利用規約上の位置づけ（法的整理）

Cursor の利用規約（Terms of Service）には、ユーザーが入力した情報そのものに対する一般的な秘密保持義務を定めた条項は置かれていません。

なお、利用規約16.6条は「仲裁手続に関する秘密保持」を定めるものであり、Cursor に入力されたコード・テキスト等の情報について秘密として取り扱う義務を定めたものではありません。

この点で、Cursor の利用規約は、DPA（Data Processing Agreement）や明示的な機密情報非利用条項を含む SaaS と比べると、法的な保証は限定的と評価できます。

公式ドキュメントにおける「Privacy Mode」と入力情報の取扱い（技術的整理）

他方で、Cursor は公式ドキュメント（Data Use & Privacy Overview）において、入力データの処理方法として「Privacy Mode（プライバシーモード）」を提供していることを明示しています。

Privacy Mode を有効にした場合の取扱いは、公式説明によれば以下のとおりです。

• 入力されたコードやテキストは
  AI 応答生成のために一時的に処理されるのみで、永続的には保存されない
• Cursor 自身およびモデルプロバイダー（例：OpenAI 等）において
  学習データとして利用されない
• 技術的には、サーバー側に入力情報が残らない（Zero Data Retention に近い）設計と説明されている

このため、Privacy Mode の挙動は、一般にいう ZDR（Zero Data Retention）に近いデータ処理ポリシーと評価することができます。

もっとも、これはあくまで 公式ドキュメント上の技術的説明に基づくものであり、契約上の秘密保持義務として明示されているわけではありません。

実務的評価：リスクベースアプローチの重要性

以上を踏まえると、Cursor の入力情報の取扱いは、

• 法的には：明示的な秘密保持義務や DPA が存在せず、不安定さが残る
• 技術的には：Privacy Mode により ZDR に近いデータ保持ポリシーが採用されている

という法と技術が必ずしも一致していない状況にあります。

このような場合、企業としては一律に可否を判断するのではなく、リスクベースアプローチに基づく経営判断が重要となります。

具体的には、

• 万一入力情報が漏えいした場合に
  • 法的責任
  • 事業上・レピュテーション上の影響
    がどの程度の深刻度を持つか
• 当該リスクが
  • 許容可能なリスクなのか
  • 軽減すべきリスクなのか

を総合的に評価する必要があります。

その結果、許容できないリスクが存在すると判断される場合には、

• 機密性の高い情報は Cursor に入力しない
• 一部処理は Cursor、重要部分はローカル PC やオンプレミス環境で行う
• 情報の性質に応じた ハイブリッドな運用を採用する

といった実務対応が現実的な選択肢となります。