OpenAI プライバシーフィルターモデル(8分読)
OpenAI は、個人識別情報(PII)の検出とマスキングを行う軽量なオープンウェイトモデル「Privacy Filter」を公開し、ローカル環境での高スループットかつ文脈-aware なプライバシー保護を実現可能にした。
キーポイント
オープンウェイトモデルの公開
OpenAI は PII 検出・赤化用の軽量モデル「Privacy Filter」をオープンウェイトとしてリリースし、開発者が自環境で微調整や利用を可能にした。
ローカル実行とデータ保護
このモデルは小規模でありながら高性能で、データを外部サーバーに送信せずローカルデバイス上で処理・マスキングできるため、情報漏洩リスクを低減する。
文脈認識による高精度検出
従来の規則ベースのツールとは異なり、言語理解と文脈情報を活用して、公的情報と私的情報を区別するなど、より微妙な PII の検出が可能である。
業界最高水準のパフォーマンス
評価プロセスの修正後、PII-Masking-300k ベンチマークにおいて最先端(SOTA)の性能を達成しており、OpenAI 内部のプライバシーワークフローでも採用されている。
影響分析・編集コメントを表示
影響分析
今回のリリースは、AI アプリケーション開発におけるプライバシー保護の標準を再定義する重要な一歩です。特に、データをクラウド上に送らずにローカルで処理できる機能は、医療や金融など厳格なデータ規制が適用される業界での AI 導入障壁を下げる可能性があります。また、オープンウェイトとして提供されることで、コミュニティによる検証やカスタマイズが促進され、セキュリティエコシステムの強化につながります。
編集コメント
プライバシー保護が AI 利用の必須要件となる中、OpenAI が自社で実証済みの技術をオープンソース化し、業界全体のセキュリティ水準を引き上げようとする姿勢は評価に値します。特に「ローカル実行」によるデータ流出リスクの排除は、実務現場にとって即効性のある解決策となり得ます。
本日、OpenAI Privacy Filterをリリースいたします。これはテキスト内の個人識別情報(PII)を検出し、削除するためのオープンウェイトモデルです。今回のリリースは、プライバシーとセキュリティの保護を初期段階から容易に実装できるツールやモデルなど、AIを活用した開発を安全に行うための実践的なインフラを提供し、より強固なソフトウェアエコシステムを支えるという当社の広範な取り組みの一環です。
Privacy Filterは、最先端の個人データ検出能力を備えた小規模なモデルです。高スループットなプライバシー処理ワークフロー向けに設計されており、非構造化テキスト内のPIIを文脈を考慮して検出することができます。ローカルで実行可能であるため、PIIのマスク処理や削除をユーザーのマシンから外部にデータを送ることなく実施できます。また、長い入力も効率的に処理し、迅速な単一パスで削除の判断を行います。
OpenAIでは、プライバシーを保護する自社のワークフローにおいて、Fine-tuned版のPrivacy Filterを使用しています。最新のAIの能力を活用すれば、市場に既に存在するものを超えたプライバシー保護の基準を向上させられると考え、Privacy Filterを開発しました。本日公開するバージョンは、評価過程で特定した注釈に関する問題を補正した場合、PII-Masking-300kベンチマークにおいて最先端の性能を達成しています。
今回のリリースにより、開発者は自身の環境で Privacy Filter を実行し、独自のユースケースに合わせてファインチューニングを行い、トレーニング、インデックス作成、ログ記録、レビューの各パイプラインにより強力なプライバシー保護を組み込むことができます。
現代の AI システムにおけるプライバシー保護は、パターンマッチングだけでなく他の要素にも依存します。従来の PII(個人識別情報)検出ツールは、電話番号やメールアドレスなどのフォーマットに対して決定論的なルールに依存することがよくあります。これらは限定的なケースではうまく機能しますが、より微妙な個人情報を見逃したり、文脈への対応が苦手だったりすることがよくあります。
Privacy Filter は、より洗練されたパフォーマンスを実現するために、高度な言語理解と文脈認識を備えて構築されています。強力な言語理解能力とプライバシー特化型のラベリングシステムを組み合わせることで、文脈に基づいて正しい判断が求められるケースを含む、構造化されていないテキスト内のより広範な PII を検出できます。公開されているため保持すべき情報と、特定の個人に関連するためマスクまたは削除すべき情報をより適切に区別することができます。
その結果、最先端レベルのプライバシーフィルタリングパフォーマンスを提供できるほどの強力なモデルが誕生しました。同時に、このモデルは小さ enough でローカルで実行可能であり、つまりフィルタリングが未完了のデータをデバイス上に保持したままにでき、匿名化のためにサーバーへ送信する必要がなく、露出リスクを低減できます。
プライバシーフィルターは、スパンデコーディングを備えた双方向のトークン分類モデルです。自己回帰事前学習済みチェックポイントから開始し、固定されたプライバシーラベルの分類体系上でトークン分類器へと適応されます。テキストをトークンごとに生成するのではなく、入力シーケンスを一括でラベル付けし、その後制約付きビタビアルゴリズムによって一貫性のあるスパンをデコードします。
このアーキテクチャは、本番環境での利用において以下の有用な特性をもたらします。
- 高速かつ効率的:すべてのトークンを単一の順伝播パスでラベル付けします。
- コンテキスト認識:言語の事前知識により、周囲のコンテキストに基づいてPII(個人識別情報)のスパンを検出できます。
- 長文コンテキスト対応:公開されているモデルは、最大128,000トークンのコンテキストをサポートします。
- 設定可能:開発者は、ワークフローに応じて再現率と精度のトレードオフを調整するために動作ポイントを設定できます。
公開されているモデルは、総パラメータ数が15億、アクティブなパラメータ数が5,000万です。
プライバシーフィルターは、以下の8つのカテゴリにわたるスパンを予測します。
- private_person(個人情報)
- private_address(住所情報)
- private_email(メールアドレス)
- private_phone(電話番号)
- private_url(URL)
- private_date(日付情報)
- account_number(口座番号)
- secret(秘密情報)
「account_number」カテゴリは、クレジットカード番号や銀行口座番号などの金融情報を含む多様な口座番号をマスクするのに役立ちます。「secret」カテゴリは、パスワードやAPIキーなどの情報をマスクします。
これらのラベルはBIOESスパンタグでデコードされ、よりクリーンで一貫性のあるマスキング境界を生成するのに役立ちます。
プライバシーフィルターは複数の段階を経て開発されました。
まず、モデルが検出すべきスパンのタイプを定義するプライバシー分類体系を構築しました。これには、個人識別子、連絡先情報、住所、プライベートな日付、クレジットカードや銀行口座などの多様な種類のアカウント番号、そして API キーやパスワードといった機密情報が含まれます。
第二に、言語モデルのヘッドをトークン分類用のヘッドに置き換え、教師あり分類の目的でポストトレーニングを行うことで、事前学習済み言語モデルを双方向トークン分類器に変換しました。
第三に、現実的なテキストと困難なプライバシーパターンを捉えるように設計された、公開データと合成データの混合セットで学習を行いました。ラベルが不完全な公開データの部分では、モデル支援による注釈付けとレビューを用いてカバレッジを向上させました。また、フォーマット、文脈、プライバシーのサブタイプ間の多様性を高めるために合成例を生成しました。
推論時、モデルのトークンレベルでの予測は制約付きシーケンスデコーディングを用いて一貫したスパンにデコードされます。このアプローチは、事前学習済みモデルが持つ広範な言語理解を保持しつつ、プライバシー検出に特化させるものです。
私たちは、標準ベンチマークに加え、より困難で文脈に依存するケースをテストするために設計された追加の合成データおよびチャット形式の評価を用いて、Privacy Filter を評価しました。
PII-Masking-300k(新しいウィンドウで開く)ベンチマークにおいて、Privacy FilterはF1スコア96%(精度94.04%、再現率98.04%)を達成しました。レビュー中に特定されたデータセットの注釈に関する問題を考慮した修正版ベンチマークでは、F1スコアは97.43%(精度96.79%、再現率98.08%)となりました。
また、本モデルは効率的に適応可能であることも確認しました。少量のデータでファインチューニングを行うことで、ドメイン固有タスクにおける精度が迅速に向上し、F1スコアは54%から96%まで上昇しました。評価したドメイン適応ベンチマークでは飽和状態に近づいています。
ベンチマーク上のパフォーマンスに加え、Privacy Filterは、ノイズの多い現実世界のテキストにおける実用的なプライバシーフィルタリングを目的として設計されています。これには、長文書、曖昧な参照、混合形式の文字列、ソフトウェア関連の機密情報が含まれます。モデルカード (新しいウィンドウで開く)では、コードベースにおける機密情報の検出に関するターゲット評価や、多言語・敵対的・文脈依存の例に対するストレステストの結果も報告されています。
Privacy Filterは、匿名化ツールでも、コンプライアンス認証でもなく、重大な設定におけるポリシーレビューの代替でもありません。それは、より広範なプライバシーバイデザインシステムの構成要素の一つです。
その動作は、学習時に用いたラベル分類体系と判断境界を反映しています。異なる組織が求める検出やマスク処理のポリシーは多様であり、それらのポリシーにはドメイン固有の評価やさらなるファインチューニングが必要となる場合があります。また、言語、文字体系、命名規則、および学習データ分布とは異なるドメインにおいて、パフォーマンスが変動することもあります。
すべてのモデルと同様に、Privacy Filter も誤りを犯すことがあります。珍しい識別子や曖昧なプライベート参照を見逃したり、コンテキストが限られている場合(特に短いシーケンスにおいて)にエンティティの削除を過剰に行ったり、あるいは不十分に行ったりすることがあります。法務、医療、金融といった高感度なワークフローでは、人間のレビューやドメイン固有の評価およびファインチューニングが依然として重要です。
私たちは、エコシステム全体でより強力なプライバシー保護をサポートするために、OpenAI Privacy Filter を公開します。
本モデルは本日より、Apache 2.0 ライセンスの下で Hugging Face(opens in a new window) および Github(opens in a new window) で利用可能です。これは実験、カスタマイズ、商用デプロイを目的としており、異なるデータ分布やプライバシーポリシーに合わせてファインチューニングすることができます。
モデルとともに、モデルアーキテクチャ、ラベル分類体系、デコーディング制御、想定される使用ケース、評価セットアップ、既知の制限をカバーするドキュメントも公開します。これにより、チームはモデルが得意とする領域と、慎重に使用する必要がある領域の両方を理解することができます。
AIシステムにおけるプライバシー保護は、研究、製品設計、評価、そして展開の各段階を通じて継続的に進められている取り組みです。
Privacy Filterは、私たちが重要だと考える一つの方向性を示しています。それは、現実世界のAIシステムにとって意味のある狭義のタスクにおいて最先端の能力を備えた、小型で効率的なモデルです。私たちは、プライバシー保護インフラストラクチャがより容易に検査・実行・適応・改善できるべきだと考えているため、このモデルを公開します。
私たちの目標は、モデルが個人情報を学ぶのではなく、世界について学ぶことです。Privacy Filterはその実現を支援します。
私たちは、研究コミュニティおよびプライバシー保護の専門家からフィードバックを受け取り、モデルのパフォーマンスをさらに反復・改善するために、Privacy Filterのプレビュー版を公開します。
原文を表示
Today we’re releasing OpenAI Privacy Filter, an open-weight model for detecting and redacting personally identifiable information (PII) in text. This release is part of our broader effort to support a more resilient software ecosystem by providing developers practical infrastructure for building with AI safely, including tools and models that make strong privacy and security protections easier to implement from the start.
Privacy Filter is a small model with frontier personal data detection capability. It is designed for high-throughput privacy workflows, and is able to perform context-aware detection of PII in unstructured text. It can run locally, which means that PII can be masked or redacted without leaving your machine. It processes long inputs efficiently, making redaction decisions in a quick, single pass.
At OpenAI, we use a fine-tuned version of Privacy Filter in our own privacy-preserving workflows. We developed Privacy Filter because we believe that with the latest AI capabilities, we could raise the standard for privacy beyond what was already on the market. The version of Privacy Filter we are releasing today achieves state-of-the-art performance on the PII-Masking-300k benchmark, when corrected for annotation issues we identified during evaluation.
With this release, developers can run Privacy Filter in their own environments, fine tune it to their own use cases, and build stronger privacy protections into training, indexing, logging, and review pipelines.
Privacy protection in modern AI systems depends on more than pattern matching. Traditional PII detection tools often rely on deterministic rules for formats like phone numbers and email addresses. They can work well for narrow cases, but they often miss more subtle personal information and struggle with context.
Privacy Filter is built with deeper language and context awareness for more nuanced performance. By combining strong language understanding with a privacy-specific labeling system, it can detect a wider range of PII in unstructured text, including cases where the right decision depends on context. It can better distinguish between information that should be preserved because it is public, and information that should be masked or redacted because it relates to a private individual.
The result is a model that is strong enough to deliver frontier-level privacy filtering performance. At the same time, the model is small enough to be run locally–meaning data that has yet to be filtered can remain on device, with less risk of exposure, rather than needing to be sent to a server for de-identification.
Privacy Filter is a bidirectional token-classification model with span decoding. It begins from an autoregressive pretrained checkpoint and is then adapted into a token classifier over a fixed taxonomy of privacy labels. Instead of generating text token by token, it labels an input sequence in one pass and then decodes coherent spans with a constrained Viterbi procedure.
This architecture gives Privacy Filter a few useful properties for production use:
- Fast and efficient: all tokens are labeled in a single forward pass.
- Context aware: the language prior enables PII spans to be detected based on surrounding context.
- Long-context: the released model supports up to 128,000 tokens of context.
- Configurable: developers can tune operating points to trade off recall and precision depending on their workflow.
The released model has 1.5B total parameters with 50M active parameters.
Privacy Filter predicts spans across eight categories:
- private_person
- private_address
- private_email
- private_phone
- private_url
- private_date
- account_number
- secret
The account_number category helps mask a wide variety of account numbers, including banking info like credit card numbers and bank account numbers, while secret helps mask things like passwords and API keys.
These labels are decoded with BIOES span tags, which helps produce cleaner and more coherent masking boundaries.
We developed Privacy Filter in several stages.
First, we built a privacy taxonomy that defines the types of spans the model should detect. This includes personal identifiers, contact details, addresses, private dates, many different kinds of account numbers such as credit and banking information, and secrets such as API keys and passwords.
Second, we converted a pretrained language model into a bidirectional token classifier by replacing the language modeling head with a token-classification head and post-training it with a supervised classification objective.
Third, we trained on a mixture of publicly available and synthetic data designed to capture both realistic text and difficult privacy patterns. In parts of the public data where labels were incomplete, we used model-assisted annotation and review to improve coverage. We also generated synthetic examples to increase diversity across formats, contexts, and privacy subtypes.
At inference time, the model's token-level predictions are decoded into coherent spans using constrained sequence decoding. This approach preserves the broad language understanding of the pretrained model while specializing it for privacy detection.
We evaluated Privacy Filter on standard benchmarks and on additional synthetic and chat-style evaluations designed to test harder, more context-sensitive cases.
On the PII-Masking-300k(opens in a new window) benchmark, Privacy Filter achieves an F1 score of 96% (94.04% precision and 98.04% recall). On a corrected version of the benchmark that accounts for dataset annotation issues identified during review, the F1 score is 97.43% (96.79% precision and 98.08% recall).
We also found that the model can be adapted efficiently. Fine-tuning on even a small amount of data quickly improves accuracy on domain-specific tasks, increasing F1 score from 54% to 96% and approaches saturation on the domain-adaption benchmark we evaluated.
Beyond benchmark performance, Privacy Filter is designed for practical privacy filtering in noisy, real-world text. That includes long documents, ambiguous references, mixed-format strings, and software-related secrets. The model card (opens in a new window)also reports targeted evaluation on secret detection in codebases and stress tests across multilingual, adversarial, and context-dependent examples.
Privacy Filter is not an anonymization tool, a compliance certification, or a substitute for policy review in high-stakes settings. It is one component in a broader privacy-by-design system.
Its behavior reflects the label taxonomy and decision boundaries it was trained on. Different organizations may want different detection or masking policies, and those policies may require in-domain evaluation or further fine-tuning. Performance may also vary across languages, scripts, naming conventions, and domains that differ from the training distribution.
Like all models, Privacy Filter can make mistakes. It can miss uncommon identifiers or ambiguous private references, and it can over- or under-redact entities when context is limited, especially in short sequences. In high-sensitivity domains such as legal, medical, and financial workflows, human review and domain-specific evaluation and fine-tuning remain important.
We are releasing OpenAI Privacy Filter to support stronger privacy protections across the ecosystem.
The model is available today under the Apache 2.0 license on Hugging Face(opens in a new window) and Github(opens in a new window). It is intended for experimentation, customization, and commercial deployment, and it can be fine-tuned for different data distributions and privacy policies.
Alongside the model, we are sharing documentation covering the model architecture, label taxonomy, decoding controls, intended use cases, evaluation setup, and known limitations, so teams can understand both what the model does well and where it should be used carefully.
Privacy protection for AI systems is an ongoing effort across research, product design, evaluation, and deployment.
Privacy Filter reflects one direction we believe is important: small, efficient models with frontier capability in narrowly defined tasks that matter for real-world AI systems. We are releasing it because we think privacy-preserving infrastructure should be easier to inspect, run, adapt, and improve.
Our goal is for models to learn about the world, not about private individuals. Privacy Filter helps make that possible.
We’re releasing this preview of Privacy Filter to receive feedback from the research and privacy community and iterate further on model performance.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み