管理機能

プランごとのデフォルト動作

ChatGPT Enterprise および Edu

すべてのアプリはデフォルトで無効になっています。ワークスペースの所有者は、「ワークスペースの設定」→「アプリ」 でどのアプリを有効にするかを管理し、RBAC（下記参照）を通じてアプリ固有のロールを割り当てることができます。

ChatGPT Business

ChatGPT Business では、ワークスペース管理者はワークスペースで有効にするアプリを制御したり、役割に応じたアプリのアクセス許可を管理したりできます。

RBAC（ロールベースのアクセス制御）

Enterprise および Edu のワークスペースでは、アプリを1つまたは複数のカスタムロールに割り当てることができます。デフォルトでは、ユーザーは自身のロールに対して有効化されているアプリにアクセスできますが、管理者はアクセスを許可するロールを制御できます。ユーザーに「管理者により無効化」と表示されるアプリは、ワークスペースまたはロールの設定により利用できません。

アプリへのアクセスを管理

アプリへのアクセス制御は、ワークスペース内で連携アプリを使用できるユーザーを管理します。アプリ権限は、ChatGPT がアプリを使用する前に確認を求めるタイミングを管理します。特定のアプリを使用できるユーザーを管理するには、「ワークスペース設定」>「アプリ」 に移動し、アプリのメニューを開いて、「ユーザーアクセス」を選択します。そこから、アプリにアクセスできるロールを選択し、変更を保存します。保存せずにキャンセルするか閉じると、アプリの現在のアクセス設定は変更されません。

特定のロールが使用できるアプリを管理する方法は以下の通りです。

1. 「ワークスペース設定 > 権限とロール」に移動します。

2. 「カスタムロール」を選択します。

3. 編集したいロールを選択します。

4. 「接続されたデータ」セクションまでスクロールします。

5. 「アプリの使用をメンバーに許可する」をオンにすると、そのロールでアプリを使用できるようになります。

6. 「選択」を使用して、そのロールに特定のアプリを選択します。

新しいアプリを追加する

ワークスペースレベルで新しいアプリを有効にすると、管理者はアクセスを許可するロールを指定するよう求められます。アプリがアクション制御に対応している場合、管理者はアプリを利用可能にする前に、そのアクションを確認できます。

アプリテンプレートは、公開後も同じ管理者向けガバナンスモデルに従います。ワークスペースの管理者と所有者は、テンプレートで生成された下書きアプリを確認し、準備ができたら公開します。その後、「ワークスペース設定」>「アプリ」から、アクセス権、ロール単位の権限、アクション制御、アプリの権限を管理します。利用可能な場合は、従来のアクション確認設定がアプリの権限に置き換えられます。ワークスペース全体の「アプリの権限」メニューに「確認しない」が表示されない場合は、ワークスペースの別のデフォルト設定を選択するか、そのアプリの「アプリの権限」設定から特定のアプリに対して「確認しない」を設定してください。設定の詳細については、「ChatGPT アプリテンプレート」をご覧ください。

アプリのアクション管理

RBAC は、誰がアプリを使用できるかを管理します。アクション制御に対応したアプリでは、「アクション制御」によってアプリで実行できる操作を管理します。「アプリの権限」では、ChatGPT がアプリを使用する前にメンバーに確認を求めるタイミングを決定します。

これらのアプリの権限は、ChatGPT の会話に適用されます。ワークスペースエージェントは、エージェントビルダーが設定したエージェント単位の制御を使って、利用可能なアプリのアクションとエンドユーザーに承認を求めるタイミングを決定します。エージェントの動作については、「Enterprise および Business 向け ChatGPT ワークスペースのエージェント」を参照してください。

アクション制御では、管理者がアプリの現在のアクションの処理方法を選択できます。すべてのアクションを許可する、読み取りアクションのみを許可する、またはカスタムのアクションセットを選択することが可能です。管理者が「カスタム」を選択した場合、「すべての新しいアクションを有効にする」、「新しい読み取りアクションのみ有効にする」、または「新しいアクションを無効にする」を選択することで、今後追加されるアクションの処理方法も指定できます。

一部のアプリはアクション制御に対応していません。それらのアプリでは、管理者はアプリへのアクセスを管理できますが、個々のアクションや新しく追加されたアクションの処理方法を選択することはできません。

アクション制御に対応しているアプリでは、プロバイダーの範囲承認を受けても、新しいアクションが ChatGPT で自動的に利用可能になるわけではありません。

ワークスペースのデフォルトアプリ権限を変更するには：

1. 「ワークスペース設定」を開きます。

2. 「権限とロール」>「接続済みデータ」に移動します。

3. 「アプリ権限」を見つけ、ワークスペースのデフォルトを選択します。

アプリに別のアクセス許可を設定するには：

1. ワークスペースの「アプリ」 管理ページを開きます。

2. 公開済みアプリのメニューを開き、「アプリ権限」を選択します。

3. 「ワークスペースのデフォルトを使用」を選択するか、別の権限を選択します。

4. 「保存」を選択します。

ワークスペース、アプリ、ロールアウト状況によっては、オプションに 「常に確認する」、「すべての変更」、「重要なアクション」、「確認しない」 が含まれる場合があります。「重要なアクション」 は、ChatGPT の外部に実質的な影響を及ぼす可能性がある、機密情報を開示する可能性がある、または元に戻すのが難しいアプリのアクションの前に確認を求めます。特にリスクの高い一部の操作は、承認を求める代わりにブロックされる場合があります。

MCP を使用するカスタムアプリ

管理者は、開発者モードへのアクセスをロールに許可することもできます。これにより、MCP を使用してカスタムアプリを作成およびテストすることが可能になります。ロールによる開発者モードへのアクセスによって、新しい MCP アクションが自動的に利用可能になるわけではありません。カスタム MCP アプリを公開した後、そのアクションを再読み込みするには、まずワークスペースでそのアプリを接続する必要があります。アプリを所有または管理する管理者は、「アクション制御」でそのアクションを確認し、「更新」を選択して、MCP サーバーから追加または変更されたアクションを確認できます。

Google ドライブ（同期）の詳細な制御

ファイル制限と設定

Enterprise、Edu、Business ワークスペースでは、以下のことが可能です。

• 特定の共有ドライブまたはフォルダとの同期のみにアプリを制限する。

• 特定のファイルタイプをインデックス化から除外する。

• 「クイック設定」（各ユーザーがアカウントを認証）または「管理者制御のアクセス」（詳細な制御のための集中管理）を選択する。

Google ドライブの同期アプリを有効にする方法についての詳細は、こちらのヘルプ記事「Google ドライブの同期アプリ - セルフサービス設定」をご覧ください。

Enterprise および Edu 向け Google ドライブ（同期）の RBAC

Google ドライブの同期アプリを有効にすると、非同期バージョンにアクセスできたすべてのユーザーが同期バージョンにもアクセスできるようになります。現時点では、同期バージョンと非同期バージョンの間で異なる権限を設定することはできません。

アプリ用の RBAC が導入される前に Google ドライブの同期アプリに許可リストを設定していた場合、その許可リストは、「Google ドライブコネクターユーザー」および「Google ドライブコネクターロール」と呼ばれる新しい RBAC グループとロールにマッピングされています。

• ワークスペースレベルで Google ドライブのアプリを有効にしていた場合、同期アプリの許可リストに登録されているユーザーのみがアクセスを維持できます。

• 許可リストに含まれていなかったユーザーは、非同期バージョンのGoogle ドライブ アプリへのアクセスを失うため、再度追加する必要があります。

• Google ドライブの同期アプリにアクセスできるユーザーは、標準のGoogle ドライブのアプリにもアクセスできるようになりました。

他のすべてのワークスペースのロールと権限は変更されません。

Microsoft Outlook（カレンダーとメール）、Teams、および SharePoint の権限が必要です。

ChatGPT と Microsoft Outlook、Teams、Sharepoint の統合を有効にするには、各サービスに対して Microsoft Entra ID（旧 Azure AD）で権限を付与する必要があります。必要な権限については、ヘルプセンターの以下のページをご確認ください。

• Outlook メール

• Outlook カレンダー

• Microsoft Teams

• Microsoft SharePoint

• Microsoft Azure Boards

各アプリのページには、そのアプリに必要なスコープの説明が記載されています。各アプリのスコープの完全なリストについては、ChatGPT のアプリディレクトリをご覧ください。

カスタムアプリ

Business、Enterprise、Edu ワークスペースでは、ワークスペースの所有者と、該当する設定を有効にしているユーザー（Enterprise/Eduの場合）のみが、カスタムアプリを公開してテストするために開発者モードを有効にできます。メンバーロールが付与されたユーザーがカスタムアプリを自身で追加することはできません。他のアプリと同様に、エンドユーザーは初回使用前に各アプリでの認証を自身で行う必要があります。ChatGPT の開発者モード、カスタムアプリ、MCP コネクターの概要については、こちらの記事をご覧ください：「ChatGPT の開発者モードとカスタムアプリ」

カスタム MCP コネクターの作成に関する技術的な手順については、こちらのドキュメントをご覧ください：「カスタム MCP アプリの作成」

セキュリティとコンプライアンス

セキュリティ

当社では、転送中および保存中のお客様のデータを業界標準の暗号化により保護しています。OAuth token は、強力な、監査済みのキー管理手法を用いて保存されます。アプリを有効にした後、各ユーザーは自身のアカウントを承認し、ChatGPT はそのユーザーの既存の権限内、例えば読み取り専用のスコープ内のコンテンツにのみアクセスします。

OpenAI は、プロンプトインジェクションのリスクを低減するため、継続的なテスト、モニタリング、多層的な緩和策を実施しています。保護を強化するために、アプリを使用する会話ではネットワーク アクセスがロックダウンされ、OpenAI と接続する特定のツール間でデータが保持されます。厳格なアクセス制御により、ChatGPT は各ユーザーがアクセスを許可された情報のみを確認でき、データは暗号化されたままの状態で転送・保存されます。

アプリから取得した情報はモデルの学習に使用されますか？

ChatGPT Business、Enterprise、Edu のお客様については、アプリから取得した情報がモデルの学習に使用されることはありません。ビジネスデータの利用方法については、エンタープライズプライバシーページをご覧ください。

チャットと deep research のデータは一時的に処理され、インデックス化されません。同期データを使用するアプリのデータは、学習設定を遵守しつつ、回答を迅速化するためにインデックス化されています。

データストレージとレジデンシー

同期機能付きのすべてのアプリは、米国、欧州（EEA ＋ スイス）、および日本をデータレジデンシーとするワークスペースでサポートされています。Google Drive および GitHub の同期機能付きアプリについては、現在サポートされているすべてのデータレジデンシー地域でもご利用いただけます。

お住まいの地域でデータレジデンシーに対応していない同期機能付きアプリを使用する場合、同期された検索インデックスは OpenAI 社の米国 Azure データセンターに保存されます。


非同期アプリ： アプリはデータレジデンシーに対応するものの、接続されたアプリケーションはサードパーティのサービスであり、そのアプリケーションに送信されたデータはそのアプリケーション独自のデータレジデンシーポリシーに従うことに注意する必要があります。

つまり、ヨーロッパにデータレジデンシーを持つ組織の場合、OpenAI はクエリやプロンプトが接続されたアプリケーションに送信されるまで、顧客コンテンツの保存をヨーロッパ内に限定します。接続されたアプリケーションがデータレジデンシー要件を遵守していることを必ずご確認ください。

コンプライアンス

ユーザーの会話（アプリを使用した会話を含む）は、すでに Compliance API から利用できます。

さらに、すべてのアプリ呼び出しは、OpenAI Compliance Logs プラットフォームの一部として記録されます。

詳細を読む：Enterprise のお客様向け Compliance API。

Google ドライブ（同期）の詳細なセキュリティ

OAuth 認証に加えて、Business、Enterprise、Edu ワークスペースの所有者は、ドメイン全体の委任機能（DWD）を利用できます。