Copilotのデータ参照先は？ 大事なデータを抜き取られないための鉄則

Copilot for Microsoft 365を利用し始めたユーザーからは、「Copilotが自分の情報を勝手に持って行ってしまわないか不安だ」という声が聞かれます。Copilot for Microsoft 365とMicrosoft 365の関係を整理しながら、利用する際に気を付けるべきことを紹介します。

[太田浩史，内田洋行]

　「Microsoft Copilot for Microsoft 365」は、「Microsoft 365」の機能を最大限に活用するためのパートナーです。ユーザーは、「Teams」や「Outlook」「Word」「PowerPoint」などから「Copilot」を呼び出し、社内にあるデータを使いながら共同作業ができます。便利に利用できる一方で、Copilotが社内のどういった情報にアクセスできるのかに不安を感じるユーザーもいます。実際にCopilot for Microsoft 365を利用し始めたユーザーからは、「Copilotが自分の情報を勝手に持って行ってしまわないか不安だ」と相談を受けることもありました。そこで今回は、Copilot for Microsoft 365とMicrosoft 365の関係を整理しながら、利用する際に気を付けるべきことを紹介します。

Copilotのデータ参照先は？　大事なデータを抜き取られないための鉄則

　Copilot for Microsoft 365は、ユーザーに代わって動作するので、パイロットであるユーザーと同じ情報にアクセスできます。言い換えれば、Copilotを利用したとしても、それを使うユーザーが元からアクセスできない情報を見つけたり利用したりすることはできません。この原則によって、それぞれのユーザーがCopilotに同じ質問をしたとしても、その回答はユーザーの権限によって全く異なる可能性があります。

自分の分身として動作するCopilot（出典：内田洋行の提供資料）

　例えば、営業部の従業員が人事に関する情報をCopilotに質問した場合、社内で公開されている人事規約のみを基にした回答が返ってきます。一方、人事部の従業員が同じ質問すれば、人事部しか知ることのできない情報を含んだ回答がCopilotから返ってくることがあります。

共有されているコンテンツの権限設定を見直す

　Microsoft 365を利用していれば、Teamsや「SharePoint」「OneDrive for Business」などに多くの情報が保存されているでしょう。それぞれの情報は、何かしらの権限管理がされているはずです。Copilotもこの権限情報を利用するため、今後はより適切な管理が重要になります。

　Copilot for Microsoft 365が社内の情報を探す際には、Microsoft 365の検索機能を利用します。そして、Microsoft 365の検索結果もまた、ユーザーの権限によって制限されています。全ての情報が適切に権限管理されていれば、何も気にする必要がありません。問題となるのは、ユーザーの意図しない誤った権限設定がされている場合です。

　Copilot for Microsoft 365を利用するとCopilotがこれまでよりも高い頻度で社内情報を検索したり、これまで思いつかなかったような検索キーワードで検索したりすることになります。それによって、誤った権限が付与された情報が掘り起こされてしまうことがあります。この問題の解決には、Copilot for Microsoft 365の設定ではなく、Microsoft 365に保存されたコンテンツの権限設定を見直す必要があります。ここでは3つのポイントを紹介します。

SharePointサイトで権限設定を見直す3つのポイント（出典：内田洋行の提供資料）

1.社内ポータルサイトに保存された情報の見直し

　社内の情報共有で利用されることの多いSharePointサイトでは、サイトの権限や保存されている情報に注意が必要です。特に、全従業員を対象とした社内ポータルサイトをSharePointで作成している場合などは、あらかじめ全従業員に閲覧権限を付与していることが多いでしょう。社内ポータルサイトに、閲覧できるユーザーが限られるはずの情報が保存されていると、Copilot使用時の影響も大きくなってしまいます。社内ポータルサイトでは、運用を考慮して複雑なアクセス権限が設定されていることも多くあります。権限設定が複雑なほど、その範囲を間違えるリスクも大きくなります。Copilot for Microsoft 365の導入をきっかけに、社内ポータルサイトのアクセス権限の見直しをする企業もあります。

2.サイト内のライブラリやフォルダの権限

　ユーザーがサイト自体にアクセスできなくても、同サイト内のライブラリやフォルダへのアクセス権限が付与されていることもあります。サイトのユーザーアクセスを制限しており、画面でのナビゲーションでもリンクを掲載していないため、他のユーザーからは見つからないはずだと安心している人もいます。しかし、Microsoft 365の検索機能を利用するCopilotにとっては、ナビゲーションがどうであるかは問題ではありません。Copilotがその情報にアクセスできるかどうかの条件は、その情報にアクセス権があるかどうかです。

3.「外部ユーザー以外の全てのユーザー」権限の見直し

　SharePointサイトの権限設定をする際に、「外部ユーザー以外の全てのユーザー」を利用している場合も考慮が必要です。「外部ユーザー以外の全てのユーザー」は、社内の全ユーザーに簡単にアクセス権を割り当てられるものです。簡単にアクセス権の設定を完了できるので、本来の意図よりも広範囲に情報を共有してしまうケースが見られます。あらかじめ「Entra ID」に適切なセキュリティグループを作成して、不必要に広範囲の権限設定をしないように運用を変える必要があるかもしれません。このような変更はユーザーだけでは不可能なため、社内のIT部門と相談することになるでしょう。

OneDrive for Businessを安心して利用する

　OneDrive for Businessに保存されたファイルにも注意が必要です。ユーザーにとっては、SharePointサイト以上に広く見られては困る情報が保存されているに違いありません。OneDrive for Businessのファイルも基本的な考え方はSharePointサイトと一緒です。違いは、OneDrive for Businessに保存された情報は、共有しないかぎり自分しか見ることができないということです。そのため保存されているファイルの多くは、自分しかアクセスできないはずです。

　OneDrive for Businessに保存されたファイルは、社内の他のユーザーと共有する機会も多いでしょう。ファイルを共有すると、共有相手がファイルにアクセスできるようになるだけではなく、検索やCopilotで情報を探せるようになります。ここでユーザーが疑問に思うのは、「社内の全てのユーザー」に有効な共有リンクを作成し共有していた場合には、それらのファイルは全従業員から検索やCopilotで探し出されてしまうのではないかという点です。

　安心してください。社内の全てのユーザーに有効な共有リンクを作成したからといって、その瞬間にファイルが全ユーザーから見つけられるようになるわけではありません。共有用のリンクを発行したファイルは、そのリンクのURLにアクセスされてはじめて、相手のユーザーにアクセス権を割り当てます。つまり、共有のために作成したURLを知っていて、一度アクセスしたことのあるユーザーでなければ、検索やCopilotからはそのファイルを見つけるのは困難です。

　「社内の全てのユーザー」に情報を共有する場面では、不特定多数のユーザーがアクセスしてしまうことを防ぐために、共有用URLに有効期限を設定することも効果的です。新たに共有するものについては、必要に応じて有効期限を設定するのも良いでしょう。有効期限が切れればURLは無効となり、URLからアクセスしたとしてもファイルへのアクセス権は割り当てられません。

OneDrive for Businessで他のユーザーにファイルを共有する場合の注意点（出典：内田洋行の提供資料）

Copilotによって権限設定の重要性がさらに高まる

　Microsoft 365を活用するには、クラウドに保存した情報を他のユーザーと共有することが基本であり重要な考え方の一つです。Copilot for Microsoft 365を導入することで、共有された情報をさらに有効活用できる可能性があります。その一方で、その情報は誰と共有しているのかを意識することが重要になります。

　不必要に広範囲に共有してしまわないために、SharePointサイトで利用すべきセキュリティグループやその使い方、OneDrive for Businessでのファイル共有の方法など、共有に関する基本操作や考え方をあらためてユーザーに周知することも重要です。Copilot for Microsoft 365は、社内での共有情報を活用することで、ユーザーの作業効率や品質を向上させることができますが、その前提として、共有の方法や範囲を正しく理解しておくことも必要になります。Copilot for Microsoft 365の活用を考えている場合には、一度見直してみてはいかがでしょうか。

著者プロフィール：太田浩史（内田洋行　エンタープライズエンジニアリング事業部）

2010年に内田洋行でMicrosoft 365（当時はBPOS）の導入に携わり、以後は自社、他社問わず、Microsoft 365の導入から活用を支援し、Microsoft 365の魅力に憑りつかれる。自称Microsoft 365ギーク。多くの経験で得られたナレッジを各種イベントでの登壇や書籍、ブログ、SNSなどを通じて広く共有し、2013年にはMicrosoftから「Microsoft MVP Award」を受賞。