【Copilot】Copilotの応答をDLP検知ルールで監視する手順と対処法

Copilotが生成する応答内容を、Microsoft Purview DLP(Data Loss Prevention)の検知ルールで監視したい。

どのような手順で設定し、検知された場合の対処法を知りたい。

この記事では、Copilotの応答をDLPで監視する設定手順と、検知された場合の具体的な対処法を解説します。

Copilot応答におけるDLPの必要性

Copilotは、機密情報や個人情報を含む可能性のあるデータに基づいて応答を生成することがあります。これらの情報が意図せず外部に共有されたり、不適切に扱われたりするリスクを低減するため、DLP(Data Loss Prevention)による監視が重要です。

DLPポリシーを設定することで、Copilotの応答内容を自動的にスキャンし、組織のコンプライアンス要件に違反する情報が含まれていないかを確認できます。

Copilot応答をDLP検知ルールで監視する手順

Copilotの応答をDLP検知ルールで監視するには、Microsoft Purview コンプライアンス ポータルでDLPポリシーを作成・設定します。ここでは、Microsoft 365 Business Premium以上のライセンスを持つ組織での設定手順を解説します。

1. Microsoft Purview コンプライアンス ポータルにアクセスする
   管理者権限を持つアカウントで、Microsoft Purview コンプライアンス ポータル(compliance.microsoft.com)にサインインします。
2. DLPポリシーの作成を開始する
   左側のナビゲーションメニューから「データ損失防止」を選択し、「ポリシー」タブを開きます。「+ポリシーの作成」ボタンをクリックします。
3. ポリシーの場所を選択する
   「カスタム」を選択し、「次へ」をクリックします。
4. ポリシーの名前と説明を入力する
   ポリシーに分かりやすい名前(例: Copilot応答機密情報監視)と説明を入力し、「次へ」をクリックします。
5. 対象とする場所を選択する
   「Copilot」と「Microsoft Teams」を選択します。Copilotの応答はTeamsチャットやチャットスレッド内で生成されるため、これらが対象となります。必要に応じて、他のMicrosoft 365サービスも選択できます。「次へ」をクリックします。
6. ルールを作成する
   「カスタムルールを作成する」を選択し、「次へ」をクリックします。
7. 条件を設定する
   「条件を追加する」をクリックします。「コンテンツを検出する」を選択し、監視したい機密情報の種類(例: クレジットカード番号、個人識別番号など)を選択します。必要に応じて、複数の機密情報タイプを追加できます。
8. アクションを設定する
   「アクションを追加する」をクリックします。検知された場合の動作を選択します。例えば、以下のようなアクションが設定可能です。
   • ユーザーへの通知: ポリシー違反を検出した際に、ユーザーに通知メールを送信する。
   • ポリシーヒントの表示: Copilotの応答前に、機密情報が含まれている可能性をユーザーに警告する。
   • 監査: 検出イベントを監査ログに記録する。
   • ブロック: 必要に応じて、応答の共有をブロックする(ただし、Copilotの応答生成自体を直接ブロックする機能は限定的です)。

   「次へ」をクリックします。

9. ポリシーのレビューと作成
   設定内容を確認し、「ポリシーの作成」をクリックします。

Copilot応答がDLPポリシーに検知された場合の対処法

DLPポリシーによってCopilotの応答が検知された場合、設定したアクションに応じて対応します。主な対処法は以下の通りです。

1. ユーザーへの通知とポリシーヒントへの対応

ユーザーがCopilotを利用中にポリシーヒントが表示された場合、その内容を確認します。通知メールが届いた場合は、メールの内容に従って、生成された応答に機密情報が含まれていないか確認します。問題がある場合は、応答を削除するか、内容を修正してから再度Copilotに質問します。

2. 監査ログの確認

DLPポリシーで監査が有効になっている場合、Microsoft Purview コンプライアンス ポータルの「監査」セクションで、検知されたイベントの詳細を確認できます。誰が、いつ、どのような条件で検知されたかを確認し、必要に応じて追加調査を行います。

3. ポリシーの見直しと調整

誤検知が多い場合や、必要な機密情報がブロックされてしまう場合は、DLPポリシーの設定を見直します。条件をより具体的にしたり、例外ルールを追加したりすることで、精度を向上させることができます。例えば、特定のプロジェクトコードを誤検知する場合は、そのコードを例外リストに追加するなどの対応が考えられます。

4. ユーザー教育の実施

Copilot利用時に機密情報が検知されるケースが多い場合、ユーザーに対してCopilotの適切な利用方法や、機密情報の取り扱いに関する教育を実施することが重要です。どのような情報が機密情報に該当するのか、Copilotにどのような質問をすべきでないのかを周知徹底します。

Copilot応答のDLP監視における注意点

Copilotの応答をDLPで監視する際は、いくつかの注意点があります。

Copilotの応答生成プロセスへの影響

DLPポリシーは、Copilotが応答を生成した後にその内容をスキャンします。そのため、応答生成プロセス自体を直接停止させるものではありません。ポリシーヒントは応答前に表示されますが、応答生成後にブロックする機能は限定的です。

誤検知と過検知のリスク

DLPポリシーの条件設定が曖昧な場合、意図しない情報まで機密情報として検知される誤検知が発生する可能性があります。逆に、厳格すぎる設定は、正当な業務に必要な情報までブロックしてしまう過検知を引き起こすこともあります。定期的なポリシーの見直しと調整が不可欠です。

ライセンスと権限

DLPポリシーの設定には、Microsoft Purview コンプライアンス ポータルの管理者権限が必要です。また、Copilotの応答をDLPの対象とするには、Microsoft 365 Business Premium、E3、E5、またはMicrosoft 365 Copilotアドオンなどの適切なライセンスが必要です。個人向けのCopilot Proでは、このレベルのDLP監視は利用できません。

Copilot Studioとの連携

より高度な制御や、Copilot Studioで作成したカスタムCopilotの応答を監視したい場合は、Copilot Studio側の設定とDLPポリシーを連携させる必要があります。Copilot Studioでは、特定の応答パターンや外部サービス連携時のデータフローに関するDLP設定も検討できます。

WebアプリとデスクトップアプリでのDLP監視の違い

Copilotの利用形態(Webブラウザ経由か、デスクトップアプリケーション経由か)によって、DLP監視の挙動に違いが生じる場合があります。一般的に、Microsoft 365のDLPポリシーは、Microsoft Edgeなどの互換ブラウザで利用されるWebアプリ上のCopilot応答に適用されます。デスクトップアプリケーション(例: Teamsデスクトップアプリ)内のCopilot機能も、多くの場合、Webアプリと同様のDLPポリシーの対象となります。

しかし、アプリケーションのバージョンやOS環境によっては、DLPスキャンの適用範囲やタイミングに差異が生じる可能性があります。常に最新のMicrosoft 365アプリケーションを利用し、DLPポリシーが意図した通りに機能しているか、定期的に監査ログで確認することが推奨されます。

まとめ

Copilotの応答をDLP検知ルールで監視することで、機密情報の漏洩リスクを効果的に低減できます。Microsoft Purview コンプライアンス ポータルでDLPポリシーを作成し、Copilotの応答を対象に条件とアクションを設定する手順を解説しました。検知された場合は、通知への対応、監査ログの確認、ポリシーの見直し、ユーザー教育といった対処法を適用します。 Copilotの安全な利用を推進するために、これらのDLP設定と運用を組織で実施してください。