Copilotは業務効率化に役立つ生成AIですが、以下のような悩みによって導入を迷う企業担当者も多いのではないでしょうか。
「Copilotのセキュリティは本当に安全なのか判断できない」
「Copilotに社内データを入力して情報漏洩しないか不安」
そこで今回は、Copilotのセキュリティに関する仕組みやリスクを解説します。
【記事を読んで得られること】
- Copilotの種類ごとのセキュリティの違い
- Copilotで起こり得る情報漏洩リスクと対策
- Copilot導入前に確認すべきポイント
Microsoft Copilotを安全に使うための設定や運用方法も解説しているので、導入判断の参考にしてください。
株式会社エヌイチ 代表取締役 CEO
奥山 幸生
株式会社エヌイチ代表取締役|AIを駆使して法人1期目年商5.5億円達成|AI×マネタイズジャンルで日本一のYouTube「AI収益化ラボ」の登録者5.6万人超|国内最大級のChatGPTスクール「ChatGPT道場」の受講者3300人超|AI人材を育てるプロ
\ 「業務効率を10倍にする現場ですぐ使えるプロンプト20選」を特別配布中! /
【経営者・事業責任者の方へ】
なぜ、あなたの会社の生産性は上がらないのか?
「現場は頑張っているが、会社全体の生産性が期待したほど上がらない…」
もし、そう感じているなら、原因は次のようなものではないでしょうか。
- 定型業務に時間を奪われ、付加価値の高い仕事に集中できていない
- 生成AIを導入したが、一部の社員が使うだけで組織的な活用につながっていない
- 営業担当者のスキルにバラつきがあり、成果が属人化してしまっている
- SNSマーケティングや資料作成に、未だに多くの人手と時間を費やしている
- 部門間の連携が滞り、気づけば無駄な会議や手戻りが発生している
これらの課題は、AIを「個人」の便利ツールとして放置し、「組織」の武器として活用できていないことが原因です。
多くの企業が「最適な活用法が分からない」「AI活用が個人任せ」という壁にぶつかり、AI導入の効果を最大化できずにいます。
株式会社エヌイチでは、AI活用の専門家として、“個人任せ”のAI活用を、“組織の成果”に変えるご支援をしてきました。
とくに「オンボーディングの高速化」「営業プロセスの標準化」「バックオフィス業務の自動化」といった分野で、企業変革を実現してきた実績がございます。
今回、そのノウハウを結集し、明日から現場ですぐに使える「成果実証済みのプロンプト20選」をご用意しました。
「AI活用」を机上の空論で終わらせずに、確かな成果を出すために。
指示の出し方一つで会社の生産性が劇的に変わるという事実を、まずはこちらの資料で体感してみませんか?
\ 「業務効率を10倍にする現場ですぐ使えるプロンプト20選」を無料で受け取る /
Microsoft Copilotのセキュリティが不安と言われる理由
まず、Microsoft Copilotの導入を検討する際に具体的にどのような不安があるのか、以下の3つを解説します。
- AIに入力した情報が学習に使われると思われている
- 社内データにアクセスされる可能性がある
- 無料版と法人版のセキュリティの違いが分かりにくい
それぞれ詳しく見ていきましょう。
AIに入力した情報が学習に使われると思われている
生成AIでは、入力した顧客情報や社内データがAIの学習に利用されるのではないかという不安の声が聞かれます。もし入力したデータがAIの学習に使われてしまうと、まったく関係ない他人がAIに質問した際に、自社の機密情報が回答として漏えいしてしまう危険性があるのです。
実際、過去に海外企業で、社員が生成AIにソースコードを入力し情報が流出した事例が報告されています。
なお、Microsoft 365 Copilotでは、入力した情報がAI学習に利用されることはありません。
社内データにアクセスされる可能性がある
Copilotの導入にあたり、「社内の機密情報が、他の社員に見えてしまうのではないか」という内部漏洩のリスクを心配する声もあります。
Microsoft 365 Copilotは、社内にあるWordやTeams、SharePointなどの膨大なデータを一瞬で検索して回答を生成する便利なツールです。
しかし、AIはアクセス権限が与えられているファイルは容赦なく探しに行きます。もし、人事情報や役員会議の極秘資料に適切なアクセス制限がかけられておらず、放置されていた場合どうなるでしょうか。
一般社員がCopilotに質問した際、Copilotが気を利かせてその極秘資料の内容を回答に含めてしまい、本来見られないはずの情報が社内に漏れてしまう危険性があります。
そのためCopilotを導入する前には、社内ファイルの「誰がどのデータを閲覧できるのか」というアクセス権限の設定を、改めて厳格に見直す作業が不可欠です。
無料版と法人版のセキュリティの違いが分かりにくい
Microsoft Copilotには複数の提供形態があり、個人向けCopilot・Copilot Chat・Microsoft 365 Copilotでセキュリティ仕様が異なる点が分かりにくいという問題があります。名称が似ているため、同じ環境と誤解したまま業務データを入力する場合もあるかもしれません。
個人向けMicrosoft Copilotと、enterprise data protectionが適用されるCopilot ChatやMicrosoft 365 Copilotではデータの扱いが異なります。違いを理解しないまま利用すると、情報管理上の事故につながります。
企業でCopilotを安全に使うには、各プランのセキュリティ方針を確認して利用環境を統一しましょう。
Microsoft Copilotの種類別セキュリティ
ここでは代表的な4つのCopilotについて、安全性の違いを解説します。
- 無料版Copilotのセキュリティ
- Microsoft 365 Copilotのセキュリティ
- GitHub Copilotのセキュリティ
- Security Copilotのセキュリティ
それぞれ詳しく見ていきましょう。
無料版Copilotのセキュリティ
無料版Copilotは、サインインするアカウントの種類によってセキュリティ仕様が変わります。
個人のMicrosoftアカウントで利用するconsumer向けCopilotでは、会話データがモデル改善に利用される場合があります。設定により学習利用を制御できますが、業務データの入力には注意しましょう。
組織管理されたMicrosoft Entra IDでサインインし、対象のMicrosoft 365サブスクリプションを利用する場合は、Copilot Chatにenterprise data protectionが適用されます。この環境ではプロンプトや応答が基盤モデルの学習に使用されません。
個人アカウントで業務データを入力するなど、会社が管理していないITツールを利用する「シャドーIT」を防ぐため、社用アカウントでの利用を統一する運用ルールが必要です。
Microsoft 365 Copilotのセキュリティ
Microsoft 365 Copilotは企業向けプランとして提供され、入力データや社内ファイルがAIモデルの学習に使用されない設計になっています。Microsoftの公式説明でも、プロンプトや企業データは基盤モデルの学習には使われないと明記されています。
Copilotは、WordやExcel、Teamsなどと連携して回答を生成しますが、参照できるのは操作するユーザーが元から閲覧権限を持つデータのみです。他部署のファイルが自動的に表示される仕様ではありません。
GitHub Copilotのセキュリティ
GitHub Copilotは開発者向けAIで、Business版とEnterprise版では組織データをAIモデル学習に利用しない方針とされています。利用形態によってはプロンプトや応答が一定期間保持される場合があるため、データ保存期間と学習利用の違いを分けて理解しましょう。
IDE拡張から送信されたリクエストは破棄されるケースもありますが、ログ保持設定によってはデータが残る可能性があります。開発環境で利用する場合は、コードレビューや静的解析・アクセス制御を併用した運用ルールを整えましょう。
Security Copilotのセキュリティ
Security Copilotはセキュリティ担当者向けに設計されたCopilotで、Microsoft DefenderやIntuneと連携し、情報漏洩や不正アクセスなどの問題を調査し対処するためのAIです。
Security Copilotに入力されたCustomer Dataは、Azure OpenAIの基盤モデル学習には使用されないと明記されています。
ただし、顧客がデータ共有に同意した場合は、製品改善の目的で一部データがMicrosoftに送信される場合があるので注意しましょう。実務で利用する際は、役割ごとにアクセス範囲を制限する設定(RBAC)をして、担当者ごとに閲覧できるデータを限定して運用しましょう。
Microsoft Copilotで起こり得る情報漏洩リスク
ここでは、Microsoft Copilotで起こり得る情報漏洩リスクの代表的な4つのケースを解説します。
- 入力した機密情報が外部に共有される
- 権限設定ミスによる社内データの漏洩
- アカウント乗っ取りによる情報流出
- 社内データのアクセス範囲設定ミス
それぞれ詳しく見ていきましょう。
入力した機密情報が外部に共有される
Copilotのセキュリティで最初に注意する点は、保護されていない環境で機密情報を入力すると外部共有の原因になる点です。無料版や個人アカウントで利用した場合、入力内容がモデル改善に使用される場合があります。
現場で起きやすい例として、会議録の要約目的で顧客情報や新製品データを個人アカウントのCopilotに入力してしまうケースがあります。
防止するには、入力可能なデータの基準を社内規程で明確にし、企業データが学習に利用されない保護機能(enterprise data protection)が適用された環境のみ使用して運用しましょう。
権限設定ミスによる社内データの漏洩
Copilotは利用者の権限範囲にあるファイルを横断検索するため、共有設定が広すぎると機密情報が回答として表示される可能性があります。Microsoft 365 CopilotはSharePointやTeamsなどのデータを参照して回答を生成するからです。
たとえば人事評価シートに全社員の閲覧権限が付いている場合、一般社員が質問しただけで内容が表示される場合があります。導入前には、SharePointやTeams・OneDriveの共有設定とアクセス権限を全体で点検する作業が欠かせません。
アカウント乗っ取りによる情報流出
Copilotのセキュリティでは、アカウント管理も大きなリスク要因です。Microsoftアカウントが不正ログインされると、利用者の権限で社内データへアクセスされる可能性があります。
IPA(独立行政法人 情報処理推進機構)の公表資料でも、不正ログインは代表的な情報セキュリティ脅威として挙げられています。Copilotは検索補助として動作するため、乗っ取られた場合は社内情報を効率的に取得される危険があるので注意しましょう。多要素認証(MFA)と条件付きアクセスを必須設定にするのが重要です。
社内データのアクセス範囲設定ミス
Copilotの検索対象を制御しないまま導入すると、AIが参照してはいけないサイトやフォルダまで検索対象になる可能性があります。
Copilotや組織検索の対象から特定サイトを除外する設定(Restricted Content Discovery / Restricted SharePoint Search)を使うと、機密データをAIの参照対象から外せます。
機密度が高いデータは、事前に管理者側で検索対象から外す設定をして、Copilotが参照できる範囲を制限した状態で運用しましょう。
Microsoft Copilotを安全に使うためのセキュリティ対策7選
ここでは、企業がMicrosoft Copilot導入前や運用中に必ず実施すべき7つの具体的な対策を解説します。
- Microsoft 365 Copilotの法人プランを利用する
- アクセス権限を適切に設定する
- Microsoft DefenderやPurviewなどのセキュリティ機能を併用する
- 機密情報の入力ルールを策定する
- 社内ガイドラインを整備する
- 従業員へのAIリテラシー教育をする
- 操作ログを監査する
それぞれ詳しく見ていきましょう。
Microsoft 365 Copilotの法人プランを利用する
Copilotのセキュリティ対策として最初に行うべき対応は、商用データ保護が適用される法人向けプランに利用を限定することです。無料版や個人アカウントで利用すると、入力データがモデル改善に使われる可能性があります。
Microsoft 365 Copilotでは、入力したプロンプトや社内データが基盤モデルの学習に利用されない仕様になっています。現場判断で無料版を使うと情報管理が不統一になるため、組織で利用するCopilotの種類を指定しましょう。
アクセス権限を適切に設定する
Copilotは利用者が閲覧できるすべてのデータを検索対象にするため、SharePointやTeams・OneDriveの権限設定を整理しないと内部漏洩が発生します。共有フォルダに機密ファイルが残っている状態で導入すると、回答として表示される可能性があります。
人事評価表や役員資料などが全社員閲覧になっているケースは珍しくありません。導入前には、ファイル共有範囲の棚卸しとアクセス権の再設定を全社で実施する手順を決めておきましょう。
Microsoft DefenderやPurviewなどのセキュリティ機能を併用する
Copilotのセキュリティを強化するには、PurviewやDefenderなどのセキュリティ機能と組み合わせるのが大事です。Purviewを利用すれば、機密データにラベルを付けて情報の持ち出し制限が可能です。
DLP(機密情報の送信を防ぐ機能)を設定すると、機密情報を含む入力を制限したり、重要データをCopilotの参照対象から外したりできます。すべての操作を自動で防げるわけではないため、用途に応じて設定を調整しましょう。
機密情報の入力ルールを策定する
Copilotのセキュリティを維持するには、従業員が入力してよい情報の範囲を明確に決めておきましょう。法人プランを利用していても、誤操作や設定不備による情報流出を完全に防げるわけではありません。
現場が判断に迷わないよう、入力可能な情報と禁止情報を一覧で示した運用ルールを用意しておくとAI活用が定着しやすくなるでしょう。
社内ガイドラインを整備する
Copilotを安全に使うには、生成AIの利用ルールを文書として整備し、全社員に周知する対応が必要です。利用できるAIツールや入力禁止情報、出力結果の確認方法などを事前に定めておくことで、運用中の混乱を防げます。
ガイドラインには、使用可能なCopilotの種類や機密情報の扱い、出力内容の確認手順などを具体的に記載します。一般社団法人日本ディープラーニング協会が公開している「生成AIの利用ガイドライン」などのひな型を参考にすると作成しやすく、組織の情報管理方針に合わせて内容を調整しましょう。
従業員へのAIリテラシー教育をする
Copilotのセキュリティ対策では、操作する従業員への教育も必須です。どれだけ設定を整えても、利用者の判断ミスで情報漏洩が起こる可能性があります。
教育では操作方法だけでなく、生成AIの特性や情報管理の注意点も共有しましょう。実際の業務を想定した研修やeラーニングを実施すると理解が進みやすくなります。資料の配布だけで終わらせず、定期的に研修を実施する運用計画を作っておきましょう。
操作ログを監査する
Copilotの運用開始後は、利用状況を記録し定期的に確認する監査体制を整える必要があります。誰がどのデータにアクセスしたかを把握できる状態にしておくと、不正利用の早期発見につながります。
Microsoft PurviewのAudit機能を使うと、Copilotの利用履歴や参照されたリソースの確認が可能です。深夜の大量アクセスや特定ファイルへの集中検索など、不自然な動きを検知するためにも、ログを定期確認する管理手順を決めておきましょう。
Microsoft Copilotのセキュリティ機能
ここでは、Microsoft Copilotのセキュリティ機能を解説します。
- Microsoft 365の権限に基づいて回答が生成される
- テナント分離により他社データと混在しない
- ISO・SOC・GDPRなどの国際基準に対応している
- DefenderやPurviewなどのセキュリティ機能と連携できる
それぞれ詳しく見ていきましょう。
Microsoft 365の権限に基づいて回答が生成される
Copilotは、利用者が閲覧できる範囲のデータのみを参照して回答を生成する仕組みになっています。SharePointやOneDriveなどに設定されているアクセス権限がそのまま適用されます。
権限がないファイルをAIが勝手に読み取ることはありませんが、共有設定が広い場合は回答に含まれる可能性があるので注意しましょう。導入前には、各部署のフォルダ権限や共有リンクを確認し、閲覧範囲を整理した状態でCopilotを利用する運用が欠かせません。
テナント分離により他社データと混在しない
Microsoftのクラウド環境では、企業ごとに分離されたテナント内でデータが管理されます。Copilotが処理する情報も同じテナント内に限定され、他社のデータと混在しない設計です。
同一サーバー上で処理される場合でも、論理的に分離されているため別企業の情報にアクセスすることはできません。金融や医療など厳格な管理が求められる分野でも導入できるよう、組織単位で独立したデータ領域が維持される仕組みが採用されています。
ISO・SOC・GDPRなどの国際基準に対応している
Microsoft 365 Copilotは、国際的なセキュリティ規格や個人情報保護基準に準拠した環境で提供されています。ISO 27001やSOC 2、GDPRなどの基準に対応しており、企業の監査や内部統制の要件にも合わせやすくなっています。
AIツール導入時にはコンプライアンス確認が必要になりますが、Copilotは既存のMicrosoft 365と同じ認証体系に含まれるため、追加の審査負担を抑えやすいのが特徴です。
DefenderやPurviewなどのセキュリティ機能と連携できる
CopilotはMicrosoft DefenderやMicrosoft Purviewと連携でき、機密データの保護や持ち出し制御を追加設定できます。Purviewを使うとファイルに保護ラベルを付け、閲覧やコピー・共有の制限が可能です。
機密ラベルが付いた資料をCopilotが参照した場合でも、外部送信やコピー操作を制限できます。システム側で制御できるため、操作ミスや不正利用を防ぎながら運用可能です。組織全体で安全に利用するには、CopilotとPurview・Defenderを組み合わせた管理設定をしましょう。
Microsoft Copilot導入前に確認すべきポイント
Copilot導入を急ぐ前に必ず確認しておきたい5つの準備項目を解説します。
- 投資対効果が見込めるか確認する
- セキュリティポリシーに適合するか確認する
- 社内データのアクセス権限を整理する
- 運用ルールや管理体制を整備する
- 導入後の教育やサポート体制を準備する
それぞれ詳しく見ていきましょう。
投資対効果が見込めるか確認する
Microsoft 365 Copilotはユーザー単位でライセンス費用が発生するため、導入によって削減できる作業時間とコストを事前に算出しておく必要があります。利用人数が多い場合、費用負担が大きくなるため検証することなく全社で導入するのは避けましょう。
議事録作成や資料要約など時間がかかる業務を対象に試験導入をして、実際に短縮できた時間を計測します。結果をもとに一部の部署から展開すると、費用に見合う効果を確認したうえで導入判断できる進め方になります。
セキュリティポリシーに適合するか確認する
Copilotのセキュリティ仕様が、自社の情報管理の規程や業界ルールに合っているか事前に確認しましょう。金融・医療・公共分野ではクラウド利用の条件が細かく定められている場合があります。
Microsoftの公開資料を確認し、保存場所や暗号化方法・アクセス制御の仕組みを整理したうえで、法務・コンプライアンス部門と内容を共有します。導入前に確認しておくと、稟議や監査で説明できる状態を作りやすくなるでしょう。
社内データのアクセス権限を整理する
Copilotは利用者が閲覧できる範囲のデータを検索対象にするため、共有設定の整理が不十分な状態で導入すると内部漏洩の原因になります。SharePointやTeamsに残っている不要な共有リンクを確認する作業が必要です。
公開フォルダに機密資料が含まれていないかを全体で点検し、閲覧範囲を部署単位で見直しましょう。確認が難しい場合はPurviewなどを使い、機密データにラベルを付けて分離しておくと安全です。権限の整理を先に実施してからCopilotを有効化しましょう。
運用ルールや管理体制を整備する
Copilotを導入しただけでは安全に運用できません。管理担当と利用ルールを決めてから運用を開始する必要があります。担当者が不明確な状態では、設定変更やログ確認が行われなくなります。
情報システム部がアカウント管理と監査を担当し、法務部が入力可能なデータ範囲を定めるなど役割を分けておきましょう。利用中に判断に迷った場合に相談できる窓口を用意すると、現場での誤操作を減らせます。責任の範囲を明確にした運用体制を先に決めておきましょう。
導入後の教育やサポート体制を準備する
Copilotは操作する人によって結果が変わるため、導入と同時に教育とサポートの仕組みを用意する必要があります。操作方法だけでなく、出力内容の確認や情報管理の注意点も共有しましょう。
研修では実際の業務を想定した例を使い、入力方法や確認手順を練習します。社内ポータルでプロンプト例を共有すると、利用者が迷いにくくなります。自社で教育が難しい場合は外部研修を利用し、継続して学習できる体制を準備しておきましょう。
Microsoft Copilotのセキュリティについて正しく理解してビジネスを効率化させよう
本記事では、Copilotのセキュリティの仕組みや情報漏洩リスク、導入前に確認すべきポイントを解説しました。
Copilotは正しく設定すれば安全に利用できますが、権限設定や利用ルールが不十分な状態では情報漏洩につながる可能性があります。導入前にセキュリティ仕様を理解し、運用体制を整えることが欠かせません。
【Copilotを安全に導入するための対策】
- Copilotの種類ごとのセキュリティ仕様を確認する
- 情報漏洩を防ぐための設定と運用ルールを整備する
- 導入前にアクセス権限と社内ポリシーを整理する
Copilotを適切に管理すれば業務を効率化できます。セキュリティを理解したうえで活用し、組織全体の生産性向上につなげていきましょう。
AIリテラシー向上のために社内研修をお考えの場合は、研修費の最大75%が助成金(人材開発支援助成金)で補助される生成AI研修サービスがおすすめです。
