Microsoft 365 Copilotが組織に導入されると、社内のドキュメントやメール、チャットなどにAIがアクセスして回答を生成できるようになります。便利さの反面、社外秘ファイルが意図せず参照されるリスクが指摘されています。Copilotはユーザーがアクセス権限を持つデータのみを利用するため、適切な権限設定と機密ラベルの適用がセキュリティの要となります。本記事では、Copilotで社外秘ファイルを扱う前に確認すべき権限とラベルについて、具体的な手順や失敗パターンを交えて解説します。
【要点】この記事で確認すること
- 最初に見る場所: SharePointやOneDriveに保存されているファイルのアクセス権限と、ファイルに適用されているMicrosoft Purviewの機密ラベル
- 切り分けの軸: ユーザー自身の権限(直接アクセスできるか)、ファイルのラベル設定(社外秘など)、管理者によるCopilotのデータソース制限
- 注意点: 会社PCで自分以外のユーザー権限を変更しないこと。ラベル変更は管理者のポリシーに従うこと
ADVERTISEMENT
目次
Copilotがアクセスできるデータの仕組み
Copilot for Microsoft 365は、ユーザーがすでにアクセス権限を持っているデータのみをソースとして利用します。つまり、自分が読めないファイルをCopilotが勝手に読み込むことはありません。しかし、自分がアクセスできるファイルには、たとえ社外秘であってもCopilotが回答生成に利用する可能性があります。この仕組みを理解せずに利用すると、意図せず機密情報が会話の文脈に含まれるリスクがあります。たとえば、社外の取引先との会議で「最新の売上予測を要約して」とCopilotに指示した場合、自分がアクセス権を持つ社外秘の売上ファイルが参照されると、その情報が会話内容に含まれてしまう可能性があります。その情報が会話に含まれること自体が情報漏洩につながるため、権限とラベルの正確な把握が不可欠です。
データ保護の基本原則
Microsoft 365のデータ保護は、主に次の3つのレイヤーで構成されます。1つ目は「アクセス権限」で、SharePointやOneDriveのサイト/フォルダ/ファイル単位でユーザーやグループに付与されます。2つ目は「機密ラベル」で、Microsoft Purview Information Protectionのラベル(例:社外秘、極秘)がファイルに適用されます。3つ目は「Copilotの管理設定」で、管理者が特定のサイトやファイルタイプをCopilotのデータソースから除外できます。これらが不整合な状態だと、Copilotが社外秘ファイルを参照できてしまうことがあります。
確認すべき権限とラベルの種類
Copilotで社外秘ファイルを扱う前に、以下のポイントを確認してください。特にファイルの共有範囲とラベルを意識することが重要です。
ファイルへのアクセス権限
まず、自分がそのファイルを開けるかどうかを確認します。OneDriveやSharePointのファイルであれば、ブラウザでそのファイルを開いてみてください。開けない場合は、そもそもCopilotも参照できません。開ける場合は、そのファイルが誰と共有されているかも確認します。「社外秘」とラベルが付いていても、全社員と共有されているケースがあります。その場合、Copilotは自分と同様に他の社員もアクセス可能なファイルとして扱います。
機密ラベルの設定状況
ファイルのプロパティで機密ラベルを確認します。ラベルが「社外秘」や「極秘」になっていても、Copilotがそのラベルに基づいてアクセスをブロックするわけではありません。ただし、管理者がCopilotのデータソースに対してラベルベースのフィルタリングを設定している場合、特定のラベルが付いたファイルをCopilotが無視できます。また、ラベルによっては自動的に暗号化やアクセス制限が適用されることもあります。
| 確認項目 | 確認方法 | 注意点 |
|---|---|---|
| アクセス権限 | ファイルを開いて「詳細」→「アクセス許可」を確認 | 自分が直接アクセスできるか、グループ経由か |
| 機密ラベル | ファイルの情報バーまたはプロパティでラベル名を確認 | ラベルが適用されていない場合もある |
| 共有範囲 | 「共有」画面でリンクの種類(組織内、特定ユーザーなど)を確認 | 「組織内共有」だと全社員がアクセス可能 |
| Copilotデータソース制限 | 管理者のみ確認可能(SharePoint管理センターやCopilot設定画面) | ユーザー側で変更不可 |
社外秘ファイルをCopilotで安全に扱うための手順
実際にCopilotで社外秘ファイルを扱う前に、以下の手順で確認と設定を行ってください。なお、権限の変更やラベルの適用は、管理者の許可を得てから行うようにしてください。
- ファイルのアクセス権限を確認する
対象のファイルが格納されているSharePointサイトまたはOneDriveで、ファイルの「アクセス許可」を開き、自分がどのようにアクセスできるかを確認します。「直接アクセス」「共有リンク経由」「グループ経由」などの種類を記録します。 - 機密ラベルの適用を確認する
ファイルの情報バーにラベルが表示されているかを確認します。表示されていない場合、管理者にラベルの有無を問い合わせるか、自分で適用する必要があるか判断します。ただし、勝手にラベルを変更することは避けてください。 - 共有リンクの公開範囲を確認する
「共有」ボタンから現在のリンク設定を開き、「組織内のユーザー」「特定のユーザーのみ」などの設定を確認します。もし「誰でも」や「組織内全員」になっている場合は、社外秘ファイルのリスクが高いです。必要に応じてリンクを削除し、特定ユーザーのみのアクセスに変更します。 - Copilotのプロンプトで参照させてみる
テストとして、Copilotに「ファイル名を要約して」と指示し、どのファイルが参照されるかを確認します。Copilotの応答に社外秘ファイルが含まれていないか、公開範囲を超えた情報が出ていないか注意してください。 - 管理者にCopilotのデータソース制限を確認する
社外秘ファイルが含まれるサイトやライブラリが、Copilotのデータソースから除外されているかどうかを管理者に確認します。除外されていれば安心ですが、されていない場合は管理者に対応を依頼します。
ADVERTISEMENT
管理者が設定すべきCopilotのデータソース制限
管理者は、Copilotがアクセスできるデータソースを制限するために、以下の設定を検討します。特に社外秘ファイルが多い部門やプロジェクトサイトでは、Copilotの対象から除外することが有効です。
管理者はSharePoint管理センターで、特定のサイトをCopilotのインデックスから除外できます。例えば、「極秘」ラベルが付いたファイルのみを扱うサイトを除外することで、社外秘情報がCopilotに流れるのを防ぎます。ただし、除外したサイト内のファイルはCopilotから参照できなくなるため、ユーザーからの問い合わせに備えて周知が必要です。
機密ラベルによるフィルタリング
Microsoft Purviewで機密ラベルを設定し、そのラベルが適用されたファイルをCopilotが無視するように構成できます。例えば、「社外秘」ラベルが付いたファイルはCopilotのデータソースから自動的に除外されます。この機能を有効にするには、Purviewのデータ損失防止ポリシーとCopilotの設定を連携させる必要があります。
よくある失敗パターンと対処法
実際の業務でCopilotを使う際、以下のような失敗が発生しています。それぞれの原因と対処法を把握しておくと、トラブルを未然に防げます。
失敗パターン1: 全社共有の社外秘ファイルをCopilotが参照した
ある部門で作成した「社外秘」ラベル付きの企画書が、組織全体と共有されていました。そのファイルにアクセス権を持つ社員がCopilotに「最新の企画書をまとめて」と依頼したところ、Copilotがその社外秘企画書を参照し、回答に含めてしまいました。原因は、ラベルが付いていても共有範囲が広すぎたことです。対処法として、社外秘ファイルの共有リンクを「特定ユーザーのみ」に変更し、必要に応じてアクセス権を見直します。
失敗パターン2: ラベル未適用ファイルがCopilotに読まれた
新入社員が研修資料をOneDriveに保存し、社内全体と共有していました。その資料には機密ラベルが適用されていませんでしたが、実際には製品の未公開情報が含まれていました。Copilotがその資料を参照し、製品情報を回答に含めた結果、情報が社内の別の部署に拡散しました。この場合、ファイルに適切なラベルを付与し、共有範囲を制限する必要があります。また、管理者は自動ラベル付けのポリシーを設定して、未ラベルのファイルに注意を促すとよいでしょう。
失敗パターン3: 管理者が除外設定を忘れた
プロジェクトサイトに「社外秘」と「極秘」のファイルが混在していたため、管理者がサイト全体をCopilotから除外する予定でしたが、設定が漏れていました。その結果、極秘のファイルがCopilotによって要約され、プロジェクトメンバーが会話に含めてしまいました。この場合は、管理者がすぐにサイトの除外設定を有効にし、さらにパージンスペクトの監査ログを確認して情報の出所を特定します。
よくある質問
Q1: Copilotは機密ラベルを認識してアクセスを制限しますか?
標準設定では、Copilotは機密ラベルを認識しません。あくまでユーザーのアクセス権限に基づいてデータを取得します。ただし、管理者がPurviewの設定とCopilotのデータソースポリシーを連携させることで、特定のラベルが付いたファイルをCopilotの参照対象から除外できます。その設定が行われていない限り、ラベルだけではブロックされないと理解してください。
Q2: 自分がアクセスできないファイルでも、Copilotが別の人の権限で読むことはありますか?
ありません。Copilotは常にその質問をしたユーザーのアクセス権限に基づいてデータを取得します。他のユーザーの権限を借りることはありません。したがって、自分が読めないファイルはCopilotも読みません。
Q3: 社外秘ファイルをCopilotに使わせたくない場合、どうすればいいですか?
まずファイルのアクセス権限を確認し、不必要な共有を解除します。次に、管理者にファイルが置かれているサイトやライブラリをCopilotデータソースから除外してもらうことを検討します。また、自分自身でファイルに機密ラベルを適用し、暗号化やアクセス制限を強化することも有効です。
まとめ
Copilotで社外秘ファイルを安全に扱うためには、アクセス権限と機密ラベルを正しく把握し、必要に応じて共有範囲を制限することが重要です。また、管理者によるデータソース制限やラベルベースのフィルタリングが有効な場合もあります。ユーザー自身でできる対策と管理者に依頼すべき対策を区別し、組織のポリシーに従って適切に運用してください。
ADVERTISEMENT
超解決 第一編集部
疑問解決ポータル「超解決」の編集チーム。正確な検証と、現場視点での伝わりやすい解説を心がけています。
Office・仕事術の人気記事ランキング
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【Outlook】宛先が「オートコンプリート」に出ない・間違っている時の修正手順|履歴の削除と再構築
- 【PDF】結合するPDFの「用紙サイズ」がバラバラな時、すべてを「A4サイズ」に強制リサイズしてから結合する