# GitHub Copilot 利用に関するクライアントとの確認事項 クライアント案件で GitHub Copilot を使用する前に、以下の事項をクライアントと合意しておく必要があります。 口頭だけでなく、**議事録・契約書・覚書などに残すこと**を推奨します。 --- ## 目次 1. [事前に確認すべきこと(必須)](#1-事前に確認すべきこと必須) 2. [説明しておくべきこと](#2-説明しておくべきこと) 3. [クライアントから取得すべき合意・承認](#3-クライアントから取得すべき合意承認) 4. [会話例・トークスクリプト](#4-会話例トークスクリプト) 5. [よくあるクライアントの懸念と回答例](#5-よくあるクライアントの懸念と回答例) 6. [チェックリスト(打ち合わせ前の確認用)](#6-チェックリスト打ち合わせ前の確認用) --- ## 1. 事前に確認すべきこと(必須) ### AI ツール利用の可否 - クライアントの社内規定・情報セキュリティポリシーに AI コーディングツールの使用を禁止・制限する条項がないか - 利用する場合の承認フロー(誰が承認するか) ### 納品物への AI 生成コードの含有 - AI が生成・補助したコードを納品物に含めることへの同意 - 納品物に「AI 生成コードを含む」旨の記載が必要かどうか ### 機密情報の範囲 - プロジェクトにおいて Copilot に入力してはいけない情報の定義 - 例:顧客データのスキーマ、独自アルゴリズム、未公開仕様など - 既存コードベースを Copilot のコンテキストとして読み込む際の可否 --- ## 2. 説明しておくべきこと ### 使用するライセンスと保護レベル - 社内では **Business ライセンス** を使用しており、入力コードは AI の学習に使用されない - 個人ライセンス(Individual)は使用しない(利用規約上クライアント業務に不可) - データは GitHub のサーバー(米国)で処理されること ### Copilot の動作の仕組み - コード補完時に編集中ファイルの前後のコードが GitHub サーバーに送信されること - 送信されたデータはリクエスト処理後に破棄されること(28日以内) - Copilot はあくまで「提案」であり、採用・実装の判断は開発者が行うこと ### 生成コードの品質・責任 - Copilot の提案は必ず開発者がレビュー・テストした上で採用すること - 生成コードに起因するバグ・脆弱性の責任は開発者(弊社)が負うこと - 著作権上のリスク(パブリックコードとの類似)への対応方針 --- ## 3. クライアントから取得すべき合意・承認 以下は口頭確認だけでなく、**書面(議事録・覚書・契約条項)に残すことを推奨**します。 | 確認事項 | 推奨記録方法 | |---|---| | AI ツール(GitHub Copilot)の業務利用許可 | 議事録 / 覚書 | | 納品物への AI 生成コード含有の同意 | 契約書 / 覚書 | | Copilot に入力しない情報の定義・合意 | 議事録 / セキュリティ要件定義書 | | データが米国サーバーで処理されることへの同意 | 議事録 / DPA(データ処理契約) | | 生成コードのレビュー体制への合意 | 開発プロセス定義書 | --- ## 4. 会話例・トークスクリプト ### 最初の切り出し方 > 「今回のプロジェクトでは、開発効率向上のために GitHub Copilot という AI コーディング支援ツールを使用する予定です。利用にあたってご確認いただきたい点が何点かございます。」 ### ライセンスと学習利用について > 「弊社では Business ライセンスを使用しており、入力したコードが AI の学習に使われない契約になっています。個人向けライセンスは業務利用が制限されているため使用しません。」 ### データの送信について問われた場合 > 「コード補完の際に、編集中のコードの一部が GitHub のサーバーに送信されます。ただし処理後すぐに破棄され、保存・学習には使われません。御社のセキュリティポリシー上、問題がないか確認をお願いしたいです。」 ### 機密情報の取り扱いについて > 「Copilot のコンテキストとして読み込まれる可能性があるため、御社の機密情報として入力を避けるべき情報の範囲を事前に共有いただけますか?例えば、顧客の個人情報を含むファイルや、公開禁止のアルゴリズムなどが該当するかと思います。」 ### 納品物への含有について > 「Copilot が生成・補助したコードも、開発者がレビューとテストを行った上で納品物に含まれます。これについて問題ないかご確認いただけますか?また、契約書や仕様書に記載が必要であれば対応いたします。」 --- ## 5. よくあるクライアントの懸念と回答例 **Q. AI が書いたコードで品質は大丈夫?** > Copilot はあくまで候補を提示するツールです。採用するかどうかは開発者が判断し、通常のコードレビューおよびテストプロセスを経て納品します。品質基準は従来と変わりません。 **Q. 弊社のコードが外部に漏れないか?** > Business ライセンスでは、入力されたコードは AI の学習に使用されず、処理後に破棄されます。ただし通信は発生しますので、機密性が高い特定のファイルについては Copilot のコンテキストから除外する運用も可能です。 **Q. 著作権はどうなる?** > GitHub は Copilot Business において、生成コードに関する著作権侵害リスクに対して一定の補償(Copilot IP Indemnity)を提供しています。詳細は法務部門とともに確認することを推奨します。 **Q. 社内で AI ツール利用が禁止されているかもしれない** > 承知しました。御社の情報セキュリティ担当部門にご確認いただき、利用可否と条件をお知らせください。禁止・制限の場合は Copilot を使用しない開発体制を取ることも可能です。 --- ## 6. チェックリスト(打ち合わせ前の確認用) ### 自社側の準備 - [ ] Business ライセンスが割り当てられていることを確認 - [ ] プロジェクトのコードベースに機密情報(API キー・個人情報等)が含まれていないことを確認 - [ ] Copilot に入力しないファイル・ディレクトリを `.gitignore` / 社内ルールで管理 ### クライアントとの確認(打ち合わせ時) - [ ] AI ツール利用に関する社内ポリシー・禁止事項の確認 - [ ] GitHub Copilot の利用について担当者の承認取得 - [ ] Copilot に入力しない情報の範囲を合意 - [ ] 納品物への AI 生成コード含有について合意 - [ ] データが米国サーバーで処理されることへの確認 - [ ] 合意内容を議事録・覚書に記録 ### プロジェクト開始後 - [ ] 機密ファイルを Copilot のコンテキストから除外する設定を実施 - [ ] チームメンバー全員が本チェックリストを確認済み - [ ] 問題発生時の報告フローをクライアントと共有済み --- ## 関連ドキュメント - [GitHub Copilot データプライバシーポリシー](copilot-data-privacy.md) - [GitHub Copilot ページ](github-copilot.html) - [セキュリティ基準](security-standards.html) - [サポートメール](support-email.html)