米国には「秘匿特権(attorney-client privilege)」という法理があります。これは、会社や個人が法的な助言を受けるために弁護士と秘密にやり取りした内容について、裁判や公的調査で相手方や政府から「その中身を出せ」と求められても、原則として開示を拒めるというルール。依頼者が弁護士に不利な事実も含めて率直に伝え、適切な助言を受けられるようにするための仕組みです。
日本では米国ほど広く一律に開示を拒める制度がないこともあって、なじみの薄い概念かもしれません。しかし、2026年2月に米国で発生している秘匿特権を争う裁判が、AI時代のガバナンスを考える法務パーソンに刺さる問いを突きつけました。
「AIに入力した情報は、誰のものか」
「その情報の秘密は、どこまでが守られ、どこで失われるのか」
この問いは、秘匿特権のある米国だけの話ではありません。自社の機密情報をAIサービスに渡すとき、その情報がどう扱われるかは、日本企業にとっても同じく切実な問題です。
United States v. Heppner事件(1:25-cr-00503-JSR, SDNY 2026)は、ニューヨーク南部地区連邦地方裁判所のジェド・ラコフ判事による、生成AIと秘匿特権に関する全米初の判断です(Akin Gumpが公判前決定のメモランダムPDFを含む解説を公開しています)。
証券詐欺等の容疑で逮捕されたHeppnerは、弁護人を選任した後、消費者向け無料版のClaudeを使い、自ら防御戦略の分析レポートを作成していました。さて、これが弁護士への相談であれば、国や相手方から「その中身を出せ」と言われても、秘匿特権によって一定の範囲で相談の秘密を守れるはずなのですが、無料版のClaudeに読み込ませた文書にそれは認められるのでしょうか。
Paul, Weissの解説がわかりやすいので一読をお勧めしますが、結論として、ラコフ判事は秘匿特権の適用を否定しました。
ここで注意すべきは、裁判所が何を根拠に判断したかです。本件でラコフ判事が評価したポイントは、AIの裏側を支える技術的なアーキテクチャではありません。見たのは以下の3点です。
つまり、せっかくの秘匿特権を吹き飛ばしたのは、利用規約・プライバシーポリシーの中身と、第三者への自発的開示に等しい行為が事実として認定されたためです。
しかし、この事件を取り上げて「ほら見ろ、だからAIを使わせるのは危険だ」で終わらせるのは早計です。
注目すべきは、ラコフ判事がわざわざ付言した部分です。Gibson Dunnの解説でも強調されていますが、データの機密性が担保されたエンタープライズ版AIを、弁護士の指示の下で利用していた場合には、結論が異なり得たと示唆しています。
さらに本件では、Kovel doctrine(弁護士の秘匿特権を業務上の非弁護士専門家にも拡張する法理)の適用可能性にまで言及しています。つまりこの公判前決定は、AIの利用環境を正しく選べば秘匿特権が維持される道筋を、反対解釈によって同時に示してもいるのです。
今回の公判前決定の射程を正確に言えば、裁判所はAIサービスの技術的な構造そのものには踏み込んでいません。評価したのはあくまで、利用規約・プライバシーポリシーの文言から導かれる「機密性の期待の有無」です。
では、法務パーソンは利用規約さえ読めればいいのか。私はそうは思いません。なぜかといえば、利用規約・プライバシーポリシーに何が書かれるか、どこに気を付けてチェックすればいいかは、サービスの技術的な設計と強く連動しているからです。
AIツールの利用環境は、データの所在と管理主体によって大きく4つに分けられます。
これらはSaaS・クラウドサービスのリスク分析でもよく見た分類です。違いはといえば、クラウド時代を迎えて死語になりつつあった「ローカル」がここへ来て復権したことでしょうか。これは、AIエージェントに扱わせる情報を物理的に隔離する必要がでてきたためです。
この4分類と利用規約の関係はこうです。一般的に、ローカルやオンプレミスでは「訓練利用」や「第三者開示」の条項はそもそも問題になりにくい。また、シングルテナント・クラウドでは、規約上も訓練利用を排除する設計が一般的です。しかし、マルチテナントの消費者向けサービスでは、訓練利用と第三者開示の留保がデフォルトで規約に組み込まれていることが多い。Heppner事件のClaudeの無料版も、まさにこのパターンでした。
注意したいのは、この対応関係は「一般的にそうなりやすい」という傾向であって、技術構造が直接に法的結論を決めるわけではないという点です。
セキュリティ的に望ましいとされるシングルテナントであっても、規約に訓練利用・第三者開示の留保・ベンダー技術者による監視(目視)権があれば秘匿特権の維持は危うくなり得ます。逆に、マルチテナントでも規約で機密性を保証する設計は理論的にはあり得る。最終的に裁判所が見るのはあくまで規約と運用の実態です。しかし、技術構造を知らなければ、目の前の規約の条項がなぜそう書かれているかの背景が読みとれません。
規約の文言を「点」で読むのではなく、技術的な仕組みという「面」で理解するために、この4つの箱を頭に入れておく意味があります。
会社がSaaS・クラウドを使うとき、自社データがどこに置かれ、誰がアクセスでき、どう管理されるかを確認するのは、法務にとって今さら珍しいことではないはずです。
ところが、AI時代を迎え、クラウド時代のセキュリティ知識だけでは済まないもう一つのリスク要因が掛け算で加わってきます。エージェント技術です。
以前の記事でも書いたとおり、Claude CodeやCoworkのようなAIエージェントは、指定されたフォルダの中でファイルを読み書きし、コマンドを実行し、ブラウザを操作するところまで自律的にやります。なんならファイルを削除することすらします。つまり、データがどこに保管されるかという「箱」の問題に加えて、その箱の中でAIが何をどこまで操作できるかという「手足の自由度」の問題が上乗せされるのです。
もし、クラウドのアーキテクチャすら正確に理解できていない状態で、さらにAIエージェントの権限設計まで判断しなければならないとすれば、大きなリスクを見誤る可能性があります。これが、AI時代の法務パーソンが直面しているリアルな難易度です。
Heppner事件で秘匿特権が否定されたのは、一見すると「無料AIなんて使っちゃうからだよ」で片づけられてしまいがちですが、そうではなく、利用規約を確認せずに、訓練利用と第三者開示の留保があるサービスに機密情報を入力したからです。
この区別がつかないまま「AI導入は法的・セキュリティリスクだ」と叫んでも、出てくる結論は「AI全面禁止」の一択にしかなりません。それは法的助言ではなく、恐怖に駆られて反射的に踏んだブレーキでしかありません。
以前の記事で書いたとおり、AIガバナンスの実体は「情報アクセス(ディレクトリ/フォルダ)のパーミッション設定」に帰着します。どこにあるファイルをAIに開放するか、読み取りだけか書き込みも許すかという設計判断。Heppner事件は、その延長線上にある話です。フォルダ権限が物理的なアクセス範囲の制御なら、利用規約の理解は法的なアクセス範囲の認識。どちらもAIに何をどこまで委ねるかの設計であり、その設計にはAIの技術構造の理解が不可欠です。
法務が禁止しようがしまいが、社員は(Heppnerがそうであったように)便利なAIツールを使おうとします。そのとき法務が「リスクがあるから様子を見てしばらく全面禁止」で押し通すのか、「このサービスはシングルテナントで動くエンタープライズ版で、規約上も訓練利用・第三者開示がないから、この範囲で利用可。弁護士関与の場合は、秘匿特権を確保するためにも以下の手順を踏むこと」と、適切な利用設計を素早く組むのか。前者は、法務としての役割放棄と言っても過言ではないでしょう。
Heppner事件は、AIの脅威を示した判例ではありません。AIの技術を知らずにAIのリスクを語ることの脅威を示した判例です。リスクを叫ぶなら、まず仕組み・技術を理解し、そこに法や契約を掛け合わせたときに発生するであろう事象を正確に予測できるようになってからです。
日本では米国ほど広く一律に開示を拒める制度がないこともあって、なじみの薄い概念かもしれません。しかし、2026年2月に米国で発生している秘匿特権を争う裁判が、AI時代のガバナンスを考える法務パーソンに刺さる問いを突きつけました。
「AIに入力した情報は、誰のものか」
「その情報の秘密は、どこまでが守られ、どこで失われるのか」
この問いは、秘匿特権のある米国だけの話ではありません。自社の機密情報をAIサービスに渡すとき、その情報がどう扱われるかは、日本企業にとっても同じく切実な問題です。
何も確認せずにAIに機密情報を入れたら、秘匿特権は吹き飛ぶ
United States v. Heppner事件(1:25-cr-00503-JSR, SDNY 2026)は、ニューヨーク南部地区連邦地方裁判所のジェド・ラコフ判事による、生成AIと秘匿特権に関する全米初の判断です(Akin Gumpが公判前決定のメモランダムPDFを含む解説を公開しています)。
証券詐欺等の容疑で逮捕されたHeppnerは、弁護人を選任した後、消費者向け無料版のClaudeを使い、自ら防御戦略の分析レポートを作成していました。さて、これが弁護士への相談であれば、国や相手方から「その中身を出せ」と言われても、秘匿特権によって一定の範囲で相談の秘密を守れるはずなのですが、無料版のClaudeに読み込ませた文書にそれは認められるのでしょうか。
Paul, Weissの解説がわかりやすいので一読をお勧めしますが、結論として、ラコフ判事は秘匿特権の適用を否定しました。
ここで注意すべきは、裁判所が何を根拠に判断したかです。本件でラコフ判事が評価したポイントは、AIの裏側を支える技術的なアーキテクチャではありません。見たのは以下の3点です。
- Anthropic社のプライバシーポリシーに、ユーザーの入力データをモデルの学習に使用すると明記されていたこと
- 同ポリシーに、政府規制当局を含む第三者へのデータ開示の権利が留保されていたこと
- 被告が自発的に第三者のプラットフォームに情報を開示しており、通信における「合理的な機密性の期待」が存在しなかったこと
つまり、せっかくの秘匿特権を吹き飛ばしたのは、利用規約・プライバシーポリシーの中身と、第三者への自発的開示に等しい行為が事実として認定されたためです。
しかし、この事件を取り上げて「ほら見ろ、だからAIを使わせるのは危険だ」で終わらせるのは早計です。
注目すべきは、ラコフ判事がわざわざ付言した部分です。Gibson Dunnの解説でも強調されていますが、データの機密性が担保されたエンタープライズ版AIを、弁護士の指示の下で利用していた場合には、結論が異なり得たと示唆しています。
さらに本件では、Kovel doctrine(弁護士の秘匿特権を業務上の非弁護士専門家にも拡張する法理)の適用可能性にまで言及しています。つまりこの公判前決定は、AIの利用環境を正しく選べば秘匿特権が維持される道筋を、反対解釈によって同時に示してもいるのです。
裁判官が見たのは「規約」、ではなぜ「技術」を知る必要があるのか
今回の公判前決定の射程を正確に言えば、裁判所はAIサービスの技術的な構造そのものには踏み込んでいません。評価したのはあくまで、利用規約・プライバシーポリシーの文言から導かれる「機密性の期待の有無」です。
では、法務パーソンは利用規約さえ読めればいいのか。私はそうは思いません。なぜかといえば、利用規約・プライバシーポリシーに何が書かれるか、どこに気を付けてチェックすればいいかは、サービスの技術的な設計と強く連動しているからです。
AIツールの利用環境は、データの所在と管理主体によって大きく4つに分けられます。
- ローカル ── AIモデルを自分のPC上で直接動かす方式。データは外部に一切出ない。機密性は最も高いが、現時点では最先端モデルと同等の性能を得るのは難しい。
- オンプレミス ── 自社サーバーにAIモデルを設置して動かす方式。データは社内ネットワークの中に留まる。銀行や製薬会社など、高度な規制産業で採用されるパターン。
- シングルテナント・クラウド ── クラウド上に自社専用の環境を構築する方式。原則として他社のデータとは物理的・論理的に分離されており、モデル訓練にもユーザーデータは使われないことが一般的。Claude Enterpriseや各クラウドプロバイダー上でのプライベートデプロイがこれに近い。
- マルチテナント・クラウド ── claude.aiの無料版やChatGPTの無料版がこれ。多数のユーザーが同じインフラを共有し、利用規約次第でデータがモデル訓練に使われ得る。Heppner事件で問題になったのは、この環境。
これらはSaaS・クラウドサービスのリスク分析でもよく見た分類です。違いはといえば、クラウド時代を迎えて死語になりつつあった「ローカル」がここへ来て復権したことでしょうか。これは、AIエージェントに扱わせる情報を物理的に隔離する必要がでてきたためです。
この4分類と利用規約の関係はこうです。一般的に、ローカルやオンプレミスでは「訓練利用」や「第三者開示」の条項はそもそも問題になりにくい。また、シングルテナント・クラウドでは、規約上も訓練利用を排除する設計が一般的です。しかし、マルチテナントの消費者向けサービスでは、訓練利用と第三者開示の留保がデフォルトで規約に組み込まれていることが多い。Heppner事件のClaudeの無料版も、まさにこのパターンでした。
注意したいのは、この対応関係は「一般的にそうなりやすい」という傾向であって、技術構造が直接に法的結論を決めるわけではないという点です。
セキュリティ的に望ましいとされるシングルテナントであっても、規約に訓練利用・第三者開示の留保・ベンダー技術者による監視(目視)権があれば秘匿特権の維持は危うくなり得ます。逆に、マルチテナントでも規約で機密性を保証する設計は理論的にはあり得る。最終的に裁判所が見るのはあくまで規約と運用の実態です。しかし、技術構造を知らなければ、目の前の規約の条項がなぜそう書かれているかの背景が読みとれません。
規約の文言を「点」で読むのではなく、技術的な仕組みという「面」で理解するために、この4つの箱を頭に入れておく意味があります。
AIエージェントレイヤーの掛け算によって複雑化するリスク判断
会社がSaaS・クラウドを使うとき、自社データがどこに置かれ、誰がアクセスでき、どう管理されるかを確認するのは、法務にとって今さら珍しいことではないはずです。
ところが、AI時代を迎え、クラウド時代のセキュリティ知識だけでは済まないもう一つのリスク要因が掛け算で加わってきます。エージェント技術です。
以前の記事でも書いたとおり、Claude CodeやCoworkのようなAIエージェントは、指定されたフォルダの中でファイルを読み書きし、コマンドを実行し、ブラウザを操作するところまで自律的にやります。なんならファイルを削除することすらします。つまり、データがどこに保管されるかという「箱」の問題に加えて、その箱の中でAIが何をどこまで操作できるかという「手足の自由度」の問題が上乗せされるのです。
もし、クラウドのアーキテクチャすら正確に理解できていない状態で、さらにAIエージェントの権限設計まで判断しなければならないとすれば、大きなリスクを見誤る可能性があります。これが、AI時代の法務パーソンが直面しているリアルな難易度です。
「AI利用の全面禁止」は法務の役割放棄
Heppner事件で秘匿特権が否定されたのは、一見すると「無料AIなんて使っちゃうからだよ」で片づけられてしまいがちですが、そうではなく、利用規約を確認せずに、訓練利用と第三者開示の留保があるサービスに機密情報を入力したからです。
この区別がつかないまま「AI導入は法的・セキュリティリスクだ」と叫んでも、出てくる結論は「AI全面禁止」の一択にしかなりません。それは法的助言ではなく、恐怖に駆られて反射的に踏んだブレーキでしかありません。
以前の記事で書いたとおり、AIガバナンスの実体は「情報アクセス(ディレクトリ/フォルダ)のパーミッション設定」に帰着します。どこにあるファイルをAIに開放するか、読み取りだけか書き込みも許すかという設計判断。Heppner事件は、その延長線上にある話です。フォルダ権限が物理的なアクセス範囲の制御なら、利用規約の理解は法的なアクセス範囲の認識。どちらもAIに何をどこまで委ねるかの設計であり、その設計にはAIの技術構造の理解が不可欠です。
法務が禁止しようがしまいが、社員は(Heppnerがそうであったように)便利なAIツールを使おうとします。そのとき法務が「リスクがあるから様子を見てしばらく全面禁止」で押し通すのか、「このサービスはシングルテナントで動くエンタープライズ版で、規約上も訓練利用・第三者開示がないから、この範囲で利用可。弁護士関与の場合は、秘匿特権を確保するためにも以下の手順を踏むこと」と、適切な利用設計を素早く組むのか。前者は、法務としての役割放棄と言っても過言ではないでしょう。
Heppner事件は、AIの脅威を示した判例ではありません。AIの技術を知らずにAIのリスクを語ることの脅威を示した判例です。リスクを叫ぶなら、まず仕組み・技術を理解し、そこに法や契約を掛け合わせたときに発生するであろう事象を正確に予測できるようになってからです。
