本稿では、GitHubが2026年3月25日に発表したCopilotデータ利用ポリシーの変更について、影響範囲と実務上の対処を解説する。
何が変わるのか
GitHubは4月24日以降、Copilot Free・Pro・Pro+ユーザーのインタラクションデータをAIモデルの学習に使用する。デフォルトで有効なオプトアウト方式であり、拒否するにはユーザー自身が設定を無効化する必要がある。Copilot BusinessおよびEnterpriseプランのユーザーは対象外で、学生・教育者向けの無償Copilot Proも除外される。
発表はGitHub CPO(最高プロダクト責任者)のMario Rodriguez氏によるもので、Microsoftの社内従業員データを使った学習では複数言語でサジェスト受入率が改善されたとし、この手法を一般ユーザーに拡大する方針を示した。
収集対象となるデータの範囲
GitHub公式ブログおよび利用規約の改訂内容によると、学習に使用されるインタラクションデータは以下のとおりである。
- Copilotへの入力(プロンプト、コードスニペット)
- Copilotが生成した出力(サジェスト)と、ユーザーが受け入れ・修正した内容
- カーソル周辺のコードコンテキスト
- コメント・ドキュメンテーション
- ファイル名、リポジトリ構造、ナビゲーションパターン
- Copilot機能(チャット、インライン提案等)とのやり取り
- サジェストへのフィードバック(高評価・低評価)
対象外として明示されているのは、Issue、Discussion、およびプライベートリポジトリの「保存状態(at rest)」のコンテンツである。
「保存状態」と「利用中」の区別 ― プライベートリポジトリの扱い
今回のポリシーで実務的に最も重要なのが、プライベートリポジトリに関する「at rest(保存状態)」という限定表現である。GitHubはプライベートリポジトリのソースコードを保存状態のまま学習に使用することはないと明言している。しかし、プライベートリポジトリ内でCopilotをアクティブに使用している間のインタラクションデータ(プロンプト、生成されたサジェスト、カーソル周辺のコード断片など)は収集対象に含まれる。
GitHub公式ブログの記載を要約すると、「at rest」という表現は意図的に使っており、Copilotはプライベートリポジトリのコードをアクティブ利用時に処理するため、このインタラクションデータはオプトアウトしない限り学習に使用される可能性がある、ということになる。
この区別は、リポジトリ自体のクロールやインデックスは行わないが、Copilotセッション中にやり取りされたコード断片は対象に含まれることを意味する。プロプライエタリコードや機密性の高いプロジェクトを個人プランで扱っている開発者にとっては、実質的にプライベートリポジトリの「プライベート」の意味が変わるポイントである。
利用規約・プライバシーポリシーの主な改訂点
今回のデータ利用ポリシー変更に合わせて、GitHubのプライバシーステートメントと利用規約にも複数の改訂が加えられた。
プライバシーステートメントでは、アフィリエイト(関連企業)へのデータ共有目的にAI・機械学習の開発・改善が追加された。ここでのアフィリエイトにはMicrosoftが含まれるが、サードパーティのAIモデルプロバイダーは含まれない。EEA・UK在住ユーザー向けには、AI開発を正当な利益(Legitimate Interest)として処理する旨が追記されている。
利用規約では新たにセクションJ「AI機能、学習、およびあなたのデータ」が設けられた。オプトアウトしない限り、ユーザーはGitHubおよびそのアフィリエイトに対し、入力・出力をAIモデルの開発・学習・改善に使用するライセンスを付与する形となる。ただし、GitHubはユーザーの入力・出力の所有権を主張しないと明記している。
オプトアウトの手順
オプトアウトは以下の手順で行う。
github.com/settings/copilotにアクセスする(Privacy設定に直接アクセスする場合はgithub.com/settings/copilot/features)- 「Privacy」セクションを見つける
- 「Allow GitHub to use my data for AI model training」を無効にする
以前から「製品改善のためのデータ収集」をオプトアウトしていたユーザーは、その設定が引き継がれるため追加の操作は不要である。オプトアウトしてもCopilotの機能自体は制限されない。ただし、オプトアウトは将来のデータ収集を停止するものであり、その時点以降の新たな収集は行われないと説明されている。なお、それ以前に収集されたデータについては、プライバシー権の行使として別途削除を請求することが可能とされている。
Organization管理者がチーム全体に一括で設定を強制したい場合は、Copilot BusinessまたはEnterpriseプランへのアップグレードが確実な方法となる。これらのプランでは契約上、インタラクションデータの学習利用が禁止されている。
開発者コミュニティの反応
GitHubコミュニティのFAQディスカッション(Discussion #188488)では、発表直後からオプトアウト方式やプライベートリポジトリの扱いに対する批判的な反応が相次いだ。TechSpotも同様の反発を報じている。
批判の論点は複数ある。まず、有料プランのPro・Pro+ユーザーが月額10〜39ドルを支払いながら、そのコード操作データがデフォルトで学習素材になる点は信頼の問題として受け止められている。次に、EU圏の開発者からはGDPR(一般データ保護規則)との整合性に疑問が呈されている。GDPRでは同意は「自由に与えられた、具体的で、情報に基づいた、明確な」ものである必要があり、オプトアウト方式がこの要件を満たすかは議論の余地がある。GitHubはEEA・UKユーザーに対して正当な利益を法的根拠としているが、これに対する異議申立権も併記している。
また、個人プランのCopilotアカウントでコピーレフトライセンスや独自ライセンスのコードを扱っている場合、そのコードがCopilotセッション経由で学習パイプラインに入ることでライセンス違反が生じ得るという指摘もある。この法的論点は現時点では未解決のままである。
GitHub側はFAQで、Microsoft、Anthropic、JetBrainsも同様のオプトアウト方式を採用していることを挙げ、業界慣行に沿った対応だと説明している。
「プライベート」の再定義と組織として取るべきアクション
今回の変更で浮き彫りになるのは、「プライベートリポジトリ」という概念の実質的な再定義である。従来、プライベートリポジトリは「自分と明示的に共有した相手のみがアクセスできる」場所だった。今後は、Copilot Free・Pro・Pro+の個人アカウントで学習利用を無効化していない場合、セッション中のコード断片がGitHubおよびそのアフィリエイト(Microsoftを含む)によるAI学習対象になり得るという条件が加わる。
個人開発者が自分のサイドプロジェクトでCopilotを使う場合はリスクは限定的かもしれない。しかし、実際の現場では以下のような摩擦が生じる。
個人のCopilot Pro契約で業務コードをレビュー・編集しているケースは珍しくない。Enterprise契約は組織リポジトリ内のデータを保護するが、個人アカウントのCopilot設定がオプトアウトされていなければ、そのセッションで発生するインタラクションデータは収集対象に含まれる可能性がある。GitHubのFAQは、有料Organizationのリポジトリ内容は学習対象にならず、さらにその有料Organizationのメンバーまたは外部コラボレーターのインタラクションデータも学習対象から除外すると説明している。
組織としてまず取るべきアクションは、個人プランのCopilotで業務コードに触れている開発者がいないかの確認である。該当者がいる場合、Copilot Businessへの集約、またはオプトアウト設定の徹底をポリシーとして明文化する必要がある。加えて、4月24日の期限までに設定を見直すよう、チーム内に通知を出すことが推奨される。
Copilotの利便性は依然として高く、オプトアウトしても機能自体は変わらない。この点は、ユーザーにとって最も重要な判断材料になるだろう。
コメント