【詳細版】楽天「Rakuten AI 3.0」の中身は中国製DeepSeek？情報漏洩リスクと騒動の真相を徹底解説

1. 調査の背景と基本命題

2026年3月17日、楽天グループ株式会社（以下、楽天）は、国内最大規模となる約7,000億パラメータを持つ最新の大規模言語モデル（LLM）「Rakuten AI 3.0」を無償公開した。同モデルは、経済産業省および新エネルギー・産業技術総合開発機構（NEDO）が推進する国内生成AI開発支援プロジェクト「GENIAC（Generative AI Accelerator Challenge）」第3期の補助を受けて開発されたものであり、日本固有の文化や言語ニュアンスに最適化された高い日本語処理性能をうたっている。   

しかしながら、同モデルの公開直後から、技術コミュニティおよびSNS（X等）において、「Rakuten AI 3.0」の実態は中国DeepSeek社が開発したオープンソースモデル「DeepSeek-V3」の流用（リブランドおよびファインチューニング）ではないかとの指摘が相次いだ。2026年3月19日付のITmediaの記事「楽天の最新AI、ベースは“中国DeepSeek製”？ 担当者に聞いた」によれば、楽天側は「ベースモデルは非開示」とし、モデル公開プラットフォームであるHugging Face上に「DeepSeek」と表示される現象については、「サイトの仕様上の問題であり、パラメータ数などが自動的に計算されて表示されたに過ぎない」と回答し、疑惑への明言を避けている。   

この事態を受け、エンタープライズ層および一般ユーザーの間で、ベースモデルが中国製であることに起因する「入力データの中国当局への送信（情報漏洩）リスク」や、「サイバーセキュリティ上の深刻な脆弱性」に対する懸念が急速に高まっている。本報告書は、提示されたニュースおよび画像資料の技術的信憑性を客観的データに基づき検証するとともに、情報漏洩やバックドア等のセキュリティリスクの有無、さらにはオープンソースライセンス上のコンプライアンス課題について、多角的な視点から網羅的かつ専門的な評価を行うことを目的とする。   

2. 「Rakuten AI 3.0」の技術的仕様とベンチマーク性能の分析

2.1. モデルの公式アーキテクチャと性能評価

楽天のプレスリリースおよびHugging Face上のモデルカードによれば、「Rakuten AI 3.0」はMixture of Experts（MoE：専門家混合）アーキテクチャを採用したモデルである。MoEアーキテクチャは、巨大なニューラルネットワークを複数の特化型サブモデル（エキスパート）に分割し、入力されたトークン（単語の断片）ごとにルーターと呼ばれる機構が最適なエキスパートを選択して計算を割り当てる仕組みである。これにより、推論時および学習時において、モデル全体のごく一部のパラメータ（アクティブパラメータ）のみを稼働させることが可能となり、計算リソースの消費を劇的に抑えながら巨大なパラメータ規模の推論能力を獲得することができる。   

「Rakuten AI 3.0」は総パラメータ数約7,000億（実質671B）、推論時にアクティブとなるパラメータ数を37Bと公表している。楽天はこの巨大なアーキテクチャに対し、同社独自の高品質なバイリンガルデータ（日本語および英語）を用いて大規模な事後学習（Post-training / Fine-tuning）を実施したとしている。   

その結果として、楽天は複数の高度な日本語ベンチマークにおいて、米OpenAIの「GPT-4o」を上回るスコアを達成したと報告している。具体的には、株式会社SB Intuitionsが開発した日本固有の文化・歴史・行政システム等の知識を問う高難度ベンチマーク「JamC-QA」において76.9（GPT-4oは74.7）、多言語環境での大学院レベルの複雑な推論能力を測る「MMLU-ProX」において71.7（同64.9）、競技数学の解法能力を測る「MATH-100」において86.9（同75.8）、そしてプロンプトの細かな指示（文字数制限や特定フォーマットの要求など）に対する遵守能力を測る「M-IFEval」において72.1（同67.3）というスコアを記録している。   

これらの定量的な評価指標は、楽天が単に既存のモデルをそのまま再配布したわけではなく、日本語の語彙理解や日本特有のコンテキストに適合させるための多大な計算資源と高品質なデータセットを投入し、実質的な性能向上（アライメントの調整）を行った証左であると言える。しかし、この「事後学習の成果」が優れているという事実と、「ベースモデルをゼロから独自開発したか」あるいは「他者のモデルを流用したか」という問題は、技術的にも倫理的にも全く別次元の議論として切り離して評価されなければならない。

2.2. 画像資料および設定ファイルのフォレンジック分析

ITmediaの記事において、楽天担当者はHugging Face上でのDeepSeek表記について「AIモデルのパラメータ数などが自動的に計算され、DeepSeekと出てしまう」と説明している。しかし、提供された画像資料(ITmedia)およびHugging Faceリポジトリの構造をソフトウェア工学の観点から解析した結果、この楽天側の説明は技術的な実態と大きく乖離しており、不正確であることが判明している。   

提供された画像1（config.jsonのスクリーンショット）および画像2（Hugging Faceのタグ情報）は、このモデルの出自を完全に特定する決定的な証拠となっている。Hugging Faceプラットフォームにおいて、モデルの構造を定義するconfig.jsonは、システムが自動的に推測・生成するものではなく、開発者自身がモデルの計算グラフを構築するために明示的に記述し、アップロードするハードコードされた設定ファイルである。   

フォレンジック分析の結果、「Rakuten AI 3.0」のconfig.jsonには、以下の特異な構造変数が記述されていることが確認された。   

config.json内に記述されているDeepseekV3ForCausalLMというクラス名やdeepseek_v3というモデルタイプは、推論を実行するライブラリ（TransformersやSGLangなど）が、メモリ上にどのようなニューラルネットワークの構造を展開すべきかを指示するための識別子である。これがプラットフォーム側の自動計算によって「偶然」生成されることはシステムアーキテクチャ上あり得ない。   

さらに、隠れ層の数（61層）、ルーティングされるエキスパート数（256個）、そしてトークンごとにアクティブとなるパラメータ数（37B）という極めて特異なMoEの構造変数の組み合わせは、DeepSeek社が独自に設計した「DeepSeek-V3」固有のシグネチャ（構造的指紋）と完全に一致している。特に、補助損失を排除したロードバランシング戦略（Auxiliary-loss-free strategy）やマルチトークン予測（MTP）といったDeepSeek-V3特有の革新的なアーキテクチャ設計を前提とした構造がそのまま引き継がれている。   

2.3. ベースモデル検証に関する最終結論

上記の客観的なフォレンジック分析に基づき、ITmediaの記事およびSNS上で指摘されている「Rakuten AI 3.0のベースモデルはDeepSeek-V3である」というニュースの信憑性は、**極めて高く、実質的に疑いの余地がない（事実である）**と結論付けられる。

楽天はプレスリリースにおいて「オープンソースコミュニティーの最良なモデルを基に」と表現し、サードパーティの基盤モデル名を意図的に伏せているが、実態としてはDeepSeek社のオープンウェイトモデル「DeepSeek-V3」をダウンロードし、楽天が保有する日本語データセットを用いて継続事前学習（Continual Pre-training）または指示チューニング（Instruction Tuning）を施した「派生モデル（Derivative Model）」であることは明白である。担当者の「自動計算によって表記が出てしまう」という説明は、オープンソースコミュニティや開発者層の技術的知見を軽視した不誠実な対応であり、このことが事態の炎上と不信感を増幅させる最大の要因となったと分析される。   

3. オープンソースライセンスにおけるコンプライアンスと「オープンウォッシング」の課題

基盤モデルが「DeepSeek-V3」であると特定されたことで、次に重大な論点として浮上するのは、ソフトウェアの著作権およびオープンソースライセンスにおけるコンプライアンスの問題である。このライセンス処理の不備が、本件の技術的および倫理的側面をより複雑なものにしている。

3.1. MITライセンスとApache 2.0ライセンスの衝突と帰属表示義務

オリジナルの「DeepSeek-V3」は、ソフトウェア業界において最も普及し、かつ極めて寛容なオープンソースライセンスである「MIT License」の下で公開されている。MITライセンスは、ユーザーに対してソフトウェアの商用利用、改変、複製、再配布を無制限に許可する一方で、唯一にして絶対の条件として「すべての複製または重要な部分に、元の著作権表示およびライセンス許諾表示を記載しなければならない（Attribution Requirement）」という義務を課している。   

これに対し、楽天は「Rakuten AI 3.0」を、同じく商用利用が可能で特許条項などが詳細に規定された「Apache License, Version 2.0」として公開した。一般的に、MITライセンスで公開されたソフトウェアを改変し、全体をApache 2.0ライセンスとして再配布すること自体は、両ライセンスの互換性から法的に可能であるとされる（サブライセンスの許可）。   

しかし、最大の問題は、楽天がモデルを公開した初期段階において、オリジナルであるDeepSeekのMITライセンスファイルおよび著作権表記（Copyright (c) 2023 DeepSeek）をリポジトリから削除、あるいは不可視化し、あたかも自社単独の開発成果であるかのように装った点にある。この行為は、MITライセンスが求める最小限の帰属表示義務に明確に違反するものであり、オープンソース・コミュニティの根幹をなす「先行開発者への敬意と透明性」を著しく踏みにじる行為である。   

3.2. 楽天の事後対応と「オープンウォッシング」に対する批判

コミュニティからの厳しい批判と検証が相次いだ後、Hugging Faceの楽天のリポジトリには、事後的に「NOTICE」というファイルが追加され、そこにDeepSeekのMITライセンス条文と著作権表示が記載されるという修正がサイレントに行われた。Apache 2.0ライセンスにおいては、派生物を配布する際、元の作品の帰属情報を保持するための「NOTICE」ファイルの同梱が正式な手続きとして規定されているため、この事後修正によって法的なライセンス要件はかろうじて満たされた形となる。   

しかしながら、公式なプレスリリースにおいてサードパーティの基盤モデル名（DeepSeek）を一切明記せず、「楽天独自の高品質なバイリンガルデータ、技術力および研究成果によって開発している」と自社の技術力を過度に強調する広報戦略は、実質的な派生モデルを自社独自のゼロからの開発物（スクラッチ開発モデル）のように見せかける「オープンウォッシング（Open-washing）」の典型例であるとの強い批判を免れない。   

AI技術の進化は、先行するオープンソースモデルの知見を土台にして積み上げられる性質を持つ。ベースモデルを明示することは恥ずべきことではなく、むしろ学術的・産業的貢献を透明化する上で不可欠なプロセスである。このような透明性の欠如は、楽天というブランドに対するエンタープライズ顧客の信頼を損なうだけでなく、AIサプライチェーン全体のトレーサビリティを著しく低下させる要因となる。

4. 情報漏洩リスク（中国へのデータ送信）に関する技術的検証

一般ユーザーおよび企業のIT管理者が最も強く懸念しているのが、「基盤モデルが中国製であるならば、Rakuten AI 3.0に入力した機密情報や個人データが、中国当局やDeepSeek社に密かに送信される（情報漏洩する）のではないか」という点である。ITmediaの記事では、一部のXユーザーから中国製AIが関わること自体への不安の声が上がっていると報じられている。   

この懸念に対しては、AIを利用する「形態（アーキテクチャの配置）」の観点から、明確かつ論理的に検証を行う必要がある。結論から述べれば、「Rakuten AI 3.0」を適切な環境で利用する限り、入力データが中国当局や開発元に自動的に送信される（コールホームする）リスクは技術的に存在しない。

4.1. APIサービスとオープンウェイトモデルの根本的な違い

この問題を理解するためには、SaaSとして提供される「API（Application Programming Interface）サービス」と、モデルのパラメータ自体が公開される「オープンウェイトモデル」の違いを厳密に区別しなければならない。

DeepSeek社が自社のウェブサイトやアプリを通じて提供している公式のチャットサービスやAPIを利用する場合、ユーザーの入力データ（プロンプト）はインターネットを経由して中国国内に設置されたサーバー群に送信され、処理・蓄積される。中国には「国家情報法」等の広範な法規制が存在し、国家の安全保障に関わると判断された場合、企業は政府のデータ開示要求に応じる義務を負う。したがって、欧米のセキュリティ専門家や各国の政府機関が警告している通り、DeepSeekの公式サービスをそのまま利用することは、データプライバシーおよび国家安全保障上の深刻なリスクを伴う。   

一方、「Rakuten AI 3.0」は、モデルを構成するパラメータの数値データ（重み：Weights）自体がHugging Face上で公開されている「オープンウェイトモデル」である。AIモデルの重みファイルは、本質的には数百GBに及ぶ浮動小数点数の巨大な行列データの塊（バイナリファイル）に過ぎない。これらのファイル単体には、ネットワーク経由で外部と通信を行う機能（TCP/IPリクエストを生成するコード）や、意図的にデータを外部へ送信するスパイウェアとしての実行可能モジュールは含まれていない。   

4.2. ローカルホストおよび隔離クラウドにおける安全性の担保

オープンウェイトモデルを用いて推論を実行するのは、モデル自体ではなく、ユーザー企業や楽天自身が用意する実行環境（Pythonスクリプト、PyTorch、SGLangなどの推論サーバー）である。   

ITmediaの記事内で楽天の担当者が「Rakuten AI 3.0は、楽天の隔離されたクラウド環境で開発している。データが外部に送信されるようなことは全くない」と述べている通り、この主張はネットワーク・アーキテクチャの観点から極めて妥当である。楽天が自社のセキュアなインフラストラクチャ内で閉じてモデルをホストし、外部へのアウトバウンド通信をファイアウォール等で適切に遮断している限り、物理的にも論理的にもデータがDeepSeek側へ流出することは不可能である。   

同様に、サードパーティの企業が「Rakuten AI 3.0」をダウンロードし、自社のオンプレミス環境やAWS GovCloudのような厳格に管理されたプライベートクラウド環境（VPC）内で稼働させる場合も、自社の既存の認証システムやネットワーク制御の保護下にあるため、情報漏洩リスクは完全にコントロール可能である。したがって、「ベースモデルが中国製である」という理由だけで、オープンウェイトモデルの使用自体が即座にデータ漏洩に直結するという認識は、クラウドネイティブなAIシステム構造を誤解した風評であると評価できる。   

5. モデルウェイトに内在するサイバーセキュリティ脆弱性の評価

データが外部に自動送信されるリスク（情報漏洩）が排除されたとしても、システムが安全であるとは限らない。基盤モデルである「DeepSeek-V3」のウェイトそのものに深く刻み込まれた、AI特有の「サイバーセキュリティ上の脆弱性」や「攻撃耐性の低さ」については、エンタープライズ利用において極めて重大な懸念事項として残存する。

NIST（米国国立標準技術研究所）、CrowdStrike、Palo Alto Networks（Unit 42）をはじめとする世界的なサイバーセキュリティ研究機関は、DeepSeekモデルのアーキテクチャに内在する複数の深刻な脆弱性を警告している。   

5.1. ジェイルブレイク（脱獄）およびプロンプトインジェクションへの脆弱性

NIST傘下のCAISI（AI安全研究所コンソーシアム）の評価報告によれば、DeepSeekのモデルは一般的なジェイルブレイク（AIの安全制限を意図的に解除する手法）を用いた悪意のあるリクエストに対し、米国の主要モデル（OpenAIやAnthropicなど）がわずか8%の確率でしか応答しない（92%は安全機構によって拒否する）のに対し、DeepSeekモデルは実に94%の確率で応答し、有害な指示に従ってしまうことが判明している。   

さらに、Palo Alto Networksの脅威インテリジェンスチーム「Unit 42」の検証でも、DeepSeek-V3およびR1モデルは、「Crescendo」や「Deceptive Delight」と呼ばれる高度なプロンプト操作技術に対して極めて脆弱であり、他のフロンティアモデルと比較して11倍の確率で有害な出力を生成し、マルウェアの作成手順やサイバー攻撃のコードを容易に出力してしまうことが確認されている。これは、モデルの事前学習（Pre-training）およびアライメント調整（RLHFなど）の段階において、安全性に関するガードレール（Safeguards）の構築が米国製モデルと比較して著しく甘いことを示している。   

5.2. 意図せぬ脆弱なコード生成と「内在的キルスイッチ」

より深刻な問題として、CrowdStrikeの脅威インテリジェンス調査によって明らかになったコード生成時の特異な挙動が挙げられる。ソフトウェア開発の補助（コーディングエージェント）としてDeepSeekモデルを使用する際、プロンプトの中に中国共産党（CCP）にとって政治的に敏感なトピック（特定の地名や歴史的事件など）が含まれていると、モデルが生成するソースコードに深刻なセキュリティ脆弱性（バッファオーバーフローやSQLインジェクションの要因となるコード等）が含まれる確率が最大50%も増加することが確認された。   

CrowdStrikeの研究者は、これを特定のトリガーワードによって引き起こされる「内在的キルスイッチ（Intrinsic Kill Switch）」と呼んでいる。楽天が「Rakuten AI 3.0」の事後学習において、日本語のプログラミング指示に対応できるよう調整を行っていたとしても、数百億のパラメータに分散して埋め込まれたこの種のアノマリー（異常挙動）やバックドア的特性を完全に特定し、無効化（Unlearning）することは、現在のAI工学の技術水準では極めて困難である。   

5.3. リモートコード実行（RCE）リスクと楽天の緩和措置

オープンソースのAIモデルをローカル環境でロードする際にしばしば指摘されるのが、PyTorchライブラリのtorch.load関数に起因するリモートコード実行（RCE: Remote Code Execution）の脆弱性である。Hugging Faceからダウンロードしたモデルを実行する際、設定でtrust_remote_code=Trueフラグを有効にしてしまうと、モデルファイル内に仕込まれた任意のPythonコードがホストマシン上で実行されてしまうリスクがあり、悪意のある派生モデルにおいて実際にマルウェア感染のベクターとして利用されている。   

しかしながら、この点に関しては楽天側に適切なセキュリティ配慮が見られる。Hugging Face上の「Rakuten AI 3.0」リポジトリ構造を確認すると、モデルの重みファイルは旧来のピックル（Pickle）形式ではなく、すべてSafetensors形式（例: model-00001-of-000163.safetensors）でシリアライズされ保存されている。Safetensors形式は、実行可能コードを含まず、純粋なテンソルデータのみを安全にロードするために特別に設計されたフォーマットであるため、ユーザーが提供されたファイル群を標準的な手順で取り扱う限り、モデルロード時にマシンが乗っ取られるRCEリスクはアーキテクチャレベルで最小限に抑えられていると評価できる。   

6. 出力バイアスと地政学的・倫理的リスクの評価

セキュリティ上の脆弱性に加え、基盤モデルの出自に起因するもう一つの重大なリスクが、出力結果に対する「イデオロギー的なバイアス」と「検閲（Censorship）」の存在である。

AIモデルは、膨大な事前学習データ（コーパス）に内在する価値観や世界観を統計的に学習し、それを色濃く反映する性質を持つ。中国企業によって開発された「DeepSeek-V3」は、中国国内の法規制（生成AIサービス管理暫定弁法など）に準拠し、「社会主義の核心的価値観」を遵守するよう厳格にアライメントされている。複数の独立した研究や監査により、DeepSeekモデルは天安門事件、台湾の主権問題、ウイグル自治区における人権問題など、中国共産党（CCP）にとって政治的に敏感なトピックに関して、回答を拒否するか、あるいは中国政府の公式見解（プロパガンダ）に沿った偏向的な回答を出力することが実証されている。   

NISTの報告では、DeepSeekモデルは米国の参照モデルの4倍の確率で、不正確で誤解を招くCCPのナラティブを反復したと警告されている。   

楽天はプレスリリースおよび担当者への取材において「日本の需要に最適化した楽天独自のデータにより追加学習し、正確な処理ができるよう調整している」としている。事実、JamC-QAベンチマーク等で高いスコアを出していることから、日本固有の文化や歴史に関する知識は大幅に改善・上書きされていることが伺える。   

しかしながら、インターネット上のユーザー検証において、「Rakuten AI 3.0に対して特定の地政学的な質問を行った際、そのスタンスが日本というよりは明らかに中国側に傾いている」という指摘がなされていることは看過できない事実である。約7,000億という途方もないパラメータ規模に対し、事前学習段階で数兆トークン規模の中国系コーパスから吸収された「世界観」を、限られた事後学習（数百万〜数千万トークン程度のインストラクション・データ）のステップだけで完全に中和・漂白することは事実上不可能である。   

これを企業のカスタマーサポートチャットボットや、行政機関向けの文書要約・FAQ応答AIとしてデプロイした場合、国際情勢や歴史認識に関する質問に対して、意図せず中国政府の公式見解に沿った回答を日本の消費者に提示してしまうという、重大なレピュテーション（ブランド毀損）リスクが内在していると評価せざるを得ない。

7. 国家プロジェクト「GENIAC」と経済安全保障の観点からの考察

本件において、単なる一企業のオープンソースライセンス違反や技術的議論を超えて社会的に重要視されるべきは、「Rakuten AI 3.0」が日本の国家プロジェクトである「GENIAC」の強力な財政的・インフラ的支援を受けて開発されたという構造的背景である。

7.1. 国産生成AI開発力強化の理念と実態の乖離

GENIAC（Generative AI Accelerator Challenge）は、経済産業省とNEDOが主導する極めて重要な経済安全保障政策の一つである。その目的は、米国のビッグテック（OpenAI、Google、Microsoft等）によるAI基盤の寡占状態から脱却し、「日本の生成AIの開発力強化」と「独自の基盤モデル（ファウンデーションモデル）の構築」を促進することにある。この目的を達成するため、採択企業に対しては、国内では調達が困難な大規模GPU計算資源（計算インフラ）の無償提供や、莫大な研究開発費の助成が行われている。楽天は2025年7月にこのGENIACの第3期公募に採択され、次世代LLMの研究開発のために多額の公的支援を受けている。   

GENIACの政策的主眼は、単に「日本語が流暢に話せるAIサービス」を作ることではなく、計算基盤、アルゴリズム開発、データセット構築に至るまでのAIサプライチェーン全体を国内でコントロール可能にする「データ主権（Data Sovereignty）」と「技術的自律性」の確保にある。   

しかしながら、今回「国内最大規模の高性能AIモデル」として大々的に発表された成果物の中核（アーキテクチャ設計および学習済みパラメータの大半）が、実態としては中国企業が開発したオープンソースモデルの流用（ファインチューニング）であったという事実は、日本のAI国家戦略に対する根本的な問いと疑念を投げかけるものである。既存の最先端オープンモデルを土台にすることは、開発スピードの短縮やコスト削減の観点からは極めて合理的であり、ビジネス上の戦略としては正着である。しかし、それが国家予算を用いた「国産AI開発力の強化」という名目に合致するかどうかは別問題であり、「海外技術の安易なローカライズ」に過ぎないのではないかという厳しい批判を招くことは避けられない。   

7.2. DeepSeekショックによるパラダイムシフトと今後のガバナンス

この背景には、2025年初頭にAI業界を席巻した「DeepSeekショック」というマクロ的な技術パラダイムの転換が存在する。DeepSeekは、米国のトップ企業が数百億円から数千億円（$100M+）の計算コストをかけて構築していたフロンティアモデルと同等以上の性能を持つモデルを、わずか約8.5億円（$5.6M）という驚異的な低コストでトレーニングすることに成功し、それをオープンソースとして公開した。   

この出来事は、莫大な計算資源の力業（Compute Scaling）で優位性を築こうとしていた各国のAI開発競争において、計算効率とアルゴリズムの革新（MoEやMTPなど）がいかに重要であるかを知らしめた。これにより、日本を含む各国の開発者は、天文学的なコストをかけてゼロから事前学習（Pre-training from scratch）を行うよりも、DeepSeekのような強力なオープンウェイトモデルを起点にしてファインチューニングを行う方が、遥かに安価で高性能な結果を得られるという抗いがたいインセンティブに直面することとなった。楽天の今回の開発手法も、まさにこの世界的な潮流に乗ったものであると言える。   

しかしながら、国家プロジェクトにおいては、この「効率性」と引き換えに「透明性」を犠牲にすることは許されない。ベースモデルの出所を意図的に隠蔽し、コミュニティからの告発によって事後的にライセンス表記を修正するような事態は、官民連携プロジェクトのガバナンスに対する信頼を根本から揺るがすものである。   

今後は、経済産業省やNEDOが支援するAI開発プロジェクトにおいて、助成要件の見直しが急務となる。利用するベースモデルの起源（Provenance）、学習データの出所と権利処理プロセス、そして出力の安全性やバイアスを調整するアライメント手法の詳細について、オープンソースの精神に則り完全に透明化して報告・開示することを、助成の絶対的な必須条件（コンプライアンス要件）として制度化すべきである。   

8. 総合的結論とエンタープライズ向けの推奨対策

本報告書による、ITmediaのニュース「楽天の最新AI、ベースは“中国DeepSeek製”？」に対する多角的な調査・検証の総合的な結論は以下の通りである。

1. ニュースの技術的信憑性: 極めて高い（事実である）。 Hugging Face上のconfig.jsonに記述された構造変数（61層、256エキスパート、7168隠れ層次元等）が「DeepSeek-V3」のアーキテクチャと完全に一致しており、楽天側の「自動計算の仕様」という弁明は技術的に全く成立しない。「Rakuten AI 3.0」は、DeepSeek-V3をベースモデルとして採用し、日本語データでファインチューニングを施した派生モデルであると断定できる。また、初期段階でのMITライセンスの著作権表示の削除は、不適切な「オープンウォッシング」であったと評価される。

2. 情報漏洩（中国へのデータ送信）リスク: ローカルおよび閉域網での運用であれば技術的にリスクはない。 本モデルはAPIサービスではなく、重みデータが公開されたオープンウェイトモデル（Safetensors形式）である。楽天の自社インフラ内、またはユーザー企業が構築したプライベートクラウド環境（VPC等）で外部通信を遮断して稼働させる限り、入力されたプロンプトや機密データが中国当局やDeepSeek社に自動的に送信・傍受されるメカニズムはアーキテクチャ上存在しない。

3. 内在するサイバーセキュリティ・脆弱性リスク: 極めて高い。 基盤となるDeepSeekモデルは、悪意のあるプロンプト・インジェクションやジェイルブレイクに対する耐性が米国の主要モデルと比較して著しく低く、マルウェアの生成や脆弱なコードの出力に悪用されやすいことが複数のセキュリティ機関によって証明されている。事後学習だけでこれらの深く根付いた脆弱性を完全に払拭することは困難である。

4. 出力バイアスとイデオロギー的リスク: 中〜高程度存在する。 事前学習段階において中国共産党のナラティブに沿った検閲やバイアスが強くエンコードされており、特定の地政学的・歴史的トピックに関して偏向的な回答を出力する潜在的リスクが残存している。企業のブランドイメージを毀損するレピュテーション・リスクとなり得る。

8.1. エンタープライズ環境への導入における推奨対策（Actionable Recommendations）

上記の検証結果を踏まえ、日本国内の企業や行政機関が「Rakuten AI 3.0」の導入を検討する際には、以下の厳格なリスク管理策を講じることを強く推奨する。

• ユースケースの厳格な限定（社内クローズド環境での利用）: 本モデルの持つ高い推論能力や日本語処理能力は、社内向けの膨大な文書要約、議事録の構造化、あるいはプログラミングの補助（ただし必ず人間による厳密なセキュリティコードレビューを挟むこと）といった、外部に直接出力が触れないクローズドなタスクに限定して活用すべきである。

• 顧客対応（B2C）や自律型エージェント機能への導入の回避: 一般ユーザーからの無制約な入力（プロンプト）を受け付ける外部公開のカスタマーサポート・チャットボットや、社内システムに対する実行権限（APIコールなど）を持つ自律型AIエージェントへの組み込みは、ジェイルブレイク耐性の低さを考慮し、極めて慎重になるべきである。導入が不可避な場合は、強力な入出力フィルター機能を持つサードパーティ製のセキュリティ・ガードレール（LLMファイアウォール）をモデルの前段に必ず配置すること。

• 運用インフラのゼロトラスト分離: モデルを自社ホストする際は、万が一のプロンプトインジェクション攻撃や未知の脆弱性に備え、推論サーバーを外部インターネットや企業の基幹データベースから論理的・物理的に隔離（サンドボックス化）されたゼロトラスト・ネットワークアーキテクチャの下で運用することが必須条件となる。

楽天グループには、日本を代表するテクノロジー企業として、また国家の経済安全保障戦略の一翼を担うプロジェクトの受託者として、オープンソースコミュニティの規範（ライセンス・コンプライアンス）に対する誠実な順守と、自社AIモデルのアーキテクチャや学習データの来歴（Provenance）に関する、より積極的かつ透明性のある情報開示姿勢への転換が強く求められる。