結論:外に出ると困る情報は入れない
APIキー、GitHub token、SSH鍵、秘密鍵、DB接続情報、FTP情報、管理画面URL、ログイン情報、顧客情報、契約や請求に関わる情報は、Codexへの依頼文にも公開ページにも入れません。必要な場合は、値そのものではなく「環境変数で読む」「Secretsに登録済み」とだけ伝えます。
Secretsとは何か
Secretsは、外部に出るとログイン、課金、データ取得、なりすまし、サーバー操作につながる情報です。キー、トークン、秘密鍵、認証情報、接続文字列、管理者URL、バックアップ、SQL dump、ログ内の認証情報などが含まれます。
Codexに渡さない情報
作業依頼に入れない情報を先に決めます。実値のキー、トークン、SSH鍵、.env、DB接続、FTP情報、サーバーIP、Basic認証、管理画面ログイン、顧客名、メール、電話番号、住所、契約書、請求書、売上明細、未公開サービス資料、社内資料、医療や金融などのセンシティブ情報は伏せます。
.envと環境変数の扱い
.envの実ファイルはGitHubにもCodexにも公開ページにも出しません。共有するなら、値を入れない.example形式の説明だけにします。gitignoreで除外し、過去コミット、deploy report、作業ログ、バックアップにも実値が残っていないか確認します。
GitHub tokenとSSH鍵
GitHub tokenやSSH鍵は、private repoであっても本文やREADMEやIssueに貼りません。Actionsで必要な値はSecrets管理に置き、PR本文やレビュー依頼では名前と役割だけを説明します。漏れた可能性がある場合は削除だけで終わらせず、再発行や無効化を含めて確認します。
個人情報と会社情報
顧客名、会社名、担当者名、メール、電話番号、住所、契約条件、請求情報、内部資料、未公開案件名は、必要がなければ一般化します。記事例では「顧客A」「example社」「管理画面」といった無効な表現に置き換えます。
安全な頼み方の例
安全な依頼では、実値を貼らずに状況だけを伝えます。たとえば「環境変数名だけ確認して」「.envの中身は見ずに.exampleを作って」「顧客名は伏せたまま導線を整えて」「Secretsの登録有無だけ前提にして」と書きます。
作業前チェックリスト
Codexに頼む前に、貼ろうとしている文章、添付ファイル、スクリーンショット、ログ、CSV、バックアップ、HTML、sitemap、公開記事を見直します。秘密情報が含まれるなら貼らず、ダミー値に置き換えてから依頼します。
- 本物のキーやトークンを含まない
- 個人名やメールを必要以上に含まない
- .envやログをそのまま貼らない
- 公開記事に秘密情報の例を出さない
- 漏れた場合の停止条件を決める
もし漏れたら
漏れた疑いが出たら通常作業を止めます。該当値を使い続けず、関係者に確認し、必要に応じて再発行、無効化、履歴確認、ログ確認、バックアップ確認を行います。これは法律判断ではなく、運用上の安全確認として扱います。
関連ページ
確認した公式情報
このページは公式ページではありません。最新仕様、install方法、料金、使用上限は必ず公式情報で確認してください。
FAQ
Codexに本物のAPIキーを貼ってもいいですか?
貼りません。必要な場合でも実値は伏せ、環境変数やSecretsに入っている前提だけを伝えます。
private repoならSecretsを置いても安全ですか?
private repoでも安全とは決めません。権限、履歴、Actionsログ、バックアップ、連携アプリまで確認が必要です。
すでに貼ってしまったら削除だけで十分ですか?
削除だけで十分とは限りません。作業を止め、関係者確認、再発行やローテーション、履歴やログの確認を行います。
記事内に例を出すときはどうしますか?
実在しそうな値は出さず、dummy-valueやexample-nameのような無効な表現にします。
CodexでLP・ホームページ作成 関連ページ
LP、ホームページ、HTML/CSS、問い合わせ導線、SEO、Secrets確認を分けて整理した関連ページです。
- CodexでLP・ホームページを作る方法|HTML/CSS・問い合わせ導線・公開前チェックまでCodexでLPやホームページを作る時に、何を準備し、ChatGPTで何を整理し、Codexに何を実装させればよいかを、HTML/CSS、問い合わせ導線、SEO、sitemap、公開前チェックまで実務向けに整理します。
Codex usage・security・sandbox・config.toml 関連ページ
急上昇語を、使用量、安全確認、設定、GitHub、公開前チェックへ分けて整理した関連ページです。
- Codex usage・security・skills・sandbox・config.tomlとは?急上昇語から見る実務チェックGoogle Trendsで急上昇しているCodex usage、security、skills、sandbox、config.toml、IDE、plugin、cloudを、Codex作業前の使用量、安全性、設定、Secrets、本番反映前チェックとして整理します。
Secrets・gitignore安全確認の関連ページ
Codex、GitHub、ChatGPT、AIサイト運営で、Secretsや個人情報を混ぜないための確認ページです。
Codex料金・ChatGPT Pro・usageの確認導線
料金やAPI利用を確認する時は、認証情報や個人情報の扱いも増えます。APIキー、token、請求情報、内部データを公開本文へ出さない前提で確認します。
Codex料金・ChatGPT Pro・usageの整理ページ / Codex CLI / usage・security
残り使用量・5時間枠・週制限の確認導線
Codex料金、usage、残り使用量、5時間枠、週枠は、使う入口によって見え方が変わることがあります。詳しくは料金ページで確認します。
料金・usage・プラン選びの確認導線
Codexの料金、usage、残り使用量、5時間枠、週枠は、使う入口と作業方式によって見え方が変わります。詳しくは料金ページで整理しています。
Pro 100 / Pro 200と /GOAL 作業の確認導線
Pro 100とPro 200の違いは、Codexの性格が別物になることではなく、重い作業や並行作業に使える量の余裕として整理します。
Codex料金・Pro 100/Pro 200・/GOAL作業の整理ページ / Codex status / usageとセキュリティ
プラン変更時の契約確認
CodexのためにPro 100やPro 200を試す場合は、アップグレードの差額とダウングレードの反映日を契約画面で確認します。
料金・月額プラン・usageを確認する時の入口
Codexの料金を見る時は、個人向けChatGPTプラン、BusinessやEnterpriseなど組織向け契約、APIやworkspace creditsの入口を分けて確認します。月額、年額、seat、usage、rate limitを混同せず、契約画面と公式ページで確認する前提にします。
Codex料金・ChatGPT Pro・月額プラン・残り使用量の確認ページ / usageとセキュリティ確認 / statusと残り使用量の見方
個人情報・プライバシー・Secretsの確認
個人情報、プライバシー、Secrets、gitignore、フルアクセスの検索意図では、安全か危険かを断定せず、公開前に何を出さないかを整理します。認証情報、環境変数ファイル、サーバー情報、ローカルパス、顧客情報を公開本文やログに入れないことを前提にします。
- 公開HTMLに秘密情報やローカルパスが混ざっていないか見る
- private repoでも秘密情報を置いてよいとは書かない
- AdSenseコードやSearch Console確認タグは勝手に変更しない