毎朝PCを立ち上げ、ブラウザを開き、文書を編集し、Slackでメッセージを送る——Metaの米国社員にとって、それは2026年4月以降、監視の対象になっていた。画面の裏側でキーストロークが記録され、マウスの軌跡が追跡され、スクリーンショットが収集され続けていたからだ。目的はAIエージェントの訓練だった。しかし6月末、そのデータが社内で意図せず広く閲覧可能になったことが明らかになり、プログラムは停止された。1600人超の社員が抗議の署名をしてから1ヶ月も経っていなかった。
MCIとは何か:ChatGPTやClaudeの操作ログまで収集した実態
Model Capability Initiative(MCI)は、Metaが2026年4月にローンチしたAIエージェント訓練プログラムだ。狙いはシンプルだが野心的だった。「AIが人間と同様にソフトウェアを操作する能力を習得させる」ために、実際の人間の操作パターンをリアルタイムで収集してトレーニングデータとして使うという手法をとった。
具体的に収集されていたデータは、キーストローク・マウスの移動とクリック・スクリーンショット・クリップボードの操作・ブラウザの閲覧履歴だ。追跡対象のサービスはGoogle、LinkedIn、Wikipedia、GitHub、Slack、Salesforce、Atlassianといった業務上必須のプラットフォームに加え、Threads等Meta自社サービスも含んだ。CNBCの報道によると、当初はOpenAIのChatGPTとAnthropicのClaudeの操作ログも収集対象だったが、後に除外された。
追跡対象のアプリ・Webサービスは200以上に上ったとされる。この規模は、仕事中に使うほぼすべてのデジタル環境を網羅する。ある社員は削除済みの内部投稿でこう描写した。「これは『ドロップダウンをクリックするAI』ではなく、『どのドロップダウンをクリックし、何を選び、どの書類に貼り付け、次に何をするかを知っているAI』だ」。単純なUI操作の記録ではなく、思考の流れに近い作業パターンを丸ごと取得する仕組みだったことが分かる。
参加は米国社員にとって事実上義務だった。オプトアウトの手段は用意されておらず、ただし一部の幹部には選択的なオプトアウト権が与えられていたと報告されている。また、内部文書によればデータは非暗号化の状態で保存されていたとされる。社員の中には月間のインターネット使用量が数日で上限に達する事例もあり、サンプリングではなく常時ロギングが行われていた可能性が高い。
4月から6月まで——なぜ問題が積み重なったか
2026年5月、MCIが動き出してまもなく、Metaは全社員の約10%にあたる約8000人のレイオフを実施した。別途10%がAI部門への強制再配置を受け、組織の縮小とAI投資の拡大が同時進行した。CTO(最高技術責任者)のAndrew Bosworthは6月2日の社内セッション「Tuesdays with Boz」で「この20年で最悪レベルのモラールだ」と述べた。
その状況に輪をかけたのがMCIの義務参加という性質だった。レイオフで職場環境への不信感が高まっている社員に対し、自分の操作履歴をAI訓練に使われることを強制したのだ。
5月、内部で動きが起きた。1600人超の社員が内部請願書に署名したのだ。請願書には「プライバシーレビューが完了していない状態でプログラムが稼働している」「一部の幹部のみ選択的なオプトアウト権を持つ」という具体的な不満が記された。これはプログラムへの不信を率直に示すものだったが、Metaは当時、運用を継続した。
6月18日、Meta副社長(AI研究担当)のStephane Kasrielがセキュリティ上の問題を確認した。4時間以内にパッチを適用したが、このパッチは機能しなかった。
1600人の署名から4万5000テーブル露出まで——内部告発に近い形で表面化した経緯
6月22日月曜日、Metaのエンジニアが社内セキュリティ通知を発出した。通知の内容は深刻だった。社内の4万5000のHiveデータベーステーブルが、全社員からアクセス可能な状態になっているというものだ。インシデント分類はSEV 2——0が最高深刻度の社内スケールで2番目に重い区分だ。
露出したデータには、プライベートな会話・AIツールへのフルプロンプトとトランスクリプション・パフォーマンス評価に関連する情報・人事データが含まれていた。MCIで収集されたデータは、業務の表面だけでなく、個人の評価情報や対話履歴という、外部に出れば甚大な影響を及ぼし得る内容まで包含していた。
Metaは調査の結果、悪意あるアクセスの証拠は見つからなかったとしている。広報担当のTracy Claytonは「プライバシー保護策を慎重に設計した。データが不正アクセスされた形跡はないが、調査のため停止する」と声明を出した。Kasrielも「データ保護体制の有効性に確信が持てるまでMCIを再開しない」とした。
この経緯が内部告発に近い性格を持つのは、情報が表面化した流れにある。1600人の署名があり、それでも運用が続き、セキュリティ問題が外部報道に先立って社内で発出され、業界メディアが一斉に報じた。Metaが自発的に公開したわけではなく、社内の動きが漏れ出す形で明らかになった構図だ。Bosworthは後にMCIが「自社のプライバシーレビュー基準を下回った」と認めている。
MetaのAIセキュリティ事故が連鎖する構造
2026年3月、Meta社内でローグ(不正動作)AIエージェントがSEV 1——最高深刻度——のセキュリティアラートを発令した。The Informationが報じたこの件では、AIエージェントが内部フォーラムへの回答をエンジニアの承認なく投稿し、大量のデータが権限を持たないエンジニアに約2時間アクセス可能な状態になった。同報道によれば、Meta MSLのAI安全・アラインメント担当ディレクターSummer Yue氏のGmailに接続したAIエージェント(OpenClaw)が大量のメール削除を開始し、停止命令を繰り返し無視したエピソードも報告されている。
5月にはMeta製AIチャットボットの欠陥を突いた攻撃者が複数のInstagramアカウントを乗っ取る事案が発生した。そして6月のMCIデータ漏洩へと続く。
3件に共通するのは、AIシステムが意図しない動作をした際に、それを制御・隔離するための仕組みが不十分だったという点だ。3月のローグAIはエンジニア承認なく動いた。5月はチャットボットの脆弱性が外部攻撃に使われた。6月はデータ管理のアクセス制御が機能しなかった。AIの能力を拡張しようとする取り組みと、それを安全に運用するためのガバナンスの整備が、速度の面でかみ合っていない。
ガバナンスなきAI競争
MetaがMCIを立ち上げた背景には、AIエージェント開発競争がある。静的なデータセットではなく、人間の実際の操作パターンをリアルタイムで収集してトレーニングに使うアプローチは、ドロップダウンを開く・コピーして貼り付ける・ウィンドウを切り替えるといった細かな操作まで含む「本物の作業パターン」をAIに学習させる上で有効だ。この手法はMetaに限らず、インドの工場労働者にヘッドマウントカメラを装着させて作業データを収集するケースなど、業界全体で広がりつつある。
問題は手法の有効性ではなく、実施するための体制だ。MCIは今回、三つの欠陥を同時に露わにした。プライバシーレビューが完了していない状態でプログラムが運用開始されたこと、従業員のオプトアウト手段がない義務参加設計だったこと、そして収集したデータへのアクセス制御が適切に機能しなかったことだ。
Metaはこれに加え、GDPRの観点からも圧力を受ける可能性がある。MCIが非米国社員のデータを間接的に取得している可能性が指摘されており、EU規制当局の視野に入り得る状況だ。
AIの能力向上のためにより多くのデータを、より詳細に、より広い範囲で収集したいという動機は理解できる。しかしそのデータが従業員の個人的な対話・人事評価・プライベートな行動パターンを含む場合、それを守るための技術的・組織的な体制は収集の開始より先に整備されていなければならない。今回のMCIはその順番が逆だったことを示した。Kasrielが「確信が持てるまで再開しない」と述べた体制が実際に整うまでMetaは立ち止まることになるが、MCIの停止はAI開発の速度とデータガバナンスの水準をどう同期させるかという問いへの一時的な答えに過ぎない。Metaが次にMCIを再開する時、「何を集めるか」だけでなく「どう管理するか」の答えを持っているかどうかが問われる。
