【Copilot】生成ファイルにMIP感度ラベルをCopilotで強制適用する手順と運用設計

Copilotが生成したファイルに、Microsoft Purview Information Protection(MIP)の感度ラベルを自動で適用したい場合があります。

これにより、組織のセキュリティポリシーに準拠したファイル管理が可能になります。

本記事では、Copilot生成ファイルへのMIP感度ラベル強制適用手順と、その運用設計について解説します。

Copilot生成ファイルへのMIP感度ラベル適用メカニズム

Copilotが生成したファイルにMIP感度ラベルを適用するには、Microsoft 365のセキュリティ機能と自動化ツールを連携させる必要があります。

具体的には、Microsoft 365 管理センターで定義されたMIP感度ラベルポリシーと、Power Automateなどのワークフロー自動化サービスを利用します。

Copilotがファイルを生成したタイミングを検知し、そのファイルに対して指定された感度ラベルを自動的に付与する仕組みです。

この仕組みは、組織全体のデータガバナンスとコンプライアンス遵守を強化するために不可欠です。

MIP感度ラベル適用ポリシーの設定手順

Copilot生成ファイルにMIP感度ラベルを適用するためには、まずMicrosoft 365 管理センターで適切なポリシーを設定する必要があります。

1. Microsoft 365 管理センターへのサインイン
   グローバル管理者またはセキュリティ管理者の権限を持つアカウントで、Microsoft 365 管理センターにサインインします。
2. コンプライアンスポータルへの移動
   左側のナビゲーションメニューから「すべてのアプリを表示」を選択し、「コンプライアンス」または「Microsoft Purview」を選択します。
3. 感度ラベルポリシーの作成または編集
   コンプライアンスポータルで、「情報保護」>「感度ラベル」を選択します。既存のラベルポリシーを編集するか、新しいラベルを作成します。
4. ラベルの適用設定
   新しいラベルを作成する場合、「ラベル名」や「説明」を設定した後、「ラベルの適用」セクションで、「ファイルとメールにラベルを適用する」を選択します。
5. 自動ラベル付けルールの設定
   「自動ラベル付け」オプションを有効にし、適用したい条件(例:特定のキーワードが含まれる、機密情報タイプなど)を設定します。Copilot生成ファイルへの適用を想定し、ファイル生成イベントをトリガーとする設定を検討します。
6. ポリシーの公開
   設定が完了したら、ポリシーを保存し、対象ユーザーまたはグループに公開します。

Power Automate を利用したCopilot生成ファイルへの感度ラベル自動適用

Microsoft 365 管理センターでのポリシー設定だけでは、Copilot生成ファイルへの自動適用は限定的です。

より柔軟な自動適用を実現するために、Power Automate を使用したフロー構築が効果的です。

Copilot生成イベントをトリガーとするフローの構築

1. Power Automate へのサインイン
   Microsoft 365 アカウントで Power Automate にサインインします。
2. 新しいフローの作成
   「作成」>「自動化されたクラウドフロー」を選択します。
3. トリガーの設定
   「フローのトリガーを選択してください」で、「SharePoint」コネクタの「ファイルが作成されたとき」または「OneDrive for Business」コネクタの「ファイルが作成されたとき」を選択します。
4. Copilot生成ファイルの識別
   トリガー条件として、Copilotによって生成されたファイルであることを識別できる条件を設定します。これは、ファイル名パターン、作成者情報、または特定のメタデータに基づきます。
5. 感度ラベルの適用アクション
   「新しいステップ」を追加し、「Microsoft Purview Information Protection」コネクタの「Apply label to file」アクションを選択します。
6. ラベルとファイルの指定
   「Apply label to file」アクションで、適用したい感度ラベルを選択し、トリガーで取得したファイルIDを指定します。
7. フローの保存とテスト
   フローを保存し、Copilotでファイルを生成して意図した通りにラベルが適用されるかテストします。

SharePoint / OneDrive のイベントトリガーの注意点

Copilotがファイルを生成する場所は、SharePointまたはOneDrive for Businessです。

Power Automate フローは、これらのサービスにファイルが保存されたタイミングをトリガーにします。

Copilotの利用状況や、ユーザーがファイルをどこに保存するかによって、トリガーの対象となる場所が変わります。

そのため、フロー作成時には、対象となる保存場所を正確に把握しておく必要があります。

Copilot生成ファイルへの感度ラベル強制適用の運用設計

Copilot生成ファイルへの感度ラベル強制適用を効果的に行うためには、事前の運用設計が重要です。

適用ルールの定義

どのようなCopilot生成ファイルに、どの感度ラベルを適用するかを明確に定義します。

例えば、「機密情報を含む可能性のある文書」には「社外秘」ラベルを、「個人情報が含まれる可能性のある文書」には「個人情報保護」ラベルを適用するなど、具体的なルールを設定します。

Copilotの利用シーンごとに、適切なラベルを割り当てることを検討します。

除外条件の設定

すべてのCopilot生成ファイルにラベルを適用する必要はない場合、除外条件を設定します。

例えば、特定のプロジェクトフォルダに生成されたファイルは除外する、特定のユーザーが生成したファイルは除外するなど、柔軟な設定が可能です。

Power Automate フローの条件分岐機能や、MIPポリシーの除外設定を活用します。

ユーザーへの周知とトレーニング

感度ラベルの重要性や、Copilot生成ファイルへの自動適用について、ユーザーに周知徹底します。

なぜラベルが適用されるのか、適用されたラベルの意味、手動でのラベル変更が必要な場合の対応などを理解してもらうためのトレーニングを実施します。

これにより、ユーザーの混乱を防ぎ、ポリシー遵守率を高めることができます。

テストと監視体制

導入前に、小規模なグループでテストを実施し、意図した通りにラベルが適用されるかを確認します。

導入後も、定期的にログを監視し、エラーが発生していないか、ポリシーが遵守されているかを確認する体制を構築します。

Power Automate の実行履歴や、Microsoft Purview の監査ログなどを活用して監視を行います。

Copilot ProとMicrosoft 365 Copilotの感度ラベル適用違い

Copilot ProとMicrosoft 365 Copilotでは、感度ラベルの適用方法や、利用できる機能に違いがあります。

項目	Copilot Pro	Microsoft 365 Copilot
感度ラベル適用	基本的には手動、またはPower Automate等との連携で対応	MIPポリシーとの連携がより強化されており、自動適用設定の自由度が高い
対象ファイル	個人利用のファイル、または限定的な共有ファイル	組織全体で管理されるSharePoint/OneDrive上のファイル
自動化機能	Power Automate等との連携は可能だが、Copilot自体の生成イベントとの直接的な連携は限定的	SharePoint/OneDrive上のファイル生成イベントと連携しやすく、自動化フロー構築の基盤が整備されている

Copilot Proは個人向けのサービスであるため、組織全体での厳格なデータガバナンスを目的とした感度ラベルの強制適用には、Microsoft 365 CopilotとPower Automateの連携がより適しています。

まとめ

Copilot生成ファイルにMIP感度ラベルを強制適用することで、組織のデータセキュリティを強化できます。

Microsoft 365 管理センターでのポリシー設定と、Power Automate を用いた自動化フローの構築がその鍵となります。

適切な運用設計とユーザーへの周知を行うことで、円滑な導入と運用が可能になります。

感度ラベルの自動適用設定と、Power Automate フローの定期的な見直しを行いましょう。