• 更新日 : 2026年5月8日

Copilotにデータを学習させない設定方法は？ツール別の対策を徹底解説

Copilotにデータを学習させないためには、利用しているプランの種類や設定箇所を正しく把握することが大切です。Microsoft CopilotやGitHub Copilotは、デフォルトの状態では入力したデータがAIの精度向上のために再利用される可能性があります。

しかし、適切な設定や商用データ保護が適用されたプランを選ぶことで、機密情報の漏洩リスクを抑えることができます。

この記事では、VS Code、Copilot for Microsoft 365、Edgeなど、環境ごとの具体的な設定手順を詳しく解説します。

Copilotの学習の仕組みは？

Copilotをビジネスで利用する際、もっとも懸念されるのが「入力した自社の機密情報がAIの学習データとして使われ、他者の回答に流用されないか」という点です。

まずは、学習の仕組みと保護の考え方を整理しましょう。

関連記事｜ChatGPTに個人情報を入力するのはNG｜リスクや安全対策を解説

Copilotに学習されるデータは？

AIの学習とは、ユーザーが入力したプロンプトや、エディタで開いているソースコードの文脈、アップロードした資料などを分析し、モデルの性能を高めるために取り込むことを指します。

特に個人向けの無料版サービスでは、利用規約において「サービスの改善を目的としたデータの収集と利用」が明記されていることが一般的です。

設定を怠ると、自社独自のアルゴリズム、未発表のプロジェクト名、あるいは顧客情報の一部が意図せずAIの知識として蓄積されてしまう恐れがあります。これが将来的に、競合他社がAIに質問した際の回答の一部として流用されるリスクがゼロではないため、企業としては明確な対策が必要です。

法人向けに提供される「商用データ保護」とは

Microsoftは、法人向けのライセンスを保有しているユーザーに対しては「商用データ保護」を提供しています。これが適用されている環境では、入力したデータはMicrosoft側のサーバーに永続的に保存されず、AIモデルの学習に利用されることもありません。

2026年現在、Microsoft Entra ID（旧Azure AD）でログインした状態の「Copilot for Microsoft 365」や、特定の法人プラン（BusinessやEnterpriseなど）に付随する「Microsoft Copilot」であれば、この保護が標準で適用されています。

自分が使っているアカウントが個人用（@outlook.jpなど）なのか組織用なのかを区別することが、安全な運用の第一歩となります。

VS CodeでGitHub Copilotに学習させない設定方法

開発現場で広く使われているVS Code上のGitHub Copilotは、コードという極めて重要な知的財産を直接扱うため、特に慎重な設定が求められます。

関連記事｜VSCodeで使えるCopilotとは｜導入方法・使い方を解説
関連記事｜GitHub Copilotを導入するには？料金プランからVSCodeでの使い方、Microsoft Copilotとの違いまで解説

個人アカウントでの設定変更方法

個人でGitHub Copilotを契約してVS Codeで使用している場合、デフォルトでは「製品改善のためのデータ共有」が有効になっているケースがあります。以下の手順で設定をオフにしましょう。

この設定を無効化することで、VS Codeのエディタ上で記述しているコードの断片がGitHub側の学習用サーバーに送信され、将来のモデル訓練に使われることを防げます。

組織アカウントでの一括管理方法

企業が組織としてGitHub Copilot （Business / Enterprise プラン）を導入している場合、以下の手順により管理者が一括して学習禁止を強制できます。

これにより個人の不注意による設定ミスや、意図しないデータの流出を組織レベルで防ぐことが可能です。

現在のセキュリティ基準では、この設定を「Disabled」または「Blocked」に固定することが推奨されています。

.copilotignoreファイルの活用

設定だけでなく、物理的にAIの視界から特定のファイルを隠す方法もあります。プロジェクトのルートディレクトリに .copilotignore というファイルを作成し、機密情報が含まれるパスや設定ファイルを記述します。たとえば、.env ファイルや秘密鍵が含まれるディレクトリを指定しておくことで、GitHub Copilotはそのファイルの中身を参照できなくなります。

これにより、誤って環境変数をコード補完の文脈として読み取られるリスクを回避できます。

関連記事｜ChatGPTに学習させない（オプトアウト）ための設定方法とは

Microsoft 365 Copilotによる学習させない仕組み

Word、Excel、PowerPoint、TeamsなどのOfficeアプリ内で動作するMicrosoft 365 Copilotは、社内のあらゆる文書データにアクセスします。そのため、データの取り扱いには高い基準が適用されています。

Microsoft 365 Copilotは高い安全性を持つ

Microsoft 365 Copilotは、契約している企業専用の領域内で動作します。AIが文書を要約したり回答を生成したりする際、データはそのテナント(クラウドサービスにおいて他社と隔離された自社専用の占有領域)の境界線を越えて外部の公開用AIモデルに送られることはありません。

つまり、Teamsの会議中に話された機密内容や、Excelにまとめた利益率のデータが、Microsoft側の公開モデルを賢くするために使われることはない仕組みになっています。

このデータの局所性により、特別な設定をせずとも高度な安全性が保たれています。

管理センターでの制御も可能

管理者は「Microsoft 365 管理センター」を通じて、Copilotがアクセスできるデータの範囲を制御できます。たとえば、特定のSharePointサイトのみを学習の対象から外すといった運用が可能です。

ただし、Copilotは「そのユーザーが元々アクセス権を持っているデータ」のみを参照します。ファイルサーバーのアクセス権限（パーミッション）が適切でないと、AIを通じて機密情報が社内の不適切な人物に「発見」されてしまう「オーバーシェアリング」のリスクがある点には注意が必要です。

そのため、ファイルサーバーのアクセス権限が適切に設定されていないと、AIを通じて機密情報が社内の不適切な人物に発見されてしまうリスクがあることに留意しましょう。

EdgeやWindows Copilotの学習を制限する方法

ブラウザのサイドバーや、OSに標準搭載されているCopilotについても、プライバシー設定の見直しが欠かせません。

Edgeブラウザのサイドバー設定

EdgeのサイドバーにあるCopilotは、今開いているWebページの内容を読み取って要約することができます。しかし、社内システムや機密性の高いPDFファイルを閲覧している場合、その内容を読み取らせたくないこともあるでしょう。

この設定をオフにすることで、ブラウザで閲覧中の機密性の高いWebページやPDFの内容が、Copilotのコンテキスト（文脈）として読み取られるのを防げます。

Windows Copilotのシステム設定

Windows 11に統合されているCopilotについては、OSの設定アプリから制御を行います。

「プライバシーとセキュリティ」→「診断とフィードバック」において、診断データの送信を最小限に抑える設定にします。

法人端末であれば、IT管理者がグループポリシーやIntune（デバイス管理ツール）を使用して、Windows Copilot自体を完全に無効化したり、商用データ保護が適用されたアカウント以外での利用を禁止したりすることが、2026年時点で確実な対策とされています。

関連資料｜セキュリティチェックシート のテンプレート

Copilotを安全に運用するための組織的な対策は？

ツール側の設定を完璧にしても、利用者の意識が低ければ情報の安全は守れません。システム設定と並行して、以下の組織的対策を講じることが強く求められます。

利用ガイドラインを策定する

どのような種類のデータをCopilotに入力してもよいか、あるいは絶対に入力してはいけないかを明確にしたルールを作成しましょう。

組織用アカウントでの利用を徹底させる

商用データ保護が機能するのは、あくまで会社の組織アカウントでログインしている時だけです。社員がブラウザで自分の個人のMicrosoftアカウントにログインしたまま、業務の情報をCopilotに相談してしまうと、そのデータは「個人用」として扱われ、学習に利用されるリスクが生じます。

「仕事は組織アカウントで」という基本的なルールを徹底させることが、技術的な設定以上に重要な防衛策となります。

人間がチェックするプロセスを組み込む

データを学習させない設定に成功したとしても、AIが「もっともらしい嘘（ハルシネーション）」をつく可能性は排除できません。

データを学習させないということは、AIが最新の自社データを取り込んで賢くならないことを意味します。そのため、回答の中にもっともらしい嘘が含まれる可能性は常に残ります。

セキュリティ設定を万全にした上で、出力された情報は必ず人間がダブルチェックを行うプロセスを組み込みましょう。

特に契約書のチェックやプログラムの修正にAIを用いた場合、AIが学習しない設定になっていれば秘密は守られますが、コードがバグを含んでいない保証はありません。セキュリティと正確性は別物として捉え、どちらも人間が最終的な責任を持つことが大切です。

AIに学習させない「RAG」活用の検討もおすすめ

企業がCopilotを導入する際、よく混同されるのがAIに勝手に学習させることと自社専用に学習させることの違いです。

2026年現在、多くの先進的な企業は「RAG （検索拡張生成）」という手法を用いています。これは、AIモデルそのものにデータを学習させるのではなく、AIが回答する瞬間にだけ自社のドキュメントを参照させる仕組みです。

RAGを利用すれば、AIにデータを学習させることなく、最新の自社情報に基づいた正確な回答を得ることができます。

この仕組みを理解し、適切に構築することで、情報を守りながらAIを最大限に賢く活用することが可能になります。

関連記事｜ChatGPTに導入できるRAGとは？導入するメリット・注意点も解説

Copilotの設定を最適化し情報の安全を守り抜こう

Copilotにデータを学習させないためには、契約プランの確認、組織アカウントでのログイン、そして各ツールのプライバシー設定という3つのステップが不可欠です。

AIは業務効率を劇的に向上させる魔法の杖ですが、その裏側にあるデータの流れを制御するのは人間の役割です。VS CodeでのGitHub Copilot設定から、Microsoft 365のエンタープライズ保護機能、Edgeのプライバシー設定に至るまで、AIに合わせた対策を講じましょう。

一度設定を完了して安心するのではなく、AIツールの急速な進化や仕様変更に合わせて、定期的にセキュリティ設定を監査する習慣をつけることが、自社の貴重な知的財産を守り抜くための最良の方法となります。

正しく設定された安全な環境で、AIの恩恵を最大限に享受し、ビジネスの成長を加速させていきましょう。

• 監修：マネーフォワード クラウド

  マネーフォワード クラウドが監修する「AIの基礎知識」です。ビジネスや生活に役立つAIの基本と最新情報を分かりやすく解説。AIを身につけ、新しい一歩を踏み出すのを応援します。