2026年4月24日以降、GitHub Copilotの個人向けプラン(Free/Pro/Pro+)では、プロンプトや生成コードなどのインタラクションデータがデフォルトでAIモデルの学習に利用される仕様に変更されました。業務で機密性の高いコードを扱う開発者やフリーランスにとって、この変更はNDA違反や情報漏洩のリスクに直結する重大な問題です。
本記事では、GitHub Copilotにデータを学習させないためのオプトアウト設定の手順から、学習対象となるデータの範囲、プランごとの違い、そして業務利用における注意点までを解説します。Copilotのデータ管理を見直す参考にしてください。
GitHub Copilotのデータ学習ポリシーとは
2026年4月24日以降、個人向けプラン(Free/Pro/Pro+)のインタラクションデータがデフォルトでAIモデルの学習に利用されるように変更されました。これを受けて、学習を望まない場合は、明示的なオプトアウト(利用停止の申請)が必要です。
GitHubはこの変更の理由として、「実際の開発者のデータに基づく学習がモデルの品質向上に不可欠である」と説明しています。親会社であるMicrosoftの社員データを活用した検証では、複数のプログラミング言語でコード提案の採用率が向上する改善が確認されたとのことです。
変更前後の違いを以下の表に整理します。
| 項目 | 変更前(2026年4月23日以前) | 変更後(2026年4月24日以降) |
| Free/Pro/Pro+プラン | 学習利用なし | デフォルトで学習ON |
| ビジネス/エンタープライズプラン | 学習利用なし | 学習OFF(変更なし) |
なお、以前に学習利用を拒否する設定をおこなっていた場合は、その設定が引き継がれます。
しかし、未設定のユーザーは自動的に学習対象となります。まずは「どのプランの誰が、どの取引先・自社のコードに触れているか」を棚卸しすることが、対策の出発点です。
GitHub Copilotに学習させないためのオプトアウト設定手順
GitHub Copilotに学習させないためのオプトアウト設定は、GitHubの設定画面から「Allow GitHub to use my data for AI model training」をDisabledに変更するだけで完了します。 ここでは、個人アカウント・エディタ・組織の3つのレベルでの設定手順を紹介します。
- GitHubアカウントでの学習オプトアウト手順
- VSCodeで特定ファイルをCopilotの提案対象から除外する方法
- 組織(Organization)単位でメンバーのデータ学習を統制する方法
GitHubアカウントでの学習オプトアウト手順
GitHubアカウントの設定ページからプライバシーセクションの学習利用設定をDisabledに変更することで、インタラクションデータの学習利用を停止できます。設定変更後は、新規のインタラクションデータがAIモデルの学習に使用されなくなります。
具体的な手順は以下のとおりです。
- GitHubにログインし、Copilot設定ページ(github.com/settings/copilot/features)を開く
- 「Privacy」セクションまでスクロールする
- 「Allow GitHub to use my data for AI model training」のドロップダウンをDisabledに変更する
- ページを再読み込みし、Disabledのままになっているか確認する
設定変更は数分で完了するため、とくに業務で機密コードを扱う場合は最優先で実施すべき対応です。
VSCodeで特定ファイルをCopilotの提案対象から除外する方法
VSCodeのsettings.jsonで特定のファイルタイプに対してCopilotを無効化することで、機密情報を含むファイルがインタラクションデータに含まれることを防止できます。前述のオプトアウト設定は学習利用を停止しますが、作業中のデータ送信自体は継続されるため、機密ファイルはCopilotの対象外とするとより安全です。
VSCodeのsettings.jsonに以下のような設定を追加することで、ファイルタイプごとにCopilotの提案を無効化できます。
- 「”github.copilot.enable”」の中で、無効化したいファイルタイプを「false」に指定する
- 対象例:dotenv(.envファイル)、json(設定ファイル)、yaml(構成ファイル)など
加えて、GitHub Copilotのプライバシー設定にある「Suggestions matching public code」をBlockedに変更すると、公開コードと一致する提案がフィルタリングされ、意図しないライセンス違反のリスクも軽減できます(組織からシートが付与されている場合は、この設定は組織の設定を継承します)。
アカウントレベルのオプトアウトとエディタレベルのファイル除外を組み合わせることで、より確実にデータを保護できます。とくに顧客の機密コードを扱う案件では、案件単位で除外ルールを標準化しておくと、担当者ごとの設定漏れを防げます。
組織(Organization)単位でメンバーのデータ学習を統制する方法
組織全体でデータ学習を統制する最も確実な方法は、メンバーにビジネス/エンタープライズのシートを付与することです。 ビジネス/エンタープライズでは契約上インタラクションデータが学習に利用されないため、個人ごとのオプトアウト設定に依存せずに済みます。
GitHubのFAQでは、ユーザーのアカウントが有償組織のメンバーまたは外部コラボレーターである場合、たとえ個人のFree/Pro/Pro+プランを使っていても、そのインタラクションデータは学習対象から除外されるとされています。一方で、学習オプトアウト自体は個人設定であり、組織の管理画面から個人プラン利用者の設定を一括でDisabledにする項目はありません。そのため、個人の設定変更に委ねると設定漏れが起こりやすく、組織としてはシート付与の方針で統制するのが現実的です。
なお、組織のCopilotポリシーでは、公開コードと一致する提案のブロック(Suggestions matching public code=Blocked)など、機密性に関わる設定を組織単位で強制できます。チームや企業でCopilotを利用する場合は、シートの付与方針とポリシー設定の両面から統制することで、設定漏れによる情報漏洩リスクを抑えられます。
GitHub Copilotに学習させない設定をする際の注意点
GitHub Copilotに学習させない設定をする際の注意点は、オプトアウト設定だけでは防げないリスクがあるということです。 プランの選択、機密情報の管理、法的リスクへの対応も含めた総合的な判断が求められます。
ここでは、設定時に見落としがちな3つの注意点を解説します。
- 個人プランで業務コードを扱う場合のNDA違反リスク
- プランごとのデータ保護レベルの違いと選び方
- 学習をオフにしてもCopilotの提案精度は下がらない
個人プランで業務コードを扱う場合のNDA違反リスク
フリーランスや個人事業主がFree/Proプランでクライアントの機密コードを扱う場合、デフォルト設定のままではNDA(秘密保持契約)違反に抵触するリスクがあります。クライアントのコードに関するインタラクションデータがGitHub(Microsoft)のAI学習に提供されることは、機密情報の外部提供とみなされる可能性があるためです。
たとえば、以下のようなケースではNDA違反が問題になり得ます。
- クライアントのプライベートリポジトリでCopilotを使用し、プロンプトや生成コードが学習対象となる
- Copilotが過去の学習データに基づき、実在するAPIキーやパスワードを提案として出力する
業務で機密コードを扱う場合は、オプトアウト設定に加えてビジネス/エンタープライズプランへの移行を検討すべきです。
プランごとのデータ保護レベルの違いと選び方
GitHub Copilotの学習利用に対する保護レベルはプランによって大きく異なり、機密性の高い業務ではビジネス以上のプランが推奨されます。Free/Pro/Pro+はオプトアウト設定で学習を停止できますが、データの送信自体は継続されます。 一方、ビジネス/エンタープライズではデフォルトで学習がOFFであり、組織単位での統制機能も利用可能です。
各プランの保護レベルの違いを以下の表に整理します。
| 項目 | Free/Pro/Pro+ | ビジネス/エンタープライズ |
| 学習利用のデフォルト | ON(要オプトアウト) | OFF |
| 組織単位のポリシー制御 | 不可 | 可能 |
| コンテンツ除外設定 | 個人設定のみ | リポジトリ・組織・エンタープライズ単位で設定可能 |
| 監査ログ | 限定的 | 利用可能 |
「学習させない」だけでなく「組織的に統制する」必要がある場合は、プランのアップグレードが最も確実な対策です。
学習をオフにしてもCopilotの提案精度は下がらない
学習オプトアウトはGitHub側のモデル改善へのデータ提供を停止するものであり、ユーザー自身のCopilot利用体験や提案精度には影響しません。 Copilotのコード提案は、開いているファイルやカーソル周辺のコードといったローカルのコンテキストに基づいておこなわれるため、学習利用の有無とは独立して動作します。
つまり、学習のON/OFFで変わるのはGitHub側のAIモデル改善への貢献のみであり、ユーザー側の機能が制限されることはありません。オプトアウトしても、コード補完やチャット機能はこれまでどおり利用できます。
なお、「学習をオフにすると使い勝手が悪くなるのでは」という懸念は不要です。提案精度や生産性とのトレードオフが生じないため、機密性を重視する組織では、オプトアウトを個人任せにせず標準設定として全社展開しても支障はありません。
まとめ
2026年4月24日以降、GitHub Copilotの個人向けプラン(Free/Pro/Pro+)では、プロンプトや生成コードなどのやり取りデータがデフォルトでAI学習に利用される仕様に変更されています。オプトアウト設定をおこなわない限り、自動的に学習対象となる点に注意が必要です。
学習させないためには、GitHubの設定画面からの学習利用停止、VSCodeでの機密ファイル除外、組織単位でのシート付与・ポリシー設定の3つを組み合わせることが効果的です。 業務で機密コードを扱う場合は、NDA違反のリスクを踏まえてビジネス/エンタープライズプランへの移行も検討しましょう。
まずはGitHubの設定画面からオプトアウト設定を確認するところから始めてみてください。
\あらゆる業界のDX化をおまかせください!/
お問い合わせ
