AIの安全性を看板にしてきた会社で起きた騒動

2026年7月、AnthropicのAI開発ツールClaude Codeに、利用者に知らせないまま特定のユーザーを識別する仕組みが組み込まれていたことが分かりました。Claude Codeは、チャットで指示するだけでパソコン上の作業を代行してくれるAIエージェント(人の代わりに一連の作業をこなすAIのこと)で、このメディアの読者にも使っている方が多いはずです。経理担当が請求書PDFの一覧表づくりを任せる、10人規模の広告代理店が調査レポートの下書きを頼む、といった使い方が現場に定着してきた段階での騒動でした。

Anthropicは、AIの安全性とプライバシーへの配慮を会社の看板にしてきました。米国政府に対してさえ、Claudeを国内の監視目的に使うことを認めなかった経緯があります。その会社の主力ツールから隠しコードが見つかったので、海外の技術コミュニティでは大きな議論になりました。

私がこの件を取り上げるのは、Claude Codeが危ないと言いたいからではありません。むしろ逆で、コードは既に削除されており、日本の中小企業ユーザーへの実害はほぼ確認されていません。それでもこの騒動には、AIツールを業務に取り入れるすべての会社が学ぶべき論点が詰まっています。問われているのはツールの性能ではなく、ベンダー(ツールの提供元企業のこと)と利用者の間の信頼の設計です。

道具としてのAIはこの1年で当たり前になりました。次の段階は、その道具を出している会社とどう付き合うかです。今回の件は、その付き合い方を考える格好の教材になります。読み終わったとき、取引先からAIの利用方針を聞かれても自分の言葉で答えられる状態になることを、この記事のゴールにします。

何が見つかったのか: 見えない印で利用者を識別

発見したのはThereallo(ザリアロ)というハンドルネームのWeb開発者です。Claude Codeのプライバシー面を個人的に調べていたところ、通常の画面には出てこないコードを見つけました。特殊なハッキングをしたわけではなく、手元に配布されるプログラムの中身を根気よく読んだ結果の発見です。

そのコードがやっていたことを、日常の例えで説明します。Claude Codeは動作の中で、今日の日付を示す英文をAIに渡しています。発見されたコードは、この英文に含まれるアポストロフィ(英語の「's」の記号)を、見た目がほぼ同じ3種類の文字のどれかに差し替えていました。人間の目には全く同じに見えますが、コンピュータ上では別の文字です。つまり、書類の隅に肉眼では読めない透かしを入れるように、この利用者は中国からの接続か、AI研究機関に関係するか、といった判定結果を文章の中に埋め込んでいたのです。3種類の文字をどう組み合わせるかで、複数の属性を区別できる設計でした。

この手法はステガノグラフィー(情報を別の情報の中に見えない形で隠す技術のこと)と呼ばれます。収集されていたと指摘された情報は、利用者のタイムゾーン(パソコンに設定された地域の時刻情報)や、プロキシ(接続元を別の場所に見せかける中継サーバー)の利用有無などでした。どちらもパソコンが自動的に持っている情報で、利用者が自分で入力するものではありません。だからこそ、集められていること自体に気づきようがなかったわけです。

隠しトラッカー発覚から削除までの流れ

重要なのは、これが一般の利用者の会話内容を盗み見る仕組みではなかった点です。狙いは特定の属性を持つ接続の識別で、入力した文章や社内データを外部に流すものではありませんでした。**見つかった仕組みは会話の中身を抜くものではなく、誰が使っているかに印を付けるものでした。**この区別を押さえておくと、後述する冷静な対応につながります。

Anthropicの説明と、それでも残った不信感

公表を受けて、AnthropicのエンジニアであるThariq Shihipar氏が事実関係を認めました。説明によると、このコードは2026年3月に実験として追加されたものです。目的は2つで、1つは無許可の再販業者(正規契約を結ばずにアカウントを又貸しして商売する業者のこと)による不正利用の検出、もう1つは蒸留攻撃からの防御です。蒸留とは、他社のAIに大量の質問を投げて回答を集め、その回答を教材にして自分たちのAIを安く育てる手法を指します。Anthropicは以前から、一部の海外AI企業がこの手法でClaudeの能力を写し取っていると訴えてきました。

つまりAnthropic側の言い分は、悪意ある業者と競合の不正行為を見つけるための防犯カメラだった、というものです。同社はより強力な対策が別に整ったため前から外すつもりだったと述べ、コードを削除しました。

それでも批判は収まりませんでした。理由は単純で、防犯目的なら防犯目的だと先に言えばよかったからです。利用規約にも設定画面にも書かれていない仕組みが、外部の個人の調査で初めて明るみに出た。この順序が信頼を傷つけました。実際、中国の大手IT企業アリババは、バックドア(正規の入り口を通らない裏口のこと)のリスクがあるとして従業員のClaude Code利用を禁止したと報じられています。

自社の業務に置き換えると、この感覚はつかみやすいはずです。顧客に送るメールに開封確認の仕組みを黙って入れていて、それが後から相手に知られたら、目的が営業改善でも心証は確実に悪くなります。先に一言伝えてあるかどうかだけの差で、信頼の残高は大きく変わります。

**目的が正当でも、黙って実施した時点で説明責任の問題に変わります。**これは AI企業に限らず、取引先や顧客にデータの扱いを説明する立場にある、すべての会社に跳ね返ってくる原則です。

非エンジニアの仕事にとって、この騒動は何を意味するか

ここからが本題です。プログラムを書かない立場でAIツールを使う人にとって、この件は3つの意味を持ちます。

1つ目は、AIツールは提供元と常時つながって動く道具だという再認識です。ワープロソフトを買い切りで使っていた時代と違い、Claude CodeもChatGPTも、手元の指示が提供元のサーバーに送られて初めて動きます。何が送られ、何が記録されるかは、提供元の設計と誠実さに依存します。クラウド型の会計ソフトや顧客管理システムも同じ構造ですが、AIツールは入力する情報の幅が桁違いに広いぶん、依存の度合いも大きくなります。今回の件は、その依存関係が普段は見えないことを実証しました。

2つ目は、逆説的ですが、正規ルートで使う利用者の安全性はむしろ裏付けられたという点です。今回の仕組みが標的にしていたのは、無許可の再販業者と、規約違反の蒸留行為でした。日本の中小企業が公式サイトから普通に契約して使う分には、識別されて困る属性がそもそもありません。むしろ格安をうたう非正規の代行アカウントに乗っていた利用者こそ、検出対象と同じ経路に乗っていたことになります。SNSで見かける月額数百円のClaude使い放題といった案内は、ほぼ確実にこの非正規経路です。安さの理由を説明できない契約は、それだけで避ける理由になります。

3つ目は、発見と是正のサイクルが機能したという事実です。外部の個人が発見し、企業が認め、数日でコードが消えた。不透明な仕組みが数年放置される業界も珍しくない中で、この速度は評価できます。**AIツールを選ぶ基準に、問題が見つかったときに素直に認めて直す会社かどうかを加えるべきです。**完璧なベンダーは存在しない以上、事後対応の質が実質的な安全性を決めます。

業種別シナリオ: あなたの会社ではどこが急所になるか

抽象論では動けないので、3つの業種で具体的に考えます。

経理の場合。従業員30名の食品卸で、経理担当2名がClaudeに請求書の突合や仕訳の下書きを任せているとします。この会社の急所は、取引先名と金額が並んだデータをAIに渡している点です。今回のような識別コードは金額データを抜くものではありませんでしたが、担当者が確認すべき本丸は別にあります。入力したデータがAIの学習に使われる設定になっていないか、契約はAPI経由や法人プランなど学習に使われない区分か、という点です。確認先は各社の公式ヘルプにあるデータの取り扱いページで、法人契約なら販売窓口に書面で回答をもらっておくと、監査や取引先への説明にもそのまま使えます。月次で数百件の取引データを流しているなら、契約区分の確認は30分の作業で済み、その30分が守る情報の量は膨大です。

マーケティング会社の場合。10人規模のWeb広告代理店で、未発表の新商品キャンペーン案をClaudeで壊し読みし、コピーの叩き台を量産しているとします。この業態の急所は、顧客から預かった未公開情報です。クライアントとの守秘義務契約には、第三者への開示禁止が必ず入っています。AIへの入力が開示に当たるかどうかは契約書の書き方次第で、実はグレーなまま運用している代理店が多数派です。今回の騒動は、クライアントからAIの利用方針を聞かれたときに答えられる準備をしておく必要性を示しました。ベンダー名、契約区分、学習利用の有無を1枚にまとめておけば、それ自体が営業上の信頼材料になります。

士業の場合。社会保険労務士の個人事務所が、就業規則の改定案づくりや助成金申請書の下書きにClaude Codeを使っているとします。扱うのは顧問先の従業員名簿や賃金データで、個人情報保護法上の要配慮情報が混ざることもあります。ここでの急所は、便利さに引かれて個人のスマホや無料アカウントで顧問先データを扱ってしまう瞬間です。正規の有料契約と業務用アカウントに統一し、氏名は仮名に置き換えてから入力する運用にすれば、今回のような騒動が起きてもデータそのものは守られます。仮名化は完璧な対策ではありませんが、万一のときに漏れる情報の範囲を大きく絞れます。顧問先への説明でも、うちはこう運用していますと具体的に言えるかどうかで信頼が分かれます。

**3業種に共通する急所は、AIの中身ではなく、何をどの契約でAIに渡しているかを自社で把握できていないことです。**把握してさえいれば、次に似た騒動が起きても影響の有無を自分で判定でき、慌てて全部を止める必要がなくなります。

そのまま使える点検手順: 5つのステップ

騒動を教材に変えるための、実務の手順に落とします。1人でも、総務担当への依頼でも、半日あれば終わる内容です。

AIツール点検の5ステップ

第1に、契約経路の確認です。社内で使っているAIツールを全部書き出し、それぞれ誰がどこから契約したかを調べます。総務から各部署にヒアリングシートを配れば、洗い出しは1日で集まります。公式サイトからの直接契約なら問題ありません。知人経由の共有アカウントや、相場より大幅に安い代行業者経由のものがあれば、それが今回の騒動で検出対象になっていたのと同じ非正規経路です。即座に正規契約に切り替えてください。

第2に、学習設定の確認です。ChatGPTにもClaudeにも、入力内容をAIの改善(学習)に使うかどうかの設定や契約区分があります。法人プランやAPI利用では学習に使われないのが標準です。自社の契約がどちらかを確認し、記録しておきます。確認した設定画面はスクリーンショットで残しておくと、後で規約が変わったときの比較材料になります。

第3に、データの棚卸しです。AIに渡している情報を、公開情報、社内情報、顧客から預かった情報、個人情報の4段階に分けて一覧にします。部署ごとに15分のヒアリングで十分です。多くの会社で、思っていたより上の段階の情報を日常的に入力していたことが分かります。

第4に、ルールの1枚化です。長大な規程は要りません。入力してよいもの、加工すれば入力してよいもの(氏名を仮名にする等)、入力禁止のものをA4の表1枚にして、朝礼かチャットで共有すれば十分です。

第5に、ニュース当番です。今回の件も、英語圏では発覚から2日で削除まで進みました。使っているツールの重要ニュースを月1回だけ確認する担当を決めておけば、取引先から聞かれたときに知りませんでしたと答える事態を避けられます。5つのうち最初にやるべきは契約経路の確認で、非正規アカウントの排除だけで今回型のリスクの大半は消えます。

注意点とよくある誤解

この騒動をめぐって、実務判断を誤らせる誤解がいくつか出回っています。

誤解の1つ目は、Claudeは会話を盗み見ていたのだから使用をやめるべきだ、というものです。前述の通り、見つかった仕組みは会話内容を抜くものではなく、特定属性の接続に印を付けるものでした。しかも既に削除済みです。この件を理由に業務のAI活用を止めるのは、店舗の防犯カメラの設置方法に問題があったからと開店をやめるような判断で、失うものの方が大きくなります。

誤解の2つ目は、逆方向で、削除されたなら何の問題もない、というものです。黙って仕込まれていたという事実は消えません。ベンダーへの信頼は白か黒かではなく、継続的に点検するものだと考え方を改める必要があります。具体的には、規約変更の通知を読み飛ばさない、年1回は契約区分を見直す、といった地味な習慣です。

3つ目の注意点は、社内への伝え方です。経営者がこの手のニュースに過剰反応して全面禁止を打ち出すと、従業員は個人アカウントでこっそり使い続けます。これをシャドーIT(会社が把握していないツール利用のこと)と呼び、正規利用よりはるかに危険です。伝えるときは、この騒動はうちの使い方には影響がない、ただし契約は会社アカウントに一本化する、というように結論と行動をセットで示すと現場は迷いません。禁止ではなく、正規契約と明文ルールの下で堂々と使わせることが、実質的に最も安全な選択です。

最後に、この記事の元になった情報は海外報道であり、細部は今後訂正される可能性があります。一次情報が更新されたら判断も更新する、という姿勢自体がAI時代の実務スキルです。

まとめ: 便利さの点検と信頼の点検を分けて行う

今回の騒動を一言で振り返ると、優等生と見られていたAI企業が、正当な目的のために不透明な手段を選び、外部の目に見つかって正した、という話です。ツールの性能の話は一切出てきません。出てきたのは、説明の順序と信頼の話だけです。

中小企業の実務に引きつければ、やるべきことは明確です。契約経路を正規に揃え、学習設定を確認し、渡すデータを棚卸しし、ルールを1枚にまとめ、月1回ニュースを見る。この5つで、今回のような騒動が再び起きても、自社は大丈夫だと根拠を持って言える状態になります。AIの導入判断は一度きりですが、ベンダーへの信頼は使い続ける限り毎月更新される契約だと考えてください。

私自身、この件でClaude Codeの利用をやめる判断はしませんでした。事実を確認し、自分の契約経路と設定を点検し、問題がないことを確かめて使い続けています。その点検の手順こそ、この記事で一番持ち帰ってほしいものです。

自社のAIツールの契約経路や社内ルールづくりに不安がある方は、Claude Worksの無料30分相談をご利用ください。現在の利用状況を伺い、この記事の5ステップをあなたの会社向けに具体化してお渡しします。