秘密を守れるAIをあらゆる産業に届けるために

信頼できる状態でAIを使う、という問い

生成AIが社会に浸透するにつれて、私がずっと引っかかっている問いがあります。「価値のあるAIほど、扱いたくないデータを必要とする」という矛盾です。

企業の意思決定を支えるAIは、社外秘の議事録や顧客データに触れる必要があります。個人に寄り添うアシスタントは、その人の生活そのものを知らなければなりません。医療現場で本当に役に立つLLMは、患者のカルテを読めなければなりません。一方で、これらのデータは本来、誰の目にも触れさせたくないもののはずです。さらに、そうしたデータを処理するAIモデル自体も、開発者にとっては重要な知的資産であり、簡単に外部へ開示できるものではありません。

「使わせない」ことで守るのは簡単です。しかしそれでは、AIから得られるはずの価値そのものを諦めることになります。だからこそ問われているのは、「使う」ことを前提にしたうえで、それでもなお守る方法をどう設計するか、という問題です。Confidential AIという領域は、この問いに正面から答えようとする技術領域だと私は捉えています。

Confidential AIという新しいパラダイム

この問いに答えるための技術的な土台は、ここ数年で急速に整いつつあります。準同型暗号やマルチパーティ計算といった秘密計算は、データを暗号化したまま扱える強力な手段ですが、大規模なAIをそのまま動かすには依然としてコストや性能の制約があります。一方で、TEE（Trusted Execution Environment）を中核としたConfidential Computingは、「外からは中身を覗けない安全な実行領域」の上で、現実的な性能のままAIを動かせる地点まで来ました。

しかし重要なのは、AIを社会で使ううえで守るべき対象が「データ」だけではないという点です。ユーザーや企業のデータに加えて、モデル提供事業者にとっての知的資産である「モデルそのもの」も守る必要があります。実際に、独自モデルを顧客環境でPoCしたいが、モデルの流出リスクが障壁になっているという声も少なくありません。

Confidential ComputingとAIを組み合わせた「Confidential AI」によれば、データとモデルの双方を守りながらAIを活用することが可能になります。しかし、それだけでAIを社会の中で信頼して使える状態が実現できるわけではありません。その先にある課題に正面から向き合うこと——それが、私たちが「秘密を守れるAI」として取り組んでいる挑戦です。Confidential AIを、実際に社会で使える水準まで引き上げるための試みでもあります。

本質的な難しさは「ライフサイクル」にある

Confidential AIの本質的な難しさは、暗号やハードウェアそのものではなく、AIのライフサイクル全体にわたって信頼をどう維持し続けるかという設計にあります。入力・推論・出力・ログ・改善に至る一連の流れを、データとモデルの双方を守ったまま成立させなければなりません。

例えば、TEEという隔離された環境で動くモデルの挙動や利用実態を誰がどのように検証するのか。対話ログからモデル改善のヒントを得る際に、データの保護はどうあるべきか。「外に出してよい情報」とはどのように定義されるべきか。こうした問いは個別に解けるものではなく、ライフサイクル全体として整合的に設計される必要があります。

これらの課題は、それぞれが独立した研究を要する困難なテーマであると同時に、相互に強く依存しています。推論の安全性だけを満たしても、ログの扱いが破綻すれば信頼は失われます。逆に、改善のためのデータ取り扱いを厳格にしすぎれば、モデルの性能向上が止まってしまいます。部分最適の積み重ねではなく、ライフサイクル全体として整合的に成立する設計が求められます。

この意味で、Confidential AIの主戦場は、暗号アルゴリズムそのものの改良というよりも、それらを前提にして「どう運用するか」を設計することにあります。私たちはこれを社内で Confidential AI Ops と呼んでいます。安全な実行環境の上で、何を観測し、何を外に出し、何を残し、どう改善につなげるのか。信頼を壊さずにAIを回し続けるためのオペレーションそのものが、最も難しく、同時に価値の出る領域です。

フィジカルAIとオーケストレーション——信頼境界を越えてAIが協働する世界

AIの利用範囲が画面の中から現実世界へ広がると、この問題はさらに切実になります。ロボットや医療機器、スマートホーム、工場設備のように、カメラやマイク、各種センサを通じて環境を読み取り、物理的に作用するAIでは、家庭内の生活や患者の身体情報、製造現場のノウハウといった、機密性の高いデータが日常的に扱われます。しかもそれらは、ユーザーが明示的に入力するというよりも、タスクの過程で継続的に、時には意図せず観測されていきます。

物理世界の「秘密を守れるAI」には、このような状況の中で、AIの利用を前提にしながら、何を観測し、どこまで扱い、何を外に出さないのかを設計しなければならない難しさがあります。加えて、モデルをより現場に近いところへ配置する必要があることから、モデルの剽窃などのリスクも一層高まります。

さらに今後のAIは、一つのモデルが単独で完結するのではなく、複数のエージェントが役割を分担しながら協働する方向に進んでいくはずです。現場で動くロボット、それを監督するAI、外部システムと連携するAI、人間に判断を返すAI。種類も権限も信頼水準も異なるエージェントが、一つのタスクを進めるために連携する世界です。この連携を指揮する技術がオーケストレーションです。

こうした環境で「AIを使うことを前提に守る」ためには、三つの要件を同時に満たす必要があります。現場で扱われるデータを外に出さずに活用できること、モデル提供事業者の知的資産を保護したまま現場に展開できること、そしてそれらを複数のエージェント間で安全に連携させられることです。Acompanyが見据えているのは、まさにこの三つを同時に成立させることです。

フィジカルAIとオーケストレーションが前提となる時代において、データ、モデル、そしてそれらをつなぐ連携のすべてを一つのシステムとして守る——そのための信頼設計こそが、私たちの主戦場です。

面白さはどこにあるか

Confidential AIの面白さは、単に安全な計算を実現することにとどまりません。本質的に問われているのは、「誰が、何を、どこまで知ってよいのか」という情報の流れそのものを、システムとしてどう設計するかという問題です。

この領域が特徴的なのは、立場の異なる主体を同時に成立させる必要がある点にあります。データを預ける側は自分の情報が守られることを求め、モデルを提供する側は自らの知的資産が守られることを求めます。そして、そのどちらかを犠牲にするのではなく、両立させることが前提になります。

しかしこれは単純な両立ではなく、トレードオフとして現れます。守りを強くすればAIの活用は制約され、活用を優先すればリスクが増大する。この緊張関係を前提に、それでも成立する設計を探ること自体が、この領域の本質的なチャレンジです。

だからこそConfidential AIは、セキュリティ技術にとどまらず、AIを社会の中でどう使っていくのかという問いに直結しています。そして、その設計がそのままシステムとして実装され、現場で動き、誰かの判断を支えるところまでつながっている。この距離の近さも含めて、私は非常に面白い研究開発領域だと感じています。

秘密を守れるAIの実現を目指して

ここまで述べてきたように、Acompanyが目指しているのは、「秘密を守れるAI」を実現することです。すなわち、データとモデルの双方を守りながら、AIを信頼できる形で社会に組み込んでいくことです。そのためには、個別の技術だけではなく、ライフサイクル全体を通じた信頼設計——すなわちConfidential AI Opsの確立が不可欠になります。

この信頼設計が適切に行われているかどうかによって、AIを安心して預け、安心して使えるかどうかが決まります。Acompanyは、この前提となる基盤そのものを、実際のシステムとして構築していくことを目指しています。

こうした研究開発の思想や目標、目指すべき姿は、R&D Vision「秘密を守れるAIプラットフォーム」としてまとめ、公開しています。「秘密を守れるAI」という考え方や、ここで述べた課題に少しでも引っかかるものを感じた方がいれば、ぜひこの領域に関わっていただければと思います。