日付: 2025年9月7日
報告者: 組織内情報システムセキュリティ担当
1. 調査概要
本報告書は、音声SNSアプリケーション「Clubhouse」について、組織としての利用可否を判断するため、運営組織の信頼性、アプリケーションの技術的セキュリティ、および専門家の見解を多角的に調査・分析した結果をまとめたものである。
2. 組織の信頼性評価
2.1 運営会社の概要と沿革
 * 会社名: Alpha Exploration Co.
 * 設立: 2020年2月
 * 概要: Clubhouseは、Alpha Exploration Co.によって開発・運営されている招待制の音声SNSアプリケーションである。2020年の設立後、特に新型コロナウイルスのパンデミック下において、リアルタイムの音声コミュニケーションという新たな形態が注目を集め、急速にユーザー数を拡大した。
   * 参照: 急速に広まった音声SNS「Clubhouse」個人情報の取り扱いは大丈夫？ (LegalSearch)
2.2 創設者の経歴
Clubhouseは、Paul Davison（ポール・デイヴィソン）とRohan Seth（ローハン・セス）の2名によって創設された。両者ともにスタンフォード大学出身で、IT業界での豊富な経験を有しており、経歴ロンダリングの疑いは認められない。
 * Paul Davison (CEO):
   * 学歴: スタンフォード大学にて工業工学の学士号、および同大学経営大学院にて経営学修士（MBA）を取得。
   * 職歴: Clubhouse設立以前は、位置情報SNS「Highlight」（後にPinterestが買収）を創業。また、グラフ検索のスタートアップ「Metaweb」（後にGoogleが買収）の初期チームにも参加していた。
   * 参照: Speaker Details: Paul Davison (Digital Content Next)
 * Rohan Seth (CTO):
   * 学歴: スタンフォード大学にてコンピュータサイエンスの学士号、および経営科学＆工学の修士号を取得。
   * 職歴: Googleに約6年間エンジニアとして在籍し、AndroidやGoogle Mapsの位置情報プラットフォーム開発に従事。その後、スタートアップ「Memry Labs」（後にOpendoorが買収）を創業した経験を持つ。
   * 参照: Rohan Seth | Gold House
2.3 本社所在地の確認
 * 登記住所: 548 Market St, PMB 72878, San Francisco, CA 94104-5401, United States
 * 調査結果: 上記住所の「PMB」はPrivate Mailbox（私書箱）を意味する。これは、物理的なオフィスではなく、郵便物や法人登記のための住所である可能性が極めて高い。
   * 参照: Clubhouse - Apps on Google Play
3. 技術的セキュリティ評価
3.1 製造国
 * 開発国: アメリカ合衆国
   * 参照: Clubhouse (アプリケーション) - Wikipedia
3.2 セキュリティ専門家の見解
国内外の複数のセキュリティ専門家や機関から、Clubhouseのセキュリティに関する懸念が指摘されている。特に以下の点は重大なリスクと評価される。
 * 中国企業（Agora社）製APIの利用とデータ送信のリスク:
   * Clubhouseのリアルタイム音声機能の基盤技術として、中国・上海に本社を置くAgora社のAPIが使用されている。スタンフォード大学インターネット観測所（SIO）の調査により、ユーザーのIDやルームIDといったメタデータが暗号化されずに平文で送信されており、Agora社がこれにアクセスできる可能性が指摘されている。中国の国家情報法に基づき、中国政府がAgora社を通じてユーザーデータにアクセスする理論的なリスクが存在する。
   * 参照: Clubhouse in China: Is the data safe? (Stanford Cyber Policy Center)
 * プライバシーポリシーとデータ収集の問題:
   * サービスの利用にあたり、ユーザーのスマートフォンに登録されている連絡先情報へのアクセスを強く要求する仕様になっている。これにより、Clubhouseを利用していない第三者の個人情報（電話番号など）が、本人の同意なく収集される可能性があり、GDPR（EU一般データ保護規則）などの観点から問題視されている。
   * 参照: Vulnerabilities and Privacy Issues with Clubhouse App (Network Intelligence)
 * 会話の傍受・録音のリスク:
   * ルーム内の会話は、インシデント報告があった場合に備えて一時的に録音される仕様となっている。しかし、この音声データはエンドツーエンドで暗号化されておらず、運営側や（前述の通り）インフラ提供者であるAgora社がアクセス可能であると懸念されている。また、第三者が不正に音声をストリーミングする事案も過去に発生しており、会話の機密性は保証されない。
   * 参照: Clubhouse security and privacy - Is Clubhouse safe to use? (Kaspersky)
4. 結論と提言
結論:
Clubhouseの創設者の経歴に疑わしい点はなく、組織の信頼性は一定程度認められる。しかし、本社所在地が私書箱であるため、組織の実態把握には限界がある。
技術的な観点からは、複数の重大なセキュリティリスクが専門家によって指摘されており、現状のまま業務で利用するには適さないと判断する。特に、機密情報や個人情報を含む会話が行われる可能性を考慮すると、中国へのデータ送信リスク、暗号化の不備、プライバシーポリシーの問題は看過できない。
提言:
以上の評価に基づき、以下の通り提言する。
 * 業務用デバイスへのインストール禁止: 組織が管理するPC、スマートフォン等へのClubhouseのインストールを原則禁止とする。
 * 業務関連での利用禁止: 業務に関連する一切の会話（顧客情報、技術情報、未公開情報など）にClubhouseを使用することを禁止する。
 * 私的利用における注意喚起: 従業員が私用デバイスで利用する際も、上記のリスク（特に連絡先情報の同期）を十分に認識し、個人情報や機密情報の漏洩に繋がらないよう、注意喚起を行う。
以上