ChatGPT「Advanced Account Security」は有効にすべきか

有効化すると何が変わるのか

最大の変化は、パスワード中心のログインから、パスキーまたはFIDO対応の物理セキュリティキーを前提にしたログインへ移ることです。^[1] 報道でも、この設定はパスワードベースのサインインを取り除き、パスキーまたは物理セキュリティキーに置き換えるものとして説明されています。^[2]

主な変更点は次の通りです。

• パスワードログインが無効になる：サインインはパスキーまたは物理セキュリティキー中心になります。^[1]
• メール/SMSのサインインコードが使えなくなる：従来のコード受信に頼るログイン方法は使えません。^[1]
• メールによるアカウント復旧が無効になる：通常のメール復旧フローには頼れなくなります。^[1]
• ログイン通知が有効になる：不審なアクセスに気づきやすくするための通知が使われます。^[1]
• セッション時間が短くなる：再ログインの頻度が増える可能性があります。^[1]
• 有効化中の会話はOpenAIモデルの学習に使われない：OpenAIのヘルプでは、Advanced Account Securityが有効な間、会話はモデルの学習に使われないと説明されています。^[1]

つまり、攻撃者がパスワードやSMSコードを入手しても入りにくくする代わりに、正規ユーザー自身も「鍵」を失うと戻りにくくなる設計です。

有効化に必要なもの

OpenAIのヘルプによると、有効化には少なくとも2つの安全なサインイン方法が必要で、そのうち1つは複数デバイスで使える必要があります。^[1]

組み合わせの例は次のようなものです。^[1]

• パスキー + 物理セキュリティキー
• 2つのパスキー
• 2つの物理セキュリティキー

加えて、セットアップ時に発行される復旧キーを安全に保存する必要があります。^[1] スマートフォンの紛失、PCの故障、端末の買い替え、パスキー同期の失敗を想定し、復旧キーは普段使いの端末だけに置かない運用が必要です。

最大の注意点は「復旧できないリスク」

Advanced Account Securityの本質は、攻撃者がサポート窓口やメール復旧を悪用してアカウントを奪いにくくすることです。その代わり、正規ユーザーにとっても復旧のハードルは上がります。

OpenAIのヘルプでは、すべてのサインイン方法と復旧キーを失った場合、アカウントを失う可能性があると説明されています。^[1] また、OpenAIサポートは説明や案内はできるものの、通常のメール復旧、パスワードリセット、Advanced Account Securityの解除、サインイン方法の追加・削除による通常アクセス復旧はできないとされています。^[1]

復旧キーを使える場合でも、アカウントが解除されるまで48時間の待機期間があります。^[1] 出張中、締め切り前、開発作業中にメイン端末を失った場合、すぐに元通り使えない可能性があります。

日本ユーザーは有効にするべきか

日本在住かどうかだけで判断する機能ではありません。見るべきポイントは、ChatGPTアカウントにどれだけ重要な情報があるか、そしてパスキー・物理キー・復旧キーをどれだけ確実に管理できるかです。

有効化を検討したい人

次のようなユーザーは、Advanced Account Securityのメリットが大きい可能性があります。

• 仕事上の機密情報、業務資料、コード、未公開原稿をChatGPTで扱う人
• 個人情報やセンシティブな相談内容をアカウント内に残している人
• ChatGPTとCodexを同じアカウントで使い、開発関連の情報を守りたい人^[5]
• ジャーナリスト、研究者、公的立場の人など、標的型攻撃を受けるリスクが比較的高い人^[2][5]

OpenAI自身も、この機能を「デジタル攻撃のリスクが高い人」や「最も強いアカウント保護を求める人」向けと説明しています。^[5]

まだ待った方がいい人

一方で、次のような場合は急いで有効化しない方が安全です。

• パスキーの仕組みに慣れていない
• スマホやPCを頻繁に買い替える
• 物理セキュリティキーをなくしやすい
• 復旧キーを安全に保管する自信がない
• ChatGPTを軽い調べ物や日常的な文章作成にしか使っていない

Advanced Account Securityは「強いが、失敗したときの代償も大きい」設定です。防御力を上げる前に、自分が鍵をなくさない運用を作れるかを確認する必要があります。

表示されない場合に確認すること

OpenAIのヘルプでは、Advanced Account Securityは対象となる個人向けChatGPTアカウントに提供される一方、Enterprise関連のアカウントでは利用できないとされています。^[1] ワークスペースに紐づくアカウントでは、構成によって利用可否が変わる場合があります。^[1]

設定画面の「Security」にAdvanced Account Securityが表示されない場合、そのアカウントでは現在利用できません。^[1] 日本のユーザーも、まずは自分のアカウントの設定画面に項目が出ているかを確認するのが現実的です。

また、OpenAIのヘルプでは、YubiKeyの購入案内が米国・英国・EUのユーザーに表示される場合があると説明されています。^[1] 日本で同じ購入導線が表示されるとは限らないため、物理セキュリティキーを使う場合は、対応製品や入手方法を自分で確認する必要があります。

有効化前チェックリスト

有効化するなら、次の準備を済ませてから進めるのが安全です。

1. サインイン方法を2つ以上用意する
   OpenAIは少なくとも2つの安全なサインイン方法を求めており、そのうち1つは複数デバイスで使える必要があります。^[1]

2. 復旧キーの保管場所を決める
   復旧キーを失うと、通常のメール復旧やパスワードリセットでは戻れない可能性があります。^[1]

3. メイン端末を失った場合のログイン手順を確認する
   スマホ紛失、PC故障、パスキー同期トラブルが起きても、別の方法でログインできるか確認しておきましょう。

4. 48時間の待機期間を許容できるか考える
   復旧キーを使った場合でも、解除まで48時間の待機期間があります。^[1]

5. 仕事用アカウントの管理形態を確認する
   ChatGPT Enterprise、Enterprise管理アカウント、Enterprise管理ドメインに関連するアカウントは対象外です。^[1]

結論：重要情報を扱うなら有力。ただし準備なしでは危険

Advanced Account Securityは、ChatGPTアカウントを強く守りたい人にとって有力な設定です。特に、仕事の機密情報、個人情報、コード、調査資料などを扱うユーザーにとっては、パスワードやSMSに頼らないログインへ移行する意味があります。^[1][5]

ただし、これは「オンにすれば安心」という軽い設定ではありません。サインイン方法と復旧キーを失うと、OpenAIサポートでも通常の方法では復旧できない可能性があります。^[1]

日本の一般ユーザーへの現実的な答えは、重要情報をChatGPTに入れているなら有効化を検討。ただし、2つ以上のサインイン方法と復旧キーの安全な保管を準備してからです。軽い用途だけなら、無理に急ぐ必要はありません。