Teamsで機密情報や個人情報が誤って共有されるリスクに頭を悩ませていませんか。
万が一、機密性の高い情報がTeamsのチャットやチャネルで意図せず送信された場合、情報漏洩につながる可能性があります。
本記事では、Microsoft Purview DLP (Data Loss Prevention) を活用して、Teams内のメッセージを自動的に検知し、アラートを送信する設定手順を解説します。
この設定により、組織内の情報ガバナンスを強化し、コンプライアンス遵守を支援できます。
【要点】Teamsで個人情報を含むメッセージを自動検知し、アラートを送信するDLP設定
- Microsoft Purview DLP ポリシー作成: Teams内の個人情報や機密情報の共有を検知する基本ポリシーを作成します。
- 条件の設定: 検知したい情報(例: 銀行口座番号、マイナンバー)や、検知対象となる場所(例: Teamsチャット、チャネルメッセージ)を指定します。
- アラートとルールの設定: ポリシーが発動した際に、誰に通知するか、どのようなアクションを取るかを定義します。
ADVERTISEMENT
目次
Microsoft Purview DLPによる情報保護の仕組み
Microsoft Purview DLPは、組織内の機密情報を保護するための包括的なソリューションです。
Teams、Exchange Online、SharePoint OnlineなどのMicrosoft 365サービス全体で、定義されたポリシーに基づいてデータの移動や共有を監視・制御します。
DLPポリシーでは、クレジットカード番号、社会保障番号、個人の識別情報などの機密情報を識別するための「秘密度情報の種類」を定義できます。
これらの秘密度情報の種類がメッセージに含まれていることをDLPが検知すると、設定されたルールに従ってアラートを発したり、共有をブロックしたりするなどのアクションを実行します。
Teamsにおいては、チャットメッセージやチャネル投稿に含まれる機密情報をリアルタイムでスキャンし、ポリシー違反があった場合に管理者に通知することが可能です。
これにより、意図しない情報漏洩のリスクを低減し、組織のコンプライアンス体制を強化できます。
Teams向けDLPアラートポリシーの作成手順
Teamsで個人情報を含むメッセージを検知し、アラートを送信するには、Microsoft Purview コンプライアンスポータルでDLPポリシーを作成します。
この作業は、Microsoft 365のグローバル管理者またはコンプライアンス管理者権限が必要です。
DLPポリシーの作成と基本設定
まず、DLPポリシーの基本情報を設定し、Teamsを対象サービスとして指定します。
- Microsoft Purview コンプライアンスポータルにアクセスする
Webブラウザで「Microsoft Purview」にアクセスし、管理者アカウントでサインインします。 - DLPメニューを選択する
左側のナビゲーションメニューから「データ損失防止」を選択します。 - ポリシーの作成を開始する
「ポリシー」タブで「+ポリシーの作成」ボタンをクリックします。 - ポリシーのカスタマイズを選択する
「カスタム」を選択し、「次へ」をクリックします。 - ポリシーの基本情報を入力する
ポリシー名(例: Teams個人情報保護ポリシー)と説明を入力し、「次へ」をクリックします。 - 対象となる場所を選択する
「クラウドの場所」を選択し、一覧から「Microsoft Teams」にチェックを入れ、「次へ」をクリックします。
検知する秘密度情報の種類を設定する
次に、どのような種類の機密情報を検知するかを定義します。ここでは、個人情報(例: 銀行口座番号、マイナンバー)を検知する設定を行います。
- 秘密度情報の種類を追加する
「秘密度情報の種類」の画面で、「+秘密度情報の種類を追加」をクリックします。 - 既存の秘密度情報の種類を選択する
「秘密度情報の種類」のリストが表示されます。ここでは、あらかじめ用意されている「銀行口座番号」や「社会保障番号」などのテンプレートを選択します。必要に応じて、カスタムの秘密度情報の種類を作成することも可能です。 - 選択した秘密度情報の種類を確認する
選択した秘密度情報の種類がポリシーに追加されます。「次へ」をクリックします。 - 条件を設定する
「条件」の画面で、検知ルールを作成します。「+ルールの追加」をクリックし、「機密情報」を選択します。 - 機密情報の条件を設定する
「機密情報」の項目で、先ほど追加した秘密度情報の種類(例: 銀行口座番号)を選択します。 - 検知のしきい値を設定する
「この機密情報がメッセージに含まれる場合」という項目で、何件以上検知した場合にポリシーを適用するかを設定します。例えば、「3件以上」のように設定します。 - 例外条件を設定する(任意)
特定のユーザーやグループからのメッセージは除外したい場合など、例外条件を設定できます。必要に応じて設定し、「次へ」をクリックします。
アラートとアクションを設定する
ポリシーが発動した際に、どのような通知やアクションを実行するかを設定します。ここでは、管理者にアラートを送信する設定を行います。
- アラートの設定
「アラート」の項目で、「アラートを有効にする」にチェックを入れます。 - アラートの受信者を追加する
「アラートの受信者」で、アラートを受け取るユーザーまたはグループを指定します。通常はコンプライアンス管理者やセキュリティ担当者を指定します。 - アラートの頻度を設定する
「アラートの頻度」で、アラートの送信間隔を設定します。例えば、「1日あたり1回」のように設定します。 - アクションの設定(任意)
「アクション」の項目では、ポリシー違反があった場合に実行するアクションを設定できます。例えば、「メッセージの共有をブロックする」「メッセージを編集する」などのアクションがありますが、ここではアラート通知のみに設定します。 - ポリシーのレビューと作成
設定内容を確認し、「次へ」をクリックします。 - ポリシーの保存
最終確認画面で「ポリシーの作成」をクリックして、ポリシーを保存します。
新しいTeams (v2) と従来Teamsでの違い
Microsoft Teamsの新しいバージョン(v2クライアント)と従来バージョンでは、DLPポリシーの適用範囲や一部の管理画面に若干の違いが生じる可能性があります。
しかし、Microsoft Purview DLPの基本的な機能や設定方法は、どちらのクライアントバージョンでも共通です。
DLPポリシーは、Exchange OnlineやSharePoint Onlineなど、Microsoft 365のバックエンドサービスで管理されているため、Teamsクライアントのバージョンが直接的な影響を与えることは少ないです。
ただし、新しいTeams v2では、UIの変更や一部機能の統合が行われているため、Microsoft Purview コンプライアンスポータルの画面遷移や表示が若干異なる場合があります。
常に最新のMicrosoft 365管理センターやMicrosoft Purview コンプライアンスポータルのヘルプドキュメントを参照することをお勧めします。
DLPアラートポリシーのテストと確認
作成したDLPアラートポリシーが正しく機能するかを確認するために、テストメッセージを送信してみましょう。
テストメッセージの送信
DLPポリシーで設定した秘密度情報の種類(例: 銀行口座番号)を含むメッセージを、Teamsのチャットまたはチャネルで送信します。
- テスト用チャットまたはチャネルを開く
ポリシーの対象となっているTeamsチャットまたはチャネルを開きます。 - 機密情報を含むメッセージを作成する
例えば、「この口座番号 1234-5678-9012 に振り込んでください。」のようなメッセージを作成します。 - メッセージを送信する
作成したメッセージを送信します。
アラートの確認
メッセージを送信した後、設定したアラート受信者のメールボックスや、Microsoft Purview コンプライアンスポータルの「アラート」セクションで通知が来ているか確認します。
- メールボックスを確認する
アラート受信者として指定したメールアドレスに、DLPアラートメールが届いているか確認します。メールには、検知された機密情報、ポリシー名、発生場所などが記載されています。 - Microsoft Purview コンプライアンスポータルで確認する
Microsoft Purview コンプライアンスポータルにアクセスし、「データ損失防止」>「アラート」を選択します。ここで、発生したアラートの一覧を確認できます。 - アラートの詳細を確認する
アラートをクリックすると、検知されたメッセージの内容、送信者、受信者、検知された機密情報などの詳細情報を確認できます。
組織ポリシー・テナント設定による影響
DLPポリシーの動作は、組織のMicrosoft 365テナント設定や、他のセキュリティポリシーによって影響を受ける場合があります。
例えば、特定のデータが既に暗号化されている場合や、別のセキュリティソリューションによって保護されている場合、DLPの検知結果が変わることがあります。
また、Teamsの会議ポリシーやチャットポリシーの設定によっては、DLPの監視対象となる範囲が限定される可能性もゼロではありません。
組織のIT管理者やセキュリティ担当者は、これらの設定との整合性を確認することが重要です。
ADVERTISEMENT
よくある質問とトラブルシューティング
DLPアラートが届かない場合
DLPポリシーを作成したにも関わらず、アラートが届かない場合は、以下の点を確認してください。
- アラート受信者の設定確認
Microsoft Purview コンプライアンスポータルで、DLPポリシーのアラート受信者として正しいメールアドレスまたはグループが指定されているか確認してください。 - ポリシーが有効になっているか確認
作成したDLPポリシーが「有効」になっているか、ステータスを確認してください。無効になっている場合は、有効に設定し直してください。 - テストメッセージの条件確認
テストメッセージが、DLPポリシーで設定した「秘密度情報の種類」と「検知のしきい値」を満たしているか確認してください。例えば、しきい値が3件以上なのに、1件しか送信していない場合は検知されません。 - メールの迷惑メールフォルダ確認
アラート受信者のメールボックスで、迷惑メールフォルダやその他のフィルタリング設定を確認してください。DLPアラートメールが誤って振り分けられている可能性があります。 - ポリシーの適用遅延
DLPポリシーは、作成・変更後、組織全体に適用されるまでに最大で24時間程度かかる場合があります。しばらく時間をおいてから再度テストしてみてください。
検知したい秘密度情報がリストにない場合
標準で用意されている秘密度情報の種類に、組織で保護したい情報がない場合があります。その場合は、カスタムの秘密度情報の種類を作成する必要があります。
- カスタム秘密度情報の種類の作成
Microsoft Purview コンプライアンスポータルの「データ損失防止」>「秘密度情報の種類」に移動し、「+秘密度情報の種類の作成」をクリックします。 - テンプレートの選択または新規作成
既存のテンプレートを基にカスタマイズするか、完全に新規で作成するかを選択します。 - パターンとキーワードの設定
正規表現、キーワード、信用スコアなどを組み合わせて、検知したい情報を定義します。例えば、社内コードや特定のフォーマットを持つIDなどを定義できます。 - ポリシーへの追加
作成したカスタム秘密度情報の種類を、DLPポリシーに追加して利用します。
Teams会議のメッセージは対象外か
標準のDLPポリシー設定では、Teamsのチャットメッセージやチャネルメッセージが主な対象となります。
Teams会議中のチャットメッセージについても、一部はDLPの監視対象となる場合がありますが、会議の録画や議事録など、保存されたコンテンツに対するDLP適用は、別途設定が必要になることがあります。
会議のチャットメッセージのDLP適用状況は、Teamsのバージョンやテナント設定、Microsoft 365のライセンスによって異なる可能性があります。
より詳細な設定や確認が必要な場合は、Microsoft 365の管理者に相談してください。
Mac版・モバイル版・Web版での違い
Microsoft TeamsのDLP機能は、基本的にMicrosoft 365のバックエンドサービスで管理されています。
そのため、DLPポリシーの設定や、ポリシー違反があった際の通知・ブロックといった動作は、Windows版、Mac版、モバイル版(iOS/Android)、Web版のTeamsクライアントで一貫しています。
ただし、クライアントごとのUIや一部の表示方法に違いがある場合があります。
例えば、モバイル版Teamsでは、一部の通知がプッシュ通知で届くなど、プラットフォーム固有の通知方法が採用されることがあります。
しかし、DLPポリシーによって共有がブロックされたり、アラートが生成されたりする基本的な挙動は、どのプラットフォームからアクセスしても同じです。
まとめ
本記事では、Microsoft Purview DLPを使用してTeams内の個人情報を含むメッセージを自動検知し、アラートを送信する設定手順を解説しました。
この設定により、機密情報の意図しない共有を早期に発見し、情報漏洩のリスクを軽減できます。
まずは、組織で保護すべき機密情報を定義し、Microsoft Purview コンプライアンスポータルでDLPポリシーを作成・適用してみてください。
必要に応じて、カスタム秘密度情報の種類の作成や、他のMicrosoft 365サービス(Exchange Online, SharePoint Online)へのDLP適用も検討しましょう。