2026/06/08Codex

セキュリティ導入・運用

Codexは情報漏洩しない？企業導入の安全対策

「Codexを業務に使ってみたいが、入力したコードや社内データがOpenAIの学習に使われてしまうのではないか」「もし情報が漏洩したら取り返しがつかない」——AI導入を検討する中小企業の経営者から、私たちが最もよく受ける質問がこれです。便利そうだとは分かっていても、セキュリティの不安が拭えず、結局二の足を踏んでしまう。

結論から言うと、CodexはビジネスプランやAPI経由で使えば入力データが既定で学習に使われることはなく、さらにサンドボックスと承認モードという仕組みで「勝手に外部へ通信させない」制御も標準で備わっています。問題は機能の有無ではなく、どのプランを、どの設定で使うかです。ここを取り違えると、せっかくの安全設計が無効になります。

株式会社Fyveは、福岡で中小企業向けにAI業務効率化の受託開発と専属AI活用顧問サービスを提供しています。代表の田嶋自身がCodexを日々の実務で使い、クライアントの導入支援も行ってきました。この記事では、その現場目線で「Codexのデータ取り扱いと安全対策」を、導入判断に使えるレベルまで噛み砕いて解説します。

そもそも何を心配すべきか——「漏洩」を3つに分解する

「情報漏洩が怖い」という不安は、実は性質の異なる3つの懸念が混ざっています。これを分けて考えると、対策がぐっと具体的になります。

学習リスク：入力したコードや社内データが、AIの学習データとして取り込まれてしまうのではないか
保持リスク：送ったデータがOpenAI側のサーバーに残り続け、誰かに見られるのではないか
動作リスク：AIが勝手にファイルを書き換えたり、外部に通信してデータを送信してしまうのではないか

漠然と「漏洩」と呼ばれるものは、この3つのどれか、あるいは全部です。Codexはそれぞれに別の仕組みで対処しています。学習リスクと保持リスクはプランとデータ設定の話、動作リスクはサンドボックスと承認モードの話です。順番に見ていきます。

学習リスク：入力したコードは学習に使われるのか

最も多い質問が「入力したコードはAIの学習に使われるのか」です。ここはプランによって扱いが大きく異なります。

ビジネス向け（Enterprise・Business・API）は既定で学習されない

OpenAIは、ビジネス向け製品については既定で入力・出力を学習に使わない方針を明示しています。具体的には、ChatGPT Business、ChatGPT Enterprise、そしてAPI経由の利用が対象です。これらのプランでは、組織のデータがモデルの学習に使われない設計になっています。

つまり、社内のコードや業務データをCodexに扱わせるなら、ビジネス向けプランかAPIを選ぶのが第一の原則です。これだけで「学習に使われるのでは」という最大の不安の大部分は解消されます。

個人プラン（Free・Plus・Pro）は既定の挙動が異なる

一方、個人向けのFree・Plus・Proプランでは、扱いが変わります。ChatGPTでの会話は、既定では「モデル改善のために使われる可能性がある」状態です。これを止めるには、自分で設定を変える必要があります。

ChatGPTのプロフィール → 設定 → データコントロール →「すべての人のためにモデルを改善する」をオフにする
Codexには環境全体の学習に関する別の制御があり、これはCodex側の設定から管理する

注意したいのは、ChatGPT画面やプライバシーポータルで設定を変えても、それがCodexの環境全体の設定に自動で反映されるとは限らない点です。OpenAIのヘルプセンターも、両者は別の設定であると案内しています。個人プランで業務利用するなら、ChatGPT側とCodex側の両方を確認するのが安全です。

私たちが導入支援を行う際、「とりあえずPlusで試している」状態のまま社内データを入れているケースは珍しくありません。試用は問題ありませんが、本格的に業務データを扱う段階では、プラン選定と設定の見直しを必ずセットで行うべきです。

保持リスク：送ったデータはどれくらい残るのか

「学習には使われないとして、データそのものはサーバーに残るのか」という疑問もよく聞かれます。ここはAPI利用を例に説明します。

APIでは既定で、不正利用を監視するためのログが最大30日間保持される仕組みになっています。このログには、プロンプトや応答といった入力内容が含まれることがあります。これは学習目的ではなく、不正利用の検知・サービス保護のための監視という位置づけです。法的要請などがある場合を除き、おおむね30日で削除されます。

さらに厳格な要件がある企業向けには、ゼロデータ保持（Zero Data Retention／ZDR）という選択肢があります。これは監視ログから顧客データを除外し、リクエスト処理後にデータを残さない仕組みです。ただしZDRは誰でもオンにできるトグルではなく、OpenAIの事前承認と追加要件の受諾が必要で、対象エンドポイントも限られます。利用したい場合はアカウント担当を通じた申請が前提になります。

中小企業の実務では、まずは「既定でも学習されない・ログは30日で消える」という標準的な扱いで十分なケースが大半です。医療・金融など特に機微なデータを扱う場合に限り、ZDRやデータ処理契約（DPA）の検討に進む、という順序で考えると過剰投資を避けられます。

ChatGPT個人プランとビジネス/APIプランのデータ取り扱いを並べて比較した一覧表のイメージ

動作リスク：Codexが「勝手に動く」のを防ぐ2つの仕組み

AIエージェントとしてのCodexで特に重要なのが、ここです。Codexはコードを読むだけでなく、ファイルを編集したりコマンドを実行したりします。だからこそ「暴走しないか」「勝手に外部へ通信しないか」が問われます。

OpenAIはこれを2つの層で制御しています。技術的に「何ができるか」を縛るサンドボックスと、「いつ確認を取るか」を決める承認ポリシーです。

サンドボックス：触れる範囲を物理的に区切る

サンドボックスは、Codexがアクセスできる範囲を技術的に限定する仕組みです。既定の挙動として、次のように制限がかかっています。

ネットワークアクセスは既定でオフ。CodexのCLI・IDE拡張では、外部への通信が初期状態で無効になっている
書き込みは作業ワークスペース内に限定。指定した作業ディレクトリの外には勝手に書き込めない

この「ネットワーク既定オフ」が、動作リスクに対する最も強力な防壁です。外部にデータを送る経路が初期状態で塞がれているため、社内コードが勝手に外へ流れる事態を構造的に防げます。設定でnetwork_access を true にすれば通信を許可できますが、OpenAI自身がセキュリティ上推奨していません。むやみに開けないことが大切です。

OS別の実装も堅牢です。LinuxやWSLではbubblewrapとseccompを用い、Windowsでは低い権限の専用ユーザー・ファイルシステムの権限境界・ファイアウォール規則を組み合わせた強い隔離が利きます。利用者が意識する必要はありませんが、「OSレベルで隔離されている」という事実は安心材料になります。

承認モード：危険な操作の前に確認を挟む

もう一つの層が承認ポリシーです。これは「Codexがどこまで自動で動き、どこから人間の確認を求めるか」を決めます。

たとえば「Auto」プリセットでは、Codexはワークスペース内でファイルを読み・編集し、コマンドを自動実行できます。しかしワークスペース外のファイル編集や、ネットワークアクセスを必要とするコマンドについては、実行前に承認を求めます。つまり「いつもの作業は自動、危ない一歩は人間に確認」という設計です。

承認モードは用途に応じて調整できます。本番環境では確認頻度を高め、隔離された検証環境では自動度を上げる、といった使い分けが可能です。導入初期は確認頻度を高めに設定し、運用に慣れてから緩めるのが私たちの推奨です。

中小企業がCodexを安全に導入するための運用ルール

機能としての安全性が分かっても、現場で守られなければ意味がありません。私たちが導入支援で必ず整える「運用ルール」の勘所を共有します。専任のIT担当がいない中小企業でも回せる、シンプルな枠組みです。

プランと設定を「組織で1つ」に固定する

最も多い事故は、社員が思い思いの個人プランで業務データを扱ってしまうことです。これを防ぐには、組織として使うプラン（Business・Enterprise・API）を1つに決め、個人のFree/Plusでの業務利用を禁止します。プランが固まれば、学習・保持の扱いも組織全体で揃います。

「入れてよいデータ」の線引きを文書化する

技術設定だけでなく、人の判断にも基準が要ります。次のような線引きを社内規程に落とし込みます。

顧客の個人情報・契約書・認証情報（パスワード・APIキー）は入力しない
機微なデータを扱う場合は、扱ってよいプラン・環境を限定する
サンドボックスのネットワークアクセスは原則オフのまま、必要時のみ責任者承認で一時的に開放する
承認モードは本番作業では確認頻度を高めに設定する

難しく考える必要はありません。「誰が・どのプランで・どんなデータを・どの設定で扱うか」を一枚の紙にまとめるだけでも、事故の大半は防げます。

中小企業向けCodex導入セキュリティチェックリストのイメージ（プラン選定・データ線引き・設定確認の3ステップ）

設定は「導入時」と「定期」の二段で確認する

設定は一度入れて終わりではありません。導入時にプラン・データコントロール・サンドボックス・承認モードを確認し、その後も四半期に一度など定期的に見直します。OpenAIのポリシーやCodexの仕様は更新されるため、重要な数値や条件は導入の都度、最新の公式ドキュメントで確認するのが鉄則です。本記事の内容も執筆時点（2026年6月）のものであり、最新の公式ポリシーで照合してください。

よくある質問

入力したコードは学習に使われますか？

ビジネス向けプラン（ChatGPT Business・Enterprise）やAPI経由の利用では、既定で入力・出力が学習に使われません。一方、個人向けのFree・Plus・Proでは、ChatGPTの会話が既定でモデル改善に使われる可能性があり、データコントロールの設定で止める必要があります。業務でコードを扱うなら、ビジネス向けプランかAPIの利用を推奨します。

無料版・Plusとビジネス版で扱いは違いますか？

違います。ビジネス版は既定で学習されない設計ですが、無料版・Plus・Proは既定の挙動が異なり、自分で「すべての人のためにモデルを改善する」をオフにする必要があります。さらにCodexには環境全体の学習に関する別の設定があり、ChatGPT側の設定とは独立しているため、個人プランで使うなら両方の確認が必要です。

送ったデータはどれくらいサーバーに残りますか？

API利用では、不正利用監視のためのログが既定で最大30日間保持され、その後削除されます（法的要請等がある場合を除く）。より厳格な要件がある企業は、事前承認制のゼロデータ保持（ZDR）を申請することで、監視ログから自社データを除外できます。ZDRは自動で有効になるものではなく、対象も限定されるため、最新の公式情報で確認してください。

Codexが勝手に外部へデータを送ることはありませんか？

CodexのCLI・IDE拡張では、ネットワークアクセスが既定でオフになっています。外部へ通信する経路が初期状態で塞がれているため、勝手にデータが送信される構造にはなっていません。設定で通信を許可することは可能ですが、OpenAI自身がセキュリティ上推奨しておらず、必要な場合のみ慎重に開放すべきです。

サンドボックスと承認モードはどう違いますか？

サンドボックスは「Codexが技術的に何をできるか」を縛る仕組みで、書き込み範囲やネットワーク可否を制限します。承認モードは「どの操作の前に人間の確認を求めるか」を決めるポリシーです。両者は別の層で、組み合わせて使います。たとえばワークスペース内の作業は自動、外部編集やネットワーク利用は承認が必要、といった制御が可能です。

社内のセキュリティ規程はどう作ればよいですか？

まず「使うプランを組織で1つに固定」し、次に「入れてよいデータと入れてはいけないデータの線引き」を文書化します。そのうえで、サンドボックスのネットワークは原則オフ、承認モードは本番では確認頻度を高めに設定する、という技術設定の基準を添えます。「誰が・どのプランで・どんなデータを・どの設定で扱うか」を一枚にまとめるだけでも実効性のある規程になります。

機微なデータを扱う場合は何に気をつければよいですか？

顧客の個人情報・認証情報・契約書などは原則として入力しないのが基本です。どうしても扱う必要がある場合は、ビジネス向けプランやAPIに限定し、必要に応じてゼロデータ保持やデータ処理契約（DPA）の締結を検討します。医療・金融など規制の厳しい領域では、自社のコンプライアンス要件と照らし合わせ、専門家を交えて判断することをおすすめします。