0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

GLM-5.2、触る前に「これ投げて大丈夫?」を調べた — 中国LLMのリスクを規約と地政学の2層で見る

0
Posted at

要点(3行)

  • 同じ GLM でも、API経由なら入力は保存されない(だから訓練にも回らない)。一方でチャット画面(消費者アカウント)は訓練に使われうる——入口で扱いが正反対。
  • 規約が綺麗でも、地政学の層(実支配は中国/国家法の届く範囲/米エンティティリスト)は別建てで残る。「場所より、誰が支配し・誰が鍵を持つか」の問題。
  • だから「中国か」で二択せず、「何を・どの入口で投げるか」で線を引く。公開情報は API 経由で実用上OK、機密は経路を問わず入れない。

Claude の Fable が止まっていた週があった。手が空いて、なんとなく技術系の記事を眺めていたら、「GLM-5.2 が台頭してきた」という話が何度も流れてきた。中国・智譜AI(Zhipu)の最新モデルで、パラメータは753B、コンテキストは100万トークン。ベンチマークの数字も高いと紹介されていて、料金も安いらしい。

へえ、と思った。実際、Anthropic 互換のエンドポイントを持っているので、手元の CLI からモデルだけ差し替えて動かすこともできるらしい。触ってみたくなった。

で、APIキーを取ろうとしたところで手が止まった。「これ、コードとか投げて大丈夫なやつなんだろうか」 という引っかかりだ。

「中国のモデルだから危ない」で片付けるのは雑すぎる。かといって「みんな使ってるから平気」も雑だ。危ないなら何がどう危ないのか、大丈夫ならどういう条件で大丈夫なのか——そこを自分の言葉で言えないまま使い始めるのが気持ち悪かった。だから、触る前に規約と背景を一通り調べてみた。以下はその記録だ(調査日は2026年7月7日。規約は改訂されるので、後述の一次情報は使う直前にもう一度当たってほしい)。

中国LLMのリスクは2層で見る——規約の層(入口で扱いが正反対)と、地政学の層(場所より、誰が鍵を持つか)

まず、誰が提供しているのかを確かめる

GLM-5.2 を出しているのは Z.ai。これは中国・智譜AI(Zhipu AI) の国際版ブランドだ。リリースは2026年6月13日。

登記まで見にいくと、国際版のデータ管理者は シンガポール登録の法人(JINGSHENG HENGXING TECHNOLOGY PTE.LTD)になっていて、データ処理も原則シンガポールだと書いてある。表向きは「シンガポールの会社」だ。

ただ、公式ドキュメントのメタデータにも zhipu の跡が残っていて、実体は中国・智譜のグループ会社だとわかる。母体は北京智譜華章科技(香港上場・02513.HK)。ここは後の話につながるので、頭の隅に置いておく。「場所はシンガポール、支配は中国」という二重構造だ。

一番意外だったこと — 同じモデルでも「入口」で扱いが正反対

調べていて一番効いたのは、これだった。

同じ GLM でも、「API経由で使う」のと「チャット画面(消費者アカウント)で使う」のとでは、入力の扱いがほぼ正反対になる。

ぼんやり「中国のモデルは全部訓練データに吸われる」と思っていたので、ここは完全に思い込みだった。順番に見ていく。

API経由なら、保存されない

根拠は Z.ai 公式の「Data Processing Addendum for API Services」の Section 4(b)。ここにはっきりこう書いてある。

The Company do not store any of the content the Customer or its End Users provide or generate while using our Services... This information is processed in real-time to provide the API Service and is not saved on our servers.

つまり API経由で投げた内容はサーバーに保存されない(リアルタイム処理のみ)。契約終了時には一時データも削除する(Section 4c)とあり、削除・異議・同意撤回といった GDPR 型の権利も規約に明記されている。

ここは正確に押さえておきたい。DPA が名指しで書いているのは「保存しない」であって、「訓練には使わない」という一文があるわけではない。ただ、保存しないものは訓練にも回しようがない——サーバーに残っていないデータで学習はできないからだ。だから 結果として 訓練にも使われない、と読める。名指しの禁止条項と、非保存からの帰結。この二つは別物として分けて理解しておくと、あとで規約が変わったときに気づける。

チャット画面(消費者アカウント)だと、話が変わる

一方、消費者向けの Privacy Policy を見ると、入力した内容(プロンプトや画像)を「正当な利益」(本人の同意がなくても使える、と会社側が判断する法的根拠)を根拠に モデルの訓練・改善に使う可能性がある と書かれている。保持期間は「アカウントがある間」。会話単位で消すことはできるが、既定では残る側だ。

同じ GLM-5.2 でも、APIキーで叩くか、ブラウザのチャットに打ち込むかで、扱いはこれだけ違う。モデルの名前ではなく、契約の入口で決まる。 ここが自分にとって一番の収穫だった。

規約が綺麗でも、消えないリスクがある

じゃあ「API経由なら安心」で終わりかというと、そうではなかった。規約の文面(保存ゼロ・GDPR型の権利)とは別の層に、構造として残るリスクがある。地政学の話だ。

ここは断罪したいわけではない。規約自体は、むしろよく整備されている部類だと思う。それでも別建てで残るものがある、という話として読んでほしい。

中国法の届く範囲は、法人の場所では切れない

「シンガポール法人なら中国法の外なのでは?」——ぼくも最初そう考えた。でも調べると、二つの問いに分けて見る必要があった。

  • 裁判の管轄(どこの裁判所・法律が適用されるか)は、シンガポール法人なので一部シンガポール側に寄る。
  • 国家からのデータ提供要求という実質リスクは、それでは切れない。

効いてくるのが中国の国家情報法・第7条だ。「いかなる組織・公民も国家の情報活動に協力せよ」という趣旨で、しかも 域外適用(自国の外にいる人・組織にも法律が及ぶこと)があると指摘されている。中国の親会社や中国籍の従業員には、海外経由でも及びうる——この点は Mannheimer Swartling(法律事務所)や米国土安全保障省が挙げている。ただし条文の読み方には幅があり、海外で実際に執行された例は多くないという議論もある。あくまで「強制されうる経路がある」という話で、「必ずそうなる」という話ではない。それでも、シンガポール法人そのものが直接の対象でなくても、背後にいる中国の親会社・従業員には届きうる——その構造は残る。

実支配が中国側にある

前述のとおり、Z.ai のシンガポール法人は北京智譜のグループ会社だ。実質的な支配権は中国側にある。政府系の資金が入り、アリババ・テンセントも出資している。そして 智譜グループは米国のエンティティリスト(米政府が輸出規制の対象に挙げた企業の一覧)に指定されている。これは是非の判断そのものではないが、少なくとも「米国はここを中国リスクとして扱っている」という外形的な事実ではある。

データに触れる経路が残っている

DPA にも、Z.ai グループの関連会社(Affiliates)とデータを共有しうる条項がある。この経路がいちばん効くのは、データが残る側——消費者アカウントや運用ログ——だ。API の非保存が本当なら、そこで触れられる中身はぐっと小さくなる。それでも、ログやメタデータ、そして規約が改訂された後まで含めて考えると、「運用に中国側のエンジニアが関わる経路があるか」は残る問いになる。触れる人がいれば、その人は中国法に服する主体だからだ。

これは TikTok(ByteDance)がデータをシンガポールや米国に置いても「中国リスクは解消された」とはみなされなかったのと同じ構図だと思う。保管場所より、「誰が支配し、誰が復号鍵を持つか」で決まる 問題だ。"hosted in Singapore" だけでは足りない。

もう一つ、前科として記録しておく。中国版(bigmodel.cn)の旧いユーザー協議には「永久・無償の使用許可」「第三者への再許可」にあたる条項があり、利用を後から断る仕組みもなかった、と第三者調査(2026年3月時点)が指摘している。国際版(docs.z.ai)が同じかは今回は確認しきれていない。だから断定はせず、頭の隅に置く程度に留める。

中国LLMだけの話にしないために、横に並べてみる

ここまで GLM を主役に書いてきたが、「中国だから」の話に閉じると視野が狭くなる。同じ観点で他のツールを並べたのが、下の比較だ(出典は yage.ai のデータ政策調査・2026年3月。11ツールを調べたものの抜粋)。

ツール 個人版で訓練に使うか 企業版/API
智譜AI(GLM) 使う 基礎政策は個人版と同じ扱い
火山引擎(ByteDance) 使う 企業版はVPC対応
Kimi(Moonshot) 使う DPA交渉可・既定は個人版同等
通義霊碼(Aliyun) 使わない・保存しない VPC対応
Anthropic Claude 既定opt-in(2025-08以降) APIは訓練しない・7日保持
OpenAI Codex 既定で使う可能性 訓練しない
GitHub Copilot 設定次第 訓練しない
Tabnine 使わない・ゼロ保持 全階層ゼロ保持

(この表は上記1本の調査からの抜粋で、各社の規約はその後も改訂されうる。使う前に各ベンダーの最新規約を当たってほしい。)

並べてみると見えてくるのは、「中国系かどうか」という軸と「個人版か、API/企業版か」という軸は、別物だということだ。中国系でも通義霊碼は個人版でも訓練しないと明言しているし、非中国系でも消費者版は訓練に使う設定が既定のものがある。

一方で、中国系に固有で残るのが、さっきの地政学の層と、「永久授権・opt-out(利用を後から断る仕組み)なし」といった条項の有無だ。永久授権のような条項が第三者調査で見つかっているのは火山引擎と智譜、opt-out の実効性に疑問符が付くのも中国系に寄っている。管轄と実績がはっきりしている比較対象——Anthropic の API(訓練しない・7日保持)や Tabnine(全階層ゼロ保持)——と横に並べると、その差は「リスクプレミアムを払っているかどうか」として見えてくる。

で、結局どこに線を引いたか

一通り調べて、自分の中ではこう線を引いた。

  • 公開情報・一般的な作業(OSSのコード、下調べ、文章の下書きなど)を API経由 で投げる分には、実用上は問題ないと判断した。理由は二段構えだ。まず規約上は保存されない(だから訓練にも回らない)。そのうえで——仮にその規約を額面どおり信じきれない部分が残っても、もともと公開されている情報なら、外に出たところで痛手は小さい。**規約への信頼だけに寄りかからず、「漏れても困らないものから触る」**で線を引いた。実際に触ってみるのはここから。
  • 機密性の高い業務コードや個人情報 は、たとえ API経由でも投げない。どうしても外部モデルに出すなら、管轄と実績がはっきりした選択肢と比べたうえで、リスクプレミアムを承知で選ぶ。
  • 消費者アカウント(チャット画面)には、機密を入れない。 ここは訓練に使われうる側なので、そもそも機密は持ち込まない、と割り切った。

規約の層(入口で決まる)と地政学の層(場所より、支配と鍵)は、片方だけ抜き出すと話が逆に転ぶ。「API だから安全」でも「中国だから危険」でもなく、二つをセットで見て、はじめて線が引ける。「中国のモデルは危ない/安全」の二択で止まらず、「何を・どの入口で投げるか」で分ける——これが調べ終わって手に入れた線引きだ。(実際に手元の CLI から GLM を動かす配線の話は、また別に書く。)

おまけ — この見極めは、どのAIにも当てられる

最後に一つ。今回 GLM を題材に使った観点は、そのまま他の AI ツールにも使える。新しいツールを入れる前に、この7つを規約で確認すると、雰囲気ではなく事実で判断できる。

  1. 入力は保存されるか
  2. 訓練に使われるか
  3. 保持期間はどれくらいか
  4. 処理・管轄はどこか
  5. 永久授権のような条項はないか
  6. opt-out は実効性があるか
  7. GDPR 等と整合しているか

そして毎回効いてくる分かれ目が、「API/企業契約」か「消費者アカウント」か だ。同じモデルでも、ここで扱いは変わる。ツールの名前ではなく、自分がどの入口から入っているかを、まず確かめるのがいい。


参照した一次情報・出典(いずれも調査日 2026年7月7日時点)

規約は頻繁に改訂される。特に国際版(docs.z.ai)と中国版(bigmodel.cn)で条項が異なる場合があるので、機密を扱う前には必ず最新の公式ドキュメントを直接確認してほしい。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?