LLMエージェント——AIが自律的にデータベース検索・API呼び出し・文書処理などの多段階タスクをこなすシステム——を社内に導入すると、従来のセキュリティ対策では捉えにくい新種のプライバシーリスクが生じることが、最新の研究で指摘されている。
本記事では、査読前プレプリント「Agents That Know Too Much: A Data-Centric Survey of Privacy in LLM Agents」(Lahjouji・Colaco, arXiv:2606.26627)をもとに、LLMエージェントのプライバシーリスクを実務者向けに整理する。なお、本論文はarXivに投稿された査読前の研究であり、今後内容が変わりうることをあらかじめ断っておく。
この記事でわかること
- LLMエージェントから機密情報が漏洩する5つの経路
- 見落とされやすい「間接プロンプト注入」の仕組みと危険性
- 情シスが導入前・導入後に確認すべきガバナンスのポイント
LLMエージェントとは何か?
LLMエージェントとは、単純な一問一答にとどまらず「社内文書を検索→内容を要約→外部システムにデータ送信→報告書を作成」といった複数ステップの処理を自律的に実行するAIシステムだ。
業務自動化ツールとして普及しつつある一方、エージェントが「どのデータに触れているか」「何を記憶しているか」「どのサービスと通信しているか」を組織が把握できていないケースが増えている。そこが今回の研究が問題にしている核心部分だ。
5つのデータ漏洩経路
論文はLLMエージェントにおけるプライバシーリスクを、データの流れを軸に体系的に整理している。代表的な漏洩経路は以下の5つだ。
| 漏洩経路 | リスクの概要 |
|---|---|
| ①クエリ | 機密情報を含む検索・API呼び出しクエリが外部に送信される |
| ②中間処理結果 | マルチステップ処理中の中間データが制御されずに流出 |
| ③メモリ | 過去の会話・処理結果が別セッションや別ユーザーに参照される(セッション間推論漏洩) |
| ④エージェント間通信 | マルチエージェント構成で通信が傍受・改ざんされる |
| ⑤ツール呼び出し | 過剰な権限を持つツールが本来アクセス不可の領域からデータを取得 |
注目すべき点は、「最終出力」だけを監視しても手遅れであることだ。機密情報は処理の途中でも漏れうる。論文はこの点を特に強調している。
特に危険な「間接プロンプト注入」とは?
間接プロンプト注入(Indirect Prompt Injection)は、エージェント特有の攻撃手法だ。
攻撃者が悪意のある指示を外部Webページやドキュメントに埋め込んでおき、エージェントがその内容を処理することで、意図しないデータ送信や不正アクションが実行される。たとえば「この資料を要約して」とエージェントに依頼しただけで、悪意ある指示が含まれた文書を処理して機密データを攻撃者に送信してしまう、というシナリオが現実に成立しうる。
この攻撃はファイアウォールや通常の入力検証では検知しにくく、エージェントの設計段階から対策を組み込む必要がある。
情シスはどう対応すべきか
論文が繰り返し指摘するのは「単一のセキュリティ対策では不十分」という点だ。RAG(検索拡張生成)・メモリ・ツール権限など各コンポーネントが独自のリスクを持っており、情報フロー全体を制御する多層的なガバナンスが求められる。
- 最小権限の原則:エージェントに与えるツール権限・データアクセス範囲を業務上の最小限に留める。
- メモリの制限:記憶する情報の種類・保持期間・参照範囲をポリシーで明確に定める。
- 外部通信のマスキング:外部APIに送信されるクエリから機密情報(社員名・顧客ID等)を除去する前処理を入れる。
- 入力コンテンツのサンドボックス処理:外部から取得したコンテンツをそのままエージェントに渡さず、信頼性を確認してから処理する。
- 監査ログの整備:エージェントがいつ・何に・どのようにアクセスしたかを記録し、後から検証できる体制を整える。
AIセキュリティの全体方針については、IPAが公開している「情報セキュリティ」ページや、NISTのAI Risk Management Framework(AI RMF)が参考になる。特にAI RMFは「ガバナンス」「マップ」「測定」「管理」の4機能でAIリスクを体系的に整理しており、社内方針策定の骨格として使いやすい。
現場目線:「試験導入」が一番危ない理由
LLMエージェントの導入は「まず試しに」という形で始まることが多い。担当者が業務効率化ツールとして個人利用し、いつの間にか部署全体に広まり、気づけば社内の機密文書や顧客データを処理している——そういうケースは決して珍しくない。
試験導入フェーズが最も危険なのは、ガバナンスの議論が後回しになりやすいからだ。どのデータソースに接続されているか、外部サービスとの通信はあるか、ログは取られているか。これらを把握しないまま利用が広がると、後から制御するコストは跳ね上がる。
「便利だから使う」を否定するつもりはない。ただ、エージェントの「動線」を可視化するタイミングは、本番稼働後ではなく導入検討段階だ。今ちょうど評価・試験フェーズの組織は、この論文が整理したリスクカテゴリをチェックリストとして活用してほしい。
まとめ
- LLMエージェントは「クエリ・中間処理・メモリ・エージェント間通信・ツール呼び出し」の5経路で機密データが漏洩しうる。最終出力の監視だけでは不十分。
- 間接プロンプト注入は従来のセキュリティ対策では検知しにくく、エージェント設計段階での対策が必須。
- 試験導入フェーズから「エージェントの動線の可視化」と「最小権限の徹底」を組み込むことが、後工程のリスクを大幅に下げる。
出典
- Nada Lahjouji, Ashwin Gerard Colaco, “Agents That Know Too Much: A Data-Centric Survey of Privacy in LLM Agents,” arXiv:2606.26627(2025年・査読前プレプリント) — https://arxiv.org/abs/2606.26627
- IPA:情報セキュリティ
- NIST AI Risk Management Framework(AI RMF) — NIST AI RMF 1.0
