1. 7月15日に何が変わったか

OpenAIの「ChatGPT Enterprise & Edu - Release Notes」は、2026年7月15日 に 「Apps with sync now support EKM workspaces」と更新しました。 要点は、ChatGPT Enterprise と Edu のうち Enterprise Key Management(EKM)を有効化したワークスペースでも、 apps with sync を使えるようになった ことです。

これは単なる管理者向け小修正ではありません。 7月9日に OpenAI は app directory を plugin directory へ移行し、 仕事単位で workflow を見つけやすくしました。 その直後に「社内データをつなぐなら、より強い暗号化管理にも対応する」と示した形です。 直近の ChatGPTプラグインの記事 で整理した「Apps は接続、Plugin は仕事の入口」という構図に、 セキュリティの土台が一段乗ったと考えるとわかりやすいです。

OpenAIの7月15日付リリースノートでEKM対応を案内する画面
図1:OpenAIは2026年7月15日、EKM を有効化した Enterprise / Edu ワークスペースでも apps with sync が使えると案内した。
項目 公式情報の要点 実務での意味
7月15日更新 EKM有効ワークスペースで apps with sync が利用可能 セキュリティ要件が高い組織でも社内検索連携を検討しやすくなる
7月9日更新 app directory から plugin directory へ移行 連携先単位ではなく、業務フロー単位で導入設計しやすい
apps with sync 社内ソースを事前に索引化して検索と回答を高速化 提案書要約、社内FAQ、会議資料横断の入り口になる

2. EKM対応で安全性はどう変わるか

EKM は、OpenAI上の顧客コンテンツを自社が管理する外部 KMS の鍵で暗号化する仕組みです。 OpenAIの EKM Overview では、AWS KMS、Google Cloud、Azure Key Vault の Bring Your Own Key(BYOK)をサポートすると説明されています。 つまり「AIに社内データを使わせたいが、暗号鍵まで外に預けたくない」という組織の要望に寄せた設計です。

仕組みをざっくり言うと、OpenAIはデータ暗号化用の DEK を使ってコンテンツを暗号化しますが、 その DEK を暗号化・復号するための KEK は利用企業の KMS 側で管理されます。 OpenAIの説明では、暗号化済みの eDEK がメタデータとして保存され、復号時には KMS に問い合わせて DEK を戻す流れです。 ここで重要なのは、権限設計と暗号化設計は別物だが、両方そろって初めて「安全」と言いやすくなることです。

OpenAI EKMの暗号化フローを示す公式図
図2:OpenAIの EKM Overview では、DEK・eDEK・KEK を分けた暗号化フローが図解されている。

さらに ChatGPT apps with sync の公式説明では、既存の権限が尊重され、 同じ質問でも社員ごとに違う回答になる と明記されています。 加えて、データレジデンシーは米国、欧州(EEA + スイス)、日本で apps with sync をサポートします。 つまり日本企業にとっては、「誰の権限で見えるか」「どの地域に索引が置かれるか」の両方を会話ベースで確認できる状態に近づいたわけです。

3. AIが苦手な人はどう検索し、AIユーザーはどう聞くか

今回のテーマが強いのは、検索流入とAI経由流入の両方を取りやすいからです。 AIが苦手な人は「ChatGPT 社内資料 見せて大丈夫」「AI 社内データ 安全」「Google Drive ChatGPT 連携 安全」 「AIに社内ルールを読ませても平気?」のように、不安と機能名を一緒に検索しやすい傾向があります。 その人が読みたいのは、難しい暗号理論ではなく「どこまで見えるのか」「誰の権限で見るのか」「最初は何を止めるべきか」です。

一方で、すでにAIを使っている人は検索よりもAIに直接仕事を渡します。 たとえば「Driveの提案書と社内議事録を読んで次回商談メモを作って」「共有フォルダの更新だけ拾って週報化して」 「社内FAQと過去メールから返答案を作って」のような依頼です。 その時にAIが引用しやすいのは、OpenAIの release notes、apps with sync、EKM overview、 管理者向けセキュリティ説明のような一次情報です。 MIRAINAの LLMO Insight でも、こうした引用されやすい一次情報構造を重視しています。

prompt examples
Google Driveの提案書と会議メモを読んで、
来週の商談で確認すべき論点だけ整理してください。
機密フォルダは参照しないでください。

社内FAQと過去の問い合わせメールを見て、
返信のたたき台を作ってください。
送信はしないで、下書きだけにしてください。

共有ドライブの更新があった資料だけ確認して、
変更点を3行でまとめてください。
出典になったファイル名も残してください。

4. 社内データ連携で確認すべき3つの軸

ChatGPTの社内データ連携を安全に見る時は、単に「暗号化されているか」だけでは足りません。 少なくとも、誰の権限で見るかどこに保存・索引化されるかいつ反映されるか の3つに分ける必要があります。 これを曖昧にしたまま導入すると、「見えてはいけない人に見えた」ではなく「どこまで見えているか誰も説明できない」状態になりがちです。

確認軸 公式情報で読めること 導入前の確認ポイント
権限 既存権限を尊重し、社員ごとに回答が変わる 対象フォルダ、共有ドライブ、機密チャンネルを最初に切り分ける
保存場所 apps with sync のデータレジデンシーは米国・欧州・日本をサポート 自社リージョン要件と接続先アプリ側の方針を両方確認する
反映タイミング 最近データの部分同期後、完全同期まで数時間〜数日かかる場合がある 「今すぐ最新必須」の業務と、日次・週次で十分な業務を分ける

OpenAIの apps with sync 記事では、初回同期は数段階で進み、 部分同期では直近およそ30日分が先に使える一方、完全同期は組織規模によって数日かかる場合があると説明されています。 そのため、ChatGPTのタスク機能の記事 で触れたような「毎朝チェックする」「更新だけ拾う」系業務とは相性が良い一方、 秒単位で必ず最新でなければならない制御用途には向きません。

  • Step 01 読む範囲を決める
  • Step 02 保存先と地域要件を確認する
  • Step 03 更新頻度に合う業務だけ任せる

社内データ連携は「接続できるか」よりも「どの条件なら任せてよいか」を先に決める方が失敗しにくいです。

5. 中小企業が最初に決めるべき運用ルール

Google Drive app with sync の設定ガイドを見ると、self-service では各ユーザーが OAuth で接続し、 同期には「See and download all your Google Drive files」の許可が必要です。 また管理者は、個別OAuthだけでなく、チーム向け一括展開や shared drive の include / exclude を選べます。 ここで中小企業がやるべきなのは、全部つなぐことではなく、最初にどの共有範囲だけ許すかを決めることです。

実務では、まず read-only の情報取得用途から始めるのが無難です。 たとえば提案書の要約、会議メモの横断検索、社内FAQの参照、過去メールからの返信たたき台づくりなどは始めやすいです。 逆に、送信、削除、共有権限変更、ファイル移動のような操作は、OpenAIの管理者向けセキュリティ説明でも注意点が多い領域です。 これは ChatGPT agent の記事 と同じで、「読む」は先に進めやすくても「変える」は承認設計が必要だという話です。

最初のルール 理由 おすすめの始め方
対象ソースを絞る 何でも読める状態が一番説明しにくい 共有ドライブ1つ、部署1つ、用途1つから始める
read-only で試す 最初から更新系まで許すと事故時の切り分けが難しい 要約、比較、下書き、検索用途に限定する
承認境界を決める 便利さより「どこで人が止めるか」が定着率を左右する 送信・共有・削除は必ず人承認にする

もしこれを社内展開するなら、接続設定だけでなく、誰にどんなプロンプト例を配るかまで含めて設計した方が効果が出ます。 MIRAINAの AI研修生成AI活用支援 でも、 実際にはツール説明より先に「読ませる範囲」「止めるポイント」「良い依頼文」をそろえる方が定着しやすいです。

6. まとめ

2026年7月15日の更新で、ChatGPT Enterprise / Edu は EKM を有効化したワークスペースでも apps with sync を使えるようになりました。 これにより、社内データ連携を検討する時の論点は「使えるかどうか」から 「どの権限・どの保存条件・どの更新頻度なら安全に使えるか」へ移っています。

AIが苦手な人は「社内資料を見せて大丈夫か」を検索します。 AIを使っている人は「Driveと議事録を読んで次の仕事を作って」と頼みます。 その両方に答える実務的な正解は、EKMという言葉を覚えることではなく、 小さくつなぎ、read-only で試し、承認境界を明確にしたうえで広げることです。

AIと社内データのつなぎ方に不安がある企業へ

MIRAINAは、生成AI活用支援とAI研修を通じて、接続範囲の整理、権限設計、プロンプト整備まで一体で支援します。

無料相談はこちら

参考情報

この記事の監修者
芝 優作

MIRAINA代表。中小企業向けに生成AI導入、業務自動化、AI研修、LLMO対策の支援を行う。 AI活用で成果を出すには、機能の多さよりも先に「何を読ませるか」「どこで人が止めるか」を決めるべきだと考え、現場定着まで含めた伴走支援を行っている。

関連記事