#36 AIに記憶を持たせても、プライバシーは守れる

AIエージェントがあなたの好みや病歴を覚えてくれるのは便利だが、その情報がクラウドに筒抜けになるのは怖い。この研究は「センシティブな部分だけを意味のあるダミーに置き換えてクラウドに送り、戻ってきた答えを手元で元に戻す」ことで、プライバシーと便利さを両立させた仕組みを提案している。

ChatGPTのようなAIエージェントは「長期記憶」を持つようになりつつある。あなたの好み、家族構成、健康状態、過去のやりとりを覚えてくれるからこそ、パーソナライズされた賢い対応ができる。

ところが、この記憶機能はたいていクラウド側に置かれる。スマホやPCで話した内容がそのままクラウドに蓄積され、ログやベクトルDBに残り続ける。先行研究では、こうした記憶を狙った攻撃の成功率が 69%〜75% にも達することが示されている。

これまでの対策は「センシティブな部分を *** で完全に隠す（マスキング）」が主流だったが、これだと文脈ごと消えてしまい、AIが何の話か理解できなくなる。「プライバシーを守る」と「便利さを保つ」がトレードオフになっていた。

MemPrivacyのアイデアはシンプルだが巧妙だ。​​「型付きプレースホルダー」と「ローカルでの復元」​ を組み合わせる。

たとえば「今日の血圧は160/110、user@mail.com に返信して」というメッセージを医者宛てに送りたい場合：

1. 手元の端末で軽量モデルがセンシティブな箇所を検出
2. 「160/110」→ <Health_Info_1>、「user@mail.com」→ <Email_1> のように 意味のあるタイプ付きの仮名 に置き換える
3. 元の値とプレースホルダーの対応表はローカルDBに安全に保管
4. クラウドには仮名化されたテキストだけが送られる。クラウドは「健康情報とメールアドレスが入っている」ことは分かるので文脈は理解できるが、生データは見えない
5. クラウドから返ってきた回答を、手元で元の値に戻してユーザーに見せる

さらに、プライバシーを PL1（好み・低感度）からPL4（パスワード等の最高機密）までの4段階 に分類し、ユーザーが「PL3以上だけ守る」など細かく設定できる。これにより「過剰に隠して使いにくくなる」「守るべきものが漏れる」の両方を避けられる。

• プライバシー検出の精度: わずか0.6B（6億パラメータ）の小さなモデルでも、F1スコア 83.09% を達成。GPT-5.2（68.99%）やGemini-3.1-Pro（78.41%）といった巨大モデルを上回った
• 処理速度: 1メッセージあたり約2秒以下。Gemini-3.1-Pro（約33秒）より1〜2桁高速で、端末上で動かしても遅延を感じない
• 記憶システムへの影響: LangMem、Mem0、Memobaseという3つの代表的な記憶システムで検証。従来の「全部マスク」方式は精度が 最大41.87% も落ちるのに対し、MemPrivacyは 1.6%以内 に抑えられた
• 評価用に 200ユーザー・52,000以上のプライバシー事例 を含むベンチマーク「MemPrivacy-Bench」も構築・公開

この研究は、AIエージェントの普及における最大の壁の一つ —— 「便利だけど怖い」問題に現実的な解を示している。

スマホメーカー（共著者にHONORが入っているのは象徴的）にとって、ユーザーデータをクラウドに送らずにAI機能を提供することは、規制対応とブランド信頼の両面で死活問題だ。EUのGDPRには「忘れられる権利」があるが、一度クラウドに送ったデータを完全に消すのは事実上不可能。MemPrivacyのアプローチなら、そもそも生データがクラウドに行かないので、削除も「対応表を消すだけ」で済む。

ビジネス文脈でも、社内チャットや顧客対応AIで「機密情報を含むやりとりはクラウドに出せない」という制約は大きい。型付きプレースホルダーのおかげで、AIは「これは顧客名、これは契約金額」と理解したまま処理でき、ローカルで復元できる。プライバシーとAIの便利さを両立させる現実的な処方箋として、医療、金融、法務などセンシティブな分野での活用が広がる可能性がある。