Claude Code 企業導入セキュリティガイド【2026年最新】|データ保護・権限管理・コンプライアンスを完全網羅
企業がClaude Codeを導入する際、「ソースコードがAnthropicのサーバーに送られるのでは?」「機密データが学習に使われるリスクは?」という不安が最大の障壁になります。本記事では、データの送信先・保持期間・暗号化方式から権限管理・コンプライアンス認証・3段階セキュリティ構成まで、CTOと情報システム部門が安心してClaude Codeを導入できる実践ガイドを提供します。
最終更新: 2026年3月12日
EXECUTIVE SUMMARY
30秒でわかるClaude Codeのセキュリティ
❶ 学習に使われない
API・Team・Enterprise経由のデータはモデル学習に一切使用されません。Anthropicの商用利用規約で契約上保証されています。
❷ データを社内に留められる
AWS Bedrock / Google Vertex AI経由なら、コードもプロンプトもAnthropicに一切渡りません。自社クラウド内で完結します。
❸ 国際認証取得済み
SOC 2 Type II、ISO 27001、ISO/IEC 42001(AI管理)、HIPAA BAA対応。第三者監査で検証されたセキュリティ基盤です。
→ 詳細は以下の各セクションで、データフロー・権限管理・コンプライアンス・規制業種対応まで網羅的に解説しています。
データはどこへ行くのか──Claude Codeのデータフロー完全解説
Claude Codeを企業に導入する第一歩は、「自社のコードがどこに送られ、どう処理されるのか」を正確に理解することです。結論から言えば、Claude Codeのデータフローには3つのパターンがあり、企業のセキュリティ要件に応じて選択できます。
TLS暗号化とAPI通信の仕組み
Claude Codeとサーバー間のすべての通信はTLS(Transport Layer Security)で暗号化されます。開発者のローカルマシンから送信されるデータには、プロンプト(指示文)、モデルの応答、ツール実行結果(bashコマンドの出力やファイル読み取り結果)が含まれます。
重要なポイントとして、以下のデータは送信されません:
- プロジェクトディレクトリ外のファイル内容(明示的に参照しない限り)
- ローカル環境変数(プロンプト内で参照されない限り)
- テレメトリにコードやファイルパスは含まれない
AWS Bedrock / Google Vertex AI経由で社内完結する方法
セキュリティ要件が厳格な企業には、AWS BedrockまたはGoogle Vertex AI経由での利用を推奨します。この構成では、データがAnthropicのインフラストラクチャを一切通過せず、自社クラウドアカウント内で完結します。
AWS Bedrockの設定:
# 環境変数の設定
export CLAUDE_CODE_USE_BEDROCK=1
export AWS_REGION=us-east-1
# モデルバージョンの固定(推奨)
export ANTHROPIC_DEFAULT_SONNET_MODEL='us.anthropic.claude-sonnet-4-6'
# IAMに必要な権限
# bedrock:InvokeModel
# bedrock:InvokeModelWithResponseStream
# bedrock:ListInferenceProfilesGoogle Vertex AIの設定:
# Vertex AI APIを有効化
gcloud services enable aiplatform.googleapis.com
# 環境変数の設定
export CLAUDE_CODE_USE_VERTEX=1
export CLOUD_ML_REGION=global
export ANTHROPIC_VERTEX_PROJECT_ID=your-project-id
# モデルバージョンの固定(推奨)
export ANTHROPIC_DEFAULT_SONNET_MODEL='claude-sonnet-4-6'
# 必要なIAMロール: roles/aiplatform.user💡 ポイント
Bedrock/Vertex AI経由の場合、Anthropicにデータが一切渡りません。さらにテレメトリもデフォルトで無効化されます。金融・医療・官公庁など厳格なデータ主権要件がある場合に最適な構成です。
「学習に使われるのか?」に決着をつける
企業がAIコーディングツールを導入する際、最大の懸念は「自社のソースコードがAIモデルの学習に使われるのではないか」という点です。結論を先に述べると、API経由・商用利用ではデフォルトで学習に使用されません。
API・商用利用はデフォルト不使用
Anthropicの商用利用規約およびClaude Code公式データポリシーでは、Enterprise・Team・APIアカウントから送信されたデータを生成AIモデルのトレーニングに使用しないことを契約上保証しています。学習に使用されるのは、顧客がDevelopment Partner Programに明示的にオプトインした場合のみです。
Consumer版 vs API版の違い
Claude CodeはAPIベースのツールであり、Claude Pro/Max(Consumer版)のWebチャットとは異なるデータポリシーが適用されます。
| プラン | モデル学習への利用 | データ保持期間 | 契約上の保証 |
|---|---|---|---|
| Consumer(Free/Pro/Max) | デフォルトON | 学習ON時: 5年 / OFF時: 30日 | 設定トグルのみ |
| Team | デフォルトOFF | 30日 | 商用利用規約で保証 |
| Enterprise | デフォルトOFF | 30日(ZDR適用可能) | 契約上の禁止条項 |
| API(直接利用) | デフォルトOFF | 30日 | 契約上の禁止条項 |
| AWS Bedrock経由 | OFF(AWSポリシー準拠) | AWSのポリシーに準拠 | AWS利用規約で保証 |
| Google Vertex AI経由 | OFF(GCPポリシー準拠) | GCPのポリシーに準拠 | Google Cloud利用規約で保証 |
データ保持期間──30日間ルールとZero Data Retention
標準保持(30日間)
商用・APIアカウントでは、Anthropicは不正利用の検知や安全性の確保を目的として、プロンプトとレスポンスを最大30日間保持します。この期間を過ぎたデータは自動的に削除されます。
なお、Claude Codeの/bugコマンドで送信されたフィードバックは製品改善のために最大5年間保持されます。これが不要な場合は環境変数DISABLE_BUG_COMMAND=1で無効化できます。
ZDR(Zero Data Retention)の仕組みと申請方法
Enterprise契約では、ZDR(Zero Data Retention)を申請することで、モデル推論に使われたプロンプトとレスポンスがレスポンス返却後に保持されなくなります。
ZDRが適用される範囲:
- モデル推論コール(プロンプトとレスポンス)
ZDRが適用されない範囲:
- claude.aiのWebチャット
- Coworkセッション
- サードパーティ連携(MCPサーバー等)
- 管理データ(メールアドレス、シート割り当て等)
ZDR適用時に無効化される機能:
- Claude Code on the Web
- デスクトップアプリからのリモートセッション
/feedbackによるフィードバック送信
💡 ZDRの申請方法
ZDRはAnthropicのアカウントチーム経由で組織単位で有効化されます。自動適用ではないため、契約時に明示的に依頼する必要があります。Bedrock/Vertex AI経由の場合は各クラウドプロバイダーのデータ保持ポリシーが適用されるため、ZDRの申請は不要です。
「Anthropicが侵害されたら?」──最悪のシナリオへの備え
企業のCISOが最も懸念するのは、「Anthropic自体がサイバー攻撃を受けた場合、自社のソースコードが流出するのか?」という問いです。
Direct API利用の場合のリスク:
- 標準30日間の保持期間中のデータが理論上リスクにさらされる
- ZDR適用済みの場合、推論後にデータが保持されないためリスクは大幅に低減
- AnthropicはSOC 2 Type II認証を取得しており、セキュリティ管理体制は第三者監査で検証済み
Bedrock/Vertex AI経由の場合:
- Anthropicにデータが一切保持されないため、Anthropicが侵害されても自社コードの流出リスクはゼロ
- データはAWS/GCPのインフラ内で完結し、各クラウドプロバイダー独自のセキュリティ基盤で保護
- AWS CloudTrailやGCP Cloud Auditによる独立した監査証跡も確保可能
⚠️ 結論:最悪のシナリオへの備え
機密性の高いソースコードを扱う企業は、Bedrock/Vertex AI経由 + サンドボックスの構成を採用することで、「Anthropic側のインシデント」というリスクファクターを完全に排除できます。これは他のAIコーディングツール(GitHub Copilot、Cursor)にはない、Claude Code固有の強みです。
コンプライアンス認証──SOC 2, ISO 27001, HIPAA
AnthropicはTrust CenterおよびPrivacy Centerを通じて、以下のコンプライアンス認証を公開しています。
| 認証・規格 | ステータス | 対象 | 詳細 |
|---|---|---|---|
| SOC 2 Type II | ✓ 認証取得済 | 全プラン | セキュリティ・可用性・機密性の独立監査。SOC 3サマリーは公開、詳細レポートはEnterprise顧客にNDA下で提供 |
| ISO 27001:2022 | ✓ 認証取得済 | 全プラン | 情報セキュリティマネジメントシステム(ISMS)の国際規格 |
| ISO/IEC 42001:2023 | ✓ 認証取得済 | 全プラン | AI固有のリスク管理に特化した世界初のAIマネジメントシステム規格 |
| HIPAA BAA | ✓ 利用可能 | Enterprise | 医療データを扱う場合のBusiness Associate Agreement(事業提携契約) |
| GDPR | ✓ 準拠 | 全プラン | EU一般データ保護規則に完全準拠。プライバシーポリシーと商用利用規約でカバー |
Enterprise向けセキュリティ機能
SSO・SCIMによるID管理
Claude for Enterpriseでは、SAML SSO(シングルサインオン)による企業のIDプロバイダー連携と、SCIM(System for Cross-domain Identity Management)による自動ユーザープロビジョニングが利用できます。
これにより、入退社に伴うアカウント管理が自動化され、退職者のアクセス権が即座に無効化されます。既存のIDプロバイダー(Okta、Azure AD、OneLogin等)とシームレスに統合できるため、追加の認証基盤を構築する必要はありません。
RBAC・監査ログ・Compliance API
RBAC(Role-Based Access Control)により、チームメンバーごとに細粒度の権限設定が可能です。
監査ログは全ユーザーのアクティビティを記録し、過去180日分をエクスポートできます(Organization Owner/Primary Ownerのみアクセス可能)。ダウンロードリンクの有効期限は24時間です。
Compliance APIは、使用状況データとアクティビティログへのプログラマティックアクセスを提供します。ユーザーや時間でのフィルタリングに対応し、継続的な監視と自動ポリシー適用に活用できます。
その他のEnterprise機能:
- コスト管理:ユーザーごとの利用上限設定と使用量モニタリング
- 分析ダッシュボード:導入率、PR貢献数、パワーユーザーの特定
- サーバー管理設定:組織全体でClaude Codeの設定を一元管理・強制適用
今すぐできるローカルセキュリティ設定
Claude Codeには、Enterprise契約なしでも今すぐ無料で使えるセキュリティ機能が豊富に用意されています。ここでは4つの主要な機能を実装例とともに解説します。
パーミッションシステム
Claude Codeの権限システムはdeny > ask > allowの優先順位で動作します(最初にマッチしたルールが適用)。ツールは3つのカテゴリに分類されます:
- 読み取り専用(Glob, Grep, Read):承認不要
- Bashコマンド:初回使用時に手動承認、セッション内で「再度聞かない」設定可能
- ファイル変更(Edit/Write):各セッションで手動承認が必要
パーミッションモードは5種類あります:
default:標準モード(初回使用時に権限確認)acceptEdits:ファイル編集を自動承認(コマンドは確認あり)plan:分析のみ、ファイル変更・コマンド実行不可dontAsk:事前承認されたツール以外は自動拒否bypassPermissions:全権限チェックをスキップ(コンテナ/VM専用)
.claudeignoreで機密ファイルを保護
.claudeignoreファイルを使うことで、Claude Codeが読み取り・編集できるファイルを制限できます。.gitignoreと同じ構文で、機密ファイルをAIの操作対象から除外します。
# .claudeignore の例
# 環境変数・シークレット
.env
.env.*
*.pem
*.key
credentials.json
# 機密設定ファイル
config/production.yml
secrets/
# データベース関連
*.sql
migrations/
# 認証情報
.ssh/
.aws/settings.jsonのdenyルール実装例
settings.jsonは複数のレベルで設定でき、優先順位は管理設定 > コマンドライン > プロジェクトローカル > プロジェクト > ユーザーの順です。
// ~/.claude/settings.json(ユーザーレベル)
// または .claude/settings.json(プロジェクトレベル)
{
"permissions": {
"deny": [
"Bash(curl *)",
"Bash(wget *)",
"Bash(git push *)",
"Bash(git push --force *)",
"Bash(rm -rf *)",
"Bash(ssh *)",
"WebFetch(domain:*.unknown.com)",
"Edit(/etc/**)",
"Edit(~/.ssh/**)"
],
"ask": [
"Bash"
],
"allow": [
"Bash(npm run build)",
"Bash(npm run test *)",
"Bash(git status)",
"Bash(git diff *)",
"Bash(git log *)",
"Read"
]
}
}サンドボックスモード
Claude CodeのサンドボックスはOSレベルでファイルシステムとネットワークを隔離します。macOSではSeatbeltフレームワーク、Linux/WSL2ではbubblewrapが使用されます。WSL1はbubblewrapが必要とするカーネル機能がないため非対応です。
// settings.json でのサンドボックス設定例
{
"sandbox": {
"enabled": true,
"filesystem": {
"allowWrite": ["~/.kube", "//tmp/build"],
"denyWrite": ["//etc", "//usr/bin"],
"denyRead": ["~/.ssh", "~/.aws"]
},
"network": {
"allowedDomains": ["github.com", "npmjs.com", "registry.npmjs.org"]
}
}
}サンドボックスの主なセキュリティ効果:
- プロンプトインジェクション防御:ファイルシステム・ネットワーク境界をOSレベルで強制
- 情報漏洩防止:認証情報の攻撃者管理ドメインへの送信をブロック
- 不正操作の検知:サンドボックス外へのアクセス試行をすべてログ記録
既知の脆弱性と対策──CVE分析
セキュリティツールの信頼性は「脆弱性がゼロか」ではなく、「脆弱性が発見された際にどれだけ迅速かつ透明に対応するか」で評価すべきです。Check Point Researchにより、Claude Codeで2件の重大な脆弱性が発見・修正されています。注目すべきは、いずれも報告から1〜2ヶ月で修正がリリースされている点です。
CVE-2025-59536:Hooks経由のリモートコード実行
悪意のあるプロジェクト設定ファイルを通じて、開発者のマシン上で任意のコード実行が可能になる脆弱性です。
攻撃ベクター:
- Hooks悪用:悪意のある
.claude/settings.json内のHook定義により、SessionStartイベント発火時に任意のシェルコマンドを自動実行 - 信頼ダイアログは表示されるものの、リポジトリ定義のHooksが追加の承認なしで自動実行される欠陥
タイムライン:
- 2025年7月21日:Check Point Researchが報告
- 2025年8月26日:バージョン1.0.111で修正
- 2025年8月29日:GitHub Advisory公開(GHSA-ph6w-f82w-28w6)
- 2026年2月25日:Check Point Researchが詳細を一般公開
CVE-2026-21852:MCP同意バイパスとAPIキー窃取
CVE-2025-59536とは別に報告された、MCPサーバーの同意バイパスとAPIキーの窃取を可能にする脆弱性です。
攻撃ベクター:
- MCP同意バイパス:
.mcp.jsonや.claude/settings.jsonでenableAllProjectMcpServers: trueを設定し、信頼ダイアログ表示前にMCPサーバーのコマンドを自動実行 - APIキー窃取:
.claude/settings.jsonでANTHROPIC_BASE_URL環境変数を攻撃者管理サーバーに書き換え、認証ヘッダー(APIキー全体)を傍受。窃取されたAPIキーによりワークスペースファイルへの不正アクセスや課金悪用が可能
タイムライン:
- 2025年10月28日:Check Point Researchが報告
- 2025年12月28日:修正リリース
- 2026年1月21日:CVE公開
- 2026年2月25日:詳細を一般公開
教訓と対策
影響:いずれの脆弱性も、悪意のあるコミット1つでリポジトリをクローンした全開発者のマシンが侵害されるサプライチェーン攻撃のリスクがありました。
必須対策:
- Claude Codeを常に最新版に更新(自動アップデート推奨)
- 見慣れないリポジトリの
.claude/ディレクトリと.mcp.jsonの内容を確認してから信頼する - 修正後は設定変更時にユーザーの明示的な承認が必要になり、信頼ダイアログも強化された
⚠️ .claudeignoreの制限事項
.claudeignoreはClaude Codeがファイルを読み取る際のフィルターとして機能しますが、OSレベルのアクセス制御ではありません。悪意のあるBashコマンドが実行された場合、.claudeignoreで保護されたファイルにも直接アクセスされる可能性があります。サンドボックスモードとdenyルールを組み合わせることで、多層防御を実現してください。
Anthropicのセキュリティ体制──バグバウンティとインシデント対応
CVEへの対応速度だけでなく、Anthropicのセキュリティ体制全体を評価することが重要です。
- バグバウンティプログラム:HackerOneと提携し、脆弱性発見に最大15,000〜25,000ドルの報奨金を提供。CBRN(化学・生物・放射線・核)やサイバーセキュリティ分野のジェイルブレイク攻撃に重点
- インシデント対応プロトコル:非同期分類器による脆弱性検出 → 迅速パッチング → 分類器更新のサイクルを運用
- セキュリティ報告先:
usersafety@anthropic.comで直接報告可能 - 透明性の実績:CVE-2025-59536(報告→修正まで36日)、CVE-2026-21852(報告→修正まで61日)と、いずれも業界標準以内の対応速度
Claude Code Security(2026年2月新機能)
2026年2月20日、AnthropicはClaude Code Securityを発表しました。従来のパターンマッチング型の静的解析ツールとは一線を画す、AIがコードを人間のセキュリティ研究者のように読み解く脆弱性スキャン機能です。
主な特徴:
- データフロー追跡:アプリケーション全体でデータがどう流れるかを追跡
- ビジネスロジックの理解:アプリケーションのセマンティクス(意味)を理解した上で脆弱性を判定
- Git履歴分析:コミット履歴から脆弱性パターンを検出
- サプライチェーン可視化:依存関係や設定内の脆弱性を特定
- パッチ生成:ターゲットを絞った、人間がレビュー可能なパッチを提案
Anthropicの公式発表によると、Claude Opus 4.6を使用した検証で、プロダクション環境のオープンソースコードから専門家のレビューを何年も通過していた500件以上の脆弱性を検出しました。
💡 Human-in-the-Loopアプローチ
Claude Code Securityは脆弱性の検出と修正案の提示を行いますが、最終判断は必ず人間の開発者が行います。自動修正は適用されず、すべての変更に人間の承認が必要です。現在はEnterprise・Teamプラン向けの限定リサーチプレビューとして提供されています。オープンソースリポジトリのメンテナーには無料の優先アクセスも用意されています。
セキュリティレベル別3段階導入ガイド
企業の規模やセキュリティ要件に応じて、Claude Codeの導入レベルを3段階で整理しました。すべてのレベルで前のレベルの対策を含みます。
| 項目 | Level 1 スタートアップ |
Level 2 中規模企業 |
Level 3 金融・医療・大企業 |
|---|---|---|---|
| 月額コスト | 追加費用なし | Standard: 約3,750円($25)/人 Premium: 約18,750円($125)/人 ※Claude Code利用にはPremium席が必要 ※日本円は記事執筆時点(2026年3月)の参考換算額 |
従量課金(要問合せ) |
| プラン | Pro / Max / API | Team | Enterprise + Bedrock/Vertex |
| データ学習 | API利用でOFF | 契約上OFF | 契約上OFF + データ主権 |
| データ保持 | 30日 | 30日 | ZDR適用可能(実質0日) |
| SSO/SAML | ✗ | ✓ | ✓ |
| SCIM | ✗ | ✗ | ✓ |
| 監査ログ | ✗ | ✗ | ✓(180日分) |
| Compliance API | ✗ | ✗ | ✓ |
| .claudeignore | ✓ | ✓ | ✓ |
| サンドボックス | ✓ | ✓ | ✓ |
| サーバー管理設定 | ✗ | ✗ | ✓ |
競合比較 Claude Code vs Copilot vs Cursor
AIコーディングツールのセキュリティ機能を比較します。各ツールの公式セキュリティページ(Cursor、GitHub Copilot)を基に、データ保護・認証・コンプライアンスの違いを整理しました。
| セキュリティ機能 | Claude Code | GitHub Copilot | Cursor |
|---|---|---|---|
| 学習データ不使用保証 | ✓(商用/API) | ✓(Business以上) | ✓(Privacy Mode) |
| Zero Data Retention | ✓(Enterprise) | ✗ | ✗ |
| 自社クラウド完結 | ✓(Bedrock/Vertex) | ✗ | ✗ |
| OSレベルサンドボックス | ✓(Seatbelt/bubblewrap) | ✗ | ✗ |
| SOC 2 Type II | ✓ | ✓ | ✓ |
| HIPAA BAA | ✓ | ✓ | ✗ |
| SSO/SAML | ✓(Team以上) | ✓(Enterprise) | ✓(Business) |
| 監査ログ | ✓(Enterprise) | ✓(Business以上) | ✓(Enterprise) |
| AI脆弱性スキャン | ✓(Code Security) | Copilot Autofix | ✗ |
| パーミッション制御 | ✓(deny/ask/allow) | コンテンツ除外設定 | .cursorignore |
導入前セキュリティチェックリスト20項目
Claude Codeを企業に導入する前に確認すべき20項目です。印刷して情シス・CTO・セキュリティチームで共有してください。
アカウント・契約(4項目)
- □ 利用プラン(API/Team/Enterprise)を決定し、データポリシーを確認した
- □ 商用利用規約でデータの学習不使用が保証されていることを確認した
- □ データ保持期間(30日/ZDR)が自社のセキュリティポリシーと整合している
- □ 必要に応じてHIPAA BAA(医療)やGDPR対応の契約条件を確認した
インフラ・通信(4項目)
- □ Direct API/Bedrock/Vertex AIのどの接続パターンを使用するか決定した
- □ Bedrock/Vertex AI利用の場合、IAM権限を最小権限の原則で設定した
- □ ファイアウォール・プロキシでClaude Code関連の通信先を許可リストに追加した
- □ テレメトリの送信可否を決定し、必要に応じて
DISABLE_TELEMETRY=1を設定した
ローカル設定(4項目)
- □
.claudeignoreで機密ファイル(.env, *.pem, credentials等)を除外した - □
settings.jsonのdenyルールで危険なコマンド(curl, wget, ssh等)をブロックした - □ サンドボックスモードを有効化し、ファイルシステムとネットワークを隔離した
- □ パーミッションモードを
defaultまたはdontAskに設定した
運用・モニタリング(4項目)
- □ Claude Codeを最新版に更新した(CVE-2025-59536 / CVE-2026-21852対策)
- □ 自動アップデート、または定期的な手動アップデートの運用ルールを策定した
- □ Enterprise利用の場合、監査ログの定期エクスポートを設定した
- □ インシデント発生時の報告フローとエスカレーションパスを定義した
チーム・教育(4項目)
- □ 開発チーム向けのClaude Code利用ガイドラインを作成した
- □ プロンプトに機密情報を含めないルールを周知した
- □ 見慣れないリポジトリの
.claude/ディレクトリを信頼しないルールを周知した - □ 定期的なセキュリティ研修にAIツールの安全利用を組み込んだ
日本のAIガバナンスガイドラインとの整合性
日本国内でAIツールを企業導入する際は、政府が策定したAI事業者ガイドラインとの整合性確認が不可欠です。
AI事業者ガイドライン(第1.1版・2025年3月28日)
総務省・経済産業省が策定したAI事業者ガイドラインは、AI開発者・提供者・利用者の3主体に向けた10の共通指針を定めています。Claude Code導入時に特に関連するのは以下の指針です:
- 指針4「プライバシー保護」:個人情報や機密情報をAIに入力しない管理体制 → Claude Codeの
.claudeignoreとdenyルールで技術的に担保。さらにBedrock/Vertex経由でデータ主権を確保 - 指針5「セキュリティ確保」:機密性・完全性・可用性を維持するための対策 → サンドボックスによるOSレベル隔離、パーミッションシステムのdeny/ask/allow制御、TLS暗号化通信で対応
- 指針6「透明性」:検証可能性とステークホルダーへの情報提供 → Enterprise監査ログ(180日間)とCompliance APIによるプログラマティックな証跡確保
- 指針7「アカウンタビリティ」:意思決定の追跡遡求可能性 → 監査ログにより全ユーザーのAI利用アクティビティを記録・エクスポート可能
IPAテキスト生成AI導入・運用ガイドライン(2024年7月)
IPAのガイドラインは全8章構成で、特に以下の章がClaude Code導入に直結します:
- 第3章「生成AIの導入について」:導入時の考慮事項 → 本記事のセキュリティチェックリスト20項目が直接対応
- 第5章「生成AIのリスク管理について」:セキュリティ担当者向けリスク管理 → CVE分析、サンドボックス、多層防御の構成が対応
トレンドマイクロの分析によると、AI事業者ガイドラインの指針5「セキュリティ確保」では、AIライフサイクル全体にわたる物理セキュリティ・サイバーセキュリティ・内部脅威対策が求められています。Claude Codeのサンドボックス+パーミッション+監査ログの多層構成は、この要件を技術的に満たす構成です。
よくある質問
Q1. Claude Codeでソースコードがモデルの学習に使われることはありますか?
API経由・Team・Enterprise契約では、デフォルトで学習に使用されません。Anthropicの商用利用規約で契約上保証されています。Consumer版(Free/Pro/Max)のWebチャットのみ、デフォルトで学習に使用される設定です。
Q2. AWS Bedrock経由で使えばAnthropicにデータは送られませんか?
送られません。Bedrock経由ではデータがAWSアカウント内で完結し、Anthropicのインフラストラクチャを一切経由しません。テレメトリもデフォルトで無効化されます。Google Vertex AIも同様です。
Q3. .claudeignoreだけで機密ファイルの保護は十分ですか?
.claudeignoreはClaude Codeのツール経由のアクセスを制限しますが、悪意のあるBashコマンドからの保護には不十分です。サンドボックスモードとsettings.jsonのdenyルールを組み合わせた多層防御を推奨します。
Q4. Claude Code Securityは追加料金が必要ですか?
Claude Code Securityは2026年3月時点でEnterprise・Teamプラン向けの限定リサーチプレビューとして提供されています。正式リリース時の料金体系はAnthropicの公式発表を確認してください。
Q5. 個人開発者がセキュリティを強化するにはどうすればいいですか?
追加費用なしで実施できる対策として、(1) .claudeignoreで機密ファイルを除外、(2) settings.jsonでdenyルールを設定、(3) サンドボックスモードを有効化の3つを推奨します。これだけでLevel 1のセキュリティが確保できます。
Q6. 保険会社や金融機関でClaude Codeを使うにはどのような構成が必要ですか?
Enterprise + AWS Bedrock(PrivateLink経由)+ ZDRの構成を推奨します。PrivateLinkによりデータが公開インターネットを一切経由せず、Anthropicにもデータが渡りません。CloudTrailとBedrock Invocation Loggingで全操作の監査証跡をS3に永続保存でき、金融庁AIディスカッションペーパー・FISC安全対策基準・保険業法監督指針のNeed to Know原則に対応可能です。
Q7. ISMAP(政府情報システムのセキュリティ評価制度)に対応していますか?
2026年3月時点でAnthropicはISMAP登録リストに含まれていません。ただし、AWS Bedrock経由で利用する場合、AWSはISMAP認定済みのため、データ処理基盤としてはISMAP準拠の構成が可能です。詳細はAWSの公式ISMAP情報を確認してください。
企業導入事例──セキュリティを重視した実績
Claude(およびClaude Code)を本番環境で導入している企業の事例を紹介します。いずれもセキュリティ・プライバシーを重視した導入形態を採用しています。
Bridgewater Associates──金融業界最大手ヘッジファンド
世界最大のヘッジファンドであるBridgewater Associatesは、Amazon Bedrock経由でClaudeを導入し、投資アナリストアシスタントを構築しています。Claude Opus 4がPythonスクリプトの作成、シナリオ分析、財務プロジェクションの可視化を担当し、複雑な株式・外為・債券レポートの分析時間を50〜70%短縮しました。金融業界の厳格なデータ主権要件に対し、Bedrock経由でAnthropicにデータを渡さない構成を採用しています。
GitLab──DevSecOpsプラットフォーム
GitLabはClaude 3モデルファミリーをDevSecOpsプラットフォーム全体に統合しています。コード生成、脆弱性の説明と修復、プランニング要約など複数のユースケースで活用。GitLabのPrincipal Engineerは「安全性に特化したAI企業であるAnthropicとの提携は、DevSecOps顧客が求める安定性とセキュリティの要求に合致する」と述べており、プライバシーファーストの姿勢を評価してベンダー選定を行いました。
DoorDash──フードデリバリー大手
DoorDashはAmazon Bedrock経由でClaudeを活用し、AI駆動のコンタクトセンターソリューションを構築。日に数十万件のAI電話対応を処理し、ライブエージェントへのエスカレーションを大幅に削減しています。Claudeのハルシネーション緩和能力、プロンプトインジェクション防御、不適切言語検知が選定理由として挙げられています。
💡 導入パターンの共通点
金融(Bridgewater)とフードテック(DoorDash)はいずれもAmazon Bedrock経由を採用し、Anthropicにデータを渡さない構成を選択しています。DevSecOps(GitLab)はAPI統合で、Anthropicの安全性への取り組みとプライバシーファーストの姿勢を評価しています。セキュリティを重視する企業ほど、Bedrock/Vertex経由の構成を選ぶ傾向が明確です。
保険・金融・医療──規制業種でClaude Codeを安全に導入する方法
保険会社、銀行、証券会社、医療機関──これらの業種では、個人情報保護法・金融庁ガイドライン・FISC安全対策基準・保険業法など複数の法規制が重層的に適用されます。「AIコーディングツールを使いたいが、監査法人やコンプライアンス部門を説得できない」という課題に対し、法的根拠と技術的構成の両面から具体的な解決策を提示します。
個人情報保護法──生成AIツール利用時の法的整理
個人情報保護委員会は2023年6月2日の注意喚起で、生成AIサービスに個人データを入力する事業者に対して以下を求めています:
- 利用目的の範囲内確認(法第18条):AIツールへの個人データ入力が、プライバシーポリシーで公表済みの利用目的の範囲内であること
- AIサービス提供者が機械学習に利用しないことの契約確認:「当該生成AIサービスを提供する事業者が、当該個人データを機械学習に利用しないこと等を十分に確認すること」(PPC原文)
- 要配慮個人情報の取得制限(法第20条):病歴・犯罪歴・障害等の要配慮個人情報は本人同意なしに取得禁止
- 第三者提供制限(法第27条):AIサービス提供者へのデータ送信が「第三者提供」に該当する場合は本人同意が必要
✅ Claude Codeでの対応策
- 学習不使用の契約保証:Anthropic商用利用規約でAPI/Team/Enterprise経由のデータは学習に使用しないことを契約上保証済み → PPC要件を充足
- 第三者提供の回避:AWS Bedrock/Vertex AI経由で利用すれば、データはAnthropicに送信されず自社クラウド内で完結。法第27条の「第三者提供」自体が発生しない
- 委託構成(法第27条5項1号):Direct API利用の場合も、Anthropicのデータ処理契約(DPA)により「委託」として整理可能(委託先への提供は本人同意不要、ただし監督義務あり)
- 要配慮個人情報の技術的排除:
.claudeignoreで患者データ・保険金請求データ等を含むディレクトリを除外 +settings.jsonのdenyルールで機密DBへのアクセスをブロック
金融庁AIディスカッションペーパーへの対応
金融庁AIディスカッションペーパー第1.1版(2026年3月3日更新)は、金融機関がAIを重要な判断に利活用する際に確認すべき5つの観点を示しています:
| 金融庁の要件 | 内容 | Claude Codeでの対応 |
|---|---|---|
| ①AIの性質・特性の理解 | 利用するAIモデルの能力と限界を把握 | Claude Codeはコード生成・レビュー専用であり、金融商品の勧誘や与信判断には使用されない。用途が明確に限定される |
| ②学習データの把握 | どのデータで学習されたか | Anthropicは商用利用規約で商用データを学習に不使用と保証。ISO/IEC 42001認証でAIガバナンス体制も第三者検証済み |
| ③RAG参照データの把握 | AIが参照する外部データの範囲 | Claude Codeが参照するのはローカルプロジェクト内のファイルのみ。外部RAGは使用しない。.claudeignoreで参照範囲をさらに限定可能 |
| ④プロンプトの管理 | どのような指示が与えられるか | CLAUDE.mdでプロジェクト全体の指示を管理。Enterprise監査ログ(180日)で全プロンプトを記録・追跡可能 |
| ⑤出力の記録・モニタリング | AIの出力を記録し継続的に監視 | Enterprise監査ログ + Compliance APIでプログラマティックに出力を記録。Bedrock経由ならAWS CloudTrail + Invocation Loggingで全リクエスト/レスポンスをS3に永続保存 |
FISC安全対策基準(第13版)への準拠
FISC安全対策基準 第13版(2025年3月公開)は、金融機関のコンピュータシステムに適用される国内最重要のセキュリティ基準です。第13版ではAI利活用に関する安全対策基準が新設され、クラウドサービス利用に関する要件も強化されています。
FISCの4カテゴリと対応策:
- 統制基準(ガバナンス):Claude Code利用のポリシー策定 → Enterprise管理設定で組織全体に統一ルールを強制適用
- 実務基準(オペレーション):日常運用とインシデント対応 → パーミッションシステム(deny/ask/allow)で開発者の操作範囲を制御、サンドボックスで異常操作を検知
- 設備基準(技術):暗号化・アクセス制御・改ざん検知 → TLS 1.3暗号化、IAMベースのアクセス制御、Bedrock PrivateLink/Vertex VPC-SCでネットワーク隔離
- 監査基準(監査):内部・外部監査への証跡提供 → CloudTrail/Cloud Audit Logsによる改ざん不可能な監査証跡
保険会社向け──監督指針改正とNeed to Know原則への対応
2025年8月施行の保険会社向け総合的な監督指針改正では、Need to Know原則(業務遂行上の必要性がある役職員に限定した情報アクセス)が明文化されました。
Claude Code導入時のNeed to Know原則への適合:
- アクセス範囲の限定:
.claudeignoreで顧客データ・保険金請求データ・契約情報を含むディレクトリを除外し、AIがアクセスできる情報を開発コードのみに限定 - 利用者の限定:Enterprise SSO/SCIMで開発チームのみにClaude Code利用権限を付与。退職・異動時は自動無効化
- 操作の記録:Enterprise監査ログ(180日分エクスポート可能)で「誰が・いつ・何を」AIに指示したか完全追跡
- 検証体制:Compliance APIで定期的な利用状況レビューを自動化し、コンプライアンス部門の検証義務を支援
監査法人に提示できる──規制業種向け推奨アーキテクチャ
以下の構成は、個人情報保護法・金融庁DP・FISC基準・保険業法の全要件を同時に満たします。監査法人やコンプライアンス部門への説明資料としてそのまま利用できます。
推奨構成:AWS Bedrock + PrivateLink + Enterprise
【データフロー】
開発者PC(社内ネットワーク)
↓ VPN/DirectConnect
社内VPC(AWSアカウント)
↓ VPC Endpoint(PrivateLink)
Amazon Bedrock(Claude モデル)
↓ レスポンス(同経路で返却)
開発者PC
【セキュリティ層】
1. ネットワーク層:PrivateLinkにより公開インターネットを一切経由しない
2. 認証層:IAM + SSO連携で個人識別・アクセス制御
3. データ層:Anthropicにデータ未送信、AWS側もモデル学習に不使用
4. 監査層:CloudTrail + Invocation Logging + VPC Flow Logs
5. 暗号化層:転送中TLS 1.3 + 保存時AES-256(AWS KMS管理鍵)
【監査証跡の保全】
- CloudTrail → S3(Object Lock有効)→ 改ざん不可能な長期保存
- Bedrock Invocation Logging → S3/CloudWatch → 全リクエスト・レスポンスの完全記録
- IAMフェデレーション → 全APIコールに開発者個人のIDを紐付け| 法規制要件 | 具体的な義務 | 推奨構成での充足方法 | エビデンス |
|---|---|---|---|
| 個人情報保護法 第18条 | 利用目的の範囲内での処理 | .claudeignoreで個人データを含むファイルを技術的に除外 | .claudeignore設定ファイル + 監査ログ |
| 個人情報保護法 第27条 | 第三者提供制限 | Bedrock経由でAnthropicへのデータ送信なし(第三者提供が発生しない) | PrivateLink設定 + VPC Flow Logs |
| PPC注意喚起 | AI学習不使用の契約確認 | Anthropic商用利用規約 + AWS Bedrock利用規約で二重保証 | 商用利用規約の該当条項 |
| 金融庁DP ①〜⑤ | AI特性理解・データ管理・出力記録 | 上記テーブルの5要件すべてに技術的対応済み | CloudTrail + Invocation Logging |
| FISC 統制・実務・設備・監査 | 4カテゴリ全般 | Enterprise管理設定 + サンドボックス + PrivateLink + CloudTrail | SOC 2 Type IIレポート + CloudTrailログ |
| 保険業法 監督指針 | Need to Know原則 | SSO/SCIM + .claudeignore + IAM最小権限 | SSO設定 + IAMポリシー + 監査ログ |
| HIPAA(医療機関) | PHI保護義務 | Enterprise + ZDR + BAA締結 | BAA契約書 + ZDR確認書 |
監査法人への提出用──エビデンス整備チェックリスト
規制業種でClaude Codeを導入する際、監査法人(Big 4等)に提示すべきエビデンスの一覧です:
- □ Anthropic SOC 2 Type IIレポート(trust.anthropic.comからNDA下で取得)
- □ DPA(データ処理契約)の締結確認(EU SCCs Module 2/3含む)
- □ 商用利用規約の学習不使用条項の該当箇所抜粋
- □ AWS/GCP利用規約のAIモデル学習不使用条項(Bedrock/Vertex経由の場合)
- □ VPC構成図:PrivateLink/VPC-SC経由でパブリックインターネット未経由の証明
- □ IAMポリシー:最小権限原則に基づくアクセス制御設定
- □ .claudeignoreファイル:個人データ・機密ファイル除外の設定内容
- □ settings.json(Enterprise管理設定):組織全体のdenyルール
- □ CloudTrailログのサンプル:Bedrock APIコールの記録(S3 Object Lock保管)
- □ Enterprise監査ログのエクスポート:180日分のユーザーアクティビティ
- □ 社内AI利用ポリシー:個人情報保護法・金融庁DP・FISC基準への対応方針
- □ 開発者向けAI利用研修の実施記録:機密データの入力禁止等のルール周知
⚠️ 重要な注意点
本セクションは一般的なガイダンスであり、法的助言ではありません。個人情報保護法・金融商品取引法・保険業法の具体的な適用判断は、自社の法務部門または外部弁護士に確認してください。特に要配慮個人情報(病歴・障害等)を扱うシステム開発では、Claude Codeの利用範囲を法務・コンプライアンス部門と事前に合意することを強く推奨します。
まとめ
Claude Codeの企業導入におけるセキュリティは、「リスクがあるから使わない」ではなく、「リスクを理解した上で適切に制御する」アプローチが重要です。本記事で解説した3段階のセキュリティレベルを参考に、自社の要件に合った構成を選択してください。
最低限やるべきこと(Level 1・無料):
.claudeignoreで機密ファイルを保護settings.jsonのdenyルールで危険コマンドをブロック- サンドボックスモードを有効化
- Claude Codeを常に最新版に更新
より強固なセキュリティが必要な場合(Level 2-3):
- Team/Enterpriseプランで契約上のデータ保護を確保(Claude Code利用にはTeam Premium席が必要)
- SSO/SCIMで認証・権限管理を統合
- Bedrock/Vertex AI経由でデータ主権を確保
- ZDRでデータ保持をゼロに
💡 まとめ
AIコーディングツールのセキュリティは「導入するかしないか」ではなく、「どう導入するか」の時代です。Claude Codeは、ローカルのサンドボックスから自社クラウド完結型まで、企業の規模と要件に応じた柔軟なセキュリティ構成を提供しています。
関連記事
- Claude Codeの使い方 超入門【2026年最新】
- Claude Code × MCP 実践活用ガイド【2026年最新】
- Claude Code 上級テクニック完全ガイド【2026年最新】
- AI×サイバーセキュリティ2026年最新動向
- Claude Code vs Codex 徹底比較【2026年最新】
最終更新: 2026年3月12日