arXiv:2606.28061: ToolPrivacyBench — ツールを使うLLMエージェントの「need-to-know」プライバシーを計測

LLMエージェントはタスクをますますうまく実行しています — しかし、プライベートデータをどう扱っているかを誰が監視していますか？

研究者のShijing Hu、Liang Liu、Zhu Meng、Zhicheng ZhaoがarXivにプレプリントを発表しました。これは外部ツールを使用するLLMエージェントにおけるいわゆるpurpose-boundプライバシーを測定するためのベンチマーク、ToolPrivacyBenchを導入するものです。「ToolPrivacyBench: Benchmarking Purpose-Bound Privacy in Tool-Using LLM Agents」と題されたこの論文は、プライバシーをほぼ無視してきた従来の評価のギャップを埋めます。

「purpose-bound」プライバシーとは何か、なぜ重要なのか

Purpose-boundプライバシー（目的に紐づいたプライバシー）とは、機密情報が特定のタスクの実行に実際に必要なツールにのみ到達できるという原則です。マルチツールの軌跡では、一つのエージェントがデータベース、カレンダー、決済API、通知サービスなど多数のツールを順番に呼び出す可能性があります。マイナンバーや医療記録などの情報は、認可されたツールのみに届くべきであり、必要としないすべての中間呼び出しを「通り過ぎ」てはなりません。

従来のベンチマークはタスクが完了したかどうかを測定します。ToolPrivacyBenchはどのように完了したかも測定します。

2,150のテストケース、9つのエージェント、一つの不快な結論

ベンチマークには2,150のテストケースが含まれています：プライバシーに敏感なデータフローを持つ1,150の合成ビジネスシナリオと、既存のマルチツールベンチマークから適応した1,000のケースです。各ケースにはデータ開示ポリシーを含むナレッジベースが含まれています。エージェントが軌跡を実行した後、ToolPrivacyBenchは各ツール呼び出しの引数とバックグラウンドログを監査し、そのポリシーと比較します。

9つの広く使用されているエージェントがテストされました。結果は一貫しています：エージェントはタスクを成功裏に実行することが多いですが、その際に不必要なプライベートデータをそれを必要としないツールへの中間呼び出しを通じて送信しています。ツールの実行の成功はプライバシーの適切な保護を意味しません。

GDPRとエンタープライズAIへの影響

「動作する」と「プライバシー的に正しく動作する」の違いはビジネス環境において重要になります。GDPRのデータ最小化の原則はToolPrivacyBenchのpurpose-boundコンセプトと直接対応しています。ユーザーデータや人事データの処理にLLMエージェントを使用するエンタープライズシステムは、標準的なタスクがこの行動層を検証しないことを認識する必要があります。

この論文はプレプリントであり — 査読を経ていません — しかしベンチマークの方法論とテストセットの規模は、エージェントシステムを構築または評価するチームにとって有用な参照フレームワークとなります。