【Copilot】SharePointサイト単位でCopilotの参照を制限する手順と運用設計

SharePointサイトに保存された情報をCopilotが参照する際、機密情報へのアクセスを制限したい場合があるでしょう。

サイト単位でCopilotの参照権限を適切に設定することで、情報漏洩のリスクを低減できます。

この記事では、SharePointサイト単位でCopilotの参照を制限する具体的な手順と、その運用設計について解説します。

CopilotがSharePointサイトの情報を参照する仕組み

Copilotは、Microsoft 365の様々なサービスと連携し、ユーザーがアクセス権を持つ情報を参照して回答を生成します。SharePointサイトもその対象に含まれます。

Copilotは、ユーザーのIDと権限に基づき、SharePointサイト内のドキュメントやリストなどの情報を検索・取得します。つまり、ユーザーが通常SharePointサイトで閲覧できる情報のみが、Copilotの参照対象となります。

サイト単位で参照を制限するには、SharePointサイト自体のアクセス許可設定を適切に管理することが最も重要です。

SharePointサイトのアクセス許可設定による参照制限

SharePointサイトへのアクセス許可は、サイトの所有者、メンバー、訪問者といったグループに付与されます。

Copilotは、これらのアクセス許可を尊重するため、特定のユーザーやグループにのみサイトへのアクセスを許可することで、間接的にCopilotの参照範囲を制限できます。

例えば、機密情報を含むSharePointサイトへのアクセスを、特定の部門のメンバーのみに限定すれば、そのメンバー以外がCopilotを使っても、そのサイトの情報は参照されません。

特定のSharePointサイトへのCopilot参照を制限する手順

Copilotの参照をサイト単位で意図的に制限したい場合、SharePointサイトのアクセス許可設定を調整します。これは、Copilot自体の設定ではなく、SharePointの権限管理機能を利用します。

1. SharePointサイトにアクセスする
   制限したいSharePointサイトを開きます。
2. サイトの権限設定画面を開く
   サイトの右上にある歯車アイコン(設定)をクリックし、「サイトの権限」を選択します。
3. アクセス許可レベルを確認・変更する
   「サイトの所有者」「サイトメンバー」「サイト訪問者」などのグループが表示されます。
4. アクセスを制限したいユーザー・グループの権限を削除または変更する
   特定のユーザーやグループに、このサイトへのアクセス権限がない場合は、その権限を削除します。
5. 必要に応じて、新しい権限グループを作成・設定する
   より細かく権限を管理したい場合は、カスタム権限レベルを作成し、特定のユーザーにのみ付与することも可能です。

この操作により、指定したユーザーはSharePointサイトにアクセスできなくなり、結果としてCopilotもそのサイトの情報を参照できなくなります。

Copilotの参照範囲をユーザーが確認する方法

ユーザーは、Copilotが参照できる情報源を直接確認する機能は提供されていません。Copilotは、ユーザーがアクセス権を持つすべてのMicrosoft 365データ(Outlookのメール、Teamsのチャット、SharePointのドキュメントなど)を横断的に検索・参照します。

したがって、CopilotがどのSharePointサイトの情報を参照するかは、ユーザーがその時点でアクセス権を持っているSharePointサイトによります。

ユーザーがCopilotの回答に「この情報は参照してほしくない」と感じた場合、その情報源となっているSharePointサイトへの自身のアクセス権限を確認し、不要であればアクセス権の解除を管理者に依頼することが考えられます。

SharePointサイト単位でのCopilot参照制限に関する運用設計

SharePointサイト単位でのCopilot参照制限を効果的に行うためには、組織全体の情報ガバナンス戦略と連携した運用設計が不可欠です。

以下に、運用設計における考慮事項を挙げます。

機密情報サイトの定義とアクセス権管理

どのようなSharePointサイトを「機密情報サイト」と定義するかを明確にします。例えば、人事情報、財務情報、顧客の個人情報などが含まれるサイトが該当します。

これらのサイトへのアクセス権限は、最小権限の原則に基づき、必要最低限のユーザー・グループにのみ付与します。アクセス権の付与・変更・削除プロセスを明確にし、承認フローを設けることが重要です。

サイト作成時の権限設定テンプレートの利用

新しいSharePointサイトを作成する際に、あらかじめ定義された権限設定テンプレートを利用することを推奨します。これにより、サイト作成者が意図せず広範なアクセス権限を付与してしまうリスクを低減できます。

例えば、「一般公開サイト」「部門内共有サイト」「機密情報共有サイト」などのテンプレートを用意し、サイトの目的に応じて適切な権限設定が自動的に適用されるようにします。

定期的なアクセス許可の見直し

組織の異動や退職、プロジェクトの完了などにより、ユーザーのアクセス権限は変動します。定期的にSharePointサイトのアクセス許可設定を見直し、不要になった権限を削除するプロセスを確立することが重要です。

これにより、退職した従業員のアカウントが誤って機密情報サイトにアクセスできる状態を防ぎ、Copilotによる意図しない情報参照を未然に防ぐことができます。

Copilot利用ポリシーの策定と周知

Copilotの利用に関するポリシーを策定し、従業員に周知徹底することが不可欠です。ポリシーには、Copilotが参照する情報の範囲、機密情報の取り扱い、禁止事項などを明記します。

特に、機密情報を含むSharePointサイトへのアクセス権限管理の重要性や、Copilot利用時の注意点について、従業員の理解を深めるためのトレーニングを実施することも有効です。

Copilot ProとMicrosoft 365 Copilotの参照範囲の違い

Copilot Proは個人向けのサービスであり、主にユーザー自身のMicrosoft 365データ(Outlook、OneDrive、Word、Excelなど)にアクセスします。SharePointサイトへのアクセスは、個人アカウントが直接アクセス権を持っている場合に限定されます。

一方、Microsoft 365 Copilot(法人向け)は、組織のMicrosoft 365テナント全体にわたる情報にアクセスできます。SharePointサイトへのアクセスも、ユーザーが所属する組織のテナント内のサイトで、かつアクセス権があるものに限られます。

どちらのCopilotを利用する場合でも、SharePointサイトへの参照範囲は、ユーザーのアクセス許可設定に依存するという点は共通しています。

項目	Copilot Pro	Microsoft 365 Copilot (法人向け)
SharePointサイト参照	個人アカウントが直接アクセス権を持つサイトのみ	組織テナント内の、アクセス権を持つサイト
主な利用シーン	個人・小規模チームの生産性向上	組織全体の業務効率化・情報活用
管理体制	個人管理	IT管理者によるテナント管理

まとめ

SharePointサイト単位でCopilotの参照を制限するには、SharePointサイト自体のアクセス許可設定を適切に管理することが鍵となります。

機密情報サイトの定義、アクセス権の最小化、定期的な見直し、そしてCopilot利用ポリシーの策定と周知を組み合わせることで、安全かつ効果的なCopilot活用が実現できます。

今後は、SharePointサイトの権限設定を見直し、必要に応じてアクセス権を調整することから始めてみましょう。