Copilot 情報漏洩対策の完全ガイド｜リスク構造から実装手順まで

Copilot 情報漏洩リスクの三層構造を正確に把握する

Microsoft 365 CopilotおよびMicrosoft Copilotの業務導入において、最初に問われるのは「どの経路で情報が漏れるか」という問いへの体系的な回答だ。リスクを漠然と捉えたまま対策を積み上げると、重複と見落としが同時に発生する。まずリスクを三つの層に分けて構造的に把握する。

第一層：モデルへのデータ送信リスク。Microsoft 365 Copilotは、プロンプトおよびMicrosoft Graphを通じて取得したコンテキスト（メール・SharePoint・Teamsのデータ等）をAIモデルへ送信する。Microsoftは公式プライバシードキュメントにおいて、M365 Copilotのプロンプト・応答・接続済みデータはAIモデルの学習には使用されず、Azure OpenAIのデータ保護コミットメントに準拠すると明記している。ただしこの保護は、M365 Copilot Business/Enterpriseライセンス契約下の商用テナントに適用されるものであり、未サインイン状態の消費者向けCopilot（copilot.microsoft.com等）では異なるデータ保持ポリシーが適用される点に注意が必要だ。

第二層：過剰なアクセス権限に起因するデータ露出リスク。CopilotはサインインしたユーザーがMicrosoft Graphを通じて持つ権限の範囲内でしかデータにアクセスできない。しかし、SharePointの共有設定が緩く「リンクを知っている全員」がアクセス可能なファイルが大量に存在する組織では、Copilotが意図せず機密ファイルを検索・要約してユーザーに提示し、実質的な情報漏洩が生じる。これはAI固有の問題ではなく、既存のアクセス制御の不備がCopilotによって顕在化する構造的問題だ。デジタル庁「テキスト生成AI利活用におけるリスクへの対策ガイドブック（α版）」（digital.go.jp）でも、生成AIへの機密情報入力リスクとして同様の構造が言及されている。

第三層：脆弱性に起因するリスク。JVN iPediaには、Microsoft 365 Copilotにおける「指定されたタイプの入力に対する不適切な検証に関する脆弱性」（JVNDB-2026-003766）が2026年1月22日付で登録されている（jvndb.jvn.jp）。Copilotが脆弱性の標的となりうることはすでに公式データベースで確認されており、迅速なパッチ適用は対策の大前提となる。加えて、研究者コミュニティではプロンプトインジェクション経由でCopilotに意図しない動作をさせる手法も継続的に報告されており、第三層はパッチ管理だけでは完結しない。

総務省が公開している「MicrosoftのAIサービスにおけるセキュリティ対策」（soumu.go.jp）は、Microsoftのセキュリティ設計の全体像を把握する上での一次参照資料として有用だ。内閣人事局「生成AI『Copilot Chat』活用の取組について」（cas.go.jp）では、政府機関がCopilot Chatを実際に運用する際の管理体制の実例が示されており、組織導入の参考として信頼性が高い。

Copilot 情報漏洩対策の第一歩：テナント設定と権限管理の実装手順

技術責任者として最初に着手すべきは、Copilot固有の設定よりも既存のM365テナント設定の整備だ。CopilotはユーザーのMicrosoft Graphアクセス権限を厳密に継承するため、土台となるアクセス制御が脆弱であれば、AI導入によって問題が一気に表面化する。以下の手順は「Copilot導入前チェックリスト」として機能する。

SharePointおよびOneDriveの共有設定の見直し

Microsoftの中小企業向けCopilotセキュリティドキュメントは、Copilot導入前に「SharePointとOneDriveの既定の共有オプション」を変更するよう明確に推奨している。設定変更の具体的な手順は次の通りだ。

1. SharePoint管理センター（admin.microsoft.com → SharePoint管理センター）を開き、「ポリシー」→「共有」に移動する。
2. 「外部共有」の既定値を「既存のゲストのみ」または「組織内のユーザーのみ」に制限する。
3. 「既定の共有リンクの種類」を「特定のユーザー」または「組織内のユーザー」に変更し、「リンクを知っている全員」を既定から外す。
4. サイトオーナーが外部共有を独断で有効化できないよう、テナントレベルの共有ポリシーでオーバーライドを無効にする。
5. SharePointサイトアクセスレビュー機能を活用し、広範にアクセスされているファイルを四半期ごとに棚卸しする。

この設定変更は「Copilotが参照できるデータの総量を絞る」という点で、第二層リスクへの最も直接的な対策となる。

Microsoft Purview秘密度ラベルの設定と動作確認

Microsoft Purviewの秘密度ラベル（Sensitivity Labels）を活用すれば、ラベルに基づいてCopilotの応答生成を制御できる。M365 Copilotは応答生成時にソースドキュメントの秘密度ラベルを継承し、ラベル付きコンテンツを含む応答には同等の秘密度が付与される。この挙動を正しく動作させるには次の点を確認する必要がある。

• Microsoft Purviewコンプライアンスポータルで秘密度ラベルを定義し、「最上位ラベルの継承」ポリシーを有効化する。
• ラベルポリシーをCopilotユーザーを含むすべての対象ユーザーに発行する。
• ラベル付きドキュメントをCopilotで要約した際に、応答メタデータにラベルが正しく付与されることをテスト環境で確認する。
• 「秘密」以上のラベルが付いたドキュメントの内容を外部共有リンク経由でCopilotが参照できないよう、条件付きアクセスポリシーと組み合わせる。

なお、秘密度ラベルはラベルが正しく付与されていないドキュメントには機能しない点は重要な限界として認識しておく必要がある。既存ドキュメントへの遡及的なラベル付けは自動分類ポリシーで対応できるが、分類精度には限界があり、ラベル付与の網羅性を定期的に検証する運用が求められる。

Copilot利用対象ユーザーの段階的展開

全社一括でCopilotライセンスを付与するのではなく、Microsoft 365管理センターで特定のセキュリティグループ単位にCopilotの利用を限定し、試験運用期間中に統合監査ログ（Unified Audit Log）でアクセスパターンを確認する。統合監査ログにCopilotのアクティビティが記録される機能は、M365 Copilot Enterpriseライセンス環境で利用可能だ（Microsoftプライバシードキュメント）。段階展開のフェーズ設計としては、ITチーム→部門管理職→一般ユーザーの順で展開し、各フェーズで2〜4週間の監査期間を設けることが現実的だ。

Copilot 情報漏洩対策の技術実装：エージェント設計とプロンプトインジェクション対応

カスタムエージェントやCopilot Studioを使った独自ワークフローを構築する場合は、標準のCopilot以上にアクセス制御とデータフローの設計が重要になる。標準Copilotは既存のSharePoint権限に縛られるが、エージェント設計では開発者が明示的にデータソースの境界を定義しなければならないからだ。Copilot Studioの詳細な機能と設計手法についてはCopilot Studio解説記事およびCopilotエージェント解説記事を別途参照されたい。

Power Platform DLPポリシーの設計手順

Copilot Studioで作成したカスタムコパイロットは、Power PlatformのData Loss Prevention（DLP）ポリシーによって接続できるコネクタを制限できる。この設計は以下の手順で実施する。

1. Power Platform管理センター（admin.powerplatform.microsoft.com）にアクセスし、「データポリシー」を選択する。
2. 対象環境（本番・開発を分ける）に適用するDLPポリシーを新規作成する。
3. 機密データを扱うコネクタ（社内基幹システム・ERPへの接続等）を「ビジネスデータのみ」グループに分類する。
4. 「ビジネスデータのみ」グループと「ブロック」グループのコネクタが同一フロー内で混在できないようポリシーを適用する。
5. ポリシー適用後、既存フローへの影響を「DLP違反レポート」で確認し、必要に応じてフロー側を修正する。

このDLPポリシーがCopilot Studio経由での意図しないデータ漏洩を防ぐ主要な技術的安全弁となる。ポリシーを設定せずに開発を進めると、後から追加した際に既存フローが動作停止するリスクがあるため、開発初期に定義することが強く推奨される。

Graph Connectorおよびプラグインの最小権限設計

M365 Copilotに追加するプラグインやGraph Connectorで接続する外部データソースには、最小権限の原則（Principle of Least Privilege）を徹底する。具体的には以下のチェックポイントがある。

• Graph Connectorに使用するサービスアカウントの権限を、接続対象データの読み取りに必要な最小スコープに制限する。
• 読み取り専用で済むデータソースには書き込み権限を付与しない。
• CopilotからアクセスできるGraph Connectorの一覧を四半期ごとに棚卸しし、不要な接続を削除する。
• 接続済みデータソースへのアクセスログをMicrosoft Entra ID（旧Azure AD）のサインインログと突合し、異常なアクセスパターンを検出する。

プロンプトインジェクション攻撃への技術的対応

ドキュメントや外部Webコンテンツに埋め込まれた悪意あるプロンプト（プロンプトインジェクション）によって、CopilotがユーザーのデータをインジェクトされたURLへ送信させられるリスクが研究者によって指摘されている。Microsoftはモデル側のセーフガードで対応を進めているが、設計面でも次の点を実装でカバーする必要がある。新種の攻撃手法が継続的に発見されているため、セーフガードへの過信は禁物だ。

• Copilotが参照する外部ドキュメントの範囲を必要最小限に制限し、信頼できるドメインの許可リストを運用する。
• Defender for Office 365のセーフリンク・セーフアタッチメントを有効化し、Copilotが参照するURL・添付ファイルをスキャン対象に含める。
• Copilot Studioで外部Webサイトを参照するエージェントを構築する場合は、参照先URLの許可リストをトピックレベルで定義し、任意のURLへの問い合わせを防ぐ。

機械学習・深層学習の技術的背景を理解した上でリスクを評価したい場合は、機械学習の基礎解説や深層学習解説も参照されたい。

Copilot 情報漏洩対策の比較表と継続的な運用管理体制

リスク層別対策の比較表

リスク層ごとの主要対策・実装難度・効果・前提ライセンスを以下の表に整理する。導入計画の優先度付けに活用されたい。

リスク層	主要対策	実装難度	効果範囲	前提ライセンス	実施タイミング
第一層 （モデル送信）	M365 Copilot Business/Enterpriseへの移行、テナントサインイン必須化	低	学習利用禁止・データ保持ポリシー適用	M365 Copilot Business（$18/月・年払い※）またはEnterprise（$30/月・年払い）	導入前（前提）
第二層 （過剰権限）	SharePoint/OneDrive共有設定変更、Purview秘密度ラベル、アクセス権限監査	中〜高	Copilotが参照できるデータ範囲を制限	M365 E3/E5 + Microsoft Purview	導入前（必須）
第三層 （脆弱性）	CVE追跡・パッチ即時適用、Defender for Office 365統合	低	既知の脆弱性起因の漏洩防止	標準M365 + Defender for Office 365 P1/P2	常時（継続）
エージェント設計 （Copilot Studio）	Power Platform DLPポリシー設計、最小権限サービスアカウント	高	カスタムコパイロット経由の漏洩防止	Power Platform + Copilot Studio	開発初期（設計段階）
プロンプト インジェクション	参照ドメイン許可リスト運用、セーフリンク・セーフアタッチメント有効化	中	外部コンテンツ経由の攻撃防止	Defender for Office 365 P1/P2	導入時〜（継続）

※M365 Copilot Businessの$18/ユーザー/月（年払い）は2026年6月30日までの割引価格。通常は$21（年払い）・月払いは$25.20。また、いずれのプランもベースとなるM365ライセンス（Business Standard/Premiumなど）が別途必要であり、表記の価格のみで利用できるわけではない（出典：Microsoft公式料金ページ、2026-06-08アクセス）。

監査ログと継続的モニタリングの体制設計

一度設定すれば終わりという性質の対策は存在しない。M365 Copilot Enterpriseでは統合監査ログにCopilotアクティビティが記録され、Copilotがどのファイルを参照したか、どのユーザーが何を問い合わせたかをMicrosoft Purview Audit（Standard）で確認できる。モニタリング体制の具体的な構成要素は以下の通りだ。

• 週次レビュー：Copilotアクティビティログから「秘密度ラベル付きドキュメントへの参照」を抽出し、意図しないアクセスがないかを確認する。
• 月次レビュー：Graph Connectorの接続先・プラグインの利用状況を棚卸しし、不要な接続を削除する。
• 四半期レビュー：SharePoint/OneDriveのアクセス権限監査を実施し、過剰な共有設定を是正する。
• インシデント対応：CVEが公開された際は速やかにパッチを適用することを目標とし、Microsoftセキュリティ更新プログラムガイドをRSSでモニタリングする。JVN iPediaへのCopilot関連脆弱性の登録（jvndb.jvn.jp）も定期的に確認する。

内閣人事局の「生成AI『Copilot Chat』活用の取組について」（cas.go.jp）では、政府機関における実際の運用管理の取り組みが示されており、組織規模を問わず参考となる。

ユーザー教育と社内ガイドラインの整備

技術的な制御だけでは対処しきれないのが、ユーザーによる意図せぬ機密情報の入力だ。「Copilotのプロンプトに個人情報・秘密情報を含めない」という原則は技術的には強制しにくく、社内ガイドラインとリテラシー教育が補完的な役割を担う。ガイドラインに含めるべき最低限の項目は以下の通りだ。

• Copilotのプロンプトに含めてはならない情報の分類（個人情報・取引先情報・未公開財務情報等）を具体的に列挙する。
• Copilotが生成した応答を外部に共有する際の承認フローを定義する。
• 未サインイン状態での消費者向けCopilot（copilot.microsoft.com）の業務利用を禁止または制限する旨を明記する。
• 違反を発見した際の報告先と対応フローを明示する。

デジタル庁「テキスト生成AI利活用におけるリスクへの対策ガイドブック（α版）」（digital.go.jp）は、組織のガイドライン策定において参照価値の高い一次資料だ。法令・規制要件との整合性を確保する観点からも、同ガイドブックに基づいた整備を推奨する。

M365 Copilot全般の機能・導入ポイントについてはMicrosoft 365 Copilot解説記事を、Copilot全体の概要についてはCopilot総合解説記事を、そしてCopilotエージェントの設計についてはCopilotエージェント解説をそれぞれ参照されたい。

Copilot 情報漏洩対策の実装チェックリストと技術的限界

以下に、Copilot情報漏洩対策を実装する際の優先チェックリストと対策の限界を整理する。これらは独立した施策ではなく、相互に補完する重層的な防御の各要素として位置付けることが重要だ。

実装チェックリスト（優先順）

1. ライセンス確認と契約（前提）：消費者向けではなく法人向けM365 Copilot Business/Enterpriseを契約し、プロンプト・応答データがAI学習に利用されない契約条件を確認する。
2. CVE追跡とパッチ適用（即時・継続）：MicrosoftセキュリティガイドおよびJVN iPediaをモニタリングし、M365 Copilotに関するCVEへの対応を優先する。JVNDB-2026-003766のような脆弱性登録事例を定期的に確認する。
3. SharePoint/OneDrive共有設定の見直し（導入前必須）：「リンクを知っている全員」共有を廃止または監査対象化し、既定を組織内共有に制限する。
4. Purview秘密度ラベルの適用（機密ドキュメント対象）：ラベルポリシーとCopilot連携を設定し、機密コンテンツを含む応答に秘密度が継承されることをテストで確認する。
5. Copilot利用対象者の段階的展開とグループ管理：全社一括展開を避け、セキュリティグループ単位で段階的に展開し、各フェーズで監査ログを確認する。
6. Power Platform DLPポリシーの設計（Copilot Studio利用時）：コネクタ分類とデータ境界をフロー設計と並行して定義する。後からの追加では既存フローに影響が生じるため開発初期に設計する。
7. Graph Connectorの最小権限設計：サービスアカウントの権限スコープを最小化し、定期的に棚卸しする。
8. Defender for Office 365の有効化：セーフリンク・セーフアタッチメントを通じてプロンプトインジェクション経路をカバーする。
9. 監査ログのレビュー体制の確立：週次・月次・四半期の粒度でCopilotアクティビティを確認し、異常なデータアクセスを早期検出できる運用フローを整備する。
10. 社内ガイドラインとユーザー教育：プロンプトへの機密情報入力禁止を明文化し、定期的なリテラシー教育を実施する。

対策の限界と残存リスクの認識

上記の対策を実施しても残存するリスクがあることは、設計段階から明示的に認識しておく必要がある。

第一に、Purview秘密度ラベルはラベルが正しく付与されていないドキュメントには機能しない。自動分類ポリシーで遡及的な対応は可能だが、分類精度には限界があり、過信は禁物だ。第二に、プロンプトインジェクション攻撃への対策はモデル側のセーフガードと設定の組み合わせで対応するが、新種の攻撃手法が継続的に発見されており、現時点では完全な防御は困難だ。第三に、ユーザーが意図的に機密情報をプロンプトに入力することは技術的に完全には制御できない。ガイドラインと教育による組織的アプローチが不可欠な補完策となる。

Copilot情報漏洩リスクの本質は、AIシステム固有の問題というより「既存のアクセス制御の不備がAIによって可視化される問題」である部分が大きい。技術的な対策と組織的な運用管理を重層的に組み合わせることで、リスクを許容可能な水準に収めることが現実的な目標となる。AIリスク管理の観点から機械学習・深層学習の技術基盤を体系的に理解したい場合は、AI技術解説記事一覧も参照されたい。

弊社が開発するバーチャルヒューマン／AIアバターソリューション「DeepAI」は、実在の人物の容姿・表情・声・振る舞いをデジタル空間で再現する技術を核としており、リップシンク・表情生成・音声合成・対話AIを組み合わせた設計上、利用者データの取り扱い範囲を明確に定義することをシステム設計の段階から重視している。Copilotのようなクラウド型AIサービスとオンプレミス型AIの使い分けを含む全体的なAIリスク管理設計について、弊社へのご相談も受け付けている。

---

参考文献

• Microsoft. “Microsoft 365 Copilot のデータ、プライバシー、セキュリティ”. https://learn.microsoft.com/ja-jp/microsoft-365/copilot/microsoft-365-copilot-privacy（2026年6月時点）
• Microsoft. “中小企業向けのセキュリティで保護されたMicrosoft 365 Copilot”. https://learn.microsoft.com/ja-jp/microsoft-365/admin/security-and-compliance/m365b-copilot-security?view=o365-worldwide
• Microsoft. “Microsoft 365 Copilot Pricing”. https://www.microsoft.com/en-us/microsoft-365-copilot/pricing（2026-06-08アクセス）
• Microsoft. “Microsoft 365 Copilot Pricing – Individuals”. https://www.microsoft.com/en-us/microsoft-365-copilot/pricing/individuals（2026-06-08アクセス）
• 総務省. “MicrosoftのAIサービスにおけるセキュリティ対策” [PDF]. https://www.soumu.go.jp/main_content/001039079.pdf
• 内閣人事局. “生成AI「Copilot Chat」活用の取組について” [PDF]. https://www.cas.go.jp/jp/gaiyou/jimu/jinjikyoku/pdf/workstyle-award2026_04.pdf
• デジタル庁. “テキスト生成AI利活用におけるリスクへの対策ガイドブック（α版）” [PDF]. https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/c1959599-efad-472e-a640-97ae67617219/e98ba4e7/20240530_resources_generalitve-ai-guidebook_01.pdf
• JVN iPedia. “JVNDB-2026-003766 Microsoft 365 Copilotにおける脆弱性”. https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-003766.html（登録日：2026-02-17）