POLITICOがEU6カ国6698人に調査したデータを読んで、少し手が止まった。
アメリカのテクノロジー企業に個人データを預けることに不安を感じると答えた人が約84%。中国企業に至っては93%が信頼できないと回答している。数字だけ見るとそうだよな、という感想だけど、自分がいま日常的に使っているサービスに当てはめると少し違う景色になる。
個人開発でも仕事でも、OpenAIやAnthropic、AWSのサービスを普通に使っている。LLMのAPIにプロンプトを投げるとき、そこには自分のユーザーの入力が乗っていることも多い。規約上は学習には使わないとされていても、データが物理的にどこのサーバーに乗ってどの国の法律が適用されるかは、実装時にほとんど考えていなかった。
ヨーロッパでこの不信感が根強い理由のひとつとして、GDPRとアメリカの国内安全保障法が衝突するという構造的な問題がある。EUはGDPRへの準拠を義務付けているが、アメリカ企業はアメリカの安全保障法にも従う必要があり、場合によってはGDPRに反する形でデータを当局に提供する可能性がある。これはトランプ政権がどうこうという話ではなく、法律の構造上の話だとIMPLICATOR.aiは分析している。ヨーロッパ人の不信感は一時的な感情じゃなくて、法律に根ざしたものだということだ。
面白いのは、不信感が高いのに依存度も高いという矛盾した状況が続いている点だ。AWS、Microsoft Azure、Google Cloudを合わせるとヨーロッパのクラウド市場の約70%を占めている。専門家の中には、AIワークロードを含めると実質90%近いと言う人もいる。不安に思いながらも使い続けているという状態は、日本のエンジニアの自分も似たようなものだと思う。
実務上の選択肢として何が変わるかを少し整理してみると、
特に3番目は今すぐできる話で、LLMのAPIコストを考えるときと同じ視点で「何を送らないか」を設計するのが大事だと思った。コストを削るためにプロンプトを短くする感覚で、不要な個人情報をトリムする設計にすればいい。
今回この調査を読んで変わったのは、サービスやライブラリを選ぶときに「どこの企業が提供しているか」をもう少し意識しようと思ったことだ。パフォーマンスとコストとDXで選んでいたところに、データの所在地という軸が加わる感じ。
ヨーロッパでは独自のクラウドや検索インデックスを作ろうという動きが加速している。日本はどうかというと、正直まだそこまでの議論は表に出てきていない。でも自分が作るサービスのユーザーのデータがどこに行くかは、エンジニアとして把握しておくべき話だと思う。
次のスプリントで、自分のAPIクライアントのコードを一度見直してみるつもりだ。特にログに何が残っているかを確認するところから始める。
アメリカのテクノロジー企業に個人データを預けることに不安を感じると答えた人が約84%。中国企業に至っては93%が信頼できないと回答している。数字だけ見るとそうだよな、という感想だけど、自分がいま日常的に使っているサービスに当てはめると少し違う景色になる。
自分のコードは何のAPIを叩いているか
個人開発でも仕事でも、OpenAIやAnthropic、AWSのサービスを普通に使っている。LLMのAPIにプロンプトを投げるとき、そこには自分のユーザーの入力が乗っていることも多い。規約上は学習には使わないとされていても、データが物理的にどこのサーバーに乗ってどの国の法律が適用されるかは、実装時にほとんど考えていなかった。
ヨーロッパでこの不信感が根強い理由のひとつとして、GDPRとアメリカの国内安全保障法が衝突するという構造的な問題がある。EUはGDPRへの準拠を義務付けているが、アメリカ企業はアメリカの安全保障法にも従う必要があり、場合によってはGDPRに反する形でデータを当局に提供する可能性がある。これはトランプ政権がどうこうという話ではなく、法律の構造上の話だとIMPLICATOR.aiは分析している。ヨーロッパ人の不信感は一時的な感情じゃなくて、法律に根ざしたものだということだ。
90%依存という現実とどう向き合うか
面白いのは、不信感が高いのに依存度も高いという矛盾した状況が続いている点だ。AWS、Microsoft Azure、Google Cloudを合わせるとヨーロッパのクラウド市場の約70%を占めている。専門家の中には、AIワークロードを含めると実質90%近いと言う人もいる。不安に思いながらも使い続けているという状態は、日本のエンジニアの自分も似たようなものだと思う。
実務上の選択肢として何が変わるかを少し整理してみると、
- APIに渡すデータの中身を設計段階で見直す(個人情報・入力ログをそのまま流さない)
- どのリージョンにデータが保存されるかをサービスのドキュメントで確認しておく
- ログや入力をサーバーサイドで匿名化・マスキングしてからAPIを叩く実装にする
特に3番目は今すぐできる話で、LLMのAPIコストを考えるときと同じ視点で「何を送らないか」を設計するのが大事だと思った。コストを削るためにプロンプトを短くする感覚で、不要な個人情報をトリムする設計にすればいい。
ライブラリ選定の判断軸が少し変わった
今回この調査を読んで変わったのは、サービスやライブラリを選ぶときに「どこの企業が提供しているか」をもう少し意識しようと思ったことだ。パフォーマンスとコストとDXで選んでいたところに、データの所在地という軸が加わる感じ。
ヨーロッパでは独自のクラウドや検索インデックスを作ろうという動きが加速している。日本はどうかというと、正直まだそこまでの議論は表に出てきていない。でも自分が作るサービスのユーザーのデータがどこに行くかは、エンジニアとして把握しておくべき話だと思う。
次のスプリントで、自分のAPIクライアントのコードを一度見直してみるつもりだ。特にログに何が残っているかを確認するところから始める。