📌 この記事の要約

• 個人向けにロックダウンモードが拡大
  2026年6月4日、OpenAIがChatGPTの「ロックダウンモード」をFree・Go・Plus・Proの個人アカウントとセルフサービス型ChatGPT Businessへ拡大。もともと2月に法人向けで先行導入された機能です。

• 狙いはプロンプトインジェクション対策
  Webページやファイルに紛れた悪意ある指示でAIをだまし、機密情報を流出させる攻撃を防ぎます。ただし防ぐのは外部送信という「出口」で、悪意ある指示が入り込む「入口」そのものはふさぎません。

• 制限されるのは主に6つの機能
  ライブWeb閲覧・画像表示やWeb画像取得・ディープリサーチ・エージェントモード・Canvasのネット接続・ファイルのダウンロードが制限されます。メモリーやファイルのアップロード、会話の共有などは影響を受けません。

• 万能ではない上級者向けの設定
  OpenAI自身「すべての人のためではない」と位置づけ、データ流出を完全に防ぐ保証はないと認めています。扱うデータの機密度を見極め、利便性とのバランスで選ぶ設定です。

　OpenAIは2026年6月4日、ChatGPTの新しいセキュリティ設定「ロックダウンモード」を個人向けアカウントへ広げると発表しました。もともとは2月に法人向けプランで先行導入された機能で、今回の更新によってFree、Go、Plus、Proといった個人アカウントと、セルフサービス型のChatGPT Businessアカウントでも使えるようになります。

　狙いは、プロンプトインジェクションと呼ばれる攻撃から、会話のなかの機密データが外部へ流出するのを防ぐこと。ただしOpenAI自身が、すべての人に必要な機能ではないと位置づけているとおり、利便性をある程度手放す代わりに守りを固める、いわば上級者向けの設定です。

ロックダウンモードが個人ユーザーでも使えるようになりました。

個人データを狙うプロンプトインジェクションという脅威

　ロックダウンモードを理解するには、まずプロンプトインジェクションがどんな攻撃なのかを押さえておく必要があります。これは、ChatGPTが読み込むWebページやファイルなどのなかにAIへの指示をこっそり紛れ込ませ、本来は応じないはずの命令を実行させたり、機密情報を吐き出させたりする手口です。人間に対する標的型のネット詐欺を、AI向けに置き換えたものと考えるとイメージしやすいかもしれません。

　なぜ今この攻撃が問題になっているのでしょうか。背景には、AIが自らWebを閲覧し、メールを読み、コードを実行するエージェントへと役割を広げてきた事情があります。できることが増えるほど、攻撃者が入り込む余地も広がるのです。OpenAIは公式の解説のなかで、プロンプトインジェクションを大規模言語モデル全体に共通する未解決の難しい研究課題だと説明しています。

　攻撃の流れを分解すると、悪意ある指示がAIの処理対象に紛れ込む「入口」の段階と、盗んだデータを攻撃者のサーバーへ送り出す「出口」の段階に分けられます。ロックダウンモードが手を打つのは、このうち後者です。外部への送信、つまりアウトバウンドの通信を厳しく絞ることで、データが実際に外へ持ち出される最終段階を断つ。裏を返せば、悪意ある指示そのものがChatGPTの目に触れるのを防ぐ機能ではありません。

　この点はOpenAIも認めています。たとえばキャッシュされたWebの内容や、アップロードしたファイルのなかに不正な指示が混じっていれば、応答の挙動や正確さが影響を受ける可能性は残ります。ロックダウンモードは攻撃の入口をふさぐ盾ではなく、被害が成立する直前で出口を閉ざす仕組みだと理解しておくとよいでしょう。

ロックダウンモードが有効になっているとチャット欄の上に表示されます。

ロックダウンモードで制限される6つの機能

　ロックダウンモードを有効にすると、Web接続や外部サービスに関わる主に6つの機能が制限されます。

　1つ目はライブのWeb閲覧です。オンにすると、ChatGPTがアクセスできるのはキャッシュ済みのコンテンツだけに限られ、新しいネットワーク要求はOpenAIの管理下にあるネットワークの外へ出ません。そのため検索結果が古かったり、表示されなかったりすることがあります。

　2つ目は画像のサポートで、通常の応答のなかで画像を表示したり、Webから画像を取得したりできなくなります。ただし手元の画像ファイルをアップロードする操作や、画像生成そのものは引き続き使えます。

　3つ目はディープリサーチで、こちらは完全に無効化されます。買い物関連のリサーチ機能も同様に使えません。

　4つ目はエージェントモード。自律的に操作を実行するこの機能も、丸ごと停止します。

　5つ目はCanvasのネットワーク接続で、Canvasが生成したコードにネットワークアクセスを許可することができなくなります。

　そして6つ目がファイルのダウンロードです。データ分析のためにファイルを取得する動作は止まりますが、自分でアップロードしたファイルに対する処理は、これまでどおり行えます。

　一方で、変わらない部分もきちんと押さえておきたいところです。メモリー機能やファイルのアップロード、会話の共有、そして会話がモデルの改善に使われるかどうかの設定は、ロックダウンモードをオンにしても影響を受けません。学習に使うかどうかはデータ管理の項目で別途設定するもので、この機能とは切り離されています。

ロックダウンモードをオンにする際の警告画面です。

セキュリティ設定からロックダウンモードをオンにする

　OpenAIはこの設定を、機密データを扱い、高度な脅威からより強い保護を求める一部のユーザーに向けたものだと位置づけています。想定されているのは、著名な組織の経営層やセキュリティチームといった、攻撃の標的になりやすい立場の人たちです。OpenAIは「Lockdown Mode is not intended for everyone.」（ロックダウンモードはすべての人のためのものではありません）と明言しており、ほとんどの利用者にとっては必須ではないとしています。

　有効化の手順はシンプルです。対象のアカウントであれば、設定画面からセキュリティの項目を開き、高度なセキュリティの設定でロックダウンモードをオンにするだけです。確認のダイアログで有効化を選べば切り替わります。もし設定項目が見当たらない場合は、まだ自分のアカウントに展開されていない可能性があります。

　1つ注意したいのが、Developerモードとの関係です。ロックダウンモードとDeveloperモードは同時に使えません。片方をオンにすると、もう片方は自動的にオフになります。守りを固めるモードと、機能を広げるモードが両立しません。なお、特定のチャットだけ、入力欄の上に出るステータス表示から一時的にロックダウンモードを切ることもできます。

　アプリやコネクターの扱いは、アカウントの種類によって変わります。個人アカウントとセルフサービス型のChatGPT Businessでは、同期済みデータを使うコネクターは利用できる一方、ライブのコネクターアクセスや書き込み動作はブロックされます。ChatGPT内の家計管理機能や、買い物エージェント系の体験も使えません。法人の管理ワークスペースでは、どのアプリのどの操作を許可するかを、管理者が細かく制御できる仕組みになっています。

ロックダウンモードは、設定の「セキュリティ」からオンにできます。

特定のチャットのみ、ロックダウンモードを解除することも可能です。

ロックダウンモードにも残るリスク

　ロックダウンモードは強力な防御策ですが、万能ではありません。OpenAI自身、この機能がプロンプトインジェクションによるデータ流出のリスクを大幅に下げる一方で、「it does not guarantee data exfiltration cannot happen」（データの持ち出しが起こり得ないことを保証するものではありません）と認めています。有効にしたアプリ、想定外の機能の組み合わせ、あるいは新たに見つかる手法を通じて、リスクが残る余地はあるわけです。

　プロンプトインジェクションは今のところ深刻なリスクとまではいえないものの、攻撃者の手口が洗練されるにつれて影響が広がる恐れがある、というのがOpenAIの見立てです。

　AIをWebや外部サービスとつなぐほど便利になる反面、守るべき入口も増えていきます。だからこそ、自分が扱うデータの機密度を見極めたうえで、利便性とのバランスをどこに置くかを一人ひとりが選べるようにする必要があります。ロックダウンモードは、その選択肢の一つとして受け止めておくとよさそうですね。