GitHub Copilotのプライバシー：セーフガードとトラブルシューティングのガイド

チームでGitHub Copilotを有効化すると、設定に関する質問が次々と出てきます。IDEの外へ出るデータは何か。提案の対象外にすべきリポジトリはどれか。提案が公開コードと一致した場合はどうなるのか。 

個人でセットアップを管理する開発者であっても、組織全体にCopilotを展開する管理者であっても、プライバシーと安全性の観点を理解することは、ツールを適切に使ううえで不可欠です。

この記事では、Copilotがデータをどのように扱うか、プライバシー設定やコンテンツ除外、重複検出フィルターといったセーフガードの設定方法、そして不具合が起きたときの代表的なトラブルシューティングを順に説明します。

GitHub Copilotによるデータの取り扱い

GitHub Copilot ベストプラクティスのチュートリアルでも触れているとおり、CopilotはIDEで入力するたびに、周辺のコードコンテキストのスナップショットをGitHubのサーバーへ送信します。モデルはそのコンテキストを処理して提案を返します—これが体験を支えるインタラクションデータです。

個人プラン（Free、Pro、Pro+）のユーザーについては、GitHubのプライバシーステートメントにより、このインタラクションデータがモデル学習に利用される場合があります。ユーザーは個人のプライバシー設定からいつでもオプトアウトできます。BusinessおよびEnterpriseプランは、別個の契約条件のもとで運用され、インタラクションデータは学習から完全に除外されます—ユーザー側の操作は不要です。

インタラクションデータに該当するもの

保存時点のプライベートリポジトリのコードは利用されません。ただし、プライベートリポジトリでCopilotを能動的に使用している間に生成されるインタラクションデータは、オプトアウトしない限り学習に利用されることがあります。では、「インタラクションデータ」とは具体的に何を指すのでしょうか。

Copilotを使用すると、コーディング支援を改善するため、次のようなデータポイントが収集されます。

• 入力やプロンプト：Copilot ChatやCLIに送信するコマンドや質問。
• 出力：モデルからのコード提案やテキスト応答、およびそれらを受け入れたか却下したか。
• コードコンテキスト：カーソル周辺のコード断片や、関連提案に用いられる開いているファイルの内容。
• メタデータと構造：ファイル名、リポジトリ構造、IDE内でのナビゲーションパターン。
• ユーザーのフィードバック：サムズアップ／サムズダウンによる評価や記入したコメント。

プラン別のデータ取り扱いの違い

GitHubにはFree、Pro、Business、Enterpriseの各アカウント層があります。データ取り扱いはアカウントタイプによって異なり、以下の表に示します。

個人プランのオプトアウト以外での主なポイントは、BusinessとEnterpriseのユーザーには、コンテンツ除外、IP補償、組織レベルの管理機能が提供され、無料および個人向けプランにはないということです。データ取り扱い以外も含む各層の詳細な比較は、GitHub Copilotのプランガイドをご覧ください。

補足事項：コンテンツ除外は現時点で、Editモード、IDEのチャットにおけるエージェントモード、GitHub Copilot CLI、クラウドエージェントには適用されません。IP補償の適用には、重複検出フィルターが有効であること、かつ提案を未修正のまま使用することが条件です。

Copilotのプライバシー設定を構成する

データプライバシーは、あらゆる企業にとって非常に重要な要素です。ここでは、GitHub Copilot利用時に、インタラクションがモデル学習に還元されるかどうかを制御する設定を確認します。

Free、Pro、Pro+のオプトアウト

個人アカウントでは、GitHubの設定で「Allow GitHub to use my data for AI model training（GitHubがAIモデル学習のために自分のデータを使用することを許可する）」を無効にすることで、データの学習利用をオプトアウトできます。以下のスクリーンショットのとおりです。 

オプトアウトは今後のデータ収集を停止し、Copilotの機能性が低下することはありません。ただし、過去の学習にすでに用いられたデータの削除は保証されないため、以前に収集されたデータが既存の学習セットに残る可能性があります。

組織およびエンタープライズのポリシー

BusinessおよびEnterpriseのユーザーは、もともとモデル学習から除外されていますが、管理者は組織全体で有効化するCopilotの機能を制御するため、データ共有ポリシーを確認しておくべきです。

• 組織のSettings > Copilot > Policiesで、機能トグル、シート割り当て、モデル選択をメンバー全体に対して管理できます。
• 組織レベルのポリシーは個人の設定を上書きするため、ここで構成した設定は一律に適用されます。
• Enterpriseオーナーは、複数組織に継承されるポリシーを設定し、単一のダッシュボードから現状を監査できます。

Copilotのコンテンツ除外を使う

Copilotが特定のコンテンツへアクセスしないように設定できます。リポジトリの設定から、Copilotに無視させたいコンテンツを指定します。 

コンテンツ除外の仕組み

除外対象のファイルでは、次の挙動になります。

• インライン提案は利用できません。
• その内容は、他ファイルでの提案のために使用されません。
• その内容は、GitHub Copilot Chatの応答に使用されません。
• Copilotによるコードレビューは対象外になります。

除外設定は、リポジトリ管理者、組織オーナー、エンタープライズオーナーが構成できます。

リポジトリ／組織レベルでの除外設定

リポジトリレベルでは、Settings > Copilot > Content Exclusionへ進み、globパターンでパスを指定します。よく使われるパターンには、シークレット用ディレクトリを含む任意のパスを除外する **"**/secrets/**"**、すべての環境ファイルを除外する **"*.env"** などがあります。 

多数のリポジトリで除外設定を管理し、構成をバージョン管理したい場合は、REST APIを使うとプログラムでの指定が可能です。

組織レベルでは、Org Settings > Copilot > Content Exclusion の順に移動します。ここで設定したルールは、組織内のすべてのリポジトリに適用されます。

組織レベルのルールとリポジトリレベルのルールは加算的に適用され、同時に有効になります。エンタープライズレベルのルールは、組織・リポジトリレベルより優先されます。

除外が実際に機能しているかをテストするには、除外対象のファイルを開き、Copilot Chatに「このファイルを説明して」と依頼します。Chatがその内容について意味のある回答を返す場合、除外は適用されていません。拡張機能を再読み込みし、ルールの構文を再確認してください。

知っておくべき制限事項

GitHub Copilotのコンテンツ除外を利用する際は、次の点に注意が必要です。

• Copilot CLI、エージェントモード、クラウドエージェントは（2026年半ば時点で）コンテンツ除外ルールを尊重しません。
• セマンティックなリーケージ：除外ファイルの型情報やホバー定義が、間接的に提案へ影響する場合があります。
• シンボリックリンクやリモートファイルシステムは対象外です。

コード参照と重複検出フィルター

GitHub Copilotは、提案されたコードの出所を参照・リンクして示し、理解を助けます。このようなコード提案を受け入れると、CopilotはソースのURLとライセンスを記録します。 

この情報に基づいて、そのコード断片を使用するかどうか、どのような帰属表示を行うかを判断できます。 

重複検出フィルターの仕組み

Copilotが提案を生成する際、既知の公開コードに対してフィルターを実行します。提案が一定の類似度閾値を超えて公開リポジトリと一致する場合、提案はブロックされるか、帰属情報とともにフラグ付けされます。 

提案を受け入れると、Copilotは次を記録します。

• 受け入れ日時
• 提案が追加されたファイル
• 追加されたコードの抜粋
• ライセンスとコードソースのURL

一致がフラグ付けされた場合、IDE上で直接コード参照を確認できます。VS Codeでは、提案とともにCopilot出力パネルに該当の参照が表示されます。

フィルターで検出されないもの

重複検出フィルターは、次のケースには一致しません。

• 短いスニペットや、一般的すぎてフラグ付けできないパターン。
• ソースから再構成されたコードや一部が変更されたコード。

このフィルターの目的は、逐語的／ほぼ逐語的な一致の検出であり、概念的な類似性の検出ではありません。

IP補償と契約上の保護

GitHubは、Copilot BusinessおよびEnterpriseの顧客に対して知的財産（IP）補償を提供しています。提案がIPクレームを引き起こした場合、GitHubが法的な防御を負担します。 

適用には2つの条件があります。

1. 重複検出フィルターが有効であること
2. 対象プランに加入していること

FreeおよびProユーザーは対象外です。これは商業的なセーフガードであり、一致の発生を防ぐものではありません。一致が法的問題を引き起こした場合のリスクをカバーします。

GitHub.comでCopilotポリシーを管理する

GitHub.comのCopilotポリシーページは、組織やエンタープライズの管理者がチーム全体にわたるCopilotの動作を制御する場所です。 

Copilot機能の有効化・無効化

管理者は、コード補完、Chat、コードレビュー、GitHub CLI連携、エージェントモードを個別に切り替えられます。段階的なロールアウトや、特定チームに対して機能を制限したい場合に有用です。 

シートの割り当てもここで行います。アクセス権を付与するメンバーを管理し、ユーザー単位またはグループ単位でシートを割り当てられます。

許可するAIモデルの設定

Copilotは複数の基盤モデルをサポートしており、管理者は組織で利用可能なモデルを制限できます。特定モデルに固定することも、すべての選択肢を許可して開発者に選ばせることも可能です。 

政府機関や規制業種向けに、GitHubはFedRAMP準拠のモデルオプションをサポートしています。 

利用可能なオプションは、組織のCopilotタブ内のポリシー設定で、アカウントの階層に応じて確認できます。

監査とコンプライアンス

Copilotの利用指標（補完率、有効ユーザー数、機能やモデルのトレンドなど）は、エンタープライズおよび組織レベルのInsightsタブ（Insights > Copilot usage）で参照できます。 

ダッシュボードにアクセスするには、「Copilot usage metrics」ポリシーを有効にする必要があります。メンバー単位の内訳はNDJSONエクスポートで取得可能です。 

シートとライセンスのデータは別扱いで、Org Settings > Copilot > Access にあります。

新しいUsage Metrics APIなどの詳細は、GitHub Copilot Enterpriseガイドをご覧ください。

監査ログには、プロンプトなどのクライアントセッションデータは含まれません。これを保持するにはカスタムの対応が必要です。180日を超える履歴の保持や異常アラートの設定には、組み込みのストリーミング機能を使い、監査ログをSIEMプラットフォームにストリーミングすることが推奨されています。

GitHub Copilotのトラブルシューティング

Copilotが動作しなくなる原因のほとんどは、次のいずれかです。サポートに連絡する前に、以下を順に確認してください。

提案が出ない／途中で止まる

IDEのステータスバーにあるCopilotステータスアイコンを確認してください。アイコンに斜線が入っている場合、現在のファイルにコンテンツ除外が適用中です。 

アイコンが通常表示でも提案が出ない場合は、次を順に確認してください。 

• IDEとCopilot拡張機能を最新バージョンに更新する。
• サブスクリプションが有効で、アカウントにシートが割り当てられていることを確認する。
• 現在のファイルやリポジトリのコンテンツ除外ルール、ネットワーク接続を確認する。 

プロキシやVPNの設定は、よくあるサイレントな妨げです。IDEはGitHubのインフラ上にあるCopilotのサーバーへ到達する必要があり、企業のプロキシが明確なエラーなしにブロックすることがあります。

コンテンツ除外が期待どおりに動作しない

コンテンツ除外を追加・変更した後、すでに設定が読み込まれているIDEでは反映に最大30分かかる場合があります。 

すぐに反映させるには：

• VS Codeでは、コマンドパレットを開き、Developer: Reload Windowを実行します。 
• JetBrains IDEとVisual Studioでは、アプリケーションを閉じて再起動します。 
• Vim/Neovimでは操作不要です。ファイルを開くたびに除外が自動取得されます。

再読み込み後は、除外の動作を明示的にテストしてください。除外対象のファイルを開き、Chatに説明を求めます。Chatがそのファイルに関する内容を返す場合、除外は適用されておらず、ルールの構文を再確認する必要があります。 

次の3つのCopilot機能はコンテンツ除外をサポートしません：Copilot CLI、Copilotのコーディングエージェント（クラウドベースの自律エージェント）、IDE内のCopilot Chatにおけるエージェントモード。これらで想定外のファイルアクセスが見られても、設定ミスではありません。

認証やトークンの問題

VS Codeでサインイン済みにもかかわらずCopilotが利用できない場合は、左下のアカウントアイコンからサインアウトし、ウィンドウを再読み込み（F1 > Developer: Reload Window in VS Code）してから、再度サインインしてください。

Visual Studioでは、サインインしているGitHubアカウントがCopilotのシートを持つアカウントと一致していることを確認し、必要に応じて資格情報を更新するか、GitHubアカウントをいったん削除・再追加してVisual Studioを再起動してください。

レート制限

Copilotは使用量ベースの課金モデルのため、各プランにキャパシティ上限があり、プレミアムモデルはベースモデルより速く消費します。 

セッション中に提案が止まる、またはCopilot Chatがエラーを返す場合は、Autoのモデル選択（または倍率の小さいモデル）に切り替えると、使用ウィンドウのリセットまでの間の回避策になります。 

エンタープライズ管理者は、Copilotの分析ダッシュボードで使用状況を事前に把握し、上限到達を未然に防ぐことができます。 

サービスレベルの問題が疑われる場合は、ローカルでデバッグする前にgithubstatus.comを確認してください。

まとめ

GitHub Copilotは、プランレベルの契約上の保護から、きめ細かなコンテンツ除外や重複検出フィルターまで、データの取り扱いに関して有意義なコントロールを提供します。 

これらの設定を理解し、正しく構成できれば、個人の開発者でも、エンタープライズ全体に展開する場合でも、自信を持ってCopilotを導入できます。期待どおりに動作しない場合も、上記のトラブルシューティング手順で迅速に復旧できるはずです。

GitHub Copilotを実際に触り、カスタマイズやスマート機能を使いこなしたい方には、Software Development with GitHub Copilotコースの受講を強くおすすめします。