によると、人気のAI(人工知能)チャットボットアプリは、連絡先情報や検索・閲覧履歴、その他のユーザーコンテンツなど、さまざまな情報を収集していることが明らかになりました。また、ユーザーの位置情報を収集するAIチャットボットの割合は、昨年の40%から今年は70%へと増加しています。
Surfsharkの最新分析によると、人気のAI(人工知能)チャットボットアプリは、連絡先情報や検索・閲覧履歴、その他のユーザーコンテンツなど、さまざまな情報を収集していることが明らかになりました。また、ユーザーの位置情報を収集するAIチャットボットの割合は、昨年の40%から今年は70%へと増加しています。
今回分析対象となった全てのAIチャットボットアプリは、何らかのユーザーデータを収集しており、収集されるデータの種類は最大35項目中、平均で14項目にのぼります。
Surfsharkの最高セキュリティ責任者(CSO)であるトーマス・スタムリス氏(以下、同氏)は、次のように述べています。
「チャットボットによるユーザーデータ収集は、ますます積極化しています。当社の調査では、人気のAIアプリの70%が位置情報を収集しており、これは昨年の40%から大きく増加しています。こうしたデータ収集の拡大傾向はChat(チャット)GPTにも見られ、最近では収集範囲を70%拡大し、健康・フィットネス情報、検索履歴、音声データなども対象に含まれるようになりました。
従来の検索エンジンとは異なり、これらのAIは、税務書類や医療記録といった極めて機密性の高いデータも取り扱います。こうした情報は、ターゲティング広告のために大規模なサードパーティネットワークと共有される可能性があります。
プライバシーを守るためには、全てのプロンプトを“公開される可能性のある情報”として扱う意識が重要です。設定を見直し、チャット履歴を削除し、公開されて困る情報は決して入力しないようにしてください」
分析対象となったアプリの中で、Meta AIは依然として最も多くのユーザーデータを収集しており、全35項目中33項目、約95%に相当するデータを取得しています。金融情報カテゴリのデータを収集しているのはMeta AIのみです。また、Meta AIとGoogle Geminiは、機微(センシティブ)情報も収集しており、人種・民族や性的指向、妊娠・出産、障がい、宗教・思想、労働組合への加入状況、政治的見解、遺伝情報、生体情報などが含まれます。
Google Geminiは35項目中23項目のデータを収集しています。氏名やメールアドレス、電話番号などの連絡先情報、ユーザーコンテンツ、連絡先(端末のアドレス帳情報)、検索履歴、閲覧履歴、正確な位置情報など、多岐にわたるデータを取得しています。このような広範なデータ収集は、プライバシーやセキュリティを重視するユーザーにとっては過度でやや踏み込みすぎだと感じられるかもしれません。
Apple社のApp Storeの情報によると、ChatGPTは現在、35項目中17項目のデータを収集する可能性があると開発者により示されています。これは、昨年のAIチャットボット調査で確認された10項目から70%の増加であり、ユーザーデータ収集の範囲が大きく拡大していることを示しています。新たに追加されたデータには、おおまかな位置情報や健康・フィットネス情報、検索履歴、音声データ、広告データ、カスタマーサポート関連情報などが含まれます。
ChatGPTが収集するデータの大半(14項目)は、アプリの機能提供のために使用されます。一方で、収集されたユーザー情報は、分析(7項目)やプロダクトのパーソナライズ(4項目)、開発者による広告・マーケティング(3項目)、第三者広告(2項目)など、他の目的にも利用される可能性があります。なお、健康・フィットネス情報および広告データは、アプリの機能提供に必須ではありません。
4番目に多くのデータを収集しているClaudeは、全35項目中13項目のデータを収集しています。これらはいずれもアプリの機能提供に不可欠とされており、ユーザー認証や機能の提供、不正防止、セキュリティ対策、サーバー稼働の維持、アプリのクラッシュ軽減、スケーラビリティやパフォーマンスの向上、カスタマーサポートの提供などに活用されています。
一方で、Claudeが収集するデータの多くは、分析や開発者による広告・マーケティングなど、別の用途にも利用される可能性があります。これは、ユーザーデータの活用範囲が比較的広いことを示しています。具体的には、おおまかな位置情報や、写真・動画といったコンテンツデータなどが含まれます。
5番目に多くのデータを収集しているDeepSeekは、ユーザー入力やチャット履歴などを含む13項目のデータを収集しています。また、必要とされる限り情報を保持し、中国に所在するサーバーに保存しているとされています。
「ChatGPTやGeminiなどのAIチャットボットは、米国の法規制の下で運営され、規制当局とも連携しています。一方でDeepSeekは、GDPRのような同等の法的枠組みの対象ではありません。このような監督体制の不在は、説明責任やデータ保護に関する懸念を一層高める要因となる可能性があります」
本調査は2025年3月に開始し、2026年3月に完了しました。
まず、人気の高いAIチャットボット上位10サービスを特定し、Apple社のApp Store上のプライバシー情報を基に分析を実施しました。比較にあたっては、各アプリが収集するデータの項目数や個人に紐づくデータの収集有無、第三者広告の有無といった観点を用いています。
また、DeepSeekおよびChatGPTのプライバシーポリシーも確認し、どのようなデータがサーバー上に保存されるのか、またその保存期間についても分析を行いました。
本調査の詳細な資料については、こちらをご覧ください。
Surfsharkは、監査済みVPNや認証済みアンチウイルス、データ漏えい警告システム、プライベート検索エンジン、オンラインアイデンティティ生成ツールなどを提供するサイバーセキュリティ企業です。CNETやTechRadarなどのメディアから有力なVPNサービスとして評価されており、FT1000:Europe’s Fastest Growing Companies(欧州の急成長企業ランキング)にも掲載されています。
本社はオランダにあり、リトアニアおよびポーランドにもオフィスを構えています。Surfsharkの事業概要や主な取り組みについては、同社の年次総括をご覧ください。また、その他の調査プロジェクトについては調査レポートをご参照ください。