Anthropic「Mythos」が示すAIセキュリティ新時代｜フィリピン進出日系企業への示唆 | ケーススタディ

Anthropic「Mythos」とホワイトハウス会談が示すAIセキュリティ新時代 — フィリピン進出日本企業が今おさえるべきこと

Anthropic CEOとホワイトハウスの会談、そして新AIモデル「Mythos」をテーマに、フィリピン進出日本企業が備えるべきAIセキュリティ対策と管理体制（統治の仕組み）の動向をわかりやすく解説します。

Part 1: このテーマが重要な理由

Step 1: フィリピンビジネスでの背景 (3分)

Anthropic社のCEOがホワイトハウスを訪問し、新型AIモデル「Mythos」について協議したというニュースが流れました。これはアメリカ政治の話題にとどまりません。Mythosはソフトウェアの弱点やセキュリティ上の穴を見つけることに強いAIモデルです。サイバーセキュリティの常識を変える可能性を持っています。

フィリピンに進出する日本企業にとっても、この話題は他人事ではありません。マニラやセブのオフィスは、本社の日本とクラウドでつながりながら業務を進めます。BPO（業務委託サービス）やコールセンターを運営する企業なら、顧客データを大量に扱います。AIが「攻撃にも防御にも使える武器」になる時代では、現地オフィスのセキュリティ水準が本社のリスクに直結します。

フィリピンでは国家プライバシー委員会（NPC）が個人情報の扱いを厳しく見ています。BIR（内国歳入庁）やSEC（証券取引委員会）に提出する書類も、電子化が進んでいます。現地の情報漏えい事件は、日本の本社にもすぐに報じられます。「AIセキュリティ」は経営層の会話に入ってきました。

シーン：マニラ・BGCのオフィス。朝会で現地スタッフのマリアさんが言います。「部長、日本の本社から『Mythosって知ってる？』と質問が来ました。顧客からもAI監査のアップデートを求められています。どう答えましょう？」あなたはコーヒーを片手に、この教材を開きます。

Step 2: 元記事の要点を整理する (5分)

元記事の事実を、理解しやすい形に整理しました。

項目	内容
当事者	Anthropic社CEO ダリオ・アモデイ氏
会談相手	ホワイトハウス首席補佐官スージー・ワイルズ氏
同席者	財務長官スコット・ベッセント氏
会談日	2026年4月17日（金）
話題のAIモデル	Mythos（サイバーセキュリティ特化）
配布方法	「Project Glasswing」として一部企業限定、一般公開なし
直前の経緯	トランプ政権がAnthropicを「国家安全保障リスク」と指定
現在の状況	サンフランシスコの連邦判事が政権の使用停止命令を一時差し止め
対立の論点	国防総省が「完全な利用」を要求、Anthropicが「自律型兵器と国内大量監視への利用除外」を主張
大統領の反応	記者に「誰？知らない」と発言

出典: CNBC — 「Trump says he had 'no idea' Anthropic's Amodei met with White House about Mythos」(2026年4月17日)

この表は学習目的で公開情報の事実をもとに作成したものです。詳細は上記リンクの元記事をご確認ください。

関連: フィリピンでAIリテラシーを高める方法｜日本企業が知るべき実践ステップで詳しく解説しています。

Step 3: 理解度チェック (5分)

元記事の理解度を確認しましょう。答えを考えてから次に進んでください。

Q1: Mythosは何が得意なAIモデルですか？ ヒント: ソフトウェアに関する「弱点」や「穴」を探す能力です。

Q2: AnthropicがMythosを一般公開しない代わりに始めた取り組みの名前は何ですか？ ヒント: 「ガラス」と「翼」を組み合わせた英語です。

Q3: 国防総省とAnthropicが合意できなかった争点を2つ挙げてください。 ヒント: 武器の自律性と、国民への監視の範囲です。

Q4: アモデイ氏は今回の訪問で誰と会いましたか？最低2人の名前を答えてください。 ヒント: ホワイトハウスの実務トップと、お金を扱う長官です。

Q5: 会談の2週間ほど前、Anthropicはアメリカ政府とどんな対立関係にありましたか？ ヒント: 政府がある「リスク」に指定し、Anthropicは裁判所に訴えました。

関連: Anthropic APIとは？フィリピンでのAIビジネス活用と導入の可能性で詳しく解説しています。

Part 2: 実務への応用

Step 4: フィリピンでの導入ステップ (10分)

フィリピンの現地オフィスで、AIセキュリティへの備えを進める手順を整理します。

ステップ	内容	フィリピン特有の注意点
1. 現状の棚卸し	使っているAIツールと、AIが触るデータを一覧化する	現地スタッフが個人アカウントで無料AIを使っている例が多い。BGC・セブの無料Wi-Fi経由の利用にも注意
2. 法令の確認	Data Privacy Act（DPA 2012）とNPCの最新通達を確認する	個人情報の越境移転ルールは日本の個人情報保護法と異なる。現地弁護士の確認費用はPHP 15,000〜50,000程度
3. リスク評価	Mythosのような「攻撃的AI」が自社を狙った場合の想定をする	現地SMEは古いWindowsやPHP製システムを使うことが多く、脆弱性が眠っている可能性が高い
4. 社内ルール作成	AI利用ガイドラインを英語とタガログ語で整備する	口頭合意の文化が強いため、文書化と署名を重視。Sari-sari文化的な「暗黙の了解」に頼らない
5. 定期監査	年1回はペネトレーションテストを受ける	マニラの専門会社でPHP 200,000〜800,000程度。DOLEの労働契約面も含めて契約書を整える

予算感の目安：年間のAIセキュリティ対策費は、従業員50名規模の現地法人でPHP 500,000〜1,500,000（約130万〜400万円）を一つの目線にしてください。

Step 5: よくある失敗と対策 (5分)

失敗1：本社のルールをそのまま現地に適用する

NG例：日本本社のAI規程を英訳して配るだけで、運用は現地任せにします。現地スタッフは「これは日本人向けのルール」と感じ、形だけの運用に終わります。
OK例：現地のITマネージャーと一緒にワークショップを開きます。フィリピンの実務に合わせて規程を書き直し、Barangay（バランガイ）の停電対応など現地事情も反映してください。

失敗2：AIツールを禁止するだけで終わる

NG例：「業務でAIを使ってはいけません」と通達して終わりにします。現地スタッフは隠れて個人スマホで使い続け、データ漏えいリスクが高まります。
OK例：会社が承認した安全なAIツールを用意して配ります。ライセンス費用は月額PHP 500〜2,000程度を予算化し、公式な使い方を研修で伝えてください。

失敗3：契約書にAIの扱いを書かない

NG例：既存のBPO契約や業務委託契約に、AI利用に関する条項がありません。事故が起きても責任の所在があいまいになります。
OK例：新規契約と更新時に「AI利用の可否」「データの取り扱い」「脆弱性が見つかった場合の通知義務」を明記します。SECやBIRへの報告義務もふまえてください。

Part 3: さらに深く学ぶ

Step 6: 関連する技術用語 (5分)

サイバーセキュリティ（Cybersecurity）

コンピューターやネットワークを悪い人から守ることを指します。
家に鍵をかけるのと同じで、会社のデータに勝手に入られないよう守る仕組みです。
マニラ拠点のBPO企業は、日本本社の顧客情報を預かります。そのため、サイバーセキュリティの認証が取引条件になることが多いです。

脆弱性（Vulnerability）

システムにある「穴」や「弱い場所」のことです。
家のドアの鍵が壊れているような状態で、攻撃者が入りやすい場所です。
セブのSMEが使う古い会計ソフトに脆弱性が見つかり、銀行取引情報が危険になる事例も報告されています。

ペネトレーションテスト（Penetration Test）

わざとシステムを攻撃してみて、問題がないか調べる作業です。
泥棒役の専門家に家へ入ってもらい、どこから侵入できるか試してもらう訓練に近いものです。
NPCの監査前に実施する日本企業が増えています。マニラの専門会社に依頼するのが一般的です。

自律型システム（Autonomous System）

人間が指示しなくても、自分で判断して動くシステムのことです。
ボタンを押さなくても、自分で考えて動くロボットのようなものです。
在庫管理で「残り少なくなったら自動発注」する仕組みは、身近な自律型システムの一例です。

サプライチェーンリスク（Supply Chain Risk）

取引先や部品供給網から生まれる危険のことです。
自分の会社は大丈夫でも、取引先に問題があると自分も困る、という危険です。
日本の自動車部品メーカーが、フィリピンの協力会社のIT事故で納期遅延になるケースもサプライチェーンリスクの一例です。

Step 7: 自社への応用を考える (10分)

自社のAI利用は「攻撃されたとき」にどれだけ耐えられるか？

考えるヒント：Mythosのようなセキュリティ特化AIは、悪用すれば攻撃側の武器にもなります。自社の現地オフィスで使っているツールのうち、どれが最初に狙われそうか、棚卸しから始めてみてください。

本社と現地法人の「AIガバナンス」をどう統一するか？

考えるヒント：日本本社のルールをそのまま現地に持ち込むと、現地の実情に合わずに形だけのものになります。フィリピンのNPCルールと、日本の個人情報保護法の両方を満たす形を、現地責任者と一緒に設計してください。

取引先のAI利用について、どこまで確認すべきか？

考えるヒント：フィリピンのBPOやIT委託先がどんなAIを使っているか、把握していますか？契約書に「AIの利用報告義務」を追加するだけで、サプライチェーンリスクを大きく下げられます。

次のアクション：来週までに、現地オフィスで「どんなAIツールを誰がどのデータに使っているか」の棚卸しリストを作ってください。A4一枚でかまいません。ここが全ての出発点になります。

Part 4: FAQ

Q1: フィリピンのBPO委託先にもAIセキュリティの確認が必要ですか？

はい、必要です。委託先のスタッフが個人アカウントで無料AIに顧客データを入れてしまうと、日本の本社にも責任が及びます。契約書に「会社承認AIのみ使用」「違反時の通知義務」を明記してください。四半期ごとの簡単なヒアリングだけでも効果があります。

Q2: NPC（国家プライバシー委員会）はAIをどう見ていますか？

NPCは個人情報の処理全般を監督しており、AIでの処理も対象です。顧客データを海外のAIサービスに送る場合は「越境移転」の扱いとなります。同意取得や契約条項の整備が必要です。日本向けに送るデータも例外ではありません。

Q3: AIセキュリティの専門家を現地で採用できますか？

マニラとセブには一定数の専門人材がいますが、採用競争は激しいです。月給の目安はシニアでPHP 150,000〜300,000（約40万〜80万円）程度です。いきなり正社員で採るより、まずは現地の専門会社に部分委託しましょう。社内に知見が溜まってから採用を検討するのが安全です。

Q4: 現地スタッフにAIのリスクをどう伝えればよいですか？

抽象的な話より、具体例が響きます。「あなたが〇〇を無料AIに入れると、誰がそれを見るか分かりません」といった現実的な話を、タガログ語でも説明できる現地マネージャーに任せてください。日本人駐在員が英語で説明するだけでは、若手スタッフには伝わりにくいです。

Q5: AIに関する事故が起きたとき、日本本社への報告はどのタイミングですべきですか？

原則として「発覚した当日中」に一次報告を入れてください。フィリピンではNPCへの72時間以内の通知義務があるケースもあります。日本とフィリピンで時差は1時間なので、本社の就業時間を気にしすぎず早めに連絡するのが鉄則です。口頭だけでなく、メールやチャットで記録を残してください。

活用のコツ(4 Tips)

Tip 1: 今週中に「使用中AIツール」の棚卸しシートを作る

リスク対策は現状把握から始まります。A4一枚のスプレッドシートで十分です。「ツール名」「利用者」「扱うデータの種類」の3列から始めてください。完璧を目指すより、まず書き出すことが大切です。

Tip 2: 契約書のひな型に「AI条項」を一段落追加する

新規契約と更新のタイミングで、AI利用の可否、データ取り扱い、事故通知義務を盛り込んでください。現地の弁護士にひな型レビューを依頼する費用は数万円程度で、後々の損失に比べれば小さな投資です。

Tip 3: 現地スタッフ向けの「AI使っていいよリスト」を配る

禁止事項を並べるより、承認済みツールを3〜5個リストにして配る方が効果的です。「これを使えば大丈夫」という安心感が、裏でこっそり使われるリスクを下げます。月1回の見直しで最新化してください。

Tip 4: 四半期に一度、本社と現地で「AIリスク定例会」を持つ

30分でも構いません。本社のIT責任者と現地のITマネージャーが定期的に話す場があると、問題の早期発見につながります。議事録を残し、次回までの宿題を3つ決める形で運用してください。

ボーナス: PH AI Worksの活用法

PH AI Worksは、フィリピン進出日本企業のためにAIやテクノロジーの活用を支援しています。今回のテーマに関連して、次のような内容でお役に立てます。

現地オフィスのAI利用状況の棚卸し支援：どのツールが使われ、どこにリスクがあるか、一緒に整理します。
AI利用ガイドラインの日英バイリンガル作成：本社規程と現地実情をつなぐ実用的な文書を作ります。
現地スタッフ向けAIリテラシー研修：タガログ語対応可能な講師と連携し、実務に直結する研修を提供します。

まずはお気軽にお問い合わせください。無料でご相談いただけます。