ほとんどのAI会議ツールは、音声やトランスクリプトをクラウドサーバーに保存しています。中にはそのデータをモデルのトレーニングに使うものもあります。次の営業電話、取締役会、または人事評価にAIノートテイカーを参加させる前に、通話が終わった後に会議の内容がどうなるのか、正確に把握しておく価値があります。

JuliaはアムステルダムのフィンテックスタートアップでHRマネージャーを務めています。彼女は6ヶ月間、業績評価の記録にOtter.aiを使っていました。内容は整理されていて検索しやすく、後から参照するのも簡単でした。ところがある従業員がGDPRに基づくデータ主体アクセス要求を提出し、会社が保有する自分のあらゆるデータを開示するよう求めました。JuliaはOtterが会議を録音するために送るボット・OtterPilotが、すべての評価会議の音声をOtterの米国クラウドサーバーにアップロードしていたことを発見しました。トランスクリプトも同様に保存されていました。彼女は会議ノートツールのデータ保持ポリシーを策定していませんでした。そもそもそれが必要だとは思っていなかったのです。

彼女が不注意だったわけではありません。データがどこに保存されているかを考えていなかっただけです。この記事では、ほとんどのAI会議ツールに潜む5つのプライバシーリスク、主要4プラットフォームの比較、そして会議の内容を本当に守れるツールを選ぶための基準を解説します。

Key Takeaways

「GDPR準拠」では不十分な理由

主要なAI会議ツールはすべてコンプライアンスバッジを持っています。Otter.aiはSOC 2 Type 2認定を取得し、GDPRデータ処理契約(DPA)を提供しています。Fireflies.aiも同様です。ZoomはISO 27001を取得し、Microsoftはそれ以上の認定を持っています。

コンプライアンスバッジは、ベンダーのデータ処理プロセスが監査されていることを示しています。しかし、音声がサーバー側で保存されているかどうか、トランスクリプトがデフォルトでどれくらい保持されるか、会議の内容がモデルトレーニングに使われているか、米国のCLOUD Actに基づく政府の召喚状があなたのデータにどう影響するか、といったことは教えてくれません。

アーキテクチャはポリシーより重要です。ツールがGDPR準拠であっても、あなたの音声を米国サーバーに無期限で保存することはできます。「準拠」とはデータを責任を持って扱うという意味であり、データを保持しないという意味ではありません。

AI会議ツールにおける5つのプライバシーリスク

1. クラウドへの音声保存

ほとんどのAI会議ツールは処理のために音声をサーバーに送信します。その音声は、トランスクリプトの品質確認や紛争解決のために、あるいはデフォルトとして保持される場合があります。保持期間はツールによって大きく異なります。30日後に削除するものもあれば、手動で削除を依頼するまで保持し続けるものもあります。実際のリスクは、ベンダーでデータ侵害が発生した場合に実際の録音が流出することです。HR面談、M&A交渉、法的相談においては、これは重大なリスクです。

2. トランスクリプトとサマリーの保持

音声が長期保存されない場合でも、トランスクリプトとAIサマリーはほぼ常にベンダーのサーバー上に残り続けます。あなたが削除するまでそこにあります。一部ツールの無料プランでは無期限に保持されます。すべての会議サマリーが第三者によって保持される永続的な記録となります。

3. あなたの会議がモデルのトレーニングに使われる可能性

一部のツールは、匿名化された、あるいはそうでない形で会議データをAIの改善に使用します。これはプライバシーポリシーで「サービス改善のために集約・匿名化されたデータを使用する場合があります」といった表現で開示されることが多いです。あなたの具体的な会議内容が含まれるかどうかは、プランの種類、同意した設定、そして変更されることもあるベンダーの現在のポリシーによって異なります。明示的なオプトアウトを探してください。エンタープライズプランでは通常提供されています。無料ユーザーは機密性の高い通話を録音する前に現在のポリシーを確認してください。

4. ボットの同意問題

Otter.aiやFireflies.aiのようなツールは、ボット参加者を会議に送ることで機能します。そのボットは全員に見えます。EUや英国、および多くの米国州では、すべての当事者から十分な情報に基づく同意を得ずに会話を録音することはプライバシー法に違反する可能性があります。ある参加者がボットに気づかず後から異議を申し立てた場合、法的責任を負うのはベンダーではなくホスト側です。

5. 管轄権と法的アクセス

Otter、Fireflies、Zoom、Microsoftはすべて米国に本社を置くか、米国インフラにデータを保存しています。2018年の米国CLOUD Actに基づき、米国の法執行機関は米国のクラウドプロバイダーに対し、世界中どこに保存されているデータでも提出を命じることができます。EUやアジアのデータセンターも例外ではありません。欧州の企業が商業的に機密性の高い情報や個人を特定できる情報を扱う場合、どのGDPR DPAでも完全には埋められない管轄権の隙間が生じます。

各ツールがあなたのデータで実際に何をするか

ツール 音声の保存 トランスクリプトの保存 可視ボット モデルトレーニング
Otter.ai クラウド(米国、AWS) 削除するまで保持 あり(OtterPilot) オプトアウト可(有料プラン)
Fireflies.ai クラウド(米国) 無料プラン:無期限 あり(fred@fireflies.ai) 明記なし
Zoom AI Companion 通話中のみ Zoomクラウド ボットなし(ネイティブ) 顧客コンテンツでのトレーニングなし
Teams Premium 録音が有効な場合 Microsoft 365ストレージ + Exchange ボットなし(ネイティブ) 顧客コンテンツでのトレーニングなし
MirrorCaption なし ブラウザのみ なし なし

Otter.ai

Otterは音声をクラウドインフラ(AWS、米国)に保存します。トランスクリプトはあなたが削除するまで保持されます。OtterPilotは可視ボットとして会議に参加します。SOC 2 Type 2認定とGDPR DPAはエンタープライズアカウントで利用できます。

正直な強み:英語のトランスクリプト品質は業界最高水準で、大規模チームに向けた明確なエンタープライズコンプライアンス体制があります。正直な限界:ボットが可視的に参加し、音声はクラウドに保存され、モデルトレーニングのオプトアウトは有料エンタープライズプランで最も明確に提供されます。機密性の高い通話でOtterを使用する前に、ご自身のプランの現在のプライバシーポリシーを確認してください。

Fireflies.ai

Marcusはベルリンのあるスタートアップでエンタープライズ営業を担当しています。彼はすべての製品デモを録音するためFirefliesを設定しました。有効化してから3回目の通話で、東京の副社長が参加者リストに気づきました。「fred@fireflies.aiが会議に参加しました。」彼女はこれが誰かと尋ねました。彼はAIノートテイカーだと説明しました。彼女はこう答えました。「営業電話における第三者の参加については厳格なポリシーがあります。」通話は終了しました。その後のメールへの返信はありませんでした。その取引は最終条件の段階まで進んでいました。ボットはまさに設計どおりに機能していました。同意が取れていなかっただけです。

Firefliesは録音とトランスクリプトを米国のクラウドサーバーに保存します。無料プランでは、手動で削除しない限りデータは無期限に保持されます。ボット参加者なしにFirefliesを使う方法はありません。fred@fireflies.aiが唯一の仕組みです。正直な強み:営業チーム向けのCRM連携は最高レベルです。正直な限界:ボットは不可避であり、このリストの中で最も目立ちます。

Zoom AI Companion

Zoom AI Companionはネイティブ機能であり、独立したボット参加者は不要です。これにより可視的な同意問題は解決されます。サマリーはZoomのクラウドインフラ内で生成されます。Zoomは、顧客の音声、映像、チャット、画面共有、添付ファイルなどのコミュニケーションコンテンツはZoomや第三者のAIモデルのトレーニングには使用しないと述べています。正直な強み:Zoomのみを使うチームにとっては摩擦なく利用でき、追加のサインアップ不要です。正直な限界:プラットフォームへのロックイン。機密性の高い通話で有効化する前に、管理者が保持・録音ポリシーを確認する必要があります。

Microsoft Teams Premium

Teams Premium(インテリジェントリキャップ)はリキャップの成果物をMicrosoft 365内に保持しますが、ストレージは複数のサービスに分散されます。録音はOneDriveまたはSharePointに保存され、トランスクリプトのコピーとリキャップデータはExchange Onlineにも保存される場合があります。MicrosoftはTeams会議の顧客データを自社の基盤モデルのトレーニングには使用しないと述べています。正直な強み:すでにMicrosoft 365で運用している組織には強力なネイティブガバナンスを提供します。正直な限界:Teamsのみ対応、追加ライセンスコストが発生、ストレージと保持ポリシーが複数のMicrosoftサービスにまたがるため、管理者が明示的にガバナンスを設定する必要があります。

音声がブラウザから一切出ないミーティングツールをお探しですか?MirrorCaptionはすべてをローカルで処理します。サーバー保存なし、ボットなし、60以上の言語対応。

無料で試す →

アーキテクチャの違い:ブラウザ vs. クラウド

上記のツールはすべて同じ設計前提を共有しています。音声が処理のためにリモートサーバーに送られ、そこに何かが保存されます。しかし、会議ツールの構築方法はそれだけではありません。

MirrorCaptionはブラウザのWeb Audio APIを使って音声を取得し、当社独自のリアルタイム音声認識エンジンに直接ストリーミングします。その後音声は破棄され、MirrorCaptionのサーバーには一切触れません。トランスクリプトはブラウザのIndexedDB(ローカルストレージ層)に保存され、ファイルを明示的にエクスポートしない限りクラウドには同期されません。MirrorCaptionのサーバーが確認できるのは請求利用状況のみです。消費された分数であり、コンテンツではありません。

当社STTのAPIキーは有効期間2秒でAES-GCM暗号化されているため、STT認証情報さえも保存中には公開されません。実際の結果として、MirrorCaptionでデータ侵害が発生した場合でも、流出するのは請求記録であり、会議のトランスクリプトや音声ファイルではありません。

正直に認める必要のある限界:MirrorCaptionはまだSOC 2認定を取得していません。組織の調達プロセスでベンダーのSOC 2レポートが必要な場合、これは実際のギャップです。プライバシー保護はアーキテクチャによるものであり、コンプライアンスバッジによるものではありません。正式なベンダー評価プロセスがある規制対象業界では、現時点ではTeams Premiumの方がコンプライアンス面で優れた選択肢です。

GDPRとCCPAが会議録音に実際に求めること

全参加者の同意が必要ですか?

GDPRおよびほとんどのEU加盟国法の下では、録音の前にすべての当事者から十分な情報に基づく同意を得る必要があります。「十分な情報に基づく」というのが重要な言葉です。参加者リストにボットが表示されることは通知とみなされる場合がありますが、それは参加者がそれを見て目的を理解している場合に限ります。参加者が第二言語で参加者リストを確認する可能性がある国際通話では、録音前にその前提を慎重に検討する価値があります。

国際通話では、どの管轄権が適用されますか?

ドイツの社員と日本のクライアントの間の通話が米国ベースのツールで録音される場合、3つの管轄権が潜在的に適用されます。GDPR(EUデータ主体)、日本の個人情報保護法(APPI)、そして米国データ法(ツールがデータを保存する場所)です。最も安全なアプローチは、すべての参加者から明示的な口頭または書面による同意を得て記録し、方程式にさらに第4者のデータリスクを加えないツールを選ぶことです。

あらゆるAI会議ツールのためのプライバシーチェックリスト

機密性の高い通話でAI会議ツールを有効化する前に、以下の6つの質問を確認してください:

  1. 1音声はどこに保存され、どのくらいの期間保持されますか?「ベストプラクティスに従う」ではなく、具体的な保持期間を確認してください。
  2. 2トランスクリプトデータの所有者は誰ですか?すべての記録をエクスポートして完全に削除できますか?
  3. 3ツールは可視ボットとして参加しますか?その場合、すべての会議参加者はその存在に同意していますか?
  4. 4モデルトレーニングをオプトアウトできますか?ポリシー文書だけでなく、プライバシー設定でも確認してください。
  5. 5あなたのデータにはどの法的管轄権が適用されますか?ツールが米国ベースの場合、CLOUD Actのリスクを理解してください。
  6. 6プラットフォームを離れる場合、すべてのデータを削除するにはどうすればよいですか?ツールが機密性の高い通話を処理する前にこれをテストしてください。

よくある質問

AI会議ツールは会議の全員の同意が必要ですか?

ほとんどのEU管轄権および多くの米国州では、はい。録音の前にすべての当事者から十分な情報に基づく同意が必要です。参加者リストにボットが表示されることは通知とみなされる場合がありますが、明示的な同意の代わりにはなりません。特に参加者が第二言語で参加者リストを確認する可能性がある国際通話ではなおさらです。

会議にボットが表示されずにAI会議メモを使用できますか?

はい。Zoom AI CompanionとMicrosoft Teams インテリジェントリキャップは、独立したボット参加者なしにプラットフォーム内でネイティブに動作します。MirrorCaptionはブラウザを通じて音声を取得し、会議に一切参加しません。他の参加者には何も追加されたように見えません。

音声をサーバーに保存しないAI会議ツールはありますか?

MirrorCaptionは当社のストリーミングSTTを通じてブラウザ内で音声を処理します。音声はサーバー側に一切保存されず、トランスクリプション後に破棄されます。トランスクリプトはブラウザのIndexedDBローカルストレージにのみ保存されます。他のツールとの比較については、2026年のミーティング翻訳ツール比較Firefliesとの比較をご覧ください。

Otter.aiやFireflies.aiから会議データを削除するにはどうすればよいですか?

Otter.aiの場合:設定から「データとプライバシー」を選択するか、サポートチャンネルから削除リクエストを送信してください。Fireflies.aiの場合:ノートブックから個々の録音を削除するか、アカウント完全削除リクエストを送信してください。無料プランのデータは削除後もバックアップにしばらく残る場合があります。正確なタイムラインは現在のプライバシーポリシーでご確認ください。

AI会議サマリーは法的または医療通話に安全ですか?

ツールと管轄権によります。米国でHIPAAが適用されるコミュニケーションには、ベンダーとのビジネス・アソシエイト契約(BAA)が必要です。ZoomとMicrosoftは特定のエンタープライズプランでこれを提供しています。特権的な法的コミュニケーションには、音声やトランスクリプトを第三者サーバーに一切保存しないツールが最も安全なアプローチです。規制対象の通話でAIツールを使用する前に、ベンダーの現在のBAA提供状況を確認してください。

「GDPR準拠」はAI会議ツールが実際にプライベートであることを意味しますか?

いいえ。GDPRコンプライアンスは、ベンダーがデータ処理契約を持ち、データ主体の権利を尊重し、合法的根拠に基づいてデータを処理することを意味します。音声を保存すること、モデル改善に使用すること(オプトアウトあり)、または米国に本社を置く場合にCLOUD Actの対象となることを妨げるものではありません。コンプライアンスとプライバシーは関連していますが異なります。アーキテクチャがどのデータが存在し露出する可能性があるかを決定し、コンプライアンスはそれがどのように処理されるかを決定します。

結論

フランクフルトのある法律事務所が、アソシエイトにクライアント通話でZoom AI Companionを使うことを許可しました。しかし、どの会議が録音・トランスクリプション・サマリー可能かについての明確なポリシーは設けていませんでした。6ヶ月後、マネージングパートナーは機密性の高いクライアント通話のリキャップ成果物がテナント全体に散在していることを発見し、案件ごとに監査しなければならなくなりました。教訓は地味でしたが代償は大きいものでした。ネイティブのAI機能でも、特権的な会話で有効化する前に保持ルール、アクセス制御、文書化されたロールアウト計画が必要です。

AI会議ツールが危険だという教訓ではありません。デフォルト設定、データアーキテクチャ、そしてベンダーの管轄権が、価格ページのコンプライアンスバッジよりもはるかに重要だということです。

簡単な意思決定ガイドです:

アーキテクチャが、何か問題が起きた場合に何が回収可能かを決定します。会議ツールを選ぶときは、他のデータ処理者を選ぶときと同じように選んでください。ツールがデータについて何を言っているかではなく、実際に何をするかに基づいて。

サーバー保存なし。ボットなし。60以上の言語対応。

MirrorCaptionはブラウザ内で音声を処理して破棄します。トランスクリプトはあなたのデバイスに留まります。毎月2時間の無料枠でスタートしてください。

無料で始める ― クレジットカード不要