Anthropic「Mythos」不正アクセス事件に学ぶ、フィリピン進出日本企業のAIセキュリティ対策 | ケーススタディ

Anthropicの新AIサイバーツール「Mythos」不正アクセス事件から学ぶ、フィリピン進出企業のAIセキュリティ対策

AIツール「Mythos」が第三者ベンダー経由で不正アクセスを受けた事件を題材にします。フィリピン進出企業が委託先の管理とアクセス権限の設計で押さえたい実務のポイントをまとめました。

Part 1: このテーマが重要な理由

Step 1: フィリピンビジネスでの背景 (3分)

今回の事件は、AI開発の最前線にいるAnthropicですら、第三者ベンダー経由で不正アクセスを許した可能性があるというニュースです。フィリピンに進出する日本企業にとって、これは他人事ではありません。多くの日本企業は、マニラやセブで現地のIT会社や、BPO（業務委託）事業者、会計事務所などと契約します。そうしたパートナー経由で情報が漏れる危険は、どの企業にも存在します。

フィリピンでは、ビジネスの多くが紹介や口頭での合意から始まる文化があります。信頼関係を重視する点は日本と似ています。一方で、契約書やアクセス権限の管理が緩くなりがちです。フィリピンには個人情報保護法（Data Privacy Act of 2012）があり、違反すれば罰金や刑事罰の対象になります。BPOや開発業務を現地に委託する日本企業は、サプライチェーン全体の安全管理を自社の責任として捉える必要があります。

シーン: マカティのオフィスで、日本人マネージャーの佐藤さんがフィリピン人スタッフのマリアさんに話しかけます。「マリアさん、このニュース見た？ AnthropicのAIツールが委託先経由で漏れたらしいよ。うちも現地のIT会社に顧客データを預けているよね。明日の朝会で、アクセス権限の棚卸しを議題に入れよう。」

Step 2: 元記事の要点を整理する (5分)

元記事で報じられた事実を、以下の表に整理しました。

項目	内容
発生したこと	Anthropic社のサイバーセキュリティ向けAIツール「Mythos」に、許可されていないグループがアクセスしたとの報道
アクセス経路	Anthropicの第三者ベンダー環境を経由
関与した人物	Anthropicの委託先で働く人物のアクセス権が使われたとされる
グループの正体	未発表AIモデルの情報を集めるDiscordチャンネルのメンバー
アクセス時期	ツールが公式発表された当日に入手したとされる
Mythosの位置づけ	「Project Glasswing」という限定公開プログラムの一環で、Apple社など一部ベンダーに提供
Anthropicの対応	「Claude Mythos Preview」への不正アクセス報告を調査中とコメント
悪用リスク	Anthropicによれば、本来は企業防御用だが悪用されればハッキングツールになりうる

出典元: TechCrunch — 「Unauthorized group has gained access to Anthropic's exclusive cyber tool Mythos, report claims」(2026年4月21日)

この表は学習目的で公開情報の事実をもとに作成したものです。詳細は上記リンクの元記事をご確認ください。

関連: フィリピンでAIを導入したい日本人経営者が知るべき実践ガイドで詳しく解説しています。

Step 3: 理解度チェック (5分)

Q1. 不正アクセスを受けたと報じられているAnthropicのツールの名前は何ですか。 ヒント: ギリシャ語で「神話」を意味する名前です。

Q2. そのツールは、どのようなルートで不正グループにアクセスされたと報じられましたか。 ヒント: Anthropic本体のシステムではなく、外部の関係者が関わっています。

Q3. Mythosを限定提供する取り組みの名前は何ですか。 ヒント: 「Project ○○○○○」という形式で、ガラスの翼を意味する英語です。

Q4. 不正アクセスしたグループは、どのオンラインプラットフォーム上で活動していましたか。 ヒント: ゲーマーや開発者コミュニティでよく使われるチャットサービスです。

Q5. 本来Mythosはどのような目的で作られたツールですか。 ヒント: 企業の防御に使うためのものですが、使い方次第で逆の働きもできます。

関連: フィリピンでAIリテラシーを高める方法｜日本企業が知るべき実践ステップで詳しく解説しています。

Part 2: 実務への応用

Step 4: フィリピンでの導入ステップ (10分)

この事件から学べる教訓は、「AIツールを導入するときは、委託先の管理とアクセス権限の設計が最も重要」という点です。フィリピンで事業を行う日本企業が、AIやクラウドのツールを安全に導入するための手順を、以下にまとめます。

ステップ	内容	フィリピン特有の注意点
Step 1: 委託先の棚卸し	誰が、どのシステムに、どこまでアクセスできるかを一覧化する	口頭合意で権限が付与されているケースが多いため、書面で整理し直すこと
Step 2: 契約書の見直し	秘密保持契約(NDA)とデータ処理条項を現地法に合わせて更新する	Data Privacy Act of 2012(共和国法10173号)とNPC(国家プライバシー委員会)のガイドラインに準拠すること
Step 3: アクセス権限の最小化	「必要な人に、必要な範囲だけ」権限を付与する仕組みを作る	BPO先のスタッフの離職率が高いため、退職時の権限剥奪フローを月次で確認すること
Step 4: ログと監査の仕組み化	誰がいつ何にアクセスしたかの記録を残し、定期的に確認する	クラウドツールのログ保存費用は月額数千ペソから。中小企業でも導入しやすい価格帯
Step 5: インシデント対応計画	漏えいや不正アクセスが起きたときの連絡経路と対応手順を決める	NPCへの通知義務(72時間以内)があるため、日本本社への報告と同時並行で動く想定が必要

フィリピンではBPO会社への業務委託が一般的です。しかし日本本社から見ると、「委託先の委託先（再委託）」まで把握できていないケースが少なくありません。契約時には、再委託の有無と範囲を必ず確認してください。これが、今回のMythos事件のような「第三者ベンダー経由の漏えい」を防ぐ第一歩になります。

Step 5: よくある失敗と対策 (5分)

フィリピンでAIやクラウドのツールを導入する日本企業が陥りがちな失敗を、3つ紹介します。

失敗1: 「信頼しているから大丈夫」と口頭合意で権限を渡す

NG例: 長年付き合いのある現地IT会社の担当者に「いつも通りでいいよ」と本番環境のパスワードを共有してしまいます。
OK例: 担当者個人ではなく役割ベースでアカウントを発行し、担当者が変わったら即座に無効化します。共有パスワードは使いません。

失敗2: 契約書がテンプレートのままで、AI・クラウド特有の条項が入っていない

NG例: 10年前に作った業務委託契約書を使い回し、AIツールやクラウドの取り扱いが条文に入っていません。
OK例: AIツールの学習データへの利用禁止と、データ保存場所の明示、監査権の明記を契約書に追加します。

失敗3: セキュリティ教育を日本本社の資料の翻訳で済ませる

NG例: 日本語の社内セキュリティ研修資料をそのまま英訳して、フィリピン人スタッフに配布してしまいます。
OK例: フィリピンの法制度（Data Privacy Act）や実際のフィッシング事例を盛り込み、タガログ語の解説も交えて研修を実施します。

Part 3: さらに深く学ぶ

Step 6: 関連する技術用語 (5分)

元記事に登場する重要な用語を5つ取り上げます。

サードパーティベンダー (Third-party vendor)

第三者委託先
自分の会社の仕事の一部を、代わりにやってくれる外部の会社のことです
マニラのBPO会社に顧客サポート業務を委託するケースが典型例です

不正アクセス (Unauthorized access)

許可されていない侵入
鍵を持っていない人が、こっそり部屋に入ってしまうことです
退職した元スタッフのIDが無効化されておらず、自宅から社内システムに入れてしまう事例が実際に起きています

限定公開 (Limited release / Private release)

一部の相手だけに先行提供すること
新しいおもちゃを、まず仲良しのお友達だけに見せる、というイメージです
日本の親会社が新AIツールをまず東京本社で試し、半年後にマニラ拠点へ展開するパターンがあります

エンタープライズセキュリティ (Enterprise security)

企業向けセキュリティ
会社全体を守るための安全の仕組みです。家の鍵やカメラの、会社バージョンと考えてください
大手銀行や通信会社が、数万人規模の社員アカウントをまとめて管理する仕組みを導入しています

プレビュー版 (Preview)

先行お試し版
完成前の商品を、特別に一足先に使ってみられる版のことです
SaaSツールのプレビュー版を現地法人で先に試し、問題がなければ日本本社へ展開する流れがあります

Step 7: 自社への応用を考える (10分)

自社の委託先で、再委託先まで把握できていますか

考えるヒント: 契約書の「再委託」条項を読み返してください。そこに、どこまで細かく書かれているかを確認します。もし「甲の承諾を得て再委託できる」で終わっているなら、実際の再委託先まで台帳で管理できているか見直す余地があります。

新しいAIツールを導入する際、セキュリティ部門とどのタイミングで連携しますか

考えるヒント: 事業部門がツールを選定し終わった後に、情シスや法務へ相談する流れになっていませんか。企画段階から三者で議論する形にすれば、今回のような「発表当日に漏えい」という危険を早めに摘み取れます。

フィリピンと日本で、情報漏えい時の対応窓口は一本化されていますか

考えるヒント: 日本の個人情報保護委員会とフィリピンのNPC、両方への通知義務を誰が判断するか決まっていますか。マニラで起きた事件の連絡が日本本社に届くまで数日かかる、という状況になっていないか確認してください。

次のアクション

今週中に、自社で使っている外部ツールとSaaSのリストを作成してください。そして、それぞれの契約書で「アクセス権の範囲」と「データの保存場所」がどう書かれているかを確認します。リストができれば、優先順位をつけて見直しに着手できます。

Part 4: FAQ

Q1. 日本本社で使っているAIツールを、そのままフィリピン拠点でも使えますか。

A. 技術的には使えますが、データ保存場所とアクセス権の扱いに注意が必要です。フィリピンのData Privacy Actは、個人情報の国外移転について本人同意や適切な保護措置を求めています。契約書で保存場所（日本かフィリピンか、または米国のクラウドか）を明示してください。あわせて、NPCのガイドラインに沿った運用になっているかを確認しましょう。

Q2. 現地のBPO会社に業務委託する場合、セキュリティ監査はどこまでやるべきですか。

A. 最低でも年1回の書面監査をおすすめします。重要業務なら、現地訪問での実地監査も加えてください。フィリピンには中小のBPO会社が数千社ありますが、ISO27001などの第三者認証を持つ会社は一部です。認証の有無だけでなく、実際のアクセス管理やログ保存の実態を確認することが大切です。

Q3. Discordなどのチャットツールを社内で使っている場合、リスクはありますか。

A. 業務情報の共有にコンシューマー向けチャットを使うのは、危険度が高いです。フィリピンではViberやMessengerが日常的に使われており、業務連絡もそちらに流れがちです。社内規程で業務用ツール（Microsoft Teams、Slack、Google Workspace等）に集約してください。私用ツールとの使い分けも明確にしましょう。

Q4. 情報漏えいが起きた場合、フィリピンではどこに通知する必要がありますか。

A. NPC（National Privacy Commission）への通知が必須で、重大な漏えいは72時間以内の報告が求められます。加えて、影響を受ける本人への通知義務もあります。日本の個人情報保護委員会への報告と並行して進める必要があるため、事前に両国の窓口と手順を整理しておきましょう。

Q5. 社員にセキュリティ教育をするときの、フィリピンならではのポイントはありますか。

A. フィリピンの社員は英語が堪能ですが、母語のタガログ語やセブアノ語で説明したほうが腹落ちしやすい内容もあります。家族とのつながりが強い文化のため、「自宅のPCから業務システムに入ってはいけない」といった具体例を、家族ぐるみの生活シーンに即して説明すると効果的です。罰則よりも「みんなの会社を守るため」という共同体への貢献を強調するメッセージが響きます。

活用のコツ(3 Tips)

Tip 1: 今週中に「委託先アクセス権マップ」を一枚で作る

誰が、どのシステムに、どの範囲でアクセスできるかを、一枚のシートに書き出してください。今回のMythos事件の本質は「見えない権限」が原因です。可視化した瞬間に、不要な権限や更新されていないアカウントが見つかります。まずはExcel一枚で十分です。

Tip 2: 契約書の「再委託」条項を読み返し、台帳化する

再委託を認める契約になっている場合、実際の再委託先まで把握できているかを確認してください。フィリピンではBPO会社が、さらに別のフリーランスに業務を回すケースもあります。再委託先の一覧を台帳にして、年1回は更新する運用にしましょう。

Tip 3: AIツール導入時は「企画段階」で情シスと法務を呼ぶ

事業部門が選定を終えてから情シスに相談する流れだと、すでに契約直前で修正が効きません。新しいAIツールを検討し始めた時点で、情シスと法務に声をかけてください。安全管理と法令順守の観点を、最初の議論に入れましょう。手戻りが減り、結果的に導入が速くなります。

ボーナス: PH AI Worksの活用法

PH AI Worksは、フィリピンに進出する日本企業向けに、AIやテクノロジーの活用と、セキュリティ対策のサポートを行っています。今回の記事テーマに関連して、以下のようなご相談を承っています。

現地委託先のセキュリティ体制の見直しと、アクセス権限管理の仕組み作りのご相談
フィリピンのData Privacy Actに準拠したAIツール導入の進め方のご相談
日本本社とフィリピン拠点をつなぐセキュリティ事故対応フローの設計のご相談

AIの活用とセキュリティは、どちらか片方だけでは成り立ちません。フィリピンの現地事情と日本の企業文化の両方を踏まえた、実践的な仕組み作りを一緒に考えていきましょう。まずはお気軽に無料でご相談ください。