WaveSpeedAI
← ブログ

2026年のGitHub Copilotデータトレーニングポリシー

GitHub Copilotは、一部のユーザーのインタラクションデータをデフォルトでモデルトレーニングに使用するようになりました。何が変わったのか、そして開発者が確認すべき点を解説します。

By Dora 1 min read
2026年のGitHub Copilotデータトレーニングポリシー

月曜日の朝、Copilotの設定ページを開いた。トグルはすでにそこにあった。プライバシーの項目の下に、静かに待っていた。「AIモデルのトレーニングにデータを使用することをGitHubに許可する」。デフォルト状態:有効。

私はDoraです。これはプライバシーに関する愚痴ではない。そういう記事は書かない。しかし2026年4月24日の変更は、ツールが実際に何であるかを静かに書き換えるベンダーポリシーの更新だ——それは重要なことで、なぜならCopilotは私のものを含む多くのワークフローで中核的な役割を担ってきたからだ。個人プランを使っていて、まだこの変更を確認していないなら、あなたのインタラクションデータはすでに約2週間、トレーニング素材として使われている。

この記事では何が変わったのか、誰に影響するのかを記録し、Copilotを確定した選択肢として扱う前にチームが確認すべきことを整理する。Copilotを使うのをやめろと言っているわけではない。問いがより難しくなったと言っているのだ。

GitHubが2026年4月24日に変更したこと

3月25日、GitHubは30日前の予告を出した。4月24日、ポリシーが発効した。要約すると:Copilot Free、Pro、Pro+ユーザーのインタラクションデータが、ユーザーがオプトアウトしない限り、デフォルトでモデルトレーニングに使用されるようになった。BusinessとEnterpriseは対象外。全文はGitHubの公式ポリシー発表にある。

これは以前はオプトインだった。今はオプトアウトになった。それが​構造的な​変化だ。

影響を受けるプラン

対象となる個人プランは3つ:Copilot Free、Copilot Pro、Copilot Pro+。BusinessとEnterpriseは明示的に除外されている——GitHubはそれらの顧客との契約上の約束によりインタラクションデータをトレーニングに使用することが禁じられており、その約束は守られていると説明している。GitHub Educationを通じた無料Copilot Proアクセスを利用する学生・教員もGitHubコミュニティFAQによれば対象外だ。

このパターンは見覚えがある。エンタープライズ契約はより強い保証を得る。個人の有料顧客——そう、個人プランの最上位であるPro+ユーザーも含めて——はオプトアウト版を得る。

トレーニングに使用される可能性があるデータ

ポリシーでは「インタラクションデータ」という表現が使われている。これは人々が想定するよりも広い範囲をカバーしている:

  • Copilotに送った入力:プロンプト、チャットメッセージ、カーソル周辺のコード。
  • Copilotが返した出力:提案、補完、チャットの返答。
  • セッション中に生成されたコードスニペット(プライベートリポジトリで作業中に生成されたものも含む)。
  • 関連するコンテキスト:ファイル名、ナビゲーションパターン、承認/拒否シグナル、いいね/よくないフィードバック。

GitHubは更新されたプライバシーステートメントと利用規約の変更ログで慎重な線引きをしている:プライベートリポジトリの「保存されている」コンテンツはトレーニングに使用しない。しかし、そのリポジトリで作業中に生成されたインタラクションデータは使用される可能性がある。この言い回しは重要だ。プロプライエタリな関数をCopilot Chatに貼り付けて質問した場合、そのスニペットはインタラクションデータになる。リポジトリはトレーニングに使われなかった。セッションは使われた。

プライバシーステートメントの新しいセクションJは、Microsoftを含む関連会社とのデータ共有も拡大している。サードパーティのモデルプロバイダーではなく——関連会社のみ。最悪の解釈よりは狭い範囲だが、「GitHubが内部で保持する」よりは広い。

ここで立ち止まった。「保存されている」という区別は技術的には正確で、実際には曖昧だ。調達担当者が二度読む必要がある種の条項だ。

開発者とチームにとってこれが重要な理由

信頼、プライバシー、ワークフローリスク

4月24日の変更はプライバシースキャンダルではない。ベンダーリスクの再分類だ。

私が知っているほとんどのチームは「個人のCopilotアカウント」と「クライアントや雇用主のために作業するコード」の間にきれいな分離を持っていない。境界線はぼやける。サイドプロジェクト。持ち帰りの面接課題。技術的には自分のものではないリポジトリからCopilot Chatに貼り付けたスニペット。それらはどれも先月はデータガバナンスの問題ではなかった。4月24日以降、個人プランでは問題になる。

ポリシーテキストには現れない信頼性の問題もある。オプトアウトのトグルは存在する。デフォルトが仕事をする。「コントロールできる」と「それを使うために知る必要がある」のギャップは、GitLabがその変更に関するブログ記事でガバナンスの警鐘として捉えたものだ。彼らは競合他社だ。それでもフレーミングは正確だ。

個人とビジネス・エンタープライズへの影響の違い

チームが何度も間違える部分なので、ゆっくり説明する。

チームがCopilot BusinessまたはCopilot Enterpriseを使っている場合——組織を通じて購入し、組織レベルで請求され、管理者によって管理されている場合——新しいトレーニングポリシーは適用されない。インタラクションデータはトレーニングに使用されない。その契約上の境界は4月24日以前から存在し、今も維持されている。

チームの誰かが個人のCopilot ProまたはPro+アカウントを業務用マシンで、業務コードに、業務リポジトリに対して使用している場合、そこにリスクがある。プランの区分はアカウントに紐付いており、コードには紐付いていない。企業のコードベースで個人アカウントを使用すると、そのコードベースのインタラクションデータが、その個人がオプトアウトしていない限りトレーニングの対象範囲に入る。

いくつかの大学はこれを素早く理解した。ワシントン州立大学は例えば、トレーニングが無効化され書面による承認が得られない限り、個人のCopilot Free、Pro、Pro+プランを機関のコードに使用することを明示的に禁止している。これは合理的なポリシーテンプレートだ。ほとんどの企業はまだ作成していない。

それが本当の作業が必要な部分だ。

Copilotを使い続ける前にビルダーが確認すべきこと

これは自分のセットアップについて確認したチェックリストだ。チームに合わせて調整してほしい。

  1. 各開発者が実際に使用しているCopilotプランを確認する。 会社が支払っているプランではなく——各開発者のマシンでログインしているプランを。業務コードへの個人アカウントが失敗のパターンだ。
  2. トレーニングに使われたくないコードに触れるすべての個人アカウントのオプトアウト状態を確認する。 設定はプライバシーの下のCopilot個人設定にある(個人サブスクライバー向けGitHub公式ドキュメント参照)。「AIモデルトレーニングにデータを使用することをGitHubに許可する」を無効に切り替える。ページをリロードして設定が保持されていることを確認する。
  3. AIツールポリシーを更新してプランティアを明示する。 「承認済み:Copilot BusinessまたはEnterprise」は「承認済み:GitHub Copilot」とは異なるポリシーだ。前者は4月24日以降も有効だ。後者はそうではない。
  4. 機密性の高いコードパスに対する基準を決める。 Copilot Businessで問題ないチームもある。どのプランでもトレーニングなしを望むチームもあり、それは別のベンダーか別のデプロイメントモデルを意味する。それは判断の問題であり、デフォルトではない。
  5. 今週パニックになるのではなく、次のベンダーレビューサイクルで再評価する。 変更は現実だが、ポリシーの変更であり、侵害ではない。緊急の移行としてではなく、次のAIベンダーレビューへのインプットとして扱う。

ワークフローの中のサプライズが一つ減る。小さく聞こえる。積み重なると大きい。

FAQ

どのGitHub Copilotプランが影響を受けますか?

Copilot Free、Copilot Pro、Copilot Pro+——3つの個人プランが対象です。Copilot BusinessとCopilot Enterpriseは除外されています。GitHub Educationを通じた無料Copilot Proアクセスを利用する学生・教員も影響を受けません。

ユーザーはトレーニングをオプトアウトできますか?

はい。 プロフィール写真をクリックし、Copilot設定を開き、プライバシーの下にある「AIモデルのトレーニングにデータを使用することをGitHubに許可する」を見つけて、無効に設定してください。オプトアウトはアカウント全体に適用されます——リポジトリごとのコントロールはありません。以前に古い「プロンプトと提案の収集」設定を無効にしていた場合、その設定は引き継がれており、何も操作は必要ありません。

BusinessとEnterpriseアカウントは除外されていますか?

はい、契約によって。 GitHubのBusinessおよびEnterpriseの顧客との契約は、インタラクションデータをモデルトレーニングに使用することを禁じており、4月24日の更新もそれを変えません。ただし、これはBusinessまたはEnterpriseのライセンスでサインインしている場合にのみ適用されます——Businessの顧客に勤務している人の個人アカウントには適用されません。

今、内部ポリシーで確認すべきことは何ですか?

3つあります。 各開発者がコードに触れる際に実際に使用しているプランティア。書面によるAIポリシーがプランティアを名指ししているか(それとも製品名だけか)。機密性の高いコードベースに「Businessで問題ない」より厳格な基準が必要かどうか——一部のチームにとっては答えがイエスで、それは別のベンダーとの話し合いが必要だ。

まとめ

4月24日の変更はCopilotのコード生成能力を低下させたわけではない。「このコードベースにとってCopilotは安全なベンダーか?」という問いの答えが、プランティア、アカウントの種類、個人のオプトアウト状態に依存するようになった——2週間前にはそうではなかった形で。

サイドプロジェクトを持つ個人開発者にとって、オプトアウトはトグル一つで話は終わる。本番コードを出荷するチームにとって、会話はより長くなる——そして機密リポジトリに個人のPro+アカウントがログインしていることに誰かが気づく前に、その会話をすべきだ。

私はまだCopilotを使っている。Businessプランで使っている。今のところ境界線は保たれている。そこで私のデータは終わる。残りは自分で確認する必要がある。

続報予定。

過去の記事:

共有