まず一言でいうと
秘密情報とは、外に出るとログイン・操作・不正利用につながる可能性がある情報です。
秘密情報は、作業を進めるために必要そうに見えても、実値を貼らないのが基本です。Codexには「認証情報は扱わない」「必要なら停止して報告」と書き、実際の値を指示文、報告書、公開ページ、GitHub差分に出さないようにします。
このページで整理すること
Codexに渡してよい情報、渡さない方がよい情報、伏せ方、置き換え方、公開前チェックを整理します。危険を煽るためではなく、実務でCodexを安全に使うための境界線を決めるページです。
Codexに渡してよい情報
- 秘密情報が必要そうな場面で停止条件を書く
- 伏せ字や一般名で設定項目だけ説明する
- 公開前チェックで混入の有無を見る
- 触らないファイルを明示する
渡さない方がよい情報
- APIキーやトークンの実値を書く
- パスワードや秘密鍵を貼る
- DB接続情報やSSH情報を貼る
- ログ全文をそのまま共有する
Codexに渡す前の情報分類表
| 情報 | 渡してよい? | 注意点 |
|---|---|---|
| 公開済みURL | 基本OK | 対象を明確にする |
| ページ本文案 | 条件付き | 個人情報や顧客情報を伏せる |
| 画像素材 | 条件付き | 権利、人物、写り込みを確認する |
| APIキー | NG | 実値を入れない |
| パスワード | NG | 絶対に入れない |
| 顧客名 | 原則NG | 匿名化する |
| サーバーパス | 原則伏せる | 報告書では一般化する |
| DB情報 | NG | 構造変更は停止条件にする |
伏せ方・置き換え方
| 元の種類 | 置き換え例 |
|---|---|
| 実名 | 担当者A、利用者A |
| メールアドレス | メールアドレスA |
| サーバーパス | サーバーパスA |
| APIキー | APIキーは伏せる |
| 顧客名 | 顧客A |
| 電話番号 | 電話番号は省略 |
公開前チェック表
| 確認項目 | 見ること |
|---|---|
| 本文 | 個人情報や会社情報が出ていないか |
| 画像 | 顔、住所、連絡先、内部画面が写っていないか |
| リンク | 共有リンクが公開されすぎていないか |
| meta情報 | 内部情報や顧客名が入っていないか |
| 報告書 | パス、ログ、認証情報がないか |
| GitHub差分 | Secrets、.env、ログが混ざっていないか |
やってはいけないこと
Codexに秘密情報をそのまま貼らない、GitHub Secretsや.envの実値を公開しない、Google Drive共有範囲を確認せずリンクを渡さない、報告書を匿名化せず公開しない。この4つを最低限の停止線にします。
- 法律判断やセキュリティ判断を断定しない。
- DB、cron、.htaccess、AdSense、Search Console確認タグ、robots.txt、ads.txtは軽作業として扱わない。
- 成果保証、順位を断定する表現、安全性の保証を書かない。
関連ページ
FAQ
Codexに個人情報を渡してもいいですか?
作業に不要な個人情報は渡さない方が安全です。必要な場合も、匿名化や一般化を先に行い、公開前に再確認します。
APIキーやトークンはどう扱いますか?
実値は指示文、報告書、公開ページ、GitHub差分に出さないのが基本です。必要そうな場面では停止条件にします。
Google Driveリンクは貼ってよいですか?
共有範囲、閲覧権限、編集権限、含まれる個人情報や会社情報を確認してから判断します。実例リンクは公開ページに載せません。
報告書を実践ログ化できますか?
できますが、サーバーパス、ログ、顧客情報、認証情報、内部情報を一般化・匿名化してから使います。
GitHub commit safety
GitHub commit前チェックで秘密情報を除外する
Codex作業でGitHubへcommitする前は、秘密情報を「本文に貼らない」だけでなく、差分や不要ファイルに混ざっていないかを確認します。gitignoreは秘密情報をcommitしないための補助ですが、gitignoreだけで安全が保証されるわけではありません。
| 見る場所 | 確認すること | 止める条件 |
|---|---|---|
| 変更ファイル一覧 | .env、ログ、dump、backup、圧縮ファイルがないか | 秘密情報の可能性があれば停止 |
| 差分 | APIキー、token、passwordの実値がないか | 実値が見えたらcommitしない |
| private repository | 見える人と連携サービスを確認 | 公開範囲が不明なら停止 |
| Codex報告書 | サーバーパスや認証情報が出ていないか | 公開前に一般化する |
GitHub連携全体の流れは CodexとGitHub連携、公開前の総点検は Codex公開前チェック を確認してください。
codex secret / secrets で来た人向けの直答
CodexにSecretsの実値を貼る必要はありません。相談や修正依頼では、Secret名、用途、影響範囲だけを一般化して伝えます。
- APIキー、token、password、.env、DB接続情報を貼らない。
- private repositoryでも秘密情報を直書きしない。
- GitHubにcommitする前にSecrets混入を確認する。
- 公開前にCodex公開前チェックで差分と表示を確認する。
codex secrets で見るべきこと
CodexにSecretsの実値を見せる必要はありません。エラー相談やコード相談では、Secret名、用途、影響範囲だけを一般化して伝えます。
- GitHub private repositoryでも秘密情報を直書きしない。
- .env やDB接続情報は貼らない。
- ログ全文を貼る前に、token、URL、メール、顧客名を伏せる。
- GitHub側はGitHub Secrets注意も確認する。
CodexとSecrets・APIキーの確認
codex secret、codex secretsで来た人は、Codexに秘密情報の実値を見せない前提で作業します。エラー相談でも実値を伏せ、構造だけを説明してください。
- APIキー、token、passwordを貼っていない
- .env、DB接続情報、GitHub Secrets実値を貼っていない
- private repositoryだから安全と思い込んでいない
- PRやdiffで意図しないファイル変更を確認した
- GitHub連携とGitHub Secrets注意を確認した
Codex実務ロングテール第1波の関連ページ
Search Console周辺で反応しやすい実務語の受け皿です。既存の勝ちページとあわせて確認できます。
Codex実務ロングテール第2波の関連ページ
作業前後の確認、役割分担、複数ページ補強の考え方を補足するページです。
Codex GitHub実務 第8波の関連ページ
PR、review、CI、branch、private repo、Issue、README、release noteへつなぐページです。