブラウザベースのツールを活用するなど、コストとリスク(および必要とされる管理機能)に応じた使い分けを検討すべきです。