Copilotの概要
Microsoft 365 Copilotは、Word、Excel、PowerPoint、Outlook、TeamsなどのMicrosoft 365アプリに統合されたAIアシスタントです。ユーザーは自然言語でドキュメント作成、データ分析、メール要約、会議議事録の生成などを行えます。
情シスにとって重要なのは、Copilotがユーザーがアクセスできるすべてのデータを参照できるという点です。適切な権限管理と利用ポリシーなしに導入すると、意図しない情報漏洩やコンプライアンスリスクが発生します。
管理者が設定すべき項目
| 設定項目 | 内容 | 設定場所 |
|---|---|---|
| ライセンス割り当て | Copilotライセンスをユーザーに割り当て | Microsoft 365管理センター |
| サービスの有効化/無効化 | テナント全体またはユーザー単位でCopilotを有効化/無効化 | 管理センター → Settings |
| Webコンテンツ参照の制御 | CopilotがBing経由でWebコンテンツを参照するかの制御 | 管理センター → Copilot設定 |
| 感度ラベルとの連携 | Microsoft Purviewの感度ラベルが付与されたデータのCopilotでの取扱い | Microsoft Purview |
データアクセス権限の確認(最重要)
Copilotはユーザーのアクセス権限に基づいてデータを参照します。つまり、過剰な権限が付与されているユーザーがCopilotを使うと、本来見るべきでないデータがAIの応答に含まれるリスクがあります。
- SharePointサイトの権限見直し:全社員がアクセスできるサイトに機密情報がないか確認
- OneDriveの共有設定確認:「組織内の全員」で共有されたファイルがないか棚卸し
- Microsoft 365グループのメンバーシップ確認:不要なグループメンバーの整理
- ゲストアカウントのアクセス範囲確認:外部ユーザーが参照できるデータの範囲
💡 Copilot導入前に必ずやるべきこと
Copilot導入の最大のリスクは「権限の過剰付与」です。導入前にSharePointの権限、OneDriveの共有設定、グループメンバーシップを棚卸しし、最小権限の原則を徹底してください。
利用ポリシーの策定
- 利用可能な業務範囲:Copilotを利用してよい業務とそうでない業務を明確化
- 入力してはいけないデータ:顧客の個人情報、未公開の経営情報等の入力禁止ルール
- 出力の検証義務:Copilotの出力を鵜呑みにせず、必ずファクトチェックを行うルール
- 外部共有の制限:Copilotが生成したコンテンツの外部共有ルール
セキュリティ上の留意点
- 過学習リスク:Microsoft 365 Copilotはテナントのデータを学習には使用しない(Microsoftの公約)
- 監査ログ:Copilotの利用状況は監査ログ(Microsoft Purview)で確認可能
- DLP連携:Purviewのデータ損失防止(DLP)ポリシーはCopilotにも適用される
- 条件付きアクセス:Copilotへのアクセスも条件付きアクセスポリシーの対象
まとめ
Microsoft 365 Copilotは強力なAIツールですが、情シスには「データアクセス権限の棚卸し」「利用ポリシーの策定」「監査ログの活用」が求められます。導入前の権限見直しが最も重要な準備です。