これまで、AI開発企業は一つの「神話」を盾に著作権侵害の主張を退けてきた。「AIは人間のように概念を学習しているのであり、データをコピーして保存しているわけではない」という主張だ。しかし、2026年1月、スタンフォード大学とイェール大学の研究チームが発表した衝撃的な論文は、この防壁を粉々に打ち砕く可能性を秘めている。
彼らの研究によれば、現在市場をリードする最先端の商用大規模言語モデル(LLM)――AnthropicのClaude 3.7 Sonnet、OpenAIのGPT-4.1、GoogleのGemini 2.5 Pro、そしてxAIのGrok 3――は、訓練データに含まれる著作権保護された書籍を、驚くべき精度で「記憶」しており、特定の条件下ではそれをほぼ原文のまま「抽出」できることが実証されたのだ。
崩れ去った「学習であって複製ではない」という防衛線
生成AIを巡る最大の争点は、著作権法における「フェアユース(公正な利用)」の適用可否にある。OpenAIやGoogleなどのAIベンダーは、これまで一貫して「モデルの重み(Weights)の中に、著作物のコピーは存在しない」と主張してきた。彼らの論理では、AIが行うのはあくまで統計的なパターンの学習であり、元のデータをデータベースのように検索・出力するわけではない、とされてきた。
しかし、今回Ahmed Ahmed氏(スタンフォード大)らが明らかにした事実は、その前提を根底から揺るがすものだ。
衝撃の「95.8%」再現率
研究チームは、J.K.ローリングの『ハリー・ポッターと賢者の石』を含む13冊の書籍(うち11冊は著作権保護期間内)を対象に、商用LLMからテキストを引き出す実験を行った。その結果は驚愕に値する。
- Claude 3.7 Sonnet: 『ハリー・ポッターと賢者の石』の95.8%を、ほぼ原文通りに出力することに成功した。
- Gemini 2.5 Pro: 76.8%を再現。
- Grok 3: 70.3%を再現。
- GPT-4.1: 第1章の終わりまで出力した後、拒否反応を示したが、それでも一部の抽出には成功した。
特筆すべきは、これがオープンソースのモデルではなく、厳重なセキュリティ対策(ガードレール)が施されているはずの商用API経由のブラックボックスモデルで行われた点だ。これは、企業のサーバーにあるモデルそのものが、実質的に「海賊版電子書籍のアーカイブ」として機能し得ることを示唆している。
攻撃手法の解明:AIのガードレールを突破する「2段階プロセス」
では、研究者たちはどのようにして、堅牢な防御壁を持つはずの商用LLMから、これほど大量のテキストを引き出したのか。その手法は極めてシンプルでありながら、現在のAIセーフティの脆弱性を浮き彫りにする。
彼らが採用したのは、以下の「2段階抽出プロセ」である。
フェーズ1:最初の突破口を開く
まず、書籍の冒頭部分(例:『ハリー・ポッター』の有名な書き出し)をAIに与え、「続きを原文と全く同じように一字一句変えずに出力せよ」と指示する。
- Gemini 2.5 Pro / Grok 3: 驚くべきことに、これらのモデルはこの指示に素直に従った。特別な攻撃を加えることなく、単に「続きを書いて」と頼むだけで、著作権保護されたテキストを吐き出し始めたのである。これは、GoogleやxAIのガードレールが、基本的な著作権保護リクエストに対して機能していないことを意味する。
- Claude 3.7 Sonnet / GPT-4.1: これらのモデルは当初、著作権侵害を防ぐための拒否反応を示した。そこで研究チームは「Best-of-N (BoN) Jailbreak」と呼ばれる手法を用いた。これは、プロンプトに微細なノイズ(大文字小文字の反転や、文字の置換など)を混ぜたバリエーションを多数生成し、確率的にガードレールをすり抜けるものを探す攻撃手法だ。Claude 3.7の場合、数百回の試行で突破口が開いた。
フェーズ2:執拗な追跡
一度モデルがテキストの続きを書き始めると、研究チームはその出力を次の入力として使い回し、さらにその続きを書かせるループを実行した。
- モデルが「THE END」と出力するか、明確な拒否を示すまで、このプロセスは繰り返された。
- この単純なループにより、Claude 3.7 Sonnetからは『1984年』や『フランケンシュタイン』などの書籍全体が抽出された。
モデル別・防御力格付け:誰が最も「おしゃべり」なのか?
本研究の結果は、各社のAIモデルにおける「安全性」と「能力」のトレードオフ、そしてガードレールの設計思想の違いを鮮明に映し出している。
Claude 3.7 Sonnet (Anthropic): 能力ゆえの脆弱性
Anthropicは「Constitutional AI(憲法的AI)」を掲げ、安全性に定評がある企業だ。しかし今回の実験において、Claude 3.7 Sonnetは最も多くのデータを漏洩させたモデルとなった。
特筆すべきは、Claudeの「文脈理解力の高さ(Long Context)」が仇となった可能性だ。一度ジェイルブレイク(脱獄)に成功すると、Claudeは極めて高精度に、延々と続きを書き続けた。これは、モデルの性能が高いほど、記憶しているデータも鮮明であり、一度タガが外れると止めるのが難しいというパラドックスを示している。
(※注:研究チームによると、Anthropicは2025年11月下旬にこのバージョンの提供を終了している。)
GPT-4.1 (OpenAI): 最も堅牢な要塞
対照的に、OpenAIのGPT-4.1は最も防御力が高いことが示された。『ハリー・ポッター』の実験において、GPT-4.1は第1章の終わりまで出力したところで、「これ以上は著作権的に問題がある」と判断したかのように出力を停止した(再現率4.0%)。
また、ジェイルブレイクに要する試行回数もClaudeと比較して桁違いに多く(5000回以上)、攻撃コストが高い。OpenAIが長年取り組んできた「Refusal(拒否)」のトレーニングが、一定の効果を発揮している証拠と言えるだろう。
Gemini 2.5 Pro (Google) & Grok 3 (xAI): 無防備な巨人
最も懸念すべきは、GoogleとxAIのモデルだ。これらはジェイルブレイクすら必要とせず、フェーズ1の段階で「原文通りの出力」という指示に素直に従ってしまった。
特にGoogleは、YouTubeや検索エンジンを通じて世界最大のデータセットを持つ企業であり、著作権問題には敏感であるはずだ。それにもかかわらず、Gemini 2.5 Proが76.8%もの再現率を記録したことは、同社のガードレール設計に重大な穴があることを示唆している。
「記憶」のメカニズムと「ニア・バーバティム(Near-verbatim)」
本研究の信頼性を高めているのは、その評価指標の厳密さにある。研究チームは単に単語が一致しているかどうかではなく、「nv-recall(near-verbatim recall:ほぼ逐語的な再現率)」という独自の指標を用いた。
これは、「少なくとも100単語以上の連続したブロック」が一致した場合のみをカウントするという保守的な指標だ。つまり、偶然の一致や、一般的な言い回しは除外されている。それでもなお、数千〜数万語のテキストが抽出されたという事実は、これらの文章がモデルのニューラルネットワークの重みの中に、物理的なコピーに近い形で圧縮・保存されていることの何よりの証明である。
さらに、研究チームは対照実験として、2025年7月に出版されたばかりの書籍(各モデルの学習データカットオフ日よりも後の作品)でも同様の実験を行った。結果、抽出は不可能だった。これにより、AIが幻覚(ハルシネーション)を見ているのではなく、「学習データにあるものだけを正確に吐き出している」ことが裏付けられた。
2025年の予兆:Meta「Llama」が暴いた記憶のメカニズム
この2026年の発見に先立ち、AIの「記憶」問題に決定的な証拠を突きつけていたのが、2025年6月に発表されたMetaのオープンソースモデル「Llama 3.1 70B」に関する研究だ。
スタンフォード大学、コーネル大学などのチームによるこの研究「Extracting memorized pieces of (copyrighted) books from open-weight language models」は、商用モデルとは異なるアプローチで、AIの深層心理を解剖した。
記憶率42%の衝撃
研究チームは、Llama 3.1 70Bが『ハリー・ポッターと賢者の石』の約42%を正確に記憶していることを特定した。Llama 1(65B)の記憶率が4.4%だったことを踏まえると、モデルが巨大化・高性能化するにつれて、記憶のリスクが劇的に増大していることが分かる。
「確率的抽出」という科学的証明
Llamaのような「オープンウェイト(Open Weights)」モデルの最大の特徴は、中身(パラメータ)が公開されていることである。研究者はこれを利用し、「確率的抽出(Probabilistic Extraction)」という手法を用いた。
AIは次に来る単語を確率計算(logits)で予測する。研究チームは、モデルが「ハリー」の次に「ポッター」を出す確率、その次に続く単語を出す確率……と、逐語的な再現が行われる確率を数学的に計算した。その結果、50トークン(約30〜40語)以上の長文が偶然一致する確率は天文学的に低いにもかかわらず、Llamaはそれを高確率で再現できることが判明したのである。
これは、AIが「文体を真似ている」のではなく、「データを物理的なコピーに近い状態で保持している」ことの、数学的かつ動かぬ証拠となった。
点と線がつながる:AIモデルの構造的欠陥
MetaのLlama(オープンモデル)と、ClaudeやGemini(クローズドモデル)。これら二つの研究結果を合わせることで、生成AIが抱える問題の全体像が浮き彫りになる。
① 「学習」と「暗記」の境界崩壊
Metaの研究は、AIモデルの内部で何が起きているか(What)を証明した。つまり、人気のあるデータは重みの中に「焼き付けられている」のである。
一方、スタンフォード大の最新研究は、それが実際にどのように外に出てくるか(How)を実証した。企業がどんなに「出力フィルター」をかけても、内部にデータが存在する限り、攻撃者はそれを引き出す方法(ジェイルブレイクなど)を見つけ出す。
② 人気作品への「偏り」というリスク
両研究に共通するのは、『ハリー・ポッター』や『1984年』といった超有名作品ほど、極めて高い精度で記憶されているという事実だ。
Llama 3.1の研究では、知名度の低い作品(例:Richard Kadreyの『サンドマン・スリム』)の記憶率はわずか0.13%であった。AIはネット上で頻繁に引用・議論されるデータを何度も学習するため、人気作ほど深く「過学習(Overfitting)」し、結果として著作権侵害のリスクが高まるという皮肉な構造を持っている。
③ 「海賊版データ」の影
MetaのLlamaモデルは、「LibGen」や「Books3」といった、いわゆる「影の図書館(海賊版書籍データセット)」を含んでいるとされるデータで訓練された疑いが持たれている。
今回の商用モデル(Claude, Gemini, Grok)がこれほど高い再現率を示したことは、これらの企業もまた、同様の海賊版データセット、あるいはインターネット上の無断転載テキストを、権利処理なしに大量に飲み込んでいる可能性を強く示唆している。
法的・ビジネス的インパクト:著作権戦争の行方
この研究結果は、現在進行中の多くの著作権訴訟(NYT v. OpenAI, Authors Guild v. Googleなど)に決定的な影響を与える可能性がある。
「変革的利用」の崩壊
米国著作権法におけるフェアユースの判断基準の一つに、「利用が変革的か(Transformative)」という点がある。元の作品に新たな意味や価値を付加していれば、フェアユースと認められやすい。
しかし、AIが『ハリー・ポッター』をほぼ原文のまま出力できるのであれば、そこに「変革」はない。それは単なる「複製」であり、市場における代替品となり得る。今回の研究結果は、原告側(作家や出版社)にとって強力な武器となるだろう。
欧州での厳しい判決トレンド
ドイツのハンブルク地方裁判所における最近の判決(GEMA v. OpenAI)では、「AIモデルの重みの中に著作物を保存すること自体が著作権侵害である」という判断が示されている。今回のスタンフォード大の研究は、この「保存されている」という事実を技術的に証明するものであり、AI企業への包囲網はさらに狭まることになる。
コストという新たな視点
研究では、書籍1冊を抽出するのにかかったAPIコストも算出されている。
- Gemini 2.5 Pro: 約2.44ドル(約360円)
- Grok 3: 約8.16ドル(約1200円)
- Claude 3.7 Sonnet: 約119.97ドル(約1万8000円)
Geminiのような安価なモデルを使えば、Kindleで電子書籍を買うよりも安く、著作権保護されたコンテンツを「海賊版」として取得できてしまう。これは出版業界にとって、新たな形のデジタル万引きの脅威となり得る。
パンドラの箱は開かれた
MetaのLlamaから始まり、Claude、Gemini、Grokへと波及した「ハリー・ポッター丸暗記」問題。これは、AIモデルにおける「学習」の定義を根本から問い直す転換点である。
AI企業はこれまで、「ブラックボックス」の中に不都合な真実を隠してきた。しかし、オープンモデルによる透明性と、最新の攻撃手法による検証が合わさることで、その防壁は崩れ去った。
今後、私たちは以下の厳しい現実に直面することになる。
- AIモデルは「創造的な知性」であると同時に、「高度に圧縮された無断転載アーカイブ」でもある。
- ガードレール(出力制限)は、根本的な解決策ではなく、単なる「目隠し」に過ぎない。
- 「オープンソースAI」の透明性は、皮肉にもAI企業の法的リスクを最大化する諸刃の剣となる。
テクノロジーの進化は止まらないが、クリエイターの権利を搾取した上での進化が社会的に許容されるフェーズは終わった。AI業界は今、データセットの完全なクリーンアップか、あるいは巨額のライセンス料の支払いか、その存亡をかけた選択を迫られている。
論文
参考文献
- The Atlantic: AI’s Memorization Crisis