4月24日を過ぎると、あなたがCopilotに見せたコードが次のAIモデルの学習データになります。デフォルトは「同意」なんです。
これは何?
GitHubが2026年3月25日に公式ブログで発表したポリシー変更です。4月24日からCopilot Free、Pro、Pro+ユーザーのインタラクションデータがAIモデルの学習に使用されます。入力コード、出力結果、カーソル周辺のコンテキスト、フィードバック評価など、実際の開発プロセスのほぼすべてのデータが含まれます。
ポイントはデフォルト設定です。オプトアウト(opt-out)方式なので、自分で設定を変えなければ自動的にデータが学習に使われます。以前にデータ収集拒否を設定していたユーザーは既存の選択が維持されますが、新規ユーザーや設定をそのままにしているユーザーはデフォルトで「同意」状態になっています。
Copilot BusinessとEnterpriseのユーザーは今回の変更の影響を受けません。企業契約のデータ保護条項が適用されるからです。学生と教師も例外です。
GitHub CPOのMario Rodriguezは「実際の開発者インタラクションデータがモデルの精度、セキュリティ、バグ検出能力を向上させる」と述べています。Microsoftの従業員データを先行活用して承認率(acceptance rate)が上がったことを根拠として挙げています。
何が変わるのか?
| 変更前 | 4月24日以降 | |
|---|---|---|
| データ学習のデフォルト | オプトイン(手動同意) | オプトアウト(デフォルト収集) |
| 収集範囲 | 製品改善用テレメトリー | コードスニペット、入出力、フィードバックを含む |
| プライベートリポジトリ | 学習に不使用 | Copilot使用中は収集される可能性あり |
| データ共有 | GitHub内部 | Microsoftなどグループ会社と共有可能 |
最も議論になっているのはプライベートリポジトリです。GitHubは「at rest(保存状態)」の非公開リポジトリのコンテンツは学習に使用しないとしていますが、Copilotを使用している間は非公開リポジトリのコードが収集される可能性があると明記しました。「at rest」という表現を意図的に使っている点が意味深ですよね。
The Registerはこれを「プライベートリポジトリの意味が変わった」と分析しました。事実上、GitHubの「プライベート」はアスタリスク(*)付きのプライベートだということです。
コミュニティの反応は冷ややかです。GitHubコミュニティディスカッションでの絵文字投票は59件反対、3件ロケット(賛成)で、39件のコメントのうちGitHub関係者以外の肯定的な意見はほとんどありませんでした。EUではGDPR適合性の問題も提起されています。
APIキー・パスワードに注意
Copilotは機密ファイル(.env、credentialsなど)を無視する機能を持っていません。IDEを開くとこの情報がMicrosoftに送信される可能性があるという指摘がコミュニティから出ています。プライベートリポジトリにシークレットを直接入れる習慣は今すぐ改めましょう。
ポイント整理: 今すぐやること
- オプトアウト設定の変更
github.com/settings/copilot/features にアクセス → Privacyセクション → 「Allow GitHub to use my data for AI model training」→ Disabledに変更 - 組織アカウントの確認
個人アカウントとは別に、所属組織のCopilotポリシーも確認してください。Business/Enterpriseアカウントは影響を受けませんが、個人のProアカウントで業務をしている場合もあるためです。 - シークレット管理の見直し
.envファイルやcredentialsをリポジトリに直接入れないよう.gitignoreを確認してください。Copilotがアクセスできるファイルにシークレットがないようにしましょう。 - 代替手段の検討
データポリシーが不安なら、Cody(Sourcegraph)、Continue(オープンソース)、ローカルLLMベースのコーディングアシスタントを評価してみてください。Anthropicはオプトイン方式に加え、割引特典まで提供しています。
チームリードの方へ
チームメンバーにこの変更を共有し、各自で設定を確認するよう案内してください。特にフリーランサーや外部コントリビューターが個人のCopilot Proアカウントで会社のプライベートリポジトリにアクセスしている場合、意図せず会社のコードが学習データに含まれる可能性があります。
