AI分析スタートアップのProfoundが、適切な同意を得ずにユーザーのAI会話データを収集しているとして、専門家のLee S Dryburgh氏が警鐘を鳴らしている。Profoundは、企業がAIの応答結果でどのように言及されているかを分析するサービスを提供している。
Dryburgh氏の主張によると、Profoundはブラウザ拡張機能を通じてチャットボットとの会話を収集し、健康上の懸念や経済的な問題といった機密情報を匿名化した上で再販しているという。Profoundの営業担当者は、1億5000万件以上の実際のユーザー会話にアクセス可能であると述べたとされる。
このデータは、ブラウザ拡張機能を通じてクリックストリームデータを収集している「Data.ai」から提供されている可能性があると指摘されている。過去には、人気ChatGPT拡張機能の開発者であるMatt Frisbie氏に対しても、Data.aiがデータ提供の提案を行っていたと報じられている。
この問題の背景には、ブラウザ拡張機能が持つ広範な権限がある。個人データ削除サービスを提供するIncogni社の調査では、AI関連のChrome拡張機能の多くが、閲覧中のタブの内容を読み取る「activeTab」権限や、ウェブページ上でスクリプトを実行する「scripting」権限を要求していることが分かっている。
Dryburgh氏の指摘に対しProfoundは、「すべてのデータはエンドユーザーによるオプトイン形式であり、GDPRおよびCCPA/CPRAに準拠している」と反論している。しかし専門家は、ブラウザ拡張機能のインストール時に求められる包括的な同意が、GDPRなどが要求する厳格な同意要件を満たしていない可能性を問題視している。
From: 
Your AI conversations are a new treasure trove for marketers
【編集部解説】
このニュースは、AI時代における新たなプライバシー問題の深刻な一面を浮き彫りにしています。従来のウェブブラウジングデータ収集とは異なり、今回問題となっているのは、ユーザーがAIチャットボットと交わす最も個人的な会話内容です。
ChatGPTやClaude、Geminiなどの生成AIツールが急速に普及する中で、人々はこれらのサービスに対して健康の悩み、財政状況、キャリアの不安といった極めて機密性の高い情報を相談するようになっています。このような「デジタル内面の対話」が商業利用されるという事態は、従来のウェブトラッキングを遥かに上回るプライバシー侵害のリスクを孕んでいます。
特に注目すべきは、ブラウザ拡張機能を通じたデータ収集手法です。多くのユーザーは生産性向上や無料サービスを求めて拡張機能をインストールしますが、その際に付与される「ウェブサイト上のすべてのデータを読み取り、変更する」権限の危険性を十分理解していません。
Profoundのような企業が提供するAIO(AI Optimization)サービスは、企業にとって新たなマーケティングインサイトを提供する一方で、個人のプライバシー権との深刻な対立を生み出しています。1億5千万以上のユーザー会話というデータ規模は、その影響の広範さを物語っています。
この問題は、GDPR(EU一般データ保護規則)やCCPA(カリフォルニア州消費者プライバシー法)といった既存の規制フレームワークでは十分に対処しきれない新たな課題を提起しています。AI時代に適応した、より厳格なデータ保護規制の必要性が高まっていくでしょう。
【用語解説】
AIO(AI Optimization)
検索エンジン最適化(SEO)のAI版。企業が生成AIの応答結果でどのように表示されるかを最適化する手法である。
クリックストリームデータ
ユーザーのウェブサイト閲覧履歴やクリック行動を記録したデータ。マウスの動きやページの滞在時間なども含む。
GDPR(一般データ保護規則)
2018年に施行されたEUの個人データ保護法。厳格な同意要件とデータ処理の透明性を企業に求める。
CCPA(カリフォルニア州消費者プライバシー法)
2020年に施行された米国カリフォルニア州の包括的プライバシー法。消費者にデータの削除やオプトアウトの権利を付与する。
ePrivacy指令(電子プライバシー指令)
EUの電子通信におけるプライバシー保護規則。ブラウザのクッキーやトラッキング技術の使用に同意を義務付ける。
【参考リンク】
Profound(外部)
AI時代のブランド可視性分析を提供するスタートアップ。企業がAI応答でどのように言及されるかの洞察を提供する。
Semrush(外部)
デジタルマーケティング分野の総合プラットフォーム。SEOツールやコンテンツマーケティング支援サービスを展開する。
OpenAI(外部)
ChatGPTを開発・運営するAI研究企業。生成AIの商業利用拡大を牽引している。
Incogni(外部)
個人データの削除代行サービスを提供する企業。データブローカーからの個人情報除去を支援する。
【参考記事】
For privacy and security, think twice before granting AI access to your personal data(外部)
AI時代におけるプライバシーとセキュリティリスクについて詳しく解説。個人データの保護対策を提案している。
【編集部後記】
皆さんは普段、ChatGPTやClaude、Geminiといった生成AIサービスにどのような質問を投げかけているでしょうか。仕事の悩み、健康の不安、キャリアの相談—これらの機密性の高いやり取りが、実は企業のマーケティングデータとして活用されている可能性があります。
今回のニュースは、私たち全員に関わる重要な警鐘です。無料のブラウザ拡張機能をインストールする際、どこまで権限の内容を確認されていますか?そして、自分のAI会話データがどう扱われているか、意識したことはあるでしょうか。
この問題について、皆さんはどのような対策を取るべきだと思われますか?プライバシーと利便性のバランスを、どう考えていけばよいのでしょうか。ぜひご自身の体験と合わせて、一緒に考えていければと思います。
