MetaがAI対話の「Incognito Chat」を発表——WhatsAppで「Metaでさえ読めない」プライベートAI会話が始まる

5月13日（米国時間）、Metaは「Incognito Chat with Meta AI」をWhatsAppおよびMeta AIアプリ向けにローンチした。この機能の核心は一つのシンプルな主張だ——「MetaはあなたのAI会話を読めない」。

「今日私たちは、Incognito Chat with Meta AIをWhatsAppとMeta AIアプリでローンチする。AIと完全にプライベートな会話ができる新しい方法だ。あなたのIncognito Chatの会話はMetaでさえアクセスできないセキュアな環境で処理され、デフォルトで消去される」とのことである。

新しいモードは、WhatsApp上のMeta AIをMetaのPrivate Processingエンクレーブ内で動作させ、会話はデフォルトで削除され、サーバーサイドの記録は保持されない。

WhatsAppは20億人以上のユーザーを抱えており、昨年のMeta AIの統合はプライバシー擁護団体やデータ保護機関からプロンプトや応答がどのように処理されるかについて懸念を呼んでいた。Incognito ChatはプロンプトをMetaがアクセスできない状態に保つことで、暗号化メッセージングアプリにAI機能を組み込むことに対して提起されていた最も一般的な反論の一つを解決する。

この発表は、ChatGPT・Claude・Geminiが席巻するAIアシスタント市場において、Metaが「プライバシー」という軸で独自のポジションを取りに行く戦略的な一手だ。

なぜ今、AIのプライバシーが問題なのか

「AIに話しかけること」の心理的コスト

AIアシスタントが日常生活の一部となった今、人々はAIに対してある程度慣れ親しんでいる。しかし機密情報を共有することになると、ほとんどのAIユーザーはいまだかなり慎重だ。その主な理由は、各社がユーザーのAIチャットボットとの会話を何らかの形で処理・アクセスしていることを公然と認めているためだ。

健康上の悩み、財務の詳細、職場での機密事項、個人的な対人関係の問題——これらはAIが最も「役に立てる」トピックでもあるが、同時にユーザーが最も「記録されたくない」と感じるトピックでもある。この矛盾が、AI活用の普及を妨げる摩擦として機能してきた。

「インコグニートモード」の名称が持つ誤解リスク

他のアプリもインコグニートスタイルのモードを導入しているが、それらは依然として受信したクエリと送信した回答を見ることができる場合がほとんどだ。ブラウザの「シークレットモード」がサービスプロバイダーへのデータ送信を防ぐわけではないように、多くの「プライベートモード」は「他のユーザーに見えない」だけで、「サービス提供者には見える」という仕様が一般的だ。

Metaが今回主張しているのはその一段階上——「Metaのサーバーにもログが残らない」という点だ。これは会社側がクエリや応答を何か月もサーバーに保持している他社の消えるAI製品とは異なる。この差分こそが、今回の発表の技術的な意義の核心だ。

Private Processing（TEE）——技術基盤の仕組みと独立監査

Trusted Execution Environmentとは何か

Incognito Chatを支える技術は「Private Processing」と呼ばれるアーキテクチャだ。このインフラはTrusted Execution Environments（TEE）、AMDとNVIDIAのコンフィデンシャルコンピューティングハードウェア、リモートアテステーション、暗号化ルーティングメカズムに依存しており、ユーザーデータをMetaの内部システムから隔離することを意図している。

TEEとは、CPUやGPU上に「他のソフトウェアからも隔離された安全な実行領域」を作る技術だ。Metaのサーバー上でAI推論が行われる際、そのデータが格納・処理されるのはこのTEE内であり、Metaの通常の運用システムからは読み取れない設計となっている。

Zuckerbergは「Incognito ChatはTrusted Execution Environment内で全てのAI推論を処理し、メッセージが我々にアクセス不能なことを保証する。会話はセッション終了時に電話上からも消える」と述べた。

ローンチ前の第三者監査——発見された脆弱性と修正の経緯

今回の発表において特に注目すべきは、独立したセキュリティ監査の存在だ。Trail of Bits社が実施した監査（ローンチ前に実施・現在公開済み）では、WhatsAppのPrivate Inferenceシステムにプライバシーモデルを損なう複数の脆弱性が発見された。これらはすべてMetaによってパッチ済みとなっている。

発見された問題の一例は、ACPIテーブル署名の検証不備（ブートローダーがカスタム検証ロジックを追加することで修正）と、ファームウェアパッチレベルの信頼問題（ファームウェア自身が報告するパッチレベルをそのまま信頼していた点が修正）だ。

「TEEは銀の弾丸ではない——計測されていないインプットと不足した検証が脆弱性になりうる。TEEを安全に展開するには、重要なデータを計測し、計測されていないデータは決して信頼せず、コンポーネントが誤動作した時を検知するために徹底的なテストが必要だ」とTrial of Bitsは指摘した。

この監査の存在と公開は、Metaが「信頼してください」という主張だけでなく、検証可能な根拠を示そうとしていることを示している。ただし、監査機関への信頼・監査範囲の完全性・継続的な第三者検証の仕組みが今後どこまで整備されるかは、引き続き注視が必要だ。

TEEの本質的な限界——「ハードウェアメーカーへの信頼」という前提

TEEに対する根本的な批判はトラストモデルにある——ハードウェアメーカーを信頼しなければならないという点だ。Intel、AMD、ARMがシリコン、ファームウェア, アテステーションインフラを管理している。SGXへのサイドチャネル攻撃（Spectre、Meltdown、Foreshadow、Plundervolt、SGAxe）は、ハードウェアの隔離が完全ではないことを示した。

つまり「Metaを信頼しなくていい」という主張は、「TEEを実装したAMD・NVIDIAのチップを信頼する」という別の前提の上に成立している。この点はMetaも技術白書で詳述しており、過剰な期待を防ぐ観点から利用者が理解しておくべき事項だ。

機能の詳細——Incognito ChatとSide Chatの設計

通常のMeta AI会話との違い

Incognito Chatは一時的なAI会話を作成し、そこでのメッセージはMetaがアクセスできないセキュアな環境内で処理される。会話はMetaのサーバーに保存されず、個々のメッセージはデフォルトで消去され、セッション終了後にユーザーのアカウントには何の記録も残らない。

通常のMeta AI会話では、会話履歴が保存され、将来の会話でパーソナライズに活用される。Incognito Chatはこの「記憶機能」を意図的にオフにした形であり、利便性とプライバシーのどちらを選ぶかをユーザーが判断できる設計だ。

近日公開予定のSide Chat

数か月以内にPrivate Processingで保護されたSide ChatをWhatsAppに導入する。Side Chat with Meta AIは、議論されている内容のコンテキストを持ちながら、メインの会話を邪魔せずにプライベートなAIサポートを提供する。

Side Chatの設計が示唆するのは、「グループチャットや友人との会話中に、相手に知られることなくAIに相談する」というユースケースだ。例えばビジネス交渉のチャット上で、相手に気づかれずにAIに「この条件を受け入れるべきか」と相談したり、医療情報を検索したりする場面が想定される。

ロールアウトのスケジュール

今後数か月にわたってWhatsAppとスタンドアローンのMeta AIアプリへ展開が進む。現時点では段階的なロールアウトであり、全ユーザーへの提供完了までには時間を要する見通しだ。

AIプライバシー競争の新局面——Meta・Anthropic・OpenAIの戦略分岐

各社のアプローチ比較

今回のMetaの動きは、AIアシスタント市場におけるプライバシー戦略の多様化を示している。

AnthropicはSuper Bowlの広告枠で「Claudeは広告なし」を宣言し、プライバシーへの配慮を訴求するサブスクリプションモデルを維持している。OpenAIは先週（5月9日付け本ニュースでも取り上げた）、Free・Goプラン向けに広告を導入する一方でPlus以上は無広告を維持するという差別化を採用した。そしてMetaは今回、「技術的プライバシー保証」という別の軸を打ち出した。

この三社の戦略は相互排他的ではない。「広告なし＋プレミアム料金」「無料＋広告」「無料＋技術的プライバシー保証」というビジネスモデルと価値提案の多様化は、AIアシスタント市場が成熟しつつあることの表れだ。

WhatsAppの20億ユーザーという「到達範囲の非対称性」

今回の発表で見逃せないのは、WhatsAppの持つ圧倒的な到達範囲だ。WhatsAppは20億人以上のユーザーを抱えており、ChatGPTの週間アクティブユーザーとされる数億人規模と比べても桁が異なる。

Incognito ChatがWhatsAppに統合されるということは、特別なアプリをダウンロードせずに使い慣れたメッセージングアプリの延長線上でプライベートAI対話が可能になることを意味する。この「摩擦の低さ」は、プライバシー意識が高い層にとって強力なオンボーディング要因になりうる。特にヘルスケア・法律・財務相談など、従来AIへの持ち込みをためらっていたトピックでの活用が促進される可能性がある。

BtoBマーケター・経営層への示唆——「AIプライバシー設計」が差別化軸になる時代

「プライバシー保証」は今後のAI製品の差別化軸

今回のMetaの発表が示す最も重要な示唆は、「AIが扱う情報のプライバシー保証」が競合差別化の主要な軸の一つになりつつあるという点だ。ユーザーが日常的にAIに相談する情報が高度化・機密化するにつれ、「そのデータが誰に見えているか」への関心は必然的に高まる。

自社のプロダクトにAI機能を組み込む立場のSaaS企業にとって、今回の動きから引き出すべき問いは「自社のAI機能はユーザーデータをどのように処理し、何をどこに保存しているか」だ。この問いに明確に答えられないプロダクトは、AIプライバシーへの関心が高いエンタープライズ顧客（特に金融・法律・医療系）から敬遠される可能性がある。

「技術的プライバシー保証」の新しいUXパターンとして注目

Metaが実装した「ユーザーが選べるプライバシーモード」というUXパターンは、今後他のAIサービスが参照する事例になりうる。「使い続けるほど賢くなる（記憶あり）モード」と「完全に揮発する（記憶なし）モード」の二択を明示的に設ける設計は、「AIに何をどれだけ記憶させるか」というコントロール感をユーザーに返すアプローチだ。

この設計思想は、AIを業務に組み込む企業にとっても参考になる。社内AIツールの導入において、「どのデータがAIに学習されるか」を従業員が明示的にコントロールできる設計は、シャドーAIの抑制と正規AI活用の促進を同時に達成するための実践的な方向性だ。

「TEEへの信頼」という問いは企業調達の文脈でも重要

今回明らかになったTEEの技術的な限界（ハードウェアメーカーへの信頼・サイドチャネル攻撃のリスク）は、AIプライバシーを企業調達基準として評価する際の重要な観点だ。

「プライベート処理」を謳うAIサービスを社内に導入する際、「どの技術基盤に基づくプライバシー保証か」「第三者監査は実施・公開されているか」「ハードウェアメーカーへの依存リスクはどう評価されているか」を確認することが、今後のITガバナンスの標準的なチェックリストに加わっていくだろう。

AIプライバシーの「インフラ化」が始まった

Metaの今回の発表は、AIプライバシーが「規約上の約束」から「技術的な保証」へと移行し始めた転換点を示している。Trail of Bitsによる事前監査と全脆弱性の修正を経た上でのローンチは、この移行が単なるマーケティングではなく、エンジニアリングの問題として真剣に取り組まれていることの証左だ。

ただし、TEEを含む現時点のプライバシー強化技術（PET）に完全な信頼を置くことは時期尚早でもある。重要なのは「Metaを盲目的に信頼する」のでも「プライバシー主張を全否定する」のでもなく、「どのような根拠に基づく主張か・どこまで検証されているか」を技術的に評価する習慣を持つことだ。

AIが私たちの最も個人的な問いに答え始めた時代に、「誰があなたの問いを聞いているか」という問いへの答えが技術的に整備されつつある。この流れはプライバシー規制の強化・ユーザー意識の高まり・競合差別化の必要性という三つの力によって、今後さらに加速していだろう。