【Copilot】Copilotで回答に社外秘情報を含めないための安全設定

Microsoft 365 Copilotは、社内データ(メール、会議、ドキュメント)を活用して回答を生成するため、意図せず社外秘情報が出力されるリスクがあります。特に、権限設定やデータソースの扱いを誤ると、本来アクセスできない情報が回答に含まれる可能性があります。本記事では、Copilotが回答に社外秘情報を含めないために確認すべき手順を、具体的な設定や運用ルールとともに解説します。適切な事前確認と管理者との連携により、安全にCopilotを活用できるようになります。

Copilotが社外秘情報を回答に含める原因と仕組み

Copilotは、Microsoft Graphを通じて組織内のデータ(SharePoint、OneDrive、Teams、Exchangeなど)にアクセスします。回答に社外秘情報が含まれる主な原因は、以下の3つに分類できます。

1. データソースの範囲が広すぎる:ユーザー自身がアクセス権を持つすべてのドキュメントが対象となるため、たとえば自分がメンバーになっているチーム内の機密文書が回答に使われる可能性があります。
2. データ分類ラベルが未設定:Microsoft 365の感度ラベルやデータ損失防止(DLP)ポリシーが適切に設定されていないと、Copilotは機密情報を通常データと同様に扱います。
3. ユーザー設定の不備:Copilotのチャット画面で「すべての組織データ」を指定していると、制限なく全データを参照します。「作業中データのみ」に絞るなどの設定が必要です。

これらの原因を理解した上で、具体的な確認手順を実施してください。

確認手順:社外秘情報を含めないための3ステップ

以下の手順に従い、Copilotが使用するデータソースとユーザー設定を確認してください。すべての手順はユーザー自身で操作できるものと、管理者権限が必要なものに分かれます。

ステップ1:Copilotのデータソース設定を確認する(ユーザー操作)

1. Microsoft 365(Outlook、Teamsなど)でCopilotを開きます。
2. チャット画面の上部にある「データソース」アイコン(通常は雲のようなアイコン)をクリックします。
3. 表示されるリストから、現在選択されているデータソースを確認します。「すべての組織データ」が選択されている場合、社外秘情報が含まれるリスクが高いため、「作業中のデータのみ」または「特定のサイトやファイル」に変更してください。
4. 複数のデータソースが選択可能な場合、不要なソース(例:すべてのSharePointサイト)のチェックを外します。
5. 設定を保存し、チャットを再開してからテスト質問を行います。

ステップ2:感度ラベルの適用状況を確認する(ユーザー+管理者)

1. 自分が頻繁に利用するドキュメント(Word、Excel、PowerPointなど)を開きます。
2. ファイルタブの「情報」を開き、「感度ラベル」の欄にラベル(例:「内部」「社外秘」「極秘」)が表示されているか確認します。
3. ラベルが表示されない場合、組織で感度ラベルが適用されていない可能性があります。管理者にラベルの有無を問い合わせてください。
4. ラベルが適用されていても、Copilotが参照するデータに適切なラベルが付与されているか、管理者と確認します。
5. 必要に応じて、管理者がデータ損失防止ポリシーでCopilotのアクセスを制限する設定を行っているか確認します。

ステップ3:テスト質問で実際の回答を検証する

1. 簡単な質問(例:「今週のミーティングの議事録をまとめて」)をCopilotに入力します。
2. 回答に含まれる情報を確認し、社外秘と思われるデータ(未発表の売上、個人情報、社内限定の計画など)がないかチェックします。
3. もし社外秘情報が含まれていた場合、そのデータソースを特定し(回答の引用元が表示される場合があります)、該当ファイルの権限設定や感度ラベルを見直します。
4. 再度データソースの選択を「作業中のデータのみ」に変更し、同じ質問をして情報が除外されることを確認します。
5. 必要に応じて管理者に報告し、組織全体のポリシー改善を依頼します。

失敗パターンと対処法

実際の運用で起こりがちな失敗例を以下に示します。

管理者が確認すべき設定とユーザーへの影響

社外秘情報の漏洩を防ぐには、管理者が以下の設定を確認し、必要に応じて調整する必要があります。ユーザー側で変更できない設定であるため、トラブルを感じたら管理者に連絡してください。

管理者設定の確認ポイント

1. Microsoft 365 Copilot ライセンスの割り当て:適切なユーザーにのみライセンスが割り当てられているか。ライセンスがないユーザーはCopilotを使用できません。
2. データアクセス許可の範囲:「Copilot Studio」で、Copilotがアクセスできるデータソース(SharePointサイト、OneDrive、Exchange、Teamsなど)を制限できます。デフォルトでは全データが対象となるため、最小限の許可に絞ることが推奨されます。
3. 感度ラベルとDLPポリシーの連携:「機密」ラベルが付与されたデータに対してCopilotのアクセスを禁止するDLPルールを設定します。これにより、ユーザーがデータソースを変更しても、ラベル付きデータは回答に含まれなくなります。
4. 監査ログの確認:Copilotの利用ログを定期的にチェックし、不審なデータアクセスがないか監視します。Microsoft 365管理センターの「監査」で確認可能です。

ユーザーはこれらの設定を自身で変更できないため、社外秘情報が回答に含まれる問題が解決しない場合は、管理者に上記の設定を依頼してください。

よくある質問(FAQ)

Q. Copilotの回答に社外秘情報が含まれているかどうか、簡単に確認する方法はありますか?

回答の引用元を確認してください。Copilotは回答の下部に「参照元」としてファイル名やリンクを表示することがあります。もし自分がアクセス権を持たないはずのファイルが表示された場合、社外秘情報が含まれている可能性が高いです。また、テストとして「最新の機密プロジェクトの進捗を教えて」など、明らかに社外秘の情報を質問し、回答にその内容が出るか確認する方法もあります。

Q. Copilotは社外秘情報を自動でフィルタリングできますか?

Microsoft 365 Copilotは、現時点では高度なフィルタリング機能を標準では備えていません。そのため、感度ラベルやDLPポリシーを適切に設定し、ユーザー自身がデータソースを制限することで対応します。将来的に機械学習による自動フィルタリングが強化される可能性はありますが、現状は組織側の対策が必須です。

Q. 個人のOneDriveに保存されているファイルもCopilotの対象になりますか?

はい、ユーザー自身がアクセス権を持つOneDriveファイルも対象です。ただし、OneDriveのファイルには通常個人の作業用データが多く含まれますが、もし社外秘情報をOneDriveに保存している場合は、感度ラベルを付与するか、該当ファイルを共有ドライブに移動することを検討してください。

まとめ

Copilotで社外秘情報を回答に含めないためには、ユーザー自身がデータソースの選択を「作業中のデータのみ」に制限することが最も簡単で効果的な対策です。また、組織全体で感度ラベルとDLPポリシーを徹底することで、より堅牢なセキュリティを実現できます。管理者は定期的に設定を見直し、監査ログを確認して異常を早期に発見してください。本記事の手順を日々の業務に取り入れることで、Copilotを安心して活用できるようになります。