【Copilot】Copilotに機密プロジェクト情報を入力させないルール設計と対処法

Copilotは業務効率を飛躍的に向上させる可能性を秘めていますが、機密性の高いプロジェクト情報を誤って入力してしまうリスクも存在します。

意図せず機密情報がCopilotの学習データに含まれたり、他のユーザーに共有されたりする事態は避けなければなりません。

この記事では、Copilotへの機密プロジェクト情報の入力を防ぐためのルール設計と、万が一入力してしまった場合の具体的な対処法を解説します。

Copilotにおける機密情報漏洩のリスクと発生メカニズム

Copilotは、ユーザーが入力したプロンプトや、Microsoft 365アプリ(Word、Excel、Outlook、Teamsなど)内で処理したデータを参照して回答を生成します。法人向けのMicrosoft 365 Copilotは、組織内のデータにアクセスする権限を持つ場合があります。

この際、機密性の高いプロジェクト名、顧客情報、開発中のコード、財務データなどをプロンプトとして入力すると、それらがCopilotの学習データとして利用される可能性があります。特に、Web版CopilotやCopilotアプリでは、入力内容がMicrosoftのインフラストラクチャを介して処理されるため、注意が必要です。

法人契約のCopilotでは、データは組織のMicrosoft 365テナント内に留まり、外部に共有されない設計になっています。しかし、プロンプトの内容によっては、意図せず組織内の他のユーザーに共有されるリスクや、将来的なモデルの改善のためにデータが利用される可能性もゼロではありません。

機密プロジェクト情報をCopilotに入力させないためのルール設計

社内ルールの策定と周知徹底

Copilot利用に関する明確な社内ルールを策定することが最も重要です。以下の点を盛り込み、全従業員に周知徹底する必要があります。

1. Copilotへの機密情報入力の原則禁止
   プロジェクト名、顧客情報、未公開の財務情報、個人情報、未発表の技術情報など、社外秘または社内秘の情報はCopilotへの入力対象外とすることを明記します。
2. 利用シーンの限定
   Copilotを利用できる具体的な業務シーン(例:一般的な文章作成、情報収集、プログラミングコードの生成補助など)を定義します。
3. 入力前の確認義務
   Copilotに情報を入力する前に、その情報が機密情報に該当しないかを確認する手順を義務付けます。
4. 疑わしい場合の相談窓口設置
   入力すべきか迷った場合の相談窓口(例:情報システム部、法務部)を設置し、従業員が安心して相談できる体制を整えます。

管理者による設定と監視

Microsoft 365管理者は、Copilotのデータプライバシー設定を確認し、組織のセキュリティポリシーに合致しているか確認する必要があります。

1. Microsoft 365管理センターへのアクセス
   Microsoft 365管理センター(admin.microsoft.com)に管理者権限でサインインします。
2. Copilot設定の確認
   「設定」>「統合」>「Microsoft Copilot」などのメニューからCopilot関連の設定を確認します。
3. データプライバシー設定の確認
   Copilotが利用するデータ(Microsoft Graphデータなど)に関するプライバシー設定を確認します。法人向けCopilotでは、原則として組織のデータが外部に送信されない設計ですが、設定によっては挙動が変わる可能性があります。
4. アクセス権限の管理
   Copilotへのアクセス権限を必要最小限のユーザーに限定することも、リスクを低減する一助となります。

従業員教育の実施

定期的な従業員教育は、ルール遵守とリスク理解を深めるために不可欠です。

1. Copilotの仕組みとリスクに関する教育
   Copilotがどのようにデータを処理し、どのようなリスクが伴うのかを具体的に説明します。
2. 安全なプロンプト作成のトレーニング
   機密情報を除外した、安全で効果的なプロンプト作成方法をトレーニングします。
3. インシデント発生時の対応手順の周知
   誤って機密情報を入力してしまった場合の報告手順や削除方法を周知します。

機密情報入力後の具体的な対処法

Copilotの履歴から入力を削除する

万が一、機密プロジェクト情報をCopilotに入力してしまった場合は、速やかに履歴から削除することが重要です。これにより、その情報がCopilotの学習データとして利用されたり、後から参照されたりするリスクを低減できます。

1. CopilotアプリまたはWebインターフェースを開く
   Copilotアプリ(Windows Copilotなど)またはCopilotのWebインターフェース(copilot.microsoft.com)にアクセスします。
2. 履歴セクションへの移動
   画面左側などに表示されている「履歴」または「アクティビティ」セクションを見つけてクリックします。
3. 該当する入力の検索と削除
   入力した機密情報に関連するプロンプトを検索します。見つかったら、その入力の横にある「削除」アイコン(ゴミ箱マークなど)をクリックして削除します。
4. 確認ダイアログの承認
   削除の確認を求められた場合は、内容を確認し承認します。

※Copilotのインターフェースはアップデートにより変更される場合があります。

Microsoft 365アプリ内のCopilot履歴を確認する

Word、Excel、PowerPointなどのMicrosoft 365アプリ内でCopilotを利用した場合も、関連する履歴が残っている可能性があります。これらの履歴も確認し、必要に応じて削除します。

1. Microsoft 365アプリを開く
   Copilotを利用したWord、Excel、PowerPointなどのアプリケーションを起動します。
2. Copilotパネルまたはサイドバーの確認
   画面右側などに表示されるCopilotのパネルやサイドバーを確認します。
3. 履歴またはアクティビティの検索
   Copilotパネル内に履歴やアクティビティを表示する機能があれば、それを選択します。
4. 該当する入力の削除
   機密情報に関連する入力が見つかった場合、削除オプションを選択して削除します。

情報システム部への速やかな報告

誤って機密情報を入力してしまった場合、履歴削除だけでは不十分な場合があります。速やかに組織内の情報システム部門やセキュリティ担当者に報告することが、事態の拡大を防ぐために不可欠です。

1. 報告内容の準備
   いつ、どのCopilot(Web版、アプリ版、各M365アプリ版など)、どのような機密情報を入力してしまったのかを整理します。
2. 指定された窓口への連絡
   社内ルールで定められた報告窓口(情報システム部、セキュリティ担当者など)に、速やかに連絡します。
3. 指示に従った対応
   担当者の指示に従い、追加の調査や対応に協力します。

Copilot Proと法人向けMicrosoft 365 Copilotのデータ取り扱い違い

項目	Copilot Pro	Microsoft 365 Copilot (法人向け)
データプライバシー	個人アカウントで利用する場合、入力データはMicrosoftのサービス改善のために利用される可能性があります。	組織のMicrosoft 365テナント内のデータのみを参照し、外部に共有されず、組織のデータはMicrosoftのサービス改善のために利用されません。
参照データ範囲	Web上の情報、および個人アカウントに紐づくMicrosoft 365データ(OneDrive、Outlookなど)の一部。	組織のMicrosoft 365テナント内のデータ(SharePoint、Teams、Outlookなど)にアクセス権限があれば参照可能。
管理機能	個人向けのため、組織的な管理機能はありません。	Microsoft 365管理センターで、ライセンス割り当てや利用状況の管理が可能です。

Copilot Proは個人利用が中心であり、入力データがMicrosoftのサービス改善に利用される可能性があるため、法人向けのMicrosoft 365 Copilotとはデータプライバシーの考え方が異なります。

法人向けMicrosoft 365 Copilotは、組織のデータを保護し、テナント外に漏洩させない設計がされています。しかし、それでもプロンプトの内容自体には注意が必要です。

Copilotへの機密情報入力を防ぐためには、明確な社内ルールの策定と周知、管理者による適切な設定、そして従業員一人ひとりの高いセキュリティ意識が不可欠です。

誤って機密情報を入力してしまった場合でも、迅速な履歴削除と情報システム部への報告により、リスクを最小限に抑えることができます。

今後は、Copilotの進化に合わせて、セキュリティポリシーの見直しと従業員教育を継続的に実施していくことが重要です。

✨

Microsoft Copilot完全解決データベース 使い方が分からない、回答がおかしい、職場で使えないなど、Copilotのあらゆるトラブル・操作ガイドを網羅しています。