📖 この記事で分かること
OpenAI がオープンウェイトのPII検出モデルを公開
データを外に出さずローカルで秘匿化できる
gpt-oss 派生、1.5Bパラメータの小型モデル
商用利用可だが「コンプラ保証」ではない点
💡 知っておきたい用語
PII:氏名・住所・電話番号など、個人を特定できる情報のこと
秘匿化(redaction):文章中の個人情報を伏せ字やプレースホルダーに置き換える処理
最終更新日: 2026年5月28日
▶ 公式ページ
OpenAI Privacy Filter とは
OpenAI が2026年4月、テキスト中の個人情報(PII)を検出・秘匿化するオープンウェイトモデル「Privacy Filter」を公開しました。最大の特徴は、データをクラウドに送らず手元のマシンで完結する点です。
この記事のポイント
OpenAI が Privacy Filter を Apache 2.0 ライセンスで公開しました(2026年4月時点)。
gpt-oss 派生の双方向トークン分類器で、総パラメータ1.5B・アクティブ50M、128,000トークンのコンテキストを持ちます(2026年5月時点)。
ローカル実行でデータが外に出ず、PII-Masking-300k ベンチで96% F1。ただし「コンプライアンス保証」ではない点に注意が必要です。
OpenAI Privacy Filter は、入力テキストの各トークンに「安全」か「8種類の個人情報のいずれか」かのラベルを付け、該当箇所を伏せ字やプレースホルダーに置換できるモデルです。従来の正規表現ベースのPII検出ツールが電話番号やメールアドレスといった定型フォーマットに強い一方で文脈の判断が苦手だったのに対し、Privacy Filter は言語と文脈の理解に基づいて、より微妙な個人情報も拾います。OpenAI 自身も、社内のプライバシー保護ワークフローでファインチューニング版を使っていると説明しています。
技術仕様と8つの検出カテゴリ
Privacy Filter は、生成型LLMとは異なる構造を採っています。性能の核は「双方向トークン分類」と「制約付きデコード」にあります。
アーキテクチャは gpt-oss を小型化したチェックポイントをベースに、自己回帰の事前学習を経たうえで、言語生成ヘッドをトークン分類ヘッドに置き換え、教師ありの分類学習で後段訓練したものです。通常のLLMが左から右へ1トークンずつ生成するのに対し、Privacy Filter は文章全体を一度に読み、1回のフォワードパスで全トークンにラベルを付けます。出力されたトークン単位のラベルは、制約付き Viterbi デコーダで一貫したスパンへとまとめられます。これにより「John」と「Smith」が別々の人物として分断される、といった崩れを防ぎます。
主なスペックは次の通りです。
小型:総パラメータ1.5B・アクティブ50Mのスパースな Mixture-of-Experts(専門家128個・トークンごとに上位4個を選択)。ブラウザやノートPCで動作します(2026年5月時点)
長文対応:128,000トークンのコンテキストで、分割せず長文を一括処理
可調整:精度(precision)と再現率(recall)のトレードオフを実行時のパラメータで調整可能
ライセンス:Apache 2.0 で商用利用・改変・ファインチューニングが可能
検出できるのは次の8カテゴリです。氏名(private_person)、住所(private_address)、メールアドレス(private_email)、電話番号(private_phone)、日付(private_date)、URL(private_url)、口座・カード番号など(account_number)、APIキーやパスワードなどの秘密情報(secret)。
注意したいのは、社会保障番号やマイナンバー、医療記録番号といった地域固有の識別子が既定のラベルに含まれていない点です。OpenAI はこれらを意図的に除外し、地域・業種に合わせたファインチューニングで対応する設計にしています。
既存ツールとの違いと使いどころ
PII秘匿化は新しい分野ではありません。Privacy Filter の独自性は、オープンウェイト・オンデバイス実行・現代的アーキテクチャ・無償という組み合わせにあります。
代表的な既存ツールと比べると、立ち位置の違いが見えてきます。Microsoft Presidio は無償かつローカル実行が可能ですが、正規表現とNERが中心で多言語に強い一方、文脈理解では学習モデルに一歩譲ります。AWS Comprehend PII や Google DLP はマネージドで監査ログやSLAが揃う反面、クラウド専用で従量課金が発生します。Privacy Filter はローカルで無償・高精度ですが、監査証跡やSLA、多言語対応は自前で補う必要があります。
実務では「構造化された定型データは Presidio、非構造の文章は Privacy Filter」と併用する構成も現実的です。LLMにプロンプトを送る前段の秘匿処理として挟めば、生データを外部に出さずに前処理でき、セキュリティレビューの説明もしやすくなります。
OpenAIのエンタープライズ導入における実績と、データ保護への取り組みについては、以下の記事で詳しく解説しています:
編集部の見方
[精度とコスト]:PII-Masking-300k ベンチマークで96% F1(precision 94%・recall 98%、補正版で97.43%)と報告されており、無償・ローカルでこの水準は実務投入の現実味があります。第三者ベンチや報告値であり、自社データでの検証が前提になる点は変わりません。
まとめ
OpenAI Privacy Filter は、英語の非構造テキストにおけるPII秘匿化の選択肢を大きく広げました。無償・ローカル・高精度という組み合わせは、これまでクラウドAPIに頼っていた前処理を手元に取り戻す現実的な手段になります。一方で、既定の8カテゴリは英語前提であり、日本語環境ではファインチューニングや別ツールとの併用が前提になります。「これでプライバシー対応は完了」と捉えるのではなく、設計の一層として扱うのが安全です。
よくある質問
Q: 日本語のテキストでも使えますか?
A: 動作はしますが、OpenAI は非英語・非ラテン文字では性能が落ちると明示しています。日本語の個人情報を本格的に扱う場合は、自社データでのファインチューニングや、多言語に強い別ツールとの併用を検討するのが現実的です。
Q: 完全に無料ですか?
A: Apache 2.0 ライセンスで公開されており、商用利用・改変・ファインチューニングが可能です(2026年5月時点)。クラウドAPIのような従量課金は発生せず、推論も手元のマシンで完結します。
Q: これを使えば法令対応は完了しますか?
A: いいえ。モデルカードは「秘匿の補助であり安全性の保証ではない」としています。文脈による再特定のリスクも残るため、規制対応では多層防御の一層として扱い、高機微な業務では人間によるレビュー経路を残すことが推奨されています。
【用語解説】
PII: Personally Identifiable Information の略。氏名・住所・電話番号など、個人を特定できる情報を指す
トークン分類: 文章を構成する最小単位(トークン)ごとに、どの種類の情報かをラベル付けする手法
Mixture-of-Experts: 複数の「専門家」ネットワークのうち一部だけを使って推論する仕組み。総パラメータが大きくても計算量を抑えられる
引用元:
この記事について: AI 支援で執筆、編集部が事実確認・編集しています。誤りや追加情報があれば Contact よりお知らせください。
関連