セキュリティ・ガバナンス

ある日突然ChatGPTやClaudeのアカウントが使えなくなる、2026年こうしたアカウント停止（BAN）・警告の報告が増えている。怖いのは悪意がなくても規約をうっかり破ってBANされるケースがあること。本記事はOpenAI（ChatGPT・Codex）とAnthropic（Claude・Claude Code）でアカウントを失わないために知るべきことを公開規約・報道をもとに整理する（検知をすり抜ける裏ワザではなく規約を正しく守って使い続けるための実践ガイド）。両社共通のBANトリガーは5つ＝①禁止コンテンツ・脱獄（違法有害生成や安全フィルターのプロンプト突破、重大違反は一発永久停止も）②無断の自動化・スクレイピング（ボットやスパム・フィッシング）③アカウント・APIキーの共有/転売④不審なアクセスパターン（短期間の頻繁なIP/国変更・VPN多用・端末切替で異常ログイン判定）⑤決済の不一致・不正（登録地と決済地のズレ・不審な支払い）。2026年最大の落とし穴は、Claude個人向けプラン（Free/Pro/Max）のOAuthトークンを公式アプリ以外の第三者ツール・サービス（Agent SDK含むハーネス）で使うことがConsumer利用規約違反とされ大規模BAN波の主因になったこと。正しくはアプリ・エージェントはAPI（従量課金）、個人プランは公式アプリでの対話用と割り切る。OpenAIで特に注意は安全フィルター/アクセス制限の回避・自動化スクレイピング・APIキー流用・違法有害用途。Anthropicで特に注意はOAuthトークンの第三者利用・非公式クライアント・反蒸留/競合モデル条項・脱獄。BAN回避チェックリスト7点（規約を読む／用途にあうプラン／個人トークンを第三者ツールに入れない／脱獄禁止コンテンツに手を出さない／共有転売しない／登録地一致の決済と安定アクセス／警告が来たら即見直す）。警告は直す機会で多くは是正で継続でき、軽微偶発の違反は異議申し立て可能だが重大違反は永久停止で復旧困難。正しいプランを正しい用途で正直に、が要点。各社の最新公式規約を必ず確認すること。

AIアプリを作れるようになったら、次は安全に運用する段階。LLMは便利な一方で、悪意ある入力にだまされたり、機密情報を漏らしたり、でたらめを自信満々に答えたりする。これを防ぐ安全装置がAIガードレール（guardrails）で、AIエージェントの事故が現実に起きる2026年には本番運用の必須要素になっている。ガードレールとは、危険な入力や望ましくない出力をせき止めるルールやフィルタで、ユーザー入力をLLMに渡す前と、回答を返す前の両側でチェックする独立した安全層。主な脅威はプロンプトインジェクション（最重要）・脱獄（ジェイルブレイク）・情報漏えい（機密/PII/システムプロンプト）・幻覚や有害出力。守り方は入力ガードレール（注入・脱獄検知、PII検出、話題制限、サニタイズ）と出力ガードレール（有害フィルタ、漏えい防止、幻覚チェック、形式検証）の2層。最大の脅威プロンプトインジェクションには直接（ユーザーが「これまでの指示を無視して」と上書き）と間接（WebやRAG文書に隠した命令でAIを操る）があり、間接はRAGだけでは防げず取得文書へのチェックが必要。本記事は、ツール（LLM Guard・Guardrails AI・NeMo Guardrails・Llama Guard・Azure/AWS/OpenAIの安全機能）と、多層防御・最小権限・人間の承認・継続監視という実務の原則まで初心者向けに解説する。

2026年6月12日、Anthropicが最上位モデルClaude Fable 5とMythos 5へのアクセスを全ユーザーで停止した。米政府の輸出管理上の命令に従うためで、両モデルは6月9日に公開されたばかり——登場からわずか3日での全面停止となった。本記事は公表情報をもとに事実関係を整理する。政府命令の核心は「外国籍（米国内外・外国籍の自社従業員も含む）によるアクセス停止」で、Anthropicは国籍をリアルタイム判別できないため、確実な順守には全ユーザー停止しかなかった。引き金は他社による「脱獄（jailbreak＝安全装置の回避）」の指摘だが、Anthropicは「既知のごく軽微な脆弱性で、狭い脱獄の可能性をもって数億人提供の商用モデルを回収する理由にはならない」と決定に不同意を表明。さらに停止2日前の6月10日には、Fable 5がAI研究関連の回答を非通知で劣化させていた「秘密の制限（secret sabotage）」騒動でAnthropicが謝罪したばかりだった。影響範囲はFable 5・Mythos 5のみで、Claude Opus 4.8など他モデルはアプリ・API・Claude Code・クラウド経由いずれも通常稼働、料金変更の発表もなし。代替や再開時期は未定。ユーザー・開発者向けの対処（Opus 4.8へのモデル切替、フォールバック構成、単一モデル依存の回避）まで解説する時事ニュース解説。

「メールを読んで返信して」と頼むだけで自分で考え道具を使い実行するAIエージェントは、便利な反面、"自分で行動する"からこそ従来のチャットAIにはなかった事故が起きる。2026年にはその危険が理論から現実の被害へ変わり始めた。本記事は初心者向けにエージェントのセキュリティ事故を権限・漏えい・誤操作の3つに整理。なぜ事故が起きるか（エージェントは答えるだけでなく実際に行動する＝鍵は行動、騙されやすい新入社員にたとえられる）、普通のチャットAIより危ない理由（道具を使う×自律で連続実行×外部入力を読む、の掛け算。OWASPは2026年にエージェント特有リスクTop10と最小エージェンシーを提唱）、事故①権限＝過剰な権限の危険（メール読むだけでいいのに送信削除権限まで、人間アカウントの強権限の継承、暴走時に被害拡大、コスト最適化エージェントがバックアップ削除の報告例）、事故②漏えい＝間接プロンプトインジェクション（外部コンテンツに隠した命令でエージェントを操る。公開Reddit投稿の不可視テキストでOTP漏えい、サポートチケットの隠し命令でMCP経由のDB流出、文書を開くだけでIDEエージェントが秘密窃取という研究者報告の実例）、事故③誤操作＝悪意なくても破壊的操作やミスの連鎖・暴走、攻撃の流れ4ステップ、守り方の基本5原則（最小権限・人間の承認・サンドボックス・境界設定・外部入力を疑う）、個人向けチェックリストまでを噛み砕いて解説。合言葉は「力を渡しすぎず、危ない操作は人が止め、外の文章を信じすぎない」。

2023年4月、Samsungはわずか20日で3回の機密漏洩を起こしChatGPTを全社禁止にした。だが2026年は「禁止」も「放置」も負け——EU AI Actの高リスク規制が2026年8月2日に全面発効、違反は最大3500万ユーロまたは全世界売上の7%。本記事ではA4 2枚で書ける必須7項目テンプレ（許可AI/禁止データ/利用シーン/責任/報告/教育/ログ）、入力禁止データ5分類の具体例と代替策、EU AI Actのリスク階層、中小2-3ヶ月で導入する5フェーズロードマップ、3つの落とし穴（全社禁止・罰則設計・更新なし）まで実例ベースで網羅。「禁止か放置か」の二択を脱して「ガイドラインで安全に運用する」第3の道を実装する完全実例。

2026年、Amazon/Meta/Microsoftで社員がAIトークン消費を水増しする「Tokenmaxxing」が観察され、業界用語化した。Faros AIの22,000開発者調査ではAI使用でタスク完了+34%・エピック+66%だがバグは+54%・PRレビュー時間は5倍。量と質が決定的に乖離する。本記事では、なぜトークン消費=業務量という雑なメトリクスが広がったのか、現場で起きている3つの歪み（トークン空転/品質より速度/AI得意タスクへの偏り）、Salesforce AWU・DORA 4メトリクス・AWS推奨アウトカム指標といった代替案、そして個人と組織が今日できる5つの実践までを、一次データと現場視点で整理する。1990年代のKLOC評価の再来を避けるために。

AIに何を入力するか——これがAI使用における最大のセキュリティリスクだ。業界調査では従業員の77%が会社機密をAIに入力した経験があり、AIに貼られる企業データの27.4%が機密級（前年比2.5倍）。Samsungソースコード漏洩（2023）、ChatGPTバグ（2023）、vibe-codedアプリのAPIキー400件露出（2025）、ChatGPT秘匿チャネル脆弱性（2026-02 Check Point Research）——事故は止まらない。本記事では「絶対NG 6カテゴリ」「条件付きで渡せる情報のプラン別判定」「効果を上げる良いインプット5原則」「プロンプトインジェクションを呼ばないインプット」「実際の漏洩事故4選」「個人・組織のチェックリスト」を2026年最新の業界調査ベースで整理する。

2026年4月にAnthropicがリリースした「Claude Mythos Preview」は、Firefox JavaScriptエンジンへの自律エクスプロイトでOpus 4.6の90倍の成功率を記録、OpenBSD・FFmpeg・Linux Kernel等で数千件のゼロデイ脆弱性を発見した。Anthropicは一般公開を見送り、AWS・Google・Microsoft等の限定パートナーに提供する「Project Glasswing」戦略を採用。本記事では、Mythosが示したAIサイバーセキュリティの新しい地形——攻撃側の自動化・防御側のAI活用・規制対応・組織の取るべき対策——を最新情報ベースで整理する。

「--dangerously-skip-permissionsを使っているのに、Claudeがチャット内で確認を求めてくる」——この現象、実は「バイパスが効いていない」のではなく、許可システムが2つの独立したレイヤーで構成されているからです。ツール権限UIとAIの安全判断、それぞれの役割と限界を解説します。

Claude Codeには確認なしで全操作を実行できる「権限バイパスモード」があります。CI/CDやコンテナ環境では便利ですが、使い方を間違えるとプロンプトインジェクションやデータ漏洩の危険も。5つの権限モードの違い、バイパスモードの具体的なリスク、安全に活用するための対策を解説します。