なぜいまPurview DLPが必要なのか

Microsoft Purview DLPは、M365テナント内の機密データ(個人情報、財務情報、契約書、ソースコード等)が誤って/意図的に外部に漏れることを検出・ブロックする仕組みです。Exchange Online、SharePoint Online、OneDrive、Teams、Endpoint(Windows/Mac)を横断して動作します。

2026年現在、Purview DLPの優先度が一気に上がった背景には次の3点があります。

  • Copilotの一般化:従業員がCopilotに機密データを参照させた結果、Copilotの応答経由で外部に漏れるリスク
  • 改正個人情報保護法(2026年):漏えい等報告と課徴金リスクの増大(改正法対応7ステップ参照)
  • サイバー保険・取引先監査要件:DLPの導入有無が補償条件・取引条件に明記されるケースが増加

本記事ではPurview DLPを2〜3か月で実運用まで持っていく最短手順を解説します。情報漏えい対策の全体像とあわせて読むと体系的に理解できます。

ライセンス要件と前提

Purview DLPはライセンスにより使える範囲が異なります。

機能必要ライセンス
Exchange Online DLPExchange Online Plan 2、または M365 E3/Business Premium
SharePoint/OneDrive/Teams DLPM365 E3/Business Premium以上
Endpoint DLP(Windows/Mac)M365 E5 Compliance、E5 Information Protection & Governance、E5
Adaptive ProtectionM365 E5 Compliance
Defender for Cloud Apps DLP(SaaS連携)Defender for Cloud Apps
Communication ComplianceM365 E5 Compliance

中小企業(300名規模)で「最低限のDLP」であればBusiness Premium(月額3,000円/ユーザー)でExchange/SharePoint/OneDrive/Teamsをカバー可能。Endpoint DLPが必要ならE5アップグレードまたはCompliance Add-onが必要です。

実装フェーズ全体像

フェーズ期間内容
1. 棚卸し1〜2週守りたいデータの定義、機密情報の所在把握
2. ラベル設計1〜2週機密ラベル(Sensitivity Label)の階層設計
3. ポリシー作成2〜3週DLPポリシーを「監査モード」で作成
4. チューニング3〜4週誤検知を観察し、条件・例外を調整
5. ブロック有効化1〜2週監査モードからブロックモードに切替
6. 拡張継続Endpoint DLP/Adaptive Protection追加

ステップ1:棚卸し(守りたいデータの定義)

すべての機密データを一度に守ろうとすると失敗します。まずは3〜5種類に絞って明文化します。

  • 個人情報:マイナンバー、運転免許証番号、健康保険証番号、住所、メールアドレス+氏名の組み合わせ
  • 金融情報:クレジットカード番号、口座番号
  • 契約書・営業機密:価格表、案件情報、顧客リスト
  • 人事情報:給与情報、評価情報、健康情報
  • 知的財産:ソースコード、設計書、特許明細書

ステップ2:機密ラベル(Sensitivity Label)の設計

DLPと相互補完で動くのが機密ラベルです。Purview管理センター → 情報保護 → ラベルから設定。

推奨ラベル設計(4階層)

  1. 公開(Public):マーケ資料、IRリリース等
  2. 社内限(Internal):通常の業務文書(デフォルト適用)
  3. 機密(Confidential):顧客データ、契約書、戦略文書
  4. 厳秘(Highly Confidential):M&A、人事評価、法務情報

機密/厳秘には暗号化+アクセス制限を適用。社外共有時に開けないようにする。Copilotにも「機密」「厳秘」ラベルが付いたファイルは応答に使わないルールを設定可能。

ステップ3:DLPポリシーを「監査モード」で作成

Purview管理センター → データ損失防止 → ポリシー → 新規ポリシーで作成。

3つの基本ポリシー(推奨セット)

  1. 個人情報の外部送信検知:マイナンバー・運転免許証番号を含むメール・ファイル共有を検知
  2. クレジットカード番号の検出:PCI DSS関連のトリガー。組み込みテンプレート利用
  3. 「厳秘」ラベル付きファイルの外部共有禁止:機密ラベル連動

ポリシー設定のキーポイント

  • 適用範囲:Exchange Online、SharePoint Online、OneDrive、Teams、Endpointの組み合わせ
  • 条件:機密情報の種類、検出件数、信頼度(85%以上推奨)、機密ラベル
  • アクション:監査モード時は「インシデント記録のみ」、本番時は「ブロック」「ユーザー通知」「ポリシーチップ表示」「管理者通知」
  • 例外:人事部から経理部への給与情報、法務部内の契約書共有など

ステップ4:監査モードでのチューニング

監査モードで3〜4週間運用し、誤検知パターンを洗い出して例外条件を追加します。Purview管理センター → アクティビティエクスプローラーで検知件数を確認。

典型的な誤検知と対策

  • テストデータの検出:テスト用のダミー番号が引っかかる。条件に「テスト」「sample」キーワードを除外
  • マスキング済みデータの検出:***-****-1234のような部分マスクが本物として検知される。検出条件で正規表現除外
  • 定型業務での大量検知:給与計算で必ず個人情報が含まれるなど。送信元/送信先で例外設定
  • 営業部のデータ共有:契約書送付が業務として必要。受信ドメインホワイトリストで例外

ステップ5:ブロックモードへの切替

チューニング完了後、ポリシーを「監査」から「ブロック」へ切替。段階的に進めます。

  1. まずは「ユーザー通知+ポリシーチップ」のみ有効化(ブロックなし)
  2. 2週間運用、ユーザー反応を観察、誤検知再チューニング
  3. 「アクションのオーバーライド許可(理由記入)」を有効化
  4. 最後に「完全ブロック」に切替

いきなりブロックすると業務停止の苦情が殺到します。段階的展開が必須です。

Endpoint DLP(Windows/Macクライアント)

Endpoint DLPは、クライアントPC上でのファイル操作(USB書き出し、印刷、クラウドストレージへのアップロード、クリップボードコピー)を制御します。E5 Compliance必須。

主な制御ポイント

  • USB/リムーバブルメディアへの書き出しブロック
  • クラウドサービスへのアップロードブロック(Dropbox、Google Drive、個人OneDrive等)
  • 印刷の制御(特定機密データの紙印刷を禁止)
  • クリップボードコピーの制御(機密ラベル付きファイルから他アプリへのコピーを制限)
  • 仮想化アプリ(VDI)対応

Endpoint DLPはIntuneで配信されたOnboardingで有効化。Intune導入手順を参照。

Adaptive Protection(適応型保護)

E5 Compliance限定機能。Insider Risk Managementと連動し、ユーザーの行動リスクスコアに応じてDLPポリシーを動的に変更します。

  • 低リスクユーザー:通常のDLPルール適用、業務継続性を優先
  • 中リスクユーザー:通知のみ、行動を観察
  • 高リスクユーザー(退職予定、異常行動検知):強いブロック、即時管理者通知

「全員に同じ厳格ルール」を避けつつ、リスクの高い人だけ強く制御できる。退職予定者の情報持ち出し対策に有効。

Copilot利用時のデータ保護

Copilot for Microsoft 365は機密ラベルとDLPポリシーを尊重する仕様です。以下の動作が標準で実装されています。

  • 「厳秘」ラベル付きファイルは、応答生成に使わないよう設定可能
  • Copilot応答の出力にもラベル継承(参照元のラベルが最も高いものを出力に付与)
  • DLPポリシーで「Copilot経由の利用」を別途条件に追加できる
  • Purview監査ログでCopilotプロンプトと応答を可視化可能

Copilot利用ガバナンスの全体像はCopilot展開ガイドを参照。

よくある落とし穴

  • いきなりブロックモード開始:業務停止の苦情が殺到、ポリシーが緩められる悪循環
  • 全種類の機密情報を一度にカバーしようとする:誤検知が多すぎて運用回らず
  • 機密ラベルが運用されていない:DLP単独では検知できないパターンが多い。ラベルとセット運用
  • Endpoint DLPのOnboarding漏れ:Intuneで配信したつもりでも一部端末で有効化されていない
  • 例外ホワイトリストが肥大化:例外を増やすだけで本質的なチューニングをしない
  • 監査ログを誰も見ていない:検知してもアラート対応する人がいない。月次レビュー会議の設定が必須
  • ライセンスが足りない:Endpoint DLPはE5 Compliance必須を後で知り計画変更

中小企業向け 導入ロードマップ(3か月)

やること
1〜2週守りたいデータの定義、ライセンス確認、機密ラベル設計
3〜4週機密ラベル展開、Outlookツールバーから手動ラベル付与開始
5〜6週DLPポリシー(個人情報・クレカ)を監査モードで作成
7〜8週誤検知チューニング、例外条件追加
9〜10週ユーザー通知+ポリシーチップ有効化、教育展開
11〜12週ブロックモード切替、本格運用開始
13週以降Endpoint DLP/Adaptive Protection追加、月次レビュー定着

まとめ

Microsoft Purview DLPはM365テナントを使う企業にとって「すでに使えるツール」です。Business Premium以上なら追加コストなしで主要機能が使えます。Copilot展開・改正個人情報保護法・サイバー保険対応のいずれを取っても、2026年中の運用開始が現実的なタイムラインです。3か月の段階的展開で本番運用までもっていけるのが標準的なペースです。

BTNコンサルティングでは、情シス365でPurview DLP設計・展開・チューニング・運用までを伴走支援しています。「機密ラベルから始めたい」「Endpoint DLPの設計を相談したい」など60分の無料相談からお気軽にどうぞ。

関連記事・参考リンク
情報漏えい対策の全体像改正個人情報保護法対応Copilot展開ガイドM365セキュリティ対策M365ログ管理内部不正対策Microsoft Learn: Purview DLP ↗
E

BTNコンサルティング 編集部

株式会社BTNコンサルティング|情シス365 運営

Microsoft 365・Google Workspace導入支援、IT-PMI(M&A後のIT統合)、セキュリティ対策を専門とするITコンサルティング企業。中小企業の「ひとり情シス」を支援し、ITの力で経営課題を解決します。