AIノートGranolaのデータ学習設定と共有リンクの落とし穴

3行要約

• 人気AIノートアプリ「Granola」において、デフォルト設定では共有リンクを知る全員がノートを閲覧可能な状態であることが判明した。
• ユーザーが明示的に拒否（オプトアウト）しない限り、入力されたデータは内部のAIモデル学習に利用される仕様となっている。
• 業務情報を扱う実務家は、即座にプライバシー設定の見直し、あるいは秘匿情報の入力を停止する判断が求められる。

何が起きたのか

AIを搭載したノート作成ツールとして急速にユーザーを増やしている「Granola」について、そのプライバシー保護の実態が公式の主張と乖離していることがThe Vergeの報道により明らかになりました。Granolaは「Private by default（デフォルトでプライベート）」を謳っていますが、実際には生成された共有URLを知っている人間であれば、認証なしで誰でも内容を閲覧できる仕様です。これはWebサービスでよく見られる「推測困難なURLによるセキュリティ（Security by Obscurity）」に頼った設計であり、エンタープライズ用途で求められる厳格なアクセス制御とは程遠い状態と言わざるを得ません。

さらに深刻なのは、ユーザーのノート内容がAIのトレーニングに使用される点です。これもデフォルトで有効になっており、ユーザーが設定画面の奥深くでオプトアウトしない限り、会議の議事録や個人の思考ログがモデルの改善に転用されます。昨今、ChatGPTやClaudeなどの大手ベンダーが「法人向けプランでは学習に利用しない」という姿勢を明確にする中で、プロダクティビティツールを標榜するアプリがこの初期設定を採用していることは、データガバナンスの観点から大きなリスクです。

この問題が今このタイミングで注目された背景には、AIツールのコモディティ化があります。多くのユーザーが「AIツール＝便利」という認識で、プライバシーポリシーを読まずに機密情報を入力するようになっています。SIer出身の私の視点から見れば、顧客の機密情報を扱う会議でこのような設定のツールを使うことは、情報漏洩事故と同義です。URLが一度チャットツールやメールに載れば、その制御を失うことと同じだからです。

技術的に何が新しいのか

技術的な観点で見れば、Granolaの設計は「利便性とデータの囲い込み」を最優先したスタートアップ特有の構成と言えます。従来の多くのSaaSは、データの閲覧にセッション認証（ログイン）を必須としますが、Granolaの共有リンクは静的な公開ページとしてレンダリングされる仕組みです。これにより、受け取り側はログインの手間なく内容を確認できるという「摩擦のない体験」を実現していますが、その代償として認証認可の階層をスキップしています。

AI学習へのデータ利用についても、その仕組みを掘り下げると興味深い点が見えてきます。Granolaのようなラッパーに近いサービスでは、基盤モデル（GPT-4oなど）を叩くだけでなく、ユーザーの入出力結果を独自のファインチューニングやRAG（検索拡張生成）の精度向上に活用する「データ・フライホイール」を構築しようとします。

具体的に、彼らがどのようにデータを処理している可能性があるか、SIer的な視点での推測は以下の通りです。

1. 入力されたテキストからPII（個人を特定できる情報）を完全に除去せずに、特定のドメイン知識（業界用語や会議の文脈）としてベクトル化して保存。
2. オプトアウトされていないノートを、小規模な言語モデル（SLM）の学習用データセットとして再構成。
3. 共有URLを発行した際、メタタグに noindex を付与しているものの、URL自体はグローバルにアクセス可能なS3バケットやエッジキャッシュ上に公開。

これに対し、プライバシーを重視する近年の設計思想では、「ゼロ知識証明」や「E2E暗号化」を取り入れるのが定石です。例えば、ユーザーのブラウザ側で鍵を持ち、サーバー側では暗号化されたバイナリしか見えない状態にする手法です。しかし、Granolaのようにサーバー側で高度なAI処理（要約や整形）を行うツールでは、平文のテキストにアクセスする必要があるため、この「利便性と安全性のトレードオフ」が発生しやすくなります。

数字で見る競合比較

この比較からわかる通り、Granolaの最大の売りは「月額$10」という安価な価格設定とUXの軽快さです。しかし、法人利用を前提としたNotion AIなどが「デフォルトで学習に使わない」と明言しているのに対し、Granolaはユーザーのデータを「燃料」にすることでコストを抑えている側面が見て取れます。実務で使う場合、この$10の差を「情報漏洩リスク」で支払っていると考えるべきです。

開発者が今すぐやるべきこと

この記事を読んでいるあなたが、開発者や企業のIT担当者であれば、以下の3つのアクションを即座に実行することを推奨します。

1. 設定の監査とオプトアウトの強制 Granolaを使用している場合、設定画面の「Privacy」または「Data Usage」の項目を確認し、“Help us improve our AI”（AIの改善に協力する）といった項目のトグルをオフにしてください。同時に、過去に発行した共有リンクをすべて無効化するか、機密情報が含まれるノートを削除する作業が必要です。

2. 代替ツールの選定または自作RAGへの移行 もし情報の秘匿性が高い業務に従事しているなら、クラウド型のノートアプリから「Obsidian + Local LLM」のような構成への移行を検討してください。私はRTX 4090を2枚挿した自前サーバーで、Llama 3やMistralを動かしてノートの要約を行っています。API経由であれば、OpenAIのAPI（Tier 1以上）はデフォルトで学習に利用されないため、自作のツールを使う方が遥かに安全です。

3. 内部規定の更新 「リンクを知っている全員が閲覧可能」という状態が、自社のセキュリティポリシーに抵触しないかを法務・セキュリティ部門と確認してください。多くの場合、パスワード保護や多要素認証（MFA）を介さない情報の外部共有は禁止されているはずです。Granolaの使用を「個人利用のみ」に限定するか、会社として利用を禁止するかの明確なラインを引くべきです。

私の見解

正直に言いましょう。私はGranolaのような「デフォルト学習あり、リンク公開あり」の姿勢には明確に反対です。SIer時代、数億円をかけて堅牢なシステムを組んできた人間からすると、便利さと引き換えにセキュリティの基本を疎かにする今のAIアプリブームには強い危惧を覚えます。

特に「Private by default」という言葉の使い方が不誠実です。URLを知っていれば誰でも見られる状態を、エンジニアリングの世界では「プライベート」とは呼びません。それは単なる「非公開（Unlisted）」です。ユーザーは「自分しか見られない」という意味でプライベートという言葉を解釈しますが、開発側は「検索エンジンにインデックスされない」程度の意味で使っている。この認識のギャップを突いたマーケティングは、長続きしないでしょう。

私は、3ヶ月以内にGranolaはこの方針を転換せざるを得なくなると予測しています。具体的には、共有リンクへのパスワード付与機能の追加、あるいは「学習に利用しない」ことを前提とした上位の法人プランの発表です。そうしない限り、セキュリティ意識の高いプロフェッショナル層は一斉に離反し、ObsidianやReflectionのような「ローカルファースト」なツールに流れることになるでしょう。

AIは魔法ではありません。計算資源にはコストがかかり、そのコストを誰がどう支払うかという構造を理解する必要があります。あなたのデータが「支払い」に充てられているのだとしたら、その対価が見合っているのか、今一度冷静に判断すべき時です。

よくある質問

Q1: 共有リンクを発行しなければ、データは安全ですか？

いいえ、安全とは言えません。リンクを発行しなくても、デフォルト設定ではAIモデルの学習にデータが利用されます。あなたの思考プロセスや会議の内容が、他人のAI回答の構成要素として使われる可能性があるということです。

Q2: 会社でGranolaを使うのは避けるべきでしょうか？

現状の仕様では、避けるべきです。特に顧客名、プロジェクト名、未発表の技術仕様などを入力する場合、リンクの漏洩やAI学習を通じた間接的な情報流出のリスクを制御できません。NotionやChatGPT Enterpriseのような、エンタープライズ向けの契約があるツールを推奨します。

Q3: 過去に作成したノートの学習を止めることはできますか？

オプトアウト設定を有効にすれば、それ以降の学習は停止されますが、すでに学習用データセットに組み込まれてしまったデータを完全に「忘却」させることは技術的に非常に困難です。重要な機密情報を入力してしまった場合は、アカウントの削除を含めた対応が必要になるケースもあります。

【重要】メタデータ出力

1. X投稿用ツイート本文 (TWEET_TEXT) 2. アフィリエイト商品情報 (AFFILIATE_CONTEXT)

3. SNS拡散用ハッシュタグ (HASHTAGS) 4. SEOタグ (SEO_TAGS) 5. URLスラッグ (SLUG)