中小企業のためのCodex安全運用7つのルール
「CodexにAIで仕事を任せたいけれど、勝手にファイルを書き換えたり、機密情報が外に漏れたりしないか不安だ」——専任のIT担当者がいない中小企業ほど、この一歩で止まってしまいます。ここでいうCodexとは、OpenAIが提供するAIによるコーディング・業務自動化ツールのことです。
結論から言うと、Codexを安全に使えるかどうかは高度な技術力ではなく、「最小限の設定」と「社内で決めた数個のルール」の組み合わせで決まります。大企業のような専門チームがなくても、運用ルールさえ整えれば事故の大半は防げます。
株式会社Fyveでは、AI開発の受託と顧問の現場でCodexを日常的に業務へ組み込んでいます。本記事では、私が実際に守っている「中小企業向けのCodex安全運用ルール」を、専門用語をかみ砕きながら7つに整理してお伝えします。

なぜ中小企業ほどCodexの「運用ルール」が必要なのか
セキュリティの解説記事は世の中に多くありますが、その多くは「専門の担当者がいる前提」で書かれています。中小企業や個人事業主の現実はそうではありません。社長自身や事務担当が片手間でAIを触り、設定の意味もよく分からないまま使い始める——これが大半のケースです。
だからこそ、技術的に難しい防御を積み上げるより、「これだけは守る」という数個の運用ルールを言葉で決めておくことが効きます。設定は一度きりですが、ルールは毎日の判断を助けてくれるからです。
本記事は「サンドボックスとは何か」を技術的に深掘りする記事ではありません。仕組みは最小限だけ押さえ、専任担当のいない会社が現場で回せる運用基準に絞って解説します。仕組みそのものをもう少し詳しく知りたい方は、次の全体像ガイドが土台になります。
守りの基本は「2つの層」だけ覚える
Codexの安全制御は、難しく見えて実は2つの層しかありません。ここだけ押さえれば、あとのルールはすべて理解できます。OpenAIの公式ドキュメントでも、この2層構造が安全設計の核として説明されています(OpenAI公式: 承認とセキュリティ)。
第1の層:サンドボックス(何ができるか)
サンドボックスとは「AIが触れてよい範囲を囲う壁」のことです。Codexには3段階あります。
- read-only(読み取り専用):ファイルを読むだけ。書き換えやコマンド実行はできない。一番安全
- workspace-write(作業フォルダ内だけ書き込み可):指定した作業フォルダの中だけ編集・実行できる。これが既定値
- danger-full-access(制限なし):何でもできる。公式も「非推奨」と明記する高リスク設定
重要なのは、標準ではネット接続がオフになっている点です(OpenAI公式: サンドボックス)。作業フォルダの外を触ったりネットを使ったりするには、別途許可が必要になります。つまり、初期状態のCodexは「囲いの中で、外とつながらずに作業する」のが基本姿勢です。
第2の層:承認(実行前に人へ確認するか)
承認とは「危ない操作の前に人へお伺いを立てる仕組み」です。AIが勝手に進めるのではなく、リスクのある操作の手前で「これを実行してよいですか」と止まってくれます。既定の「Auto」では、作業フォルダ内は自動で進み、外への書き込みやネット利用が必要になった瞬間に承認を求めます。
この「囲い(サンドボックス)+お伺い(承認)」の二重構造を理解しておけば、以下のルールはすべて腑に落ちます。なお、これらはコマンドで指定する設定(CLI)として動きます。仕組みの全機能は次の記事で整理しています。

中小企業のためのCodex安全運用7つのルール
ここからが本題です。設定の知識ではなく、日々の判断を縛る「社内ルール」として運用してください。難しい技術は要りません。
ルール1:既定は read-only か Auto。full-access は禁止にする
社内の基本姿勢を「読み取り専用、または既定のAutoから始める」と決めてしまいます。何でもできる danger-full-access(別名フルアクセス)は、業務では原則禁止にしてください。Codex公式の開発元リポジトリでも、フルアクセスのフラグには「極めて危険」と明記されています。
使い方としては、Codexに頼むとき「まず読み取り専用で現状を調べて、変更案だけ見せて」と指示するのが安全です。いきなり「直して」ではなく、一段おいてから任せる習慣をつけます。
ルール2:ネット接続は既定オフのまま、必要なときだけ開ける
前述の通りCodexは標準でネット接続がオフです。これを安易にオンにしないことが、情報漏洩対策の最初の一歩になります。外部のライブラリ取得などでどうしても必要な場合だけ、設定ファイル(config.toml=Codexの動作を決める設定書)でその作業に限って開放します。
「とりあえず全部つなげておく」は中小企業で最もやりがちな事故の入口です。つなぐ理由を説明できないなら、つながない——これをルールにします。
ルール3:機密情報の「入力禁止リスト」を文章で決める
設定でカバーしきれないのが「何を打ち込むか」です。ここは人の判断なので、ルールで縛るしかありません。次のような禁止リストを1枚にまとめ、Codexを使う全員で共有します。
- 顧客の氏名・連絡先・契約金額などの個人情報・取引情報
- APIキーやパスワードなどの認証情報(鍵は設定ファイルや環境変数で渡し、会話に貼らない)
- 未公開の経営情報・他社との秘密保持契約に関わる情報
なお、法人向けプラン(Team・Enterprise)やAPI利用では、入力が学習に使われない契約になっています(OpenAI公式: エンタープライズのプライバシー)。それでも「そもそも不要な機密は入れない」を徹底するのが、最も確実な漏洩対策です。
ルール4:AIが書いたものは、人が確認してから反映する
Codexの出力は速くて優秀ですが、間違いはゼロではありません。AIの成果物は必ず人がレビューしてから本番へ反映する——これを例外なくルールにします。誰がレビューするか(担当)も決めておくと形骸化しません。
運用のコツとして、変更は差分(diff=前後の違い)を見て承認する流れにします。Codexにも「変更点を差分で見せて、説明してから適用して」と頼めば、いきなり全部書き換えるのを避けられます。AIが作った箇所には「AI生成」と分かる印を残す運用も、後から見直すとき役立ちます。
ルール5:こまめに保存し、作業前に「今の状態」を確認する
万一AIが想定外の変更をしても、すぐ元へ戻せる備えが安心につながります。具体的には、作業の区切りごとにこまめにバージョンを保存(git commit)しておくことです。これは実務家の間でも安全運用の基本として共有されています。
また、作業を再開する前に「今どのフォルダで、どの承認モードで、サンドボックスはどの設定か」を一度確認する習慣をつけます。「気づいたら制限なしモードになっていた」を防ぐための、地味だが効く一手です。
ルール6:会社の既定を「全員共通」で固定する
従業員が複数いる場合、各自がバラバラに設定すると統制が効きません。Codexには、組織として許可する設定を一律で強制する仕組み(管理者が配布する要件ファイル)が用意されています。これを使えば、「フルアクセスは全社で選べない」「許可したサンドボックスのモード以外は使えない」といった枠を会社側で固定できます。
専任の情報システム部がない会社では、まず「危険な設定はそもそも選べないようにしておく」のが現実的です。一人ひとりの注意力に頼らず、仕組みで防ぐ発想に切り替えます。
ルール7:設定を過信せず、ログを残す
最後は心構えです。Xでは「read-onlyやtrust(信頼)設定も“壁に貼ったポスター”のようなもので、エージェントが無視しうる」という指摘も流れています。これは個別の指摘であり、Codex公式が認めた挙動ではありません(=確証なしの噂レベル)。ただ、「設定は100%ではない」という前提で運用するのは健全な姿勢です。
そのため、重要な作業ではサンドボックスの動作ログを残し、後から「いつ・何をしたか」を追えるようにしておきます。設定で防ぎ、ルールで縛り、それでも漏れた分は記録で見つける——この三段構えが、専門家のいない会社の現実的な守り方です。

やりがちな失敗と、中小企業の落としどころ
ルールを決めても、現場では必ず「めんどくさい」という壁にぶつかります。ここで無理をすると、かえって危ない使い方に逆戻りします。
「承認疲れ」で全許可にしてしまう
毎回お伺いが出ると、つい「もう全部許可」にしたくなります。実際、実務家の間でも「危ないと分かっていながら承認疲れでフルアクセスを使ってしまう」という本音が語られています。落としどころは中間のworkspace-write(作業フォルダ内だけ書き込み可)です。何でもありの全許可より安全で、毎回の承認より楽——この“ちょうどいい”設定を社内標準にすると続きます。
AIに任せる範囲が広すぎる
Xでは「Codexが触れる範囲が書類フォルダ全体にまで及んで危なかった」という個別の体験談も出ています(個人の報告で、環境によります)。対策はシンプルで、作業フォルダを業務ごとに小さく区切ることです。Codexの設定では書き込み可能な場所を限定できるので、「今日触ってよいのはこのフォルダだけ」と囲ってから始めます。
権限まわりの不具合報告にも注意
「許可したはずなのに毎回承認を求められる」「セッションをまたいで権限が共有される」といった不具合報告も一部で見られます。これらは個別ユーザーの報告(噂レベル)で、すべての環境で起きるとは限りません。挙動が不安定だと感じたら、無理に全許可へ逃げず、いったん read-only に戻すのが安全側の判断です。
まずはこの順番で、小さく始める
いきなり7つ全部を完璧にやる必要はありません。専任担当がいない会社こそ、小さく始めて慣れてから広げるのが正解です。次の順番をおすすめします。
- 1日目:read-only かAutoで起動し、ネットはオフのまま使ってみる(ルール1・2)
- 1週目:機密情報の入力禁止リストを1枚作り、使う人で共有する(ルール3)
- 慣れてきたら:レビュー担当を決め、こまめな保存を習慣化する(ルール4・5)
- 人が増えたら:会社の既定を全員共通で固定し、ログ運用を足す(ルール6・7)
この順で進めれば、「便利さ」と「安全」を両立しながら、無理なくCodexを業務へ根づかせられます。最初から大企業並みの体制を目指す必要はありません。
まとめ|安全運用は「設定1割・ルール9割」
Codexの安全運用というと身構えてしまいますが、実態は最小限の設定と、社内で決めた数個のルールでほぼ守れます。サンドボックスと承認の2層を理解し、本記事の7つのルールを「自社の言葉」に直して共有するだけで、専任担当がいなくても十分に事故を防げます。
大切なのは、難しい技術を増やすことではなく、誰もが迷わず判断できるシンプルな基準を持つことです。株式会社Fyveでも、まずはこの小さなルールづくりから始めることを中小企業のみなさまにおすすめしています。読み取り専用で一歩目を踏み出すところから、安全なAI活用を始めてみてください。
「Codex を自分で使いこなしたい」「自社の業務に組み込みたい」
── そんな方は、まず初回無料相談でお話ししてみませんか。
御社の業務に合わせたCodex導入支援
「AIツールを導入したが、現場で使われない」を終わらせる。
業務課題のヒアリングから設計、ハンズオン実践、運用定着まで一貫して支援します。