【Google Drive】機密ラベル付きファイルの共有を止めたい時のポリシー確認

機密ラベルが付与されたファイルの共有を意図せず行ってしまった場合、あるいは特定のラベルが付いたファイルの共有を一律に制限したい場合、どのようにポリシーを確認し設定すればよいのでしょうか。Google Driveでは、管理者が設定するデータ損失防止(DLP)ポリシーやラベルごとのアクセス制御によって、共有範囲を強制的に制限できます。この記事では、機密ラベル付きファイルの共有を止めるために確認すべきポリシーの内容と、実際の操作手順を解説します。

1. 機密ラベルと共有制限の基本

Google Driveの「機密ラベル」は、ファイルに「内部限定」「社外秘」「極秘」などの分類を付ける機能です。管理者は各ラベルに対して、ファイルの共有範囲(特定ドメイン内のみ、特定のユーザーのみ、など)をルールとして設定できます。このルールはデータ損失防止ポリシーの一部として適用され、ラベルが付与されたファイルに対して自動的に共有制限がかかります。

共有を止めたいケースは主に次の2つです。1つは、既に共有されているファイルに対してラベルが後から付与され、ポリシーにより自動的に共有が解除されるよう設定する場合。もう1つは、ラベルが付いているファイルに対して、手動で共有設定を変更しようとしてもポリシーに阻まれる場合です。ポリシーが適切に機能しているかどうかを確認するためには、管理コンソールでの設定状態を把握する必要があります。

ラベル例	デフォルトの共有制限	管理者が変更可能か
内部限定	ドメイン内共有のみ許可	はい
社外秘	特定グループのみ共有許可	はい
極秘	共有禁止(所有者のみアクセス)	はい

上記の表は一例です。実際の設定は組織のポリシーに依存するため、管理コンソールで確認する必要があります。

2. ポリシー確認の前提条件

機密ラベル付きファイルの共有を止めるためのポリシーを確認するには、Google Workspaceの管理者権限が必要です。一般ユーザーは自分のファイルにラベルを付与することはできても、ポリシーそのものは確認・変更できません。そのため、以下の手順は管理者向けです。ただし、一般ユーザーでも、ファイルの共有設定画面で「管理者により制限されています」というメッセージが表示されれば、ポリシーが適用されていることがわかります。

2-1. 必要なロール

ポリシーを確認・変更するには、「スーパー管理者」または「データ損失防止管理者」のロールが割り当てられている必要があります。必要に応じて、Google管理コンソールの「管理ロール」で確認してください。

2-2. ラベルの作成状況の確認

まず、機密ラベルそのものが定義されているかを確認します。管理コンソール > セキュリティ > データ損失防止 > 機密ラベル で、現在のラベル一覧を確認できます。ラベルが存在しない場合は、新たに作成する必要があります。

3. 管理者が行うポリシー設定の確認手順

ここでは、Google管理コンソールを使って機密ラベル付きファイルの共有を制限するポリシーを確認する手順を説明します。

1. Google管理コンソール(admin.google.com)に管理者アカウントでログインします。
2. 「セキュリティ」>「データ損失防止」>「機密ラベル」の順に移動します。
3. 対象のラベル(例:「社外秘」)をクリックして編集画面を開きます。
4. 「共有ルール」セクションで、現在設定されている共有制限を確認します。例えば「組織外との共有を禁止する」などが設定されていれば、そのラベルが付いたファイルは外部共有できません。
5. 必要に応じてルールを変更します。たとえば「共有を完全に禁止する」に変更する場合、オプションを選んで保存します。
6. 「保存」をクリックして設定を反映します。反映には数分から24時間程度かかることがあります。

また、既存のファイルにすでにラベルが付与されている場合、ラベル設定変更後にファイルの共有設定が自動的に更新されるわけではありません。ポリシー変更後、ファイルの共有状態が新しいルールに違反している場合、そのファイルの共有は自動的に無効になります。

4. 一般ユーザーが現在の共有状態を確認する方法

一般ユーザーでも、自分のファイルやアクセス可能なファイルの共有状態を確認できます。ただし、ポリシーの詳細までは見えません。

4-1. ファイルの共有設定を開く

Google Driveで該当ファイルを右クリックし「共有」を選択します。「共有設定」画面で現在の共有相手が表示されます。もし「管理者により、このファイルの共有設定は変更できないようになっています」というメッセージが出ている場合、ポリシーが適用されています。

4-2. 共有を解除できない場合の対処

ユーザー自身で共有を解除できない場合は、ファイルの所有者であってもポリシーが優先されます。その場合は管理者に連絡し、ポリシーの緩和や一時的な例外処理を依頼する必要があります。管理者は監査ログを確認することで、どのポリシーが適用されているかを特定できます。

5. 共有を強制的に止めるためのポリシー適用(DLPルール)

機密ラベルだけでなく、DLPルールを使って共有を制限することも可能です。DLPルールでは、特定の条件(ラベル、ファイルタイプ、共有相手など)に基づいて自動的にアクションを実行できます。

5-1. DLPルールの作成手順

1. 管理コンソール > セキュリティ > データ損失防止 > ルール に移動します。
2. 「ルールを作成」をクリックし、名前を入力します。
3. 「適用対象」で「機密ラベル」を選択し、対象のラベルを指定します。
4. 「条件」で、例えば「共有相手が組織外の場合」など設定します。
5. 「アクション」で「共有をブロックする」「共有を制限する」などを選択します。
6. ルールを保存して有効にします。

このルールが適用されると、条件に一致したファイルは即座に共有がブロックされるか、既存の共有が無効になります。

5-2. 注意点:既存の共有リンク

既に共有リンクが作成されているファイルに対してDLPルールを適用した場合、リンクの共有が無効になります。ただし、リンクを知っているユーザーがアクセスした場合にブロックされるだけで、リンク自体は残る場合があります。完全に削除したい場合は、別途ファイルの共有設定からリンクを削除する必要があります。

6. 失敗パターンと対処法

いくつか典型的な失敗パターンとその対処法を紹介します。

失敗パターン	原因	対処法
ラベルを付けたのに共有が止まらない	ポリシーが未設定、または適用が遅れている	管理コンソールで該当ラベルのルールを確認し、保存後に反映を待つ
ユーザーがラベルを変更しようとするとエラーが出る	権限がない、またはポリシーで禁止されている	管理者に連絡して権限付与またはポリシー変更を依頼
DLPルールが適用されない	ルールの条件が間違っている、またはスコープが適切でない	ルールの設定を見直し、テストファイルで動作確認

特に、ポリシー反映にはタイムラグがあるため、設定直後に変化が見られなくても焦らずに待つことが重要です。また、ラベルを変更する際に、元のラベルが削除できないケースもあります。その場合は、ラベルを非アクティブにする方法を検討してください。

7. よくある質問(FAQ)

Q1. 一般ユーザーでも自分で機密ラベルを削除できますか?

いいえ、一般ユーザーはラベルを削除できません。管理者が設定したポリシーにより、ラベルは保護されています。間違ってラベルを付けてしまった場合は、管理者に連絡して変更を依頼する必要があります。

Q2. ポリシー変更後、既存の共有リンクは自動的に無効になりますか?

はい、ポリシーで「共有を禁止する」などのアクションを設定した場合、既存の共有リンクは無効になります。ただし、リンク自体が削除されるわけではないため、完全に削除したい場合は手動で行う必要があります。

Q3. ファイルに複数のラベルが付いている場合、どのポリシーが優先されますか?

最も制限の厳しいポリシーが適用されます。たとえば、一方のラベルが「外部共有禁止」、もう一方が「特定グループのみ」の場合、結果として「外部共有禁止」が優先され、さらにグループ制限も適用されます。管理者はラベルの優先順位を設定することもできます。

8. まとめ

機密ラベル付きファイルの共有を止めるには、まず管理者が管理コンソールでラベルごとの共有ルールを確認し、必要に応じてポリシーを変更する必要があります。一般ユーザーはファイルの共有設定画面で制限の有無を確認できますが、ポリシー自体の変更はできません。DLPルールを活用すれば、より細かな条件で共有を制御することも可能です。設定変更後は反映時間があるため、即座に効果が出ないことも理解しておきましょう。組織のセキュリティポリシーに沿って、適切にラベルとポリシーを管理してください。

🔐

会社アカウント・認証トラブル完全解決データベース 職場または学校アカウント、MFA、Authenticator、VPN、権限、会社ポリシーで止まる問題を横断的に確認できます。