IOSG: AIの岐路、なぜウォール街はChatGPTやClaudeに「ノー」と言っているのか?
- コア見解:プライベートAIへの需要は高まっているが、主流のクローズドソースモデルには依然としてデータプライバシー漏洩のリスクが存在する。現在の市場には完璧なソリューションが不足しており、TEE、E2EEなどの技術やオープンソースモデルの微調整を通じて、パフォーマンスとプライバシーのギャップを縮小しようとしている。
- 重要な要素:
- 企業がクローズドソースAIを利用すると、IPがモデルプロバイダーに流れる「アルファ移転」リスクに直面する。契約上のコミットメント(ZDRなど)では、従業員が個人アカウントを介してデータを漏洩することを完全に防ぐことはできない(シャドーAIが5件に1件のデータ漏洩事件を引き起こしている)。
- 裁判所命令によりOpenAIはユーザーのチャット記録を提出するよう命じられており、コンシューマーレベルの会話が法律上の特権保護を受けないことが証明された。米国ユーザーの半数がこの事実を知らず、監視とデータ保護の必要性が高まっている。
- プライバシーAIを実現する主なメカニズムには、プロトコルレベル(信頼契約/匿名プロキシ)、構造レベル(TEE、E2EE、FHE)、およびローカル推論がある。構造レベルのソリューションのコストは低下しており(例:H100 Enclaveのパフォーマンス損失はわずか7%)。
- 専門家のアノテーションで微調整されたオープンモデル(例:Qwen3-235B)は、特定のタスクにおいて、精度(84.7%)とコスト(13.8倍低い)の両方で最先端のクローズドソースモデルを凌駕しており、特定分野におけるオープンソースモデルの優位性を示している。
- プライベートAIインフラは既に一定の規模に達している:Venice AIは月間1.3兆トークンを処理、Phalaは1日あたり20~30億トークンを処理し、代行APIの価格は平文ルートと同等かそれ以下になっている。
原文著者:Jeff,IOSG Ventures
なぜプライベートAIが必要なのか
7月1日、PalantirのCEO Alex Karp氏はCNBCで、一部メディアに「精神崩壊」と評された20分間のインタビューに応じた。Karp氏の主張によれば、企業はフロンティアラボにトークンプレミアムを支払いながら、自社のIPがモデル企業に流出しているという。彼はこの流出を「アルファの移転」と呼び、その移転はアーキテクチャレベルで起きていると指摘する。つまり、クローズドソースモデルに送信されるすべてのリクエストは、平文のままサービスプロバイダのサーバーに到達する。番組放送の数日前、PalantirはNVIDIAと提携し、顧客が管理する環境でオープンなNemotronモデルを実行することを発表し、9か条からなるAI主権宣言も添えていた。CNBC番組放送後、PLTR株は8%上昇した。

過去20年間、企業はプロトコルレベルの信頼に基づいてクラウドソフトウェアを採用し、それは機能してきた。各SaaSベンダーは企業データの一部のみを参照し、ほとんどの場合、顧客データを中核製品にフィードバックする動機もなかった。Salesforceは販売パイプライン、Workdayは人事、Jiraは開発イテレーション、AWSはストレージとコンピューティングの基盤を提供する。しかし今日のAIワークフローは、生産性を最大化するために、全財産を一度にアップロードし、部門間の構造化されたコンテキストも含めることを要求する。善意はさておき、上流のサービスプロバイダは現在、このデータをサーバーで眠らせるのではなく、新機能の開発に活用できる。
減速する者はいない。Anthropicの年次収益は5月に470億ドルに達し、2025年末の90億ドルから大幅に増加。OpenAIは2月に週間アクティブユーザー9億人を突破した。両社はこの春、新たな資金調達ラウンドを完了し、評価額は1兆ドル近くに達し、さらに高い時価総額でのIPOが見込まれている。長年にわたるプライバシーとIPに関する告発も、両社の勢いを損なうことはなかった。
一部の企業はすでに行動を起こしている。2023年2月、ChatGPTリリースから3ヶ月も経たないうちに、ウォール街の主要銀行はその使用を制限した。2023年5月、サムスンのエンジニアがチップのソースコードをChatGPTに漏洩した後、同社は生成AIを全面的に禁止した。これに対応し、OpenAIは同年8月にChatGPT Enterpriseをリリースし、商用データをトレーニングに使用しないこと、およびゼロデータ保持(ZDR)契約を約束した。これはその後、企業調達の標準要件となった。
しかし、契約は企業アカウントのみを対象としていた。IBMは、2025年までに、シャドーAI(従業員が個人アカウントを通じて企業データを未承認のAIツールに入力すること)がデータ漏洩事件の5分の1に関与するようになり、シャドーAIの多用は漏洩コストを平均67万ドル増加させることを発見した。セキュリティトレーニング企業Anagramによる2025年の調査では、従業員の40%がタスクをより早く完了するために、AI使用ポリシーに違反することをいとわないと回答した。
企業は少なくとも金で解決策を買える。ZDR契約、トレーニングなしのサービス層、政府やPalantirの顧客であれば主権展開も可能だ。しかし、私たちのような一般ユーザーにとって、プライバシーAIの重要性は依然として議論の余地がある。裁判所の召喚状が届くまでは。
2025年5月の裁判所命令により、OpenAIはユーザーが削除した消費者向けチャットでさえも保持せざるを得なくなった。11月には、判事がそのうち2000万件のチャットをニューヨーク・タイムズの弁護士に証拠開示資料として引き渡すよう命じた。さらに刑事事件では、Palisades大火事の放火被告のChatGPT記録が証拠となり、フロリダ州の二重殺人事件の宣誓供述書は、容疑者が死体処理方法について質問したことを引用している。Sam Altman氏も2025年7月のインタビューで、ChatGPTの会話は法的特権の保護を受けず、訴訟においてOpenAIは「ユーザーのチャット履歴を提出するよう求められる可能性がある」と認めた。
重要なのは、犯罪者だけがプライベートな会話を必要とするわけではないということだ。人々とAIの会話が記録され、召喚可能であることは、大多数のユーザーがその存在を知らない監視の一面である。Kolmogorov Lawが2025年10月に米国のAIユーザー1000人を対象に行った調査では、50%がこれらの会話が召喚可能であることを知らず、同時に3分の2がこれらのチャットは弁護士や医師への相談と同等の保護を受けるべきだと考えていることが判明した。
セルフホスト型または検証可能な環境で実行されるオープンソースモデルは急速にキャッチアップしているが、最も強力なものでも、汎用能力においてフロンティアのクローズドソースモデルに約4ヶ月遅れをとっている。これにより、トークンを最大化しようとする企業と個人は岐路に立たされる。プライバシーのために数ヶ月のモデル品質を犠牲にするか、競合他社がまさに生産性の優位性を獲得するために行っているように、機密資料をAnthropicのサーバーに送信し続けるかだ。

現在、完璧なソリューションは市場に存在しない。本レポートでは、各社がギャップを縮めるための取り組みを整理し、証明可能なプライバシーを備えたフロンティアインテリジェンスが企業や一般ユーザーの手に届くまでにあとどれだけの距離があるかを考察する。
プライバシーは現在どのように実現されているか
プライバシーAIは単一のエンジニアリングタスクではない。しかし、現在市場にある各メカニズムは、同じイベントを扱っている。すなわち、プロンプトがデバイスを離れ、ネットワークを通過し、モデルを実行するマシンに到達し、応答を返すという一連の流れである。メカニズム間の違いは、この経路上のどこに平文が存在するか、誰がそこでそれを読めるか、そして応答のプライバシーを検証するために何に依存するかにある。
プロトコルレベルのプライバシー
このレベルでは、あなた以外の誰かが平文のプロンプトを読む。その後何が起こるかは、すべて約束事に依存する。

- 契約ベースのゼロデータ保持(ZDR)はエンタープライズ向けソリューションである。サービスプロバイダはあなたが誰かを知っており、プロンプトを処理し、保持しないことを約束する。執行は契約と評判に依存する。
- 匿名プロキシはあなたが誰かを消去するが、何を言ったかは暗号化しない。下流のサービスプロバイダは、依然として自社のポリシーに従って平文を処理する。各社の条件は異なり、例えばDuck.ai(DuckDuckGoのチャットボット製品)のようなプロキシはモデル企業と削除契約を結び、Veniceはユーザーにサービスプロバイダがすべてを保持すると想定するよう促すが、どちらも検証することはできない。
マシン間のすべての経路はTLS上で動作する。TLSはパイプのみを暗号化し、受け取る側はすべての情報を読むことができる。リレーは通常、Oblivious HTTP(RFC 9458)を使用してこの知る権利を分割する。原理は友人にメモを渡すようなものだ。友人は誰が渡したかは知っているが内容は読めず、受け取り側は内容は読めるが誰が書いたかは分からない。OHTTPは2024年1月以降IETF標準となっており、現在多くの企業がCloudflareやFastlyからレンタルしたOHTTPリレー上で本番トラフィックを実行している。
これが、クローズドソースモデルにアクセスする際に得られるプライバシーの上限でもある。その理由は算術的な問題にある。現在、最先端のトレーニング一回のコストは数十億ドル単位であり、これらのラボの数兆ドルに迫る評価額は、まさにモデル重みの独占にかかっている。モデル能力の差が続く限り、プレミアムも続く。そのため、ラボはモデル重みファイルを国家機密のように守っている。
Metaはすでに受動的にこの実験を経験している。2023年2月にリリースされたLLaMAは当初、研究者のみに公開されていたが、1週間も経たないうちに重みがシード形式で4chanにリークされた。さらに1週間後、llama.cppにより最小の7BモデルがMacBook上でローカルに動作するようになった。3日後には、スタンフォード大学が同じモデルを600ドル未満でファインチューニングし、チャットアシスタントのAlpacaを作成した。このリークにより、Llamaの実行コストは電気代まで下がり、ファイルを入手した誰もが自宅で実行できるようになった。2023年7月、Metaは7億MAUの除外条項付きの商業ライセンスの下でLlama 2を正式にオープンソース化した。重みが流出し、プレミアムも流出した。
理論上、フロンティアラボはクローズドソースモデルの推論に対してアテステーション(リモートアテステーション)を提供できる。しかし、アテステーションはどのコードがプロンプトを読み取ったかを証明できるだけで、そのコードがそのデータを何に使用したかを証明することはできない。サーバーがデータを保持していないことを確認するには、サービングコードを監査し、それをハードウェアが報告するハッシュに再構築する必要がある。しかし、サービングコードを一度公開すれば、ラボは利益率を支えるバッチ処理やキャッシュ技術を明け渡すことになり、これらの技術は将来のすべてのモデル世代に移行する可能性がある。AppleやMetaがiPhoneやWhatsAppのサービススタックに対してリモートアテステーションを提供できるのは、彼らの利益がデバイスと広告にあり、サービングコードを公開してもほとんどコストがかからないからだ。
これが、フラッグシップモデルの重みとサービングコードが外部の事業者に渡らない理由である。外部事業者がいなければ、サードパーティによるアテステーションは存在せず、アテステーションがなければ、検証可能なプライバシーはオープンソースモデルにのみ存在する。
構造レベルのプライバシー
このカテゴリの各メカニズムは、ハードウェアベース、暗号ベース、または物理的な証明を用いて信頼の約束を置き換える。ただし、それぞれプライバシーのアップグレードに対して異なる代償を払う必要があり、まず第一に、それらはオープンソースモデルでのみ実行可能である。

TEE(Trusted Execution Environment)機密コンピューティングは、推論をハードウェアエンクレーブ(マシンのオペレーターでさえ開けないチップ上の密閉区画)内で実行する。チップは、どのモデルとどのコードが実行されたかを示すアテステーションに署名する。
プロンプトは最終目的地でのみ封印される。プラットフォームプロキシを経由する経路上には、依然として平文を読めるロールが存在し、プロキシが転送内容を記録または漏洩するのを防ぐのはプロトコルだけである。
E2EE(End-to-End Encryption)は、読み取り可能なリレーを排除する。ユーザーデバイスはエンクレーブのキーでプロンプトを暗号化し、中間の各ホップはエンクレーブのみが開封できる密閉された封筒を運ぶ。
- 信頼はクライアント側に置かれる。プロンプトを暗号化し、アテステーションを検証するコードは、同じくこの保証を無効にする能力を持つ。したがって、検証可能なE2EEには、証明されたエンクレーブと同様に、オープンで再現可能なクライアントコードも必要である。
- TEEのシンプルさと比較して、E2EEの代償はエンジニアリング上の負担であり、これは機能統合を遅らせる。E2EEはプロキシを盲目的なメッセンジャーに変えるため、平文の読み取りに依存するすべての機能は、クライアント側のキーの周りに再構築されるか、エンクレーブ内部でのみ再構築されなければならない。
FHE(完全準同型暗号化、およびMPCバリアント)は、信頼できる当事者を完全に排除する。サーバーは決して開けることのできない鍵のかかった箱の中で暗号文に対して計算を行い、鍵はあなただけが持つ。MPC(マルチパーティ計算)はプロンプトを複数のパーティに分割し、全パーティが共謀しない限り、同じ効果を提供する。
- 代償は速度である。FHEはネイティブに加算と乗算のみをサポートするため、トランスフォーマーの動作に必要な非線形ステップは、非常に高価なコストで再構築される。暗号文での推論コストは平文の1万倍から10万倍であり、小規模モデルでもトークンあたり数秒から数分かかるのに対し、暗号化なしではミリ秒である。
- 暗号演算専用のカスタムチップはギャップを縮める可能性があるが、最初のプロトタイプがデモを完了したのは2026年初頭であり、商用バージョンにはさらに数年を要する。
ローカル推論は、この経路を完全に削除する。モデルはあなた自身のハードウェア上で実行され、リレーもサーバーもサービスプロバイダも存在せず、検証の必要もない。
- 明白な代償はコストとモデル能力である。gpt-oss-120bはArtificial Analysis指数でGLM-5.2の約半分のスコアだが、サイズは65GBであり、市販のトップクラスのゲーミングGPU 2枚のVRAM合計を超える。一方、フル精度のGLM-5.2は8台のデータセンターノード上でのみ実行可能であり、GPUだけで30万ドル以上かかる。
しかし、これらの構造的な制約の外では、推論をエンクレーブ内に配置するコストは低下している。シングルGPU推論では、エンクレーブクラウドサービスプロバイダPhalaのベンチマークによると、エンクレーブモードのH100スループット低下は平均7%未


