はじめに
OpenAIが2025年11月25日、ChatGPT EnterpriseやAPI Platformで利用できるデータレジデンシー機能の提供地域を拡大したと発表しました。本稿では、この発表内容をもとに、データレジデンシーの仕組み、対応地域、ビジネス顧客にとっての実用的な意味について解説します。
参考記事
- タイトル: Expanding data residency access to business customers worldwide
- 発行元: OpenAI
- 発行日: 2025年11月25日
- URL: https://openai.com/index/expanding-data-residency-access-to-business-customers-worldwide/
要点
- OpenAIは世界100万以上のビジネス顧客を対象に、データレジデンシー機能の提供地域を拡大した
- 現在、欧州、英国、米国、カナダ、日本、韓国、シンガポール、インド、オーストラリア、UAEの10地域で利用可能である
- ChatGPT Enterprise、ChatGPT Edu、API Platformの対象顧客は、顧客コンテンツを指定地域内に保存できる
- AES-256暗号化、TLS 1.2+による通信保護、GDPR・CCPA対応などのセキュリティ機能が提供される
- OpenAIのモデルはビジネスプランやAPIのデータで訓練されず、データは顧客が完全に所有する
詳細解説
データレジデンシーとは何か
データレジデンシーとは、ビジネス顧客が自社のデータを特定の地域内に保存できる機能です。この機能により、組織は各国の規制要件やデータ保護法に対応しやすくなります。
データレジデンシーは、データ主権やプライバシー規制が厳格化する中で、企業のコンプライアンス対応を支援する重要な機能と考えられます。特にGDPRが適用される欧州や、個人情報保護法が強化されている日本では、データの物理的な保存場所を管理できることが、AI導入の前提条件となるケースが増えています。
対応地域と今後の展開
OpenAIの発表では、データレジデンシーは現在、欧州、英国、米国、カナダ、日本、韓国、シンガポール、インド、オーストラリア、UAEの10地域で利用可能とされています。今後、追加地域への拡大も計画されているとのことです。
この10地域は、いずれもデジタル経済が発展し、データ保護規制が整備されている市場です。特にアジア太平洋地域では、日本、韓国、シンガポール、インド、オーストラリアと5つの地域が含まれており、OpenAIがこの地域のビジネス展開を重視していることがうかがえます。
ChatGPT Enterprise・Eduでの利用方法
ChatGPT EnterpriseおよびChatGPT Eduの顧客は、新しいワークスペースをセットアップする際にデータレジデンシーを設定できます。これにより、会話内容、アップロードファイル、カスタムGPT、画像生成成果物などの顧客コンテンツが、選択した地域内に保存されます。
ワークスペース単位での設定という方式は、組織内でも部門やプロジェクトごとに異なるデータ保存ポリシーを適用できる柔軟性があると言えます。例えば、人事部門は日本国内保存を選択し、グローバル展開部門は米国保存を選択するといった使い分けが可能になると考えられます。
API Platformでの利用方法
API Platformでは、Advanced Data Controlsの承認を受けたエンタープライズ顧客が、新しいプロジェクトを作成する際に希望する地域を選択できます。OpenAIによれば、これらのプロジェクトを通じたリクエストは地域内で処理され、モデルのリクエストとレスポンスはOpenAIのサーバーに保存されません。
この「保存されない」という点は重要です。従来のAPI利用では、不正利用監視のためにリクエストデータが一定期間保存されるケースがありましたが、Advanced Data Controlsを有効にすることで、この保存を回避できると考えられます。ただし、「地域内で処理される」という表現は、処理時にはデータが一時的にメモリ上に存在することを意味しており、完全なゼロ保存とは異なる点には注意が必要です。
セキュリティとプライバシー機能
OpenAIの発表では、データレジデンシーに加えて、以下のセキュリティ機能が提供されるとされています:
- 暗号化: 保存時はAES-256、通信時はTLS 1.2+を使用。Enterprise Key Management(EKM)により、顧客が独自の暗号化キーを持ち込むことも可能
- モデル訓練: ビジネスプランやAPIのデータは、顧客が明示的に共有を選択しない限り、モデル訓練に使用されない
- コンプライアンス: GDPR、CCPA対応、CSA STAR、SOC 2 Type 2、ISO/IEC 27001/27017/27018/27701認証に準拠
- データ処理契約(DPA): GDPRなどの規制下での役割と責任を明確化
AES-256は、現在の商用標準として広く採用されている暗号化方式です。TLS 1.2+は、古いバージョン(TLS 1.0/1.1)の脆弱性に対応した通信プロトコルで、多くの規制でも最低要件とされています。
特にEKMは、金融機関や医療機関など、より厳格なセキュリティ要件を持つ組織にとって重要な機能と考えられます。顧客が暗号化キーを管理することで、OpenAI側でもデータを復号できない状態を実現できる可能性があります。
ビジネス顧客にとっての意味
OpenAIは、API PlatformとChatGPTビジネス製品について、「データは機密性が保たれ、安全で、完全に顧客が所有する」と強調しています。データレジデンシーは、この顧客データ管理をさらに強化する機能と位置づけられています。
実務的には、この機能により、以下のような組織がOpenAIサービスを採用しやすくなると思います:
- 個人情報保護法で国内保存が推奨される日本の企業
- GDPRでEU域内保存が求められる欧州の組織
- 金融・医療などの規制業界で地域内保存が要件となるケース
- 政府調達でデータ主権が条件となる公共機関
一方で、データレジデンシーを有効にするには、エンタープライズプランへの加入やAdvanced Data Controlsの承認など、一定の要件を満たす必要があると考えられます。中小企業や個人事業主がすぐに利用できる機能ではない可能性があり、導入を検討する際は事前の確認が重要です。
まとめ
OpenAIは、世界10地域でデータレジデンシー機能を提供開始し、ビジネス顧客が地域内でのデータ保存を選択できるようにしました。暗号化やコンプライアンス対応と組み合わせることで、規制要件が厳しい業界や地域でもAI活用が進む可能性があります。
