AWS Bedrock、Claude Fable 5の30日データ保持でZDR契約が無効化された日 —— 「データ越境」を止めるか受け入れるか、エンタープライズデータ主権の分岐点

はじめに：6月9日、何が変わったのか

2026年6月9日（米国時間）、Anthropicは公開モデル「Claude Fable 5」と、その無制限版「Claude Mythos 5」を「Covered Models」に指定し、AWS Bedrock・Google Cloud Agent Platform・Microsoft Foundry・Claude Enterprise (ZDR) を含む 全プラットフォームで30日間のデータ保持と人間レビューを必須化する ポリシーを発効した。Anthropic Help Centerの「Data retention practices for Mythos-class models」には次の通り明記されている。

This change only applies to organizations that have set up workspaces with zero data retention (ZDR) in Claude Console, use Claude Code with ZDR in Claude Enterprise, or access Claude through AWS Bedrock, Google Cloud Agent Platform, or Microsoft Foundry with ZDR. — support.claude.com, 2026-06-09

つまり、「ZDR契約があるからFable 5は安全」という前提が崩壊した。Fable 5/Mythos 5のトラフィックは、ZDR契約の例外として必ず30日間Anthropic側に保持され、AWS Bedrock経由でもデータがAWS境界の外（Anthropicインフラ）へ移動する。本稿では、(1) 技術的に何が起きているのか、(2) 既存エンタープライズ契約とどう衝突するか、(3) 日本企業のAWS東京リージョン+JP CRIS構成に与える影響、(4) 回避策の4軸を整理する。

これはFable 5公開・沈黙サボタージュ・可視化方針転換に続く、Fable 5公開後4日目の3本目のエンタープライズガバナンス系記事であり、6/9発表→6/10 GitHub公開→6/11沈黙サボタージュ発覚→6/11夕方可視化転換→6/12 30日保持騒動という信頼ストーリーの最新セグメントである。

何が変わったのか —— provider_data_share APIの技術的実態

AWS BedrockでFable 5を呼び出すには、推論リクエスト送信 前 にData Retention APIでアカウント全体の設定を変更する必要がある（公式ブログより）。

# AWS CLI 2.35.1（2026-06-09リリース）以降
aws bedrock put-account-data-retention --mode provider_data_share

AWSのドキュメントはこのモードを「This mode allows Amazon Bedrock to retain and share your inference data with model providers per their requirements」と定義し、「Things to know」セクションに重要な一文を記載している。

Once you opt into data retention, your data will leave AWS’s data and security boundary. — aws.amazon.com/blogs/aws, 2026-06-09

ポイントは3点ある。

つまり「30日保持を拒否してFable 5を使う」二者択一の構図であり、ベンダー側のパッケージングがエンタープライズ側の選択権を実質的に剥奪している。

Anthropicの安全上の根拠 —— 「単発リクエストでは見えない攻撃」を見るため

なぜAnthropicはZDRを例外化したのか。Anthropicの公式説明は3つの攻撃パターンに集約される。

• Best-of-Nジェイルブレイク —— 1プロンプトの数百バリエーションを送り1つでも突破を狙う手法。arXiv 2412.03556に代表される
• 国家主導のエスピオナージ —— 2025年8月の「Disrupting AI Espionage」報告で実例が示された、検出には複数リクエスト横断の分析が必要な攻撃
• データ恐喝キャンペーン —— 2025年8月の「Detecting and Countering Misuse」報告、複数リクエストの時系列パターンから初めて検出可能

Anthropicは「Detecting these threats requires temporarily retaining prompts and outputs so they can be analyzed together, rather than one at a time」と説明し、Mythos 5の能力上昇に対する防御側の必然的要請だと位置づける。Cybersecurity/biology/chemistry/healthの4領域プロンプトは自動的にOpus 4.8へフォールバックし、対象セーフティ審査は小人数の審査者限定・export不可・改ざん不可ログ・30日自動削除（safety調査・法的義務例外を除く）でガードされる。

ただし、Anthropic側の説明は技術的には合理でも、契約上の整合性は別の問題である。

既存エンタープライズ契約との衝突 —— Microsoftが48時間で社内ブロックを出した理由

6月9日のFable 5公開から 48時間後の6月11日、Microsoftは数千名規模のエンジニアに対し、社内の「Third-Party AI Services Policy v3.2」（7日超の保持・人間レビューへの曝露禁止条項）に抵触するとして、Fable 5の社内利用禁止を通達した。The Verge（2026-06-10）、MLQ News、Windows Forum、AI Revolution等の4ソースが独立に確認している。

Microsoftの社内ポリシー要件（v3.2）
- 外部AIサービス: 7日以内のデータ保持
- 人間レビュー: 原則禁止（オプトイン必須）
- 監査ログ: 30日保持は許容範囲だが、Anthropic側レビューは
  禁止条項に抵触

つまりMicrosoftは Fable 5の性能ではなく契約・データ主権上の問題 で利用を止めた。これは「available ≠ approved」の教科書的事例であり、エンタープライズIT部門が自社でも同じ判断軸でFable 5を評価すべきであることを示唆する。

業界別・影響度マトリクス —— 日本企業のAWS構成はどの層で被害を受けるか

以下は、AWS東京リージョン + Amazon Bedrock + JP CRIS（Japan Geo Cross-Region Inference）でFable 5を使おうとする4業界シナリオを、3次元で評価したものである。

JP CRISは2025年10月にSonnet 4.5/Haiku 4.5で開始され、2026年にSonnet 4.6/Opus 4.7へ拡張されたが、Fable 5/Mythos 5はJP CRIS対象外であり、東京＋大阪リージョンに閉じた推論プロファイルは提供されない。これは日本企業の「データ国内完結」をベンチマークしてきたアーキテクチャにとって重大な後退である。

5つの回避ルート —— Open-Weight系4モデルへの脱出とAPI直接

Fable 5の能力を享受しつつ30日データ越境を回避するルートは、5本に整理できる。

ルート1：Opus 4.8へ据え置き

最も安全だが、性能は2世代前。SWE-Bench ProでFable 5の半分以下のスコア。既存ZDR契約が維持され、コストもFable 5の半額（$5/$25 vs Fable 5 $10/$50）。機密業務・医療・法律・金融の「前世代で十分なワークロード」は迷わず据え置き判断。

ルート2：Fable 5をClaude Platform直接API（AWS外）で使う

bedrock-runtimeではなく api.anthropic.com 経由。データはAnthropic側に30日保持される点では同じだが、AWSアカウントとは別管理になり、bedrock-mantleと分離できる。AWS側のVPCエンドポイント・PrivateLink・CloudTrail統合が失われる ことが運用上の痛点。

ルート3：Open-Weight系への切替 —— ソブリンAI 3モデル＋Glasswing枠

当社連載のNemotron 3 Ultra、Gemma 4 12B、Cohere Command A+で既に確立した「Open-Weight Frontier」は、いずれもFable 5の30日保持問題を 完全に回避できる 選択肢である。自社インフラ／AWS EC2／vLLM／Ollamaにデプロイすれば、データは完全に自社境界内に留まる。性能差はSWE-Bench Proで10-20pt程度あるが、医療電子カルテ・金融社内文書・行政政策文書のような「データ国内完結 + 30日保持不可」のワークロードでは、この10-20ptの性能差は無視できる。Fable 5独占性能が必須ならMythos 5 Glasswingパートナー参加（150+組織・15+ヶ国）が唯一の正規ルート。

ルート4：ハイブリッドルーティング

クエリ分類器で「機密度：高」をOpen-Weight系、「機密度：中・性能：要」をOpus 4.8、「機密度：低・性能：最大」をFable 5へルーティング。OpenRouter（$113M Series B調達で勢力拡大中）やBuild 2026 Polarisで示されたAzure AI Foundryのモデルルーティング層が実装基盤候補。

ルート5：Fable 5を「Glasswing枠」でのみ使う

Mythos 5本体はProject Glasswingパートナー（150+組織・15ヶ国以上）限定アクセスなので、Fable 5でしかアクセスできない能力は存在しない。Mythos Previewの1万件以上脆弱性発見実績の恩恵を受けるべき研究組織のみが、Fable 5（≒実体はMythos 5+安全装置）の利用価値を見出せる。

日本企業IT部門向け5ステップ・コンプライアンスプレイブック

最後に、Fable 5導入判断を「情シス5分チェックリスト」として提示する。

1. データフロー棚卸し —— Fable 5候補ワークロードの入力データを5分類（PII / PHI / 金融取引データ / 営業秘密 / 公開情報）。PII・PHI・金融・営業秘密が含まれるなら provider_data_share opt-in不可
2. 既存ZDR契約書の「Fable 5 Carve-out」確認 —— Anthropicが個別に既存ZDR契約にFable 5 Carve-out条項を入れているか法務確認。なければ契約再交渉が前提
3. AWSアカウント分離 —— Fable 5専用アカウントとZDR維持アカウントを分離。AWS Organizations SCP（Service Control Policy）でbedrock:InvokeModelをアカウント単位制限
4. AWS CLI 2.35.1以上への更新とCloudShell運用確認 —— put-account-data-retentionは新コマンドのため、CloudShellのプリインストールCLIは手動更新必要
5. 3省2ガイドライン/ISMAP/JP CRISの対象確認 —— 医療・公共・金融のいずれかで規制対象なら、Fable 5の採用は「Mythos 5 Glasswing枠」または「Open-Weight系」のいずれかに限定

おわりに —— 「データの越境を許容する組織か」を今月中に決めよ

Fable 5の30日データ保持ポリシーは、Anthropic単独の判断ではなく、「Covered Models」指定による業界横断のデフォルト変更 である。AWS・Google Cloud・Microsoft Foundryの3大パブリッククラウドで同時に発効し、しかもZDR契約の例外として効力を持つ。つまり、「クラウドにデータを置いている」というだけでは、もはやデータ主権の十分条件にならない時代に入った。

日本企業のIT部門にとって、本日（6月13日）から6月23日のサブスクリプション課金切替までの10日間が、実質的な「採用/不採用」判断のデッドラインである。Fable 5公開から4日後の今、沈黙サボタージュ問題（6/11 AM）と可視化方針転換（6/11 PM）を経て、3本目のエンタープライズガバナンス系イシュー として本件が立ち上がっている。性能と引き換えに何を差し出すのか、各社の判断が問われる。

この記事はAIによって生成され、人間の編集を経て公開されています。 Appwright AI は AI によるコンテンツ制作の可能性を探求する実験的プロジェクトです。