Claude Fable 5 企業導入の落とし穴：30日データ保持・ZDR無効化・Microsoft社内利用禁止の真相【2026年6月速報】

Claude Fable 5（2026年6月9日リリース）は、既存のZDR（ゼロデータ保持）契約があっても例外なく30日間のデータ保持が必須となります。Anthropicはこれを「Covered Models（カバードモデル）」指定と呼び、企業側では設定変更も免除申請もできません。この仕様を見落として導入した場合、ISO 27001・GDPR・個人情報保護法・既存クライアント契約との抵触リスクが生じます。

リリースから48時間後の2026年6月11日、Microsoftは数千名のエンジニアに向けてFable 5の社内利用禁止を通達しました。その根拠はAnthropicの新モデルそのものへの不信ではなく、社内の「Third-Party AI Services Policy v3.2」が定める7日超のデータ保持・人間レビューへの曝露禁止条項に抵触するためです。

この記事では、IT担当者・法務担当者・CTO が「自社は今すぐFable 5を使えるか」を判断するために必要な情報を整理します。

この記事でわかること：

30日データ保持ポリシーの内容と、ZDRが無効化される具体的な仕組み
Microsoft社内利用禁止の根拠となった社内ポリシー条項の詳細
AWS Bedrock・Vertex AI・Microsoft Foundry 経由で生じる追加リスク
ZDR契約組織向けの公式ワークアラウンド（ワークスペース単位での回避策）
情報システム・法務・経営の3視点からの導入可否チェックリスト（23項目）
日本固有のコンプライアンス確認事項（ISMS・Pマーク・個人情報保護委員会）

想定読者： Fable 5の企業導入を検討しているIT部門・法務部門・CTO・情報セキュリティ担当者

最初に確認：Claude Fable 5 の企業利用における3つの絶対条件

Claude Fable 5 と Mythos 5 公式発表ビジュアル（Anthropic）

出典: Anthropic 公式サイト

Claude Fable 5の機能・性能・料金の詳細は別記事で解説していますが、本記事では企業導入における制約事項に絞って解説します。

Fable 5を企業で使う前に、以下の3点を必ず把握してください。

#	制約	内容	企業への影響
1	30日データ保持が必須	Fable 5 / Mythos 5 は「Covered Models」に指定。ZDR適用不可	既存ZDR契約が無効化される
2	Adaptive Thinking 常時オン	`thinking: disabled` の無効化が非対応。思考プロセスが生成される	ログ・コスト設計の見直しが必要
3	セーフガードによるフォールバック	サイバーセキュリティ・バイオ・モデル蒸留の3種を自動でOpus 4.8に切替	セキュリティ・バイオ業種では利用制限あり

この3つのうち、企業コンプライアンス上最も影響が大きいのが「30日データ保持」です。

「30日データ保持」が問題になる理由——ZDR無効化の仕組みを解説

ZDR（ゼロデータ保持）とは何か

ZDRとは、Anthropicとの契約において「APIに送信されたプロンプト・レスポンスをAnthropicのサーバーに一切保存しない」ことを保証する設定です。医療・金融・法律など機密データを扱う企業が、HIPAA・GDPR・個人情報保護法への対応として導入していました。

Fable 5 で ZDR が機能しなくなる理由

Anthropicの公式ドキュメント（platform.claude.com/docs/en/manage-claude/api-and-data-retention）には以下の通り明記されています。

Claude Fable 5 and Claude Mythos 5 are designated Covered Models and require 30-day data retention. Zero data retention is not available for Claude Fable 5 or Claude Mythos 5.

これは「既存のZDR契約があっても Fable 5 トラフィックには適用されない」という意味です。設定の切り替えなし、企業向け例外なし、プラットフォーム免除なし——「Covered Models」指定は一律に適用されます。

重要なのは、ZDR組織が誤ってFable 5にAPIリクエストを送ると 400 invalid_request_error が返ってくる点です。エラーが返ることでZDRが守られているわけですが、裏を返せば「アプリケーション側でFable 5を指定していないかを確認しないと、意図せずFable 5に切り替わった際に400エラーでサービスが止まる」リスクもあります。

30日間、保持されるデータの扱い

Anthropicは30日間の保持について、以下のコミットメントを公式に示しています。

新モデルの学習には使用しない
安全目的以外には使用しない
人間アクセスはすべて改ざん防止ログに記録
30日後に自動削除（安全調査・法的保留を除く）
ポリシー違反フラグが立った場合は最大2年間保持

「学習に使わない」点は評価できますが、企業のコンプライアンス上問題になるのは「Anthropicの従業員がデータにアクセスし得る」点です。これは弁護士・クライアント特権の喪失リスクに直結します。

Microsoft社内利用禁止の経緯と根拠（2026年6月11日）

Claude Fable 5 サイバーセキュリティ評価チャート（Anthropic公式）

出典: Anthropic 公式サイト

禁止の概要

項目	内容
禁止通達日	2026年6月11日（Fable 5リリースの約48時間後）
対象	GitHub Copilot経由でFable 5を利用していた数千名のMicrosoftエンジニア
根拠	Third-Party AI Services Policy v3.2（2025年1月改訂）
代替	GPT-5シリーズ・Phi-5ファミリー（厳格なデータ分離契約あり）は引き続き利用可能

どの条項が抵触したのか

Microsoftの「Third-Party AI Services Policy v3.2」は、外部AIサービスの利用に関して以下を定めています。

7日を超えるデータ保持 → Full Impact Assessment（全影響調査）が必須
人間レビューにさらされる可能性がある場合 → 同じく Full Impact Assessment が必須

Fable 5の30日保持はこの「7日超」条件に明確に抵触します。加えて、Anthropicのポリシーでは「フラグが立った会話」に対して人間がアクセスする設計になっており、これも「人間レビューへの曝露」に該当します。

「知的財産および顧客データの保護を最優先事項とする。Anthropicがコンプライアンス基準を満たすゼロ保持設定を提供した場合、90日以内に再検討する。」

GitHub Copilotでの扱いと注意点

誤解が多い点ですが、今回の禁止は「Microsoftの社内利用」に限定されます。Microsoft以外の企業が GitHub Copilot でFable 5を使うことは現時点では制限されていません。ただし、管理者がFable 5を有効化する際には「30日データ保持ポリシーへの同意」モーダルへの明示的な操作が必要です。この同意画面を見落としたまま有効化すると、自社のデータ保護ポリシーとの整合が取れていない状態になります。

Microsoftの事例から得られる教訓： 大企業が48時間で禁止決定を下せた背景には、「Third-Party AI Services Policy」という社内ポリシーと評価プロセスが整備されていたからです。自社に同等のポリシーがない企業は、Fable 5の評価以前に、AI利用ガバナンスポリシーの整備が急務です。

プラットフォーム別：AWS Bedrock / Vertex AI / Azure Foundry の追加リスク

AWS Bedrock と Claude を活用したエージェント型AI構築（AWS公式）

出典: Amazon Web Services 公式サイト

Fable 5は複数のクラウドプラットフォーム経由で提供されていますが、プラットフォームによって追加リスクが異なります。

AWS Bedrock 経由の重要な警告

AWSは公式ブログで以下を明記しています。

Once you opt in data retention, your data will leave AWS's data and security boundary.

これは極めて重要な警告です。「AWSのセキュリティ境界内にデータを留めるために Bedrock を選択していた」企業にとって、30日保持を有効化した時点でその前提が崩れます。

Fable 5が利用可能なリージョンは現時点で以下の2つに限定されています。

米国東部（N. Virginia）
欧州（Stockholm）

日本リージョンでの処理可否は2026年6月時点で未確認です（Anthropicアカウントチームへの個別問い合わせが必要）。

Google Cloud Vertex AI 経由

EU圏でのデータレジデンシーが要件の場合、Vertex AI の EU リージョンが現状の選択肢です。ただし、ZDR契約がある組織でも30日保持が適用される点はAPIと同様です。

Microsoft Foundry（Azure）経由

Azureサブスクリプション単位での制御が可能との報告がありますが、詳細な設定手順は2026年6月11日時点で未確認です。Microsoftの社内禁止令が示すとおり、社内セキュリティポリシーとの照合が最優先です。

HIPAA 対応状況の整理

プラットフォーム	HIPAA readiness	備考
Claude API（直接）	BAA締結が前提。Fable 5は要個別確認	PHIを含むJSONスキーマ定義は禁止
Claude Platform on AWS	非対応	HIPAA readiness なし
Amazon Bedrock	要確認	AWSのセキュリティ境界外問題あり
Vertex AI	要確認	EU対応が比較的整備
Microsoft Foundry	要確認	詳細未確認

セーフガード（3種）が企業業務に与える影響

Fable 5は「Mythosクラスモデルの一般公開版」として、以下の3種のセーフガード（自動フォールバック分類器）を搭載しています。

セーフガード	対象業務	企業への影響
サイバーセキュリティ	脆弱性悪用・オフェンシブサイバータスク	セキュリティ企業・ペネトレーションテスト業務でFable 5の効果が限定的
生物・化学	ウイルス設計等デュアルユースの広範な制限	バイオテクノロジー・創薬企業で特定タスクが自動フォールバック
モデル蒸留	競合モデル向けの能力抽出試み	LLMのファインチューニング・蒸留業務が制限

セーフガードが発動した場合、リクエストは自動的にClaude Opus 4.8にフォールバックします。これ自体はサービス継続性を保つ設計ですが、以下の点に注意が必要です。

セーフガードの感度・範囲はAnthropicが一方的に設定（企業側での制御不可）
発動頻度は全セッションの約5%未満（公式）だが、業種によって大きく異なる
フォールバック時のコスト管理: fallbacks パラメータで対応可能（ベータ）。model_actually_used および fallback_triggered メタデータをSIEMログに記録する設計が推奨

セキュリティ企業・バイオテクノロジー企業・LLM開発企業でFable 5の導入を検討している場合は、本番利用前に実際の業務プロンプトでフォールバック発動頻度を測定することを強く推奨します。

法務・コンプライアンス担当者が見落としがちな3つのリスク

リスク1：弁護士・クライアント特権の喪失

法律事務所・企業の法務部門が見落としやすい深刻なリスクです。

Anthropicのデータポリシーでは、ポリシー違反フラグが立った会話にAnthropicの従業員がアクセスできる設計になっています。米国法（および日本の弁護士法）では、機密性のある法的コミュニケーションを第三者に自発的に開示した場合、弁護士・クライアント特権が喪失する可能性があります。

具体的に問題となる業務：

訴訟戦略・準備書面の作成補助
証拠開示（eDiscovery）の分析
クライアントとの機密メール起案
M&A・企業再編に関わる法的文書

現時点での推奨： 法律事務所・法務部門はFable 5の機密業務利用を原則回避し、ZDR対応モデル（Opus 4.8等）を継続使用することが望ましいとされています（Jessica Eaves Mathews 弁護士・CybersecurityWeek寄稿 2026年6月）。

リスク2：既存クライアント契約・NDA との抵触

クライアントとの秘密保持契約（NDA）やデータ処理条件書（DPA）が「処理データを第三者のサーバーに保存しない」ことを要求している場合、Fable 5の30日保持はこれに違反する可能性があります。

確認すべき既存契約：

顧客との SLA・DPA（特に「データ保存期間」「第三者委託」の条項）
SOC2 Type II 報告書のプロセッサー記載（Fable 5への更新が必要）
従業員との使用同意（Fable 5向け補足同意が必要な場合）

リスク3：GDPR データ最小化原則

EUのGDPRは「データ最小化の原則」として、個人データの保存期間を目的達成に必要な最小限に制限することを求めています。タスク完了後も30日間保持するFable 5の設計が、EU規制当局の審査を通過するかどうかは2026年6月時点で未確定です。

AnthropicはDPA（Data Processing Agreement）を通じてGDPRへの準拠を主張しています。ただし、EUデータレジデンシーが要件の場合は、AWS Bedrock EU エンドポイント（Stockholm）またはVertex AI EU リージョンの利用が現状の選択肢です。

AIツールのセキュリティ全般については、AIエージェントのセキュリティ対策ガイドもあわせてご参照ください。

ZDR契約組織向けの公式ワークアラウンド（ワークスペース単位での回避策）

ZDR契約がある組織でも、特定のワークスペースだけ30日保持を有効化することで Fable 5 を使えるようにする公式手順があります。

設定手順（公式）

Claude Console にログイン → Settings → Workspaces
Fable 5 を使わせたいワークスペースを選択
「Privacy controls」タブを開く
「30-day data retention」を有効化

この操作後、そのワークスペースのみFable 5が使用可能になります。他のワークスペースはZDRを維持できます。

ワークアラウンドの運用注意点

有効化したワークスペースのデータはAnthropicのサーバーに30日間保持されます。「感度の低い業務専用ワークスペース」への限定が前提です
誰がどのワークスペースを使えるかを管理するため、SAML 2.0 / Microsoft Entra ID によるグループベースアクセス制御の設定が必須です
有効化・無効化の操作履歴を監査ログとして記録する設計を推奨します

企業導入可否チェックリスト：情報システム・法務・経営の3視点から

公式ドキュメントおよび業界標準ガイドラインをもとに整理しました。自社の担当者が独立して確認できるよう、部門別に分類しています。

情報システム部門

#	確認項目	確認状況
1	SSO設定（SAML 2.0 / Entra ID）のグループベースアクセス制御	☐
2	SCIM プロビジョニング設定	☐
3	SIEM統合・監査ログ設計（最低90日・規制業種は12〜24ヶ月）	☐
4	`model_actually_used` / `fallback_triggered` メタデータのログ記録設計	☐
5	データ分類ポリシーの見直し（Fable 5で処理するデータの感度評価）	☐
6	データレジデンシー要件の確認（Bedrockの「AWSセキュリティ境界外」問題）	☐
7	BYOK（お客様管理暗号化キー）のタイムライン確認（Anthropicアカウントチームへ問合せ）	☐
8	レート制限・コスト超過防止のアラート設定（6/23以降の使用量課金に備える）	☐

法務・コンプライアンス部門

#	確認項目	確認状況
9	Anthropic利用規約の30日保持条項を法務確認済み	☐
10	既存のZDR契約書がFable 5に適用されないことを明文確認	☐
11	SOC2 Type II 報告書のプロセッサー記載更新	☐
12	HIPAA BAA の適用範囲確認（プラットフォームにより異なる）	☐
13	個人データ保護法（GDPR / CCPA / 個人情報保護法）における30日保持の適法性確認	☐
14	クライアント・取引先との NDA および秘密保持契約の対象範囲確認	☐
15	従業員への使用同意取得（Fable 5向け補足同意が必要な場合）	☐
16	弁護士・クライアント特権の問題がある業務でのFable 5利用禁止設定	☐

日本固有の確認事項

#	確認項目	確認状況
17	ISMS（ISO 27001）ポリシーとの整合性確認	☐
18	プライバシーマーク（Pマーク）認定における第三者委託規定との照合	☐
19	個人情報保護委員会の越境移転ガイドライン（米国Anthropicサーバーへのデータ送信）	☐
20	日本リージョン処理の可否確認（2026年6月時点：個別アカウントチームへの問い合わせ要）	☐

経営・ガバナンス

#	確認項目	確認状況
21	Fable 5有効化に経営層承認が必要か（承認権限の設定）	☐
22	予算・コスト管理（6/23以降の使用量クレジット費用計上）	☐
23	リスク受容の文書化（取締役会・経営層への報告義務確認）	☐

判断基準： チェックが入らない項目が多いほど導入リスクが高まります。特に法務・コンプライアンス部門の項目9〜16は、どれか1つでも未確認のまま導入すると契約違反・法令違反になる可能性があります。

代替モデル比較：ZDR対応モデルとFable 5の選び分け

出典: Anthropic 公式サイト

機密業務でZDRが必要な場合は、以下のモデルへの継続利用・切り替えを検討してください。

モデル	ZDR対応	HIPAA対応	料金目安	推奨用途
Claude Fable 5	❌（30日保持必須）	プラットフォーム依存	$10/$50 per 1M tokens	非規制業種・開発用途・PII非処理
Claude Opus 4.8	✅	✅	Fable 5の半額	機密業務・医療・法律・金融
Claude Sonnet 4.6	✅	✅	Opus 4.8より低価格	バランス型・一般業務
Claude Haiku 4.5	✅	✅	最低価格帯	高速処理・低コスト重視
Claude Mythos 5	❌	未確認	Fable 5超	Glasswingパートナー限定

注意：Claude Opus 4.8はFable 5の自動フォールバック先でもあります。セーフガードが発動した際にOpus 4.8が使われるため、両モデルを組み合わせたハイブリッド設計も現実的な選択肢です。

Claude APIの料金詳細と各プランの違いはこちらで解説しています。

自社のパターンはどれ？導入判断フロー

企業の状況を3つのパターンに分類します。自社がどれに当てはまるかを確認してください。

パターンA：即時導入可

以下をすべて満たす場合：

非規制業種（医療・金融・法律等の厳格なデータ保護規制なし）
開発・テスト用途のみ（本番データ・顧客データを処理しない）
PII（個人識別情報）を処理しない
既存ZDR契約なし、またはZDR契約の対象外ワークスペースで利用

→ 社内通知後すぐに有効化可能。ただし6月23日以降の課金スケジュール変更に要注意。

パターンB：限定導入（部門・ワークスペース単位）

以下に当てはまる場合：

混合データ環境（感度の高いデータと低いデータが混在）
既存ZDR契約あり（ワークアラウンド適用が必要）
ISMS取得企業（個別ポリシー更新が必要）
クライアント契約の一部に30日保持を許容しない条項あり

→ 感度の高い部門はZDR対応モデル（Opus 4.8等）を継続し、感度の低い業務（内部ドキュメント生成・公開情報の整理等）に限定して Fable 5 を導入。

パターンC：導入延期

以下に当てはまる場合：

HIPAA / BAA 契約あり
医療・金融データを処理する
PHI（患者情報）・顧客金融データをAPIに送信している
弁護士・クライアント特権が問題になる業務がある
全従業員のAIツール利用を一元管理しているが、Fable 5向けのポリシー更新が未完了

→ ZDR対応状況・HIPAA適格性が公式に明確になるまで導入延期。現行のZDR対応モデル（Opus 4.8 / Sonnet 4.6）で対応継続。

Fable 5の導入に向いている企業・向いていない企業

Fable 5の導入に向いている企業

スタートアップ・開発会社：顧客の個人情報や機密業務データをAPIに送らず、主にコード生成・技術文書作成・内部ツール開発に利用する場合
大規模コンテキストを必要とするプロジェクト：1Mトークン・最大128k出力を活かした長文ドキュメント処理・大規模コードベース解析
非規制業種のナレッジワーク：マーケティング・コンテンツ制作・一般的な業務効率化
Fable 5 + Opus 4.8 のハイブリッド設計が可能な企業：感度の低い業務にFable 5、機密業務にOpus 4.8 を使い分けるアーキテクチャが構築できる組織

Fable 5の導入を現時点で見送るべき企業

医療機関・製薬会社：PHI処理・HIPAA BAA 必須。Claude Platform on AWS は HIPAA readiness 非対応
法律事務所・企業法務部門：弁護士・クライアント特権の喪失リスク。機密法務業務には原則非推奨
金融機関・保険会社：顧客金融データの30日保持が既存規制（金融庁ガイドライン等）と抵触する可能性
ISMS・Pマーク取得企業：第三者委託・越境移転に関するポリシー更新と個人情報保護委員会への確認が完了するまで
セキュリティ企業・バイオテクノロジー企業：業務の中核がセーフガード対象に該当するため、Fable 5の効果が大幅に限定される
EU圏でGDPRのデータ最小化原則への対応が求められる企業：規制当局の見解が確定するまで

Claude全体の特徴・歴史・位置づけはこちらで解説しています。

よくある質問（FAQ）

Q. ZDR契約がある組織でも Fable 5 を使えますか？

A. 公式のワークアラウンドがあります。Claude Console → Settings → Workspaces で、Fable 5を使わせたいワークスペースの「Privacy controls」から「30-day data retention」を有効化することで、そのワークスペースのみFable 5が利用可能になります。ただし、そのワークスペースのデータはAnthropicサーバーに30日間保持されます。「感度の低い業務専用ワークスペース」への限定利用が前提となります。

Q. 2026年6月23日以降、料金はどう変わりますか？

A. 6月9日〜22日はPro / Max / Team / Enterpriseプランに追加料金なし（Fable 5含む）。6月23日以降は使用量クレジット購入が必要となり、API料金に準拠します（入力：$10/1Mトークン、出力：$50/1Mトークン）。料金の詳細はClaude料金ページをご確認ください。

Q. Fable 5の思考プロセス（thinking）のログは記録されますか？

A. Fable 5はAdaptive Thinkingが常時オン（thinking: disabled 非対応）ですが、Raw thinking contentはAPIレスポンスに返却されません（thinking.display: "summarized" で要約のみ）。ただし、Anthropic側での30日保持対象には思考プロセスも含まれます。

Q. セーフガードが発動した場合、追加コストはかかりますか？

A. フォールバック時は fallback_triggered メタデータが返されます。fallbacks パラメータ（ベータ）を設定することで、フォールバック先モデルの選択とコスト制御が可能です。また、Fallback Creditの仕組みでプロンプトキャッシュの二重課金は回避されます。

Q. Microsoft Foundry（Azure）経由で Fable 5 を使う場合は社内禁止の対象ですか？

A. 今回の禁止はMicrosoftの社内従業員向けです。Microsoft Foundry経由で自社（Microsoft以外）のシステムにFable 5を組み込む場合は対象外です。ただし、自社の「Third-Party AI Services Policy」に相当するポリシーとの照合は必要です。

Q. Project Glasswingとは何ですか？Fable 5とどう違いますか？

A. Project Glasswingについては別記事で詳しく解説しています。Mythos 5はGlasswing承認パートナー限定で一般公開なし。Fable 5はMythos 5と同じ基盤モデルに3種のセーフガードを付加した一般公開版です。セーフガードがない分Mythos 5はより高性能ですが、公開範囲がより限定されます。

Q. Claude Code を使っていますが、Fable 5 の影響を受けますか？

A. Claude Codeのセキュリティ設定とFable 5の関係については、Claude Codeセキュリティガイドで詳しく解説しています。Claude CodeにZDR設定を適用していた組織も、Fable 5トラフィックには30日保持が適用されます。

まとめ：2026年6月時点の推奨アクション

今すぐ確認すべき3点：

自社の AI 利用ポリシーにおける「データ保持期間」制限の有無を確認する。MicrosoftのようにThird-Party AI Services Policyを整備していれば、Fable 5への対応も自動的に判断できます。
既存のZDR契約・HIPAA BAA・クライアントとのNDA が Fable 5 の30日保持と抵触しないかを法務部門が確認する。
導入パターンの判断：パターンAなら即時導入可、パターンBなら部門限定でワークアラウンド適用、パターンCなら延期してOpus 4.8 / Sonnet 4.6を継続使用。

Forrester Researchは「既存ベンダー全社のAI利用状況を棚卸しし、戦略的パートナーに対してMythosクラスモデル採用の12〜24ヶ月ロードマップを要求し、契約書にファウンデーションモデル・データフロー・セーフガードの詳細開示を明記すること」を推奨しています。Fable 5への対応は、単一モデルの導入判断ではなく、企業全体の生成AI利用ガバナンスを見直すきっかけとして捉えることが重要です。

Claudeの基本的な機能・位置づけについてはClaudeとは、API料金の詳細についてはClaude料金をご参照ください。