中国系AIモデルAPI導入時のセキュリティリスク完全評価
中国の3大AIモデル(Kimi K2.5、DeepSeek、Qwen3.5)のAPI利用における企業セキュリティリスクを包括的に評価した結果、Alibaba CloudのQwen3.5が唯一、国際的なセキュリティ認証と地域別データレジデンシーを備えている。 一方、Kimi K2.5とDeepSeekはAPIベースでの利用においてセキュリティ認証の欠如とデータ主権リスクが深刻であり、機密データの送信は推奨できない。ただし3モデルとも オープンウェイトモデルとして公開されており、セルフホスティングにより中国へのデータ送信リスクを根本的に排除できる 点が最大の対策となる。
中国国家情報法(2017年)第7条・第14条により、中国国内サーバーに送信されたデータは中国政府によるアクセス要求の対象となり得るため、企業はこの構造的リスクを前提にした判断が必要である。
本記事は 中国発3大AIモデル徹底比較:Kimi K2.5 vs DeepSeek vs Qwen3.5 の姉妹記事です。性能・コスト・アーキテクチャの詳細比較は上記記事を参照してください。
1. データプライバシーとデータ保管の実態
Kimi K2.5(Moonshot AI / 月之暗面)
Moonshot AIの本社は 北京市海淀区 (中関村エリア、JDテクノロジービル13階)に所在し、上海にもサテライトオフィスを構える。国際向けには シンガポール法人(Moonshot AI PTE. LTD.) を設立しているが、モデルの訓練は北京で行われ、すべてのAPIデータ処理は中国国内のサーバーで実行される。
APIエンドポイントはグローバル用(api.moonshot.ai)と中国本土用(api.moonshot.cn)の2種類が存在する。中国本土ユーザーは .ai ドメインにアクセスできず .cn を使用する必要があるが、いずれも中国国内のインフラストラクチャにルーティングされる。中国以外のデータセンターの存在は確認されていない。ドイツのAIコンサルタント企業innFactoryは「APIを使用する場合、データは中国で処理される。GDPR準拠を確保するには、自社インフラでのセルフホスティングのみが選択肢」と明記している。
データ保持期間は 公式に明示されていない。プライバシーポリシー(platform.moonshot.ai)では、ユーザーコンテンツ(プロンプト、音声、画像、動画、ファイル等)を「サービスの提供・維持・開発・改善(モデルの訓練・最適化を含む)」のために使用する旨が明記されており、APIに送信されたデータはモデル再学習に使用される。OpenAIのようなインアプリのオプトアウト機構は存在せず、データ利用を停止するにはアカウント削除が唯一の手段である。
暗号化仕様については、HTTPSの使用が確認できるが、具体的なTLSバージョン、暗号スイート、保存時暗号化方式は公開文書に記載されていない。後述するセキュリティインシデントが示す通り、実際のセキュリティ実装には深刻な課題が存在する。
DeepSeek(深度求索)
DeepSeekのプライバシーポリシー(英語版:2025年2月14日最終更新)では、「中華人民共和国内の安全なサーバーに情報を保管する」 と明記されている。主要インフラは 杭州(本社・開発拠点)、内モンゴル・フフホト(3つの大規模計算センター:中国移動6.7 exaFLOPs、Paratera 60,000 PetaFLOPs目標、BONCの10,000サーバーキャビネット)、海南省陵水(海底データセンター:400台超の高性能サーバー、毎秒約7,000回のDeepSeek会話処理能力)、北京市海淀区(事業拠点、2024年5月設立) に展開されている。2025年にはサウジアラビア・ダンマーム(Aramco Digital)に初の国際デプロイメントも確認されている。
データ保持期間は 「サービス提供に必要な期間」 という曖昧な表現にとどまり、具体的な日数は公表されていない。ユーザーデータは モデル再学習に使用される ことが明記されているが、privacy@deepseek.com への連絡でオプトアウトを申請可能 である。ただし、インアプリのオプトアウトトグルは存在しない。
暗号化について、「TLS等の先進的暗号化技術」の使用が記載されているが、具体的バージョンは不明である。特に深刻なのは、NowSecure(2025年2月6日発表)の分析でDeepSeekの iOSアプリがApp Transport Security(ATS)を完全に無効化し、廃止された3DES暗号をハードコードされた鍵で使用、初期化ベクトル(IV)がnil設定かつ再利用 されていたことが判明した点である。さらに、デバイス登録データが暗号化なしで送信され、ByteDance(TikTok親会社)が運営するVolcengineサーバーにフィンガープリントデータが送信されていた。
Qwen3.5(Alibaba Cloud / 通義千問)
Alibaba Cloudは3モデル中最も透明性の高いデータ管理体制を有する。Model Studio(百炼)プラットフォームでは 4つのデプロイメントモード を提供し、明確なデータレジデンシーを保証している。
| モード | エンドポイント | データ保管 | 推論計算 |
|---|---|---|---|
| International(国際) | シンガポール | シンガポール | 中国本土を除く世界各地で動的スケジューリング |
| Global(グローバル) | 米国バージニア | 米国バージニア | 世界各地で動的スケジューリング |
| US(米国) | 米国バージニア | 米国バージニア | 米国のみに限定 |
| Mainland China(中国本土) | 北京 | 北京 | 中国本土のみに限定 |
USモードは2025年12月16日に追加された。GlobalとUSは同じエンドポイント(dashscope-us.aliyuncs.com)を共有するが、推論計算のスケジューリング範囲が異なる。なお、バッチ推論はシンガポールと北京でのみ利用可能で、USモードでは非対応。
APIキーはリージョンごとに固有で互換性がなく、非同期タスクでは「タスク作成時と同じドメインおよびAPIキーを使用しないとエラーになる」と公式ドキュメントに明記されている。データが意図しないリージョンに流出する構造にはなっていない。
最も重要な点として、公式FAQで 「Alibaba Cloud strictly protects your data privacy and will never use your data for model training(Alibaba Cloudはデータプライバシーを厳格に保護し、ユーザーデータをモデル訓練に使用することは決してない)」 と明言している。直接API呼び出しの場合、会話記録は保存されず、匿名化された呼び出しステータス情報のみが記録される。暗号化は転送時にTLS(プラットフォーム全体でTLS 1.0〜1.3対応、TLS 1.0はデフォルト無効)、保存時に AES-256 を採用し、KMS統合とBYOK(Bring Your Own Key)にも対応。さらに、PrivateLinkによるVPC接続のプライベートネットワークアクセスもサポートしている。
2. セキュリティ認証・コンプライアンスの格差は歴然
3モデル間のセキュリティ認証状況には極めて大きな差が存在する。
| 認証・コンプライアンス | Kimi K2.5 | DeepSeek | Qwen3.5(Alibaba Cloud) |
|---|---|---|---|
| ISO/IEC 27001 | ❌ 未取得 | ❌ 未取得 | ✅ 取得(2022版への移行済み) |
| SOC 2 Type 2 | ❌ 未取得 | ❌ 未取得 | ✅ 取得 |
| SOC 1 / SOC 3 | ❌ 未取得 | ❌ 未取得 | ✅ 取得 |
| GDPR対応 | ❌ 未対応 | ❌ 未対応(伊で禁止) | ✅ 対応表明(EU Cloud CoC準拠) |
| HIPAA/HITECH | ❌ 未取得 | ❌ 未取得 | ✅ 準拠 |
| PCI DSS | ❌ 未取得 | ❌ 未取得 | ✅ 取得(v3.2.1 Level 1) |
| CSA STAR | ❌ 未取得 | ❌ 未取得 | ✅ 取得(Gold Medal) |
| ISO 27017/27018 | ❌ 未取得 | ❌ 未取得 | ✅ 取得 |
| ISO 27701 | ❌ 未取得 | ❌ 未取得 | ✅ 取得 |
| C5(独連邦BSI) | ❌ 未取得 | ❌ 未取得 | ✅ 取得(2018年12月、独・シンガポールDC対象) |
| 中国アルゴリズム登録 | ✅ 登録済み(2024年3月) | ✅ 登録済み | ✅ 登録済み |
| 第三者セキュリティ監査 | ❌ 未確認 | ❌ 未確認 | ✅ 定期実施 |
Kimi K2.5とDeepSeekは 国際的なセキュリティ認証を一切保有しておらず、規制産業(金融、医療、政府)での利用は認証要件の観点から事実上不可能である。
Kimi K2.5についてはISO 27001やSOC 2 Type IIの取得を主張するマーケティング資料が一部存在するが、独立した監査報告書や認証文書は確認できない。後述するセキュリティインシデント(認証なしで公開されたデータベース等)は、これらの主張と矛盾している。
Alibaba Cloudのコンプライアンスセンターにはグローバル・地域・業界別合わせて 40以上の固有認証 が掲載されており、リージョン・サービス単位の認証インスタンスを含めると計130以上に達する。ただし、これらがすべてModel Studio/DashScopeサービスに具体的に適用されるかは個別確認が必要である点に留意すべきだ。
3. セキュリティインシデントの実態
Kimi K2.5(Moonshot AI):3件の脆弱性が確認
元の記事草稿では「セキュリティインシデントの公開報告は確認されていない」としていたが、調査の結果、3件の深刻な脆弱性 が確認された。
-
Wiz Researchによるデータベース漏洩:認証なしでアクセス可能なClickHouseデータベースが発見され、100万行以上のログ(チャット履歴、APIキーを含む) が露出していた。DeepSeekの漏洩と同様の性質のインシデントである。
-
NowSecureによるiOSアプリ脆弱性:KimiのiOSアプリが デバイスデータを暗号化なしで送信 していたことが判明。
-
SecurityScorecardによる暗号化実装の欠陥:ハードコードされた暗号化キーと旧式の暗号アルゴリズム の使用が確認された。
DeepSeek:業界最大級のインシデント
Wiz Researchによるデータベース漏洩(2025年1月29日公表) が最も深刻なインシデントである。完全に認証なしでアクセス可能なClickHouseデータベース(エンドポイント:oauth2callback.deepseek.com:8123、dev.deepseek.com:8123等)が発見され、100万行以上のログストリーム(2025年1月6日以降のチャット履歴、APIシークレットキー、バックエンドの運用情報) が露出していた。
ClickHouseのHTTPインターフェイス /play パスを通じて 任意のSQLクエリの実行が可能 な状態であり、特権昇格のリスクもあった。Wizの通知後、DeepSeekは速やかにデータベースを保護したが、悪意のある第三者による事前のアクセスの有無は確認されておらず不明のまま である。
Feroot Securityの調査 では、DeepSeekのブラウザ版に China Mobile(中国移動、国有通信企業)の認証レジストリ(CMPassport.com)に接続する難読化されたコード が埋め込まれていることが判明した。ログイン時にデバイスフィンガープリント情報を収集するコードが含まれている。カルガリー大学とカリフォルニア大学バークレー校の研究者がこの発見を独立検証している。ただし、北米でのテスト中にChina Mobileへのデータ送信は直接観測されなかった 点はFeroot自身が注記している。
2025年1月27日には大規模DDoS攻撃を受け、新規ユーザー登録が一時停止。その後、登録は中国本土の携帯電話番号のみに制限された。
Alibaba Cloud(Qwen3.5):インフラ自体の脆弱性は確認されず
Alibaba Cloud関連の主要インシデントは2件だが、いずれもインフラ自体の脆弱性ではない。
-
上海警察データベース漏洩(2022年):約23テラバイト、推定約10億人分の中国市民データが漏洩した事件。原因はAlibaba Cloud上にホストされていた 上海市公安局によるElasticsearchインスタンスの設定ミス (認証未設定のKibanaダッシュボードが公開)であり、Alibaba Cloudのインフラ脆弱性ではなく顧客の管理責任である。SpyCloudの2024年分析で約1億477万件の一意な国民IDが検証された。
-
Taobaoデータスクレイピング事件(2019年):開発者がウェブクローラーで8ヶ月間にわたりTaobaoから 11億件のユーザー情報 をスクレイピングし、テレマーケティング企業に提供した事件。浙江省通信管理局がサイバーセキュリティ法違反を認定し是正を命じた。
2026年2月の最新動向:Anthropicによるディスティレーション告発
2026年2月23〜24日、Anthropicは Moonshot AI、DeepSeek、MiniMax の3社が 24,000の偽アカウントを使用し、Claudeから1,600万件超のやり取りを生成する「ディスティレーション」攻撃 を行ったと公式に告発した。Moonshot AI単体で 340万件のやり取り が確認されている。エージェント推論、ツール使用、コーディング能力を標的としたもので、米国のAIチップ輸出規制を巡る議論のさなかに公表された。
4. 地政学的リスクと中国国家情報法の脅威
中国国家情報法の構造的リスク
中国国家情報法(2017年、2018年改正)第7条 は次のように規定する:
「いかなる組織及び公民も、法に基づき国家の情報活動を支持し、これに協力しなければならず、知り得た国家情報活動の秘密を保持しなければならない」
第14条 は次のように定める:
「国家情報活動機関は、法に基づき情報活動を行う際、関連する機関、組織又は公民に対し、必要な支持、協力を要求することができる」
この法律の解釈には専門家間で相違がある。
米国DHS(国土安全保障省) の2020年12月発出の事業者向け勧告では「中国の法的環境は中国企業および個人に対し、法執行・安全保障機関への情報提供とその他の支援への協力を要求しており、法的救済手段はほとんどない」と明記している。
Wiz ResearchのCTO兼共同創業者Ami Luttwak は、DeepSeekのデータベース漏洩について「ミスは起こり得るが、これは劇的なミスだ。必要な労力が極めて低い一方で、得られるアクセスレベルが極めて高い」と指摘している。
一方、China Law Translateの法律専門家Jeremy Daum (イェール大学法科大学院中国センター上級フェロー)は、第7条の協力義務は「新たな法的根拠を開拓する意図ではなかった」と主張し、「法に基づき」という限定語句により他の民事・刑事法との整合性が求められると分析する。ただし、Daum自身が「法が何を言っているか、そしてなぜそれが重要でないか」と題した分析で示唆するように、法文の解釈より実際の運用が問題の本質である。
リスク管理の観点からは、法的権限が存在すること自体が構造的リスク であり、実際の行使頻度に関わらず考慮が必要である。3社すべてについて、API利用時に中国国内サーバーにデータが送信される場合、中国政府のデータアクセス要求の対象となり得る。これは契約上の合意によって排除できないリスクである。
各社の資本構成と政府との関係
Moonshot AI(月之暗面):主要投資家に Alibaba Group(シリーズAリード約10億ドル)、Tencent(シリーズBで約3億ドル)、IDG Capital(シリーズC共同リード) が含まれる。直接的な政府出資は確認されていないが、中国の「AI六小龍」(Moonshot AI、Baichuan、Zhipu AI、MiniMax等、アジアの虎になぞらえた新興AI企業群)の一社として国家レベルのAI投資の恩恵を受けている。2026年2月時点の評価額は100〜120億ドルを目指し、累計調達額は約17.7億ドル超。創業者の楊志林は清華大学首席卒業・カーネギーメロン大学博士号取得で、Transformer-XLおよびXLNetの原著者。
DeepSeek(深度求索):創業者の 梁文鋒が約84%の持分 を2つのシェル企業を通じた階層的パートナーシップ構造で保有。梁文鋒はクオンツヘッジファンド 幻方量化(High-Flyer) の共同創業者兼CEOでもある。外部VCや政府系投資は確認されておらず、High-Flyerの利益で自己資金運営する自立型企業であり、3社の中では政府との資本関係が最も薄い。
Alibaba Group:上場企業(NYSE: BABA)で、2025年中期のSEC提出書類に基づく主要機関投資家は The Vanguard Group(約9.16%)、BlackRock(約5.64%) 等。ただし、2023年1月にCACの基金(China Internet Investment Fund = 中国网络投资基金)がAlibaba子会社(広州鹿角信息技術、Youku/UCWebを管轄)の 1%のゴールデンシェア を取得し、取締役を1名送り込んだ。ゴールデンシェアは政府にコンテンツ決定への影響力を付与する仕組みで、特にメディア関連子会社に対する規制手段として機能する。
さらに、2024年2月のSEC提出書類(SECの質問に応じた開示)では、12以上のAlibaba関連法人が中国国有企業からの部分出資を受けていることが開示されている。内訳は、直接販売6法人(1社は30%、他は10%未満)、スポーツ子会社(25%国有出資)、物流2法人(73.5%国有出資)等。
NIST CAISIによるCCPバイアス評価
NIST CAISI(AI Standards and Innovation Center)は2025年12月、トランプ大統領のAmerica's AI Action Planの一環として Kimi K2 Thinking の評価を公表した。
| 言語 | CCP整合スコア | 評価 |
|---|---|---|
| 中国語 | 約26% | 高度に検閲済み(DeepSeek R1-0528と同水準) |
| 英語 | 約7% | 比較的非検閲 |
| スペイン語・アラビア語 | 最小限 | ほぼ非検閲 |
CAISIは「Kimi K2は中国開発者による最も高性能なAIモデル」と評価した一方、「その能力は、GPT-5やOpus 4といった旧モデルを含む米国の主要モデルを依然として下回る」と結論づけている。
5. APIセキュリティの技術仕様比較
| 技術仕様 | Kimi K2.5 | DeepSeek | Qwen3.5 |
|---|---|---|---|
| 認証方式 | Bearer Token(APIキー) | Bearer Token(APIキー) | Bearer Token + RAM/RBAC + MFA対応(管理者は必須化) |
| OAuth/mTLS | ❌ 非対応 | ❌ 非対応 | ✅ RAM(アクセスキーID+シークレット)+ SAML 2.0 SSO |
| レート制限 | アカウント残高による階層制 | 制限なし(動的調整のみ、ピーク時はキューイング) | モデル別QPM/TPM制限 |
| 通信プロトコル | HTTPS(TLS詳細非公開) | HTTPS(TLS詳細非公開) | HTTPS(TLS 1.2/1.3対応) |
| 保存時暗号化 | 非公開(Wiz漏洩で疑念) | 非公開 | AES-256(KMS/BYOK対応) |
| 監査ログ | ❌ 未提供 | ❌ 未提供 | ✅ ActionTrail(90日保存、SLS/OSSで延長可能) |
| リージョン選択 | ❌ 不可 | ❌ 不可 | ✅ シンガポール/米国/中国から選択 |
| IPホワイトリスト | ❌ 未確認 | ❌ 未確認 | ✅ RAM/VPCで制御可能 |
| プライベート接続 | ❌ 未確認 | ❌ 未確認 | ✅ PrivateLink でVPC接続 |
| コンテンツ安全機能 | 未確認 | 未確認 | ✅ Qwen3Guard(9リスクカテゴリ、3段階評価、119言語対応) |
| API互換性 | OpenAI互換 | OpenAI互換 | OpenAI互換 + Anthropic互換 + DashScopeネイティブ |
DeepSeekの「レート制限なし」ポリシーは一見ユーザーフレンドリーだが、DDoS攻撃やAPI濫用に対する防御が脆弱 であることを意味する。高負荷時はリクエストがキューイングされ、keep-aliveメカニズムでタイムアウトを防ぐ仕組みだが、実際にDeepSeekは2025年1月に大規模DDoS攻撃を受け、新規登録を一時停止している。
Qwen3.5(Alibaba Cloud)は 企業利用に必要なセキュリティ機能をほぼ網羅 している。特にQwen3Guardは、暴力、違法行為、性的コンテンツ、PII、自殺・自傷、非倫理的行為、政治的敏感トピック、著作権侵害、ジェイルブレイクの9カテゴリでコンテンツを安全・要注意・危険の3段階で評価する専用ガードレールモデル(0.6B/4B/8Bの3サイズ)であり、リアルタイムストリーミング用バリアント(Qwen3Guard-Stream)も提供されている。
6. セルフホスティングが最も有効なリスク対策
3モデルすべてがオープンウェイトモデルとして公開されており、セルフホスティングによって データ主権リスクを根本的に排除できる。これは中国系AIモデルを企業利用する際の最も重要な対策である。各モデルの性能・アーキテクチャ詳細は 姉妹記事 を参照されたい。
| 項目 | Kimi K2.5 | DeepSeek | Qwen3.5 |
|---|---|---|---|
| ライセンス | Modified MIT | MIT(R1, V3.2) | Apache 2.0 |
| 商用利用 | ✅(月間MAU1億超 または月間収益2千万ドル超 で帰属表示「Kimi K2」の目立つ表示が必要) | ✅(無制限) | ✅(無制限) |
| 主要モデルサイズ | 1T総パラメータ/32B活性(MoE) | 685B総/37B活性(V3.2)、各種蒸留版(1.5B〜70B) | 397B総/17B活性(MoE) |
| 推論エンジン | vLLM, SGLang, KTransformers | vLLM, SGLang, LMDeploy, TensorRT-LLM | vLLM, SGLang, Ollama, llama.cpp |
| コンテキスト長 | 256Kトークン | 128Kトークン(V4で1M) | 262Kトークン(ホスト版は約1M) |
| ファインチューニング | 可能 | 可能 | 可能(UnSloth, Swift, Llama-Factory) |
| 必要VRAM(参考) | 約600GB(INT4量子化)、8×H100程度 | 蒸留版8Bで16GB〜 | 17B活性のため比較的軽量 |
ライセンスの制約面ではDeepSeekとQwen3.5が最も自由度が高い。DeepSeekのMITライセンスとQwen3.5のApache 2.0はともに商用利用に実質的な制約がなく、派生物の公開義務もない。Kimi K2.5のModified MITは大規模サービス事業者に帰属表示を求める追加条件がある。注意:閾値は月間収益240M相当)であり、ARR$20Mではない。
セルフホスティング時のセキュリティ上の主要利点は以下の通りである。
- データが自社インフラ外に出ない ため、中国国家情報法に基づくデータアクセスリスクが完全に排除される
- GDPR、APPI、CCPAなど各国のデータ保護法への準拠が容易になる
- モデルの動作を完全に監視・制御できる(ログ取得、入出力フィルタリング)
- ただし、モデルウェイトに埋め込まれたバイアスやCCP寄りの応答傾向は、セルフホスティングでも完全には排除できない。NIST CAISIの評価でKimi K2は中国語で約26%のCCP整合スコアが確認されている。また、CrowdStrikeの研究ではDeepSeek-R1が政治的に敏感なプロンプト(チベット、法輪功、ウイグル等のトピック)を含む場合、セキュリティ脆弱性のあるコードを生成する確率がベースライン19%から約27%に上昇 (約42〜50%の増加)することが30,250件のプロンプトテストで判明している
7. 各国規制と法的リスクの具体的影響
日本企業にとっての具体的リスク
2025年2月7日、官房長官・林芳正 が全省庁に対しDeepSeek利用に関する 注意喚起 を発出し、「入力データが中国サーバーに保管され、中国法の適用を受ける」ことを明示した。 トヨタ自動車 (情報セキュリティの観点から利用禁止)、 三菱重工 (チャットボット不使用方針)、 ソフトバンク (社内ネットワークでのアクセス制限・社用デバイスへのダウンロード禁止)など主要企業が従業員のDeepSeek使用を禁止している。
日経アジアは「日本政府はDeepSeekへのセキュリティ懸念への対応に限界があり、個人データ保護法の間隙に陥っている可能性がある」と報じている。
個人情報保護法(APPI) の観点では、中国はAPPIのホワイトリスト対象国ではなく(現在はEU/EEA・英国のみが2019年1月23日のPPC十分性認定に基づき指定)、個人データの越境移転には以下のいずれかが必要となる。
- 本人の事前同意(移転先国の個人情報保護制度・受領者が講ずる保護措置の情報提供を含む)
- 受領者が同等の保護水準を確保 していることの契約による担保(データ移転契約またはBCR)
- 国際的フレームワークの認証(APEC CBPRシステム等)
中国のPIPL(2021年11月施行)はGDPR/APPI類似の法制度だが、国家情報法・サイバーセキュリティ法・データ安全法・反スパイ法による政府アクセス権限の存在により、APPI上の「同等の保護水準」の要件を満たさないと解釈されるリスクが高い。EDPBが委託した2021年の調査でも、政府によるデータアクセスの可能性を理由に中国のデータ保護水準が批判されている。日本企業がAPI経由で個人データを中国系AIに送信する場合、APPI違反のリスクが生じる。
2025年5月28日に国会で成立した 「人工知能関連技術の研究開発及び活用の促進に関する法律」 (2025年9月全面施行)はイノベーション促進を主眼とした フレームワーク型のソフトロー であり、EU AI Actのような拘束力のある義務や直接的な罰金規定はない。中国AIの利用を直接禁止する規定もないが、既存法(APPI、不正競争防止法、刑法)による間接的な規制は適用される。違反に対しては助言・情報提供要求・公表(ネームアンドシェーム)が可能だが、直接的な罰金は課されない。
GDPR準拠が必要な欧州企業へのリスク
中国はEUの 十分性認定を取得しておらず、取得の見込みもない。中国へのデータ移転には標準契約条項(SCC)等の追加的保護措置が必要となるが、中国の国家情報法による政府アクセス権限はSCCによる保護を実質的に無効化する。
これは Schrems II判決 の論理と同じ構造である。Schrems IIではFISA Section 702に基づく米国政府の監視プログラムを理由にEU-US Privacy Shieldが無効化されたが、同じ論理が 中国にはさらに強力に適用される。中国では独立した司法監視が存在せず、国家情報法が明示的に組織と市民に情報活動への協力を義務付けているためだ。noyb(欧州デジタル権利センター)は2025年1月にTikTok、AliExpress、SHEIN、Temu、WeChat、Xiaomiに対し中国へのデータ移転に関するGDPR違反の訴えを提起している。
先例として、2025年5月にアイルランドDPCがTikTokに対し、欧州ユーザーの個人データを中国に違法に移転したとして EUR 5.3億(約530億円)のGDPR罰金 を課した。これはGDPR史上最大級の罰金の一つであり、中国へのデータ移転リスクの深刻さを示す重要な先例である。
DeepSeekは特に深刻で、プライバシーポリシーに GDPR、SCC、EU域内の代理人(GDPR第27条)に関する記載がなく、イタリアのGaranteが2025年1月30日にアプリの差し止めを命令した。フランスCNIL、アイルランドDPC、ベルギーDPA、オランダAP、ドイツ・ベルリンDPCも正式調査を開始または違法性を宣言している。ドイツ・ベルリンのデータ保護委員Meike Kampは2025年6月にDeepSeekのデータ移転を「違法」と宣言し、AppleとGoogleにアプリの「違法コンテンツ」としての削除を要請している。
Alibaba Cloud(Qwen)は比較的GDPR対応が進んでおり、EU Cloud Code of Conduct準拠(SCOPE Europeによる独立監視機関の検証済み)、ISO 27701取得、C5認証取得、GDPR対応を2018年5月25日の施行時から表明しているが、Alibaba Group自体が中国法の適用を受ける親会社を持つ 点は構造的リスクとして残る。
各国政府によるDeepSeek禁止・規制状況
DeepSeekは3モデルの中で最も多くの規制措置を受けている。
国家レベル:
| 国 | 措置 | 時期 |
|---|---|---|
| イタリア | 全国禁止(アプリストア削除) | 2025年1月30日 |
| オーストラリア | 政府デバイス全体禁止 | 2025年2月4日 |
| 台湾 | 政府機関・公営企業・公立学校禁止 | 2025年2月 |
| 韓国 | 政府デバイス禁止・アプリストア削除 | 2025年2月 |
| カナダ | 政府デバイス制限 | 2025年2月 |
| オランダ | 公務員の使用禁止 | 2025年2月(スパイ懸念) |
| チェコ | 公共行政での使用禁止 | 2025年7月(NUKIBが「高脅威」評価) |
| インド | 財務省でAIツール(DeepSeek/ChatGPT)禁止 | 2026年2月 |
米国連邦機関: 海軍(2025年1月24日)、国防総省/DISA(1月28日)、NASA(1月31日)、商務省、下院が禁止。
米国州レベル: テキサス州(2025年1月31日、知事行政命令で最初に禁止)、ニューヨーク州(2月10日)、バージニア州が禁止。
テキサス州は2026年1月26日にさらに禁止対象を拡大。中国関連企業26社を追加し合計50社のブラックリストとしたが、この中に Alibaba および Moonshot AI も含まれている。ただしこれはテキサス州政府機関・職員を対象とした規制であり、民間セクターや一般市民には適用されない。
連邦レベルでは 「No DeepSeek on Government Devices Act」 が上院(S.765、2025年2月27日提出)と下院(H.R. 1121、2月7日提出)で法案化されているが、いずれも委員会審議中。GovTrackの予測では委員会通過率15%、成立率6%と低い。
8. シャドーAIの深刻な脅威
Harmonic Securityが米英の約14,000ユーザーを対象に30日間行動分析を実施した結果、企業従業員の 約7.95%(約12人に1人) が中国系GenAIツールを業務に使用していた。
| 項目 | 値 |
|---|---|
| 中国GenAIツール使用者数 | 1,059人 |
| 機密データ漏洩インシデント | 535件 |
| 最も使用されているツール | Kimi Moonshot(DeepSeekの約3.5倍のトラフィック量) |
| 2位 | DeepSeek |
漏洩した機密データの内訳は、コード・開発成果物(32.8%)、M&A文書(18.2%)、個人識別情報(17.8%)、財務データ(14.4%)となっている。
Kimi MoonshotがDeepSeekを上回り、企業内で最も利用されている中国系AIツール である点は注目に値する。DeepSeekへの注目が集まる一方で、Kimiの利用拡大はシャドーAI対策において見落とされがちなリスクである。
IBM の2025年データ侵害コスト報告書によると、AI関連の侵害事案は1件あたり 65万ドル超 のコストを生じ、GDPR違反の場合は 全世界売上の4% が罰金上限となる。IT部門によるアクセス制御とDLP(Data Loss Prevention)の導入が不可欠である。
9. 総合セキュリティ比較と実務的推奨
3モデルの総合リスク評価
| リスクカテゴリ | Kimi K2.5 | DeepSeek | Qwen3.5 |
|---|---|---|---|
| データ主権リスク(API利用時) | 🔴 高(中国のみ) | 🔴 高(中国のみ) | 🟡 中(リージョン選択可) |
| データ再学習リスク | 🔴 高(オプトアウト無し) | 🟡 中(オプトアウト有り) | 🟢 低(不使用を明言) |
| セキュリティ認証 | 🔴 なし(未検証の主張のみ) | 🔴 なし | 🟢 包括的に取得(40+認証) |
| 過去のインシデント | 🔴 重大(DB漏洩、iOS脆弱性、鍵ハードコード) | 🔴 重大(DB漏洩、3DES/ATS無効化、China Mobile接続) | 🟡 中(顧客起因の事故のみ) |
| API技術セキュリティ | 🟡 基本的 | 🟡 基本的 | 🟢 エンタープライズ級 |
| 監査機能 | 🔴 なし | 🔴 なし | 🟢 ActionTrail(90日+延長可) |
| 政府規制措置 | 🟡 テキサス州で禁止(2026年1月) | 🔴 多数の国・州で禁止 | 🟡 テキサス州で禁止(2026年1月) |
| セルフホスト容易性 | 🟢 Modified MIT | 🟢 MIT(最も自由) | 🟢 Apache 2.0 |
| 政府との資本関係 | 🟡 間接的(Alibaba/Tencent経由) | 🟢 低い(自己資金型) | 🟡 中(ゴールデンシェア等) |
| CCPバイアスリスク | 🟡 中(CAISI: 中国語26%、英語7%) | 🔴 高(検閲88%、脆弱コード+50%) | 未評価 |
| 総合リスク(API利用時) | 🔴 高リスク | 🔴 高リスク | 🟡 中リスク |
| 総合リスク(セルフホスト時) | 🟢 低リスク | 🟢 低リスク | 🟢 低リスク |
日本企業向け具体的推奨事項
機密データを扱う場合 は、3モデルいずれもAPI利用を避け、セルフホスティング一択 である。DeepSeek-R1(MITライセンス)またはQwen3.5-397B-A17B(Apache 2.0)を自社GPU環境にデプロイし、データが社内インフラから出ない構成とすべきである。蒸留モデル(DeepSeek-R1-Distill-8B等)であれば比較的小規模なGPUリソースで運用可能であり、16GB VRAMのGPU 1台から始められる。
非機密データでのAPI利用 が必要な場合、Qwen3.5をAlibaba Cloud International経由で シンガポールまたは米国リージョン を指定して利用することが、3社の中では最もリスクが低い。ISO 27001、SOC 2、監査ログ(ActionTrail)、リージョン別データレジデンシー、AES-256暗号化、PrivateLink VPC接続が確保されている。ただし、Alibaba Groupが中国法人を親会社に持ち、ゴールデンシェアによる政府の影響力が存在する点は認識した上で判断すべきである。
APPIコンプライアンス の観点では、個人情報を含むプロンプトは中国系AIのAPIに送信しないことが原則である。やむを得ない場合は、データの匿名化・仮名化処理を施し、本人同意取得(移転先国の制度情報提供を含む)を行った上で、データ移転契約を締結する必要がある。
GDPR準拠が必要な欧州企業への推奨事項
API利用の場合:Qwen3.5の米国リージョン(EU-US Data Privacy Frameworkが適用可能)のみが現実的な選択肢である。DeepSeekとKimi K2.5は GDPR準拠が不可能 と判断すべきであり、使用自体を禁止することが推奨される。TikTokに対するEUR 5.3億の罰金先例を踏まえ、DPIAの実施と記録が必須である。
セルフホスティングの場合:Apache 2.0ライセンスのQwen3.5またはMITライセンスのDeepSeek-R1をEU域内のインフラにデプロイすることで、GDPR上のデータ移転問題を回避できる。EU AI Actの汎用AIモデル(GPAI)義務(2025年8月2日発効)への対応として、技術文書の整備とリスク評価の実施が必要である。 主要な中国系AI企業(Alibaba、Baidu、DeepSeek)はEU AI ActのGPAI Code of Practiceに署名していない ため、デプロイヤー側がコンプライアンス責任を全面的に負う。
セキュリティ最優先のベストプラクティス
-
セルフホスティングを基本戦略とする:オープンウェイトモデルを自社またはプライベートクラウド上にデプロイし、データの外部送信を排除する。vLLMやSGLangを用いた推論サーバーの構築が標準的なアプローチである
-
プロキシ/ゲートウェイによるデータフィルタリング:APIを利用する場合、アプリケーションとAI APIの間にプロキシレイヤーを配置し、個人情報、認証情報、機密コードの自動検出・マスキングを行う
-
シャドーAI対策の強化:Harmonic Securityの調査では企業従業員の約8%が中国系AIツールを使用し、 Kimi MoonshotがDeepSeekの約3.5倍のトラフィック で最も利用されている。IT部門によるアクセス制御とDLPの導入が不可欠である
-
モデル出力のバイアス検証:NIST CAISIの評価でKimi K2が中国語で約26%のCCP整合スコアを示し、CrowdStrikeの研究でDeepSeek-R1が政治的に敏感なプロンプトで セキュリティ脆弱性のあるコードを生成する確率が約42〜50%上昇する ことが判明している。セルフホスティング時でも出力の品質・安全性モニタリングは必須である
-
法的・コンプライアンスフレームワークの整備:データ保護影響評価(DPIA)の実施、データ処理契約の締結、定期的なリスク再評価を制度化する。米中関係の変化による制裁リスクの動向を継続的にモニタリングし、代替モデルへの移行計画を準備しておく
結論として浮かび上がる構造的な教訓
今回の調査で最も明確になったのは、中国系AIモデルのAPI利用における最大のリスクは技術的脆弱性ではなく、法制度に起因する構造的リスク だという点である。中国国家情報法は企業の意思とは無関係にデータアクセスを可能にする法的枠組みを提供しており、いかなるセキュリティ認証や暗号化技術もこのリスクを排除できない。
しかし同時に、3モデルすべてがオープンウェイトモデルとして公開されている現状は、セルフホスティングによる完全なリスク回避が現実的に可能 であることを意味する。特にDeepSeek-R1のMITライセンスとQwen3.5のApache 2.0は、商用利用に実質的な制約がなく、企業がデータ主権を完全に確保しながら最先端のAI能力を活用できる道を開いている。
各モデルの性能・コスト・アーキテクチャの詳細比較は 中国発3大AIモデル徹底比較 を参照されたい。APIの安価な利用コストは魅力的だが、機密データを扱う企業にとっては、セルフホスティングへの初期投資が最も合理的なセキュリティ対策であるという結論に至る。
更新履歴
| 更新日 | 内容 |
|---|---|
| 2026-02-24 | 初版公開 |
ご注意: 本記事は2026年2月24日時点の情報に基づいています。各国の規制状況やセキュリティインシデントの状況は急速に変化するため、最新情報は各社の公式ドキュメントおよび各国規制当局の発表をご確認ください。