何が起きたか
OpenAIは2026年2月に予告していた「Lockdown Mode」を、6月5日に正式提供開始しました。対象はChatGPT Free、Go、Plus、Proに加え、セルフサーブ型のChatGPT Businessアカウントです。OpenAIのDane Stuckey氏は、本機能を「全ユーザー向けではなく、リスクプロファイルが高い人向け」と位置づけています。
なぜ重要か
Lockdown Modeは、プロンプトインジェクションそのものを防ぐ機能ではありません。アップロードしたファイルやキャッシュされたWebコンテンツに悪意ある指示が紛れ込むこと自体は、引き続き起こり得ます。本機能の役割は、攻撃者が機微データを外部に持ち出すための「出口」を物理的に塞ぐことにあります。
セキュリティ研究者の間で知られる「Lethal Trifecta(致命的な三要素)」、すなわち①プライベートデータへのアクセス、②外部からの未検証コンテンツへの曝露、③攻撃者へのデータ送信経路、この3つが揃ったときにLLMは情報窃取の温床となります。3つのうちどれか1本を断つ必要があり、最も実装しやすいのが「送信経路の遮断」です。Lockdown Modeはここに決定論的(AIの判断を介さない)な制限をかけます。AIによる判定はそれ自体が攻撃対象になり得るため、ルールベースで切るという設計思想は理にかなっています。
暗黙のメッセージ
見落とせないのは、この機能の存在自体がOpenAIによる「デフォルト状態のChatGPTは、十分に巧妙な情報窃取攻撃に対して堅牢ではない」という事実上の認知である点です。Stuckey氏も機能性と利便性のトレードオフを明言しており、何かを犠牲にしなければ守れないという現実が前提となっています。
💼 事業会社視点:これは自社にどう効くか
日本企業の経営者・事業責任者がまず受け取るべきメッセージは、「ChatGPTのデフォルト設定は機微データの取り扱いを前提に設計されていない」という事実です。とりわけ、ChatGPT Businessを社内導入済みのSaaS企業や受託開発会社では、顧客データ・ソースコード・契約書をアップロードしての利用が常態化しているはずで、ここがLethal Trifectaの真ん中に位置します。
打ち手は3つです。第一に、法務・経営企画・M&A担当など「高リスク利用者」を特定し、その層にLockdown Modeを必須化する運用ルールを敷くこと。第二に、ファイルアップロードとブラウジング機能を業務カテゴリ別に切り分け、機微情報を扱う業務ではWebアクセス系機能をオフにすること。第三に、ECやカスタマーサポートでLLMエージェントを外向きに使う場合、自社実装側でも「送信先ホワイトリスト」を入れるなど、決定論的な出口制限を設計に組み込むことです。「AIにAIを守らせる」発想からの脱却が、2026年後半の情報セキュリティ設計の分水嶺になります。
