AIチャットボットが集める個人データ、平均14項目に急増

AIチャットボットが収集する“個人データ”は想像以上に多い

Surfshark B.V.が2026年3月30日に発表した最新分析によると、人気のAIチャットボットアプリは連絡先情報、検索・閲覧履歴、位置情報、音声データ、健康・フィットネス情報など、多岐にわたるユーザーデータを収集していることが明らかになりました。調査対象となった全てのAIチャットボットは何らかのユーザーデータを収集しており、収集されるデータの種類は最大35項目中、平均で14項目にのぼります。

特に位置情報に関しては、昨年の40%から今年は70%へと収集割合が大幅に増加している点が注目されます。これは単なる利便性向上に伴う収集増加だけではなく、ターゲティング広告や第三者とのデータ共有に結び付きやすい傾向がある点で、プライバシー面での懸念を生じさせます。

Surfshark CSOによる指摘

Surfsharkの最高セキュリティ責任者（CSO）、トーマス・スタムリス氏は次のように述べています。

「チャットボットによるユーザーデータ収集は、ますます積極化しています。当社の調査では、人気のAIアプリの70%が位置情報を収集しており、これは昨年の40%から大きく増加しています。こうしたデータ収集の拡大傾向はChat（チャット）GPTにも見られ、最近では収集範囲を70%拡大し、健康・フィットネス情報、検索履歴、音声データなども対象に含まれるようになりました。従来の検索エンジンとは異なり、これらのAIは、税務書類や医療記録といった極めて機密性の高いデータも取り扱います。こうした情報は、ターゲティング広告のために大規模なサードパーティネットワークと共有される可能性があります。プライバシーを守るためには、全てのプロンプトを“公開される可能性のある情報”として扱う意識が重要です。設定を見直し、チャット履歴を削除し、公開されて困る情報は決して入力しないようにしてください」

サービス別の収集傾向：Meta AI、Gemini、ChatGPTの具体的な違い

Surfsharkの分析では、収集データの量・種類にサービスごとの差が大きく表れました。中でもMeta AIは35項目中33項目（約95%）を収集しており、調査対象の中で最も多くのデータを扱っています。金融情報カテゴリのデータを収集しているのもMeta AIのみです。

GoogleのGeminiは35項目中23項目を収集し、氏名やメールアドレス、電話番号といった連絡先情報、ユーザーコンテンツ、連絡先（端末のアドレス帳情報）、検索履歴、閲覧履歴、正確な位置情報などを取得しています。これらはプライバシーやセキュリティを重視するユーザーにとって過度に踏み込んだ収集と受け取られる可能性があります。

• Meta AI：35項目中33項目（約95%）。金融情報を含む独自の収集項目がある。
• Google Gemini：35項目中23項目。連絡先、検索・閲覧履歴、正確な位置情報など広範なデータを収集。
• ChatGPT（Apple App Storeの情報）：35項目中17項目。昨年確認の10項目から70%増加。

さらに、Meta AIとGoogle Geminiは人種・民族、性的指向、妊娠・出産、障がい、宗教・思想、労働組合加入状況、政治的見解、遺伝情報、生体情報といった機微（センシティブ）情報も収集対象に含めています。

ChatGPTの収集範囲と用途内訳

Apple社のApp Storeにおける開発者の表示によれば、ChatGPTは35項目中17項目のデータを収集する可能性が示されています。これは前年の10項目から70%の増加に相当します。

ChatGPTに新たに追加された収集項目としては、おおまかな位置情報、健康・フィットネス情報、検索履歴、音声データ、広告データ、カスタマーサポート関連情報などが挙げられます。これらのうち14項目はアプリの機能提供のために使用され、その他は以下のような用途にも用いられる可能性があります。

分析

7項目

プロダクトのパーソナライズ

4項目

開発者による広告・マーケティング

3項目

第三者広告

2項目

なお、健康・フィットネス情報および広告データはアプリの機能提供に必須ではないとしている点も明記されていますが、収集されること自体がユーザーの懸念材料になります。

ClaudeやDeepSeekの取り扱いと法的監督の違い

分析対象の中で4番目に多くのデータを収集しているClaudeは、35項目中13項目を収集しています。Claudeが収集する多くのデータは開発側によればアプリの機能提供に不可欠なものと位置付けられており、ユーザー認証、機能提供、不正防止、セキュリティ対策、サーバー稼働維持、アプリのクラッシュ軽減、スケーラビリティやパフォーマンス向上、カスタマーサポート提供などのために用いられるとされています。

ただしClaudeが収集するデータの一部は分析や開発者による広告・マーケティングなど別用途にも利用される可能性があり、たとえばおおまかな位置情報や写真・動画といったコンテンツデータがそれに該当します。機能上の必要性と、別用途への転用可能性が同居している点は留意点です。

DeepSeekの保存先と規制適用の差

DeepSeekは5番目に多くのデータを収集しており、ユーザー入力やチャット履歴などを含む13項目を扱います。調査では、必要とされる限り情報を保持し、中国に所在するサーバーに保存していると記載されています。

この点についてスタムリス氏は、米国で運営されるChatGPTやGeminiなどは米国の法規制の下で規制当局と連携している一方で、DeepSeekはGDPRのような同等の法的枠組みの対象ではない可能性があると指摘しています。監督体制の有無は説明責任やデータ保護の観点から重要であり、法的枠組みの違いがデータ保護リスクに影響を与えるとされます。

調査手法とSurfsharkの事業概要、参照先

本調査は2025年3月に開始され、2026年3月に完了しました。手法としては、人気の高いAIチャットボット上位10サービスを特定し、Apple社のApp Store上のプライバシー情報を基に各アプリが収集するデータ項目数や個人に紐づくデータの収集有無、第三者広告の有無などを比較・分析しています。

また、DeepSeekおよびChatGPTのプライバシーポリシーも確認し、どのようなデータがサーバー上に保存されるのか、保存期間についても分析しました。調査の詳細な資料はSurfsharkの公開ページで確認できます：
https://surfshark.com/research/chart/ai-chatbots-privacy

Surfsharkとは

Surfsharkは監査済みVPN、認証済みアンチウイルス、データ漏えい警告システム、プライベート検索エンジン、オンラインアイデンティティ生成ツールなどを提供するサイバーセキュリティ企業です。CNETやTechRadarなどのメディアから有力なVPNサービスとして評価され、FT1000：Europe’s Fastest Growing Companiesにも掲載されています。

本社はオランダにあり、リトアニアおよびポーランドにもオフィスを構えています。事業概要や主な取り組みについては同社の年次総括や調査レポートが参照可能です。

調査結果の要点を表で整理

以下に本記事で示した主な数値・事実をまとめます。各項目は調査時点（調査期間：2025年3月〜2026年3月）のSurfsharkによる分析に基づいています。

本表はSurfsharkの報告に基づく主要な事実を整理したもので、収集されるデータの種類や利用目的、サービス間の差異、さらには保存場所や規制適用の違いといった点が一目で分かるようになっています。ユーザー側は、プロンプトに入力する情報を”公開される可能性のある情報”として扱い、アプリの設定やチャット履歴の管理に注意を払うことが重要です。