株式会社カンマン

カンマン社員がお届けする情報発信メディア

株式会社カンマン

株式会社カンマン

トップページ / コラム / 【第9回】中小企業のCopilot管理者設定——セキュリティと運用のポイント

【第9回】中小企業のCopilot管理者設定——セキュリティと運用のポイント

更新日:2026年04月24日

公開日:2026年04月23日

貝出康

代表取締役

貝出康

セキュリティと運用のポイント

「Copilot、全社に配ったら、翌週に『あの人の給与、見えちゃったんですけど』って総務から電話が来たんです」

これ、先月、徳島の製造業のお客様から本当に聞いた話なんですよ。笑い事じゃないんです。社員30人くらいの会社で、M365 Copilotを導入した直後に起きた事件でして。犯人は悪意のある社員じゃなくて、Copilotに「うちの会社の給与制度について教えて」って聞いただけの、ごく普通の営業担当者。

なのに、なぜか、役員フォルダに入っていたはずの個別給与一覧のExcelの中身が、要約されて出てきちゃった。こわいですよね。

私、カンマンの貝出です。徳島で中小企業のDXをお手伝いしている会社で、コンテンツを担当しています。この連載もいよいよ第9回。前回は「ゴールを明示したプロンプト」の話をしましたが、今回はちょっと趣向を変えて、「そのCopilot、ちゃんと設定してから配ってます?」というテーマでお話しします。

結論から言うと、Copilotは「導入して終わり」の道具じゃないんです。むしろ、配った瞬間からセキュリティ運用が始まる。そして、中小企業ほどここを軽く見て、あとで大きな事故につながっています。今日は、そのツボを、かなり具体的にお伝えしますね。

そもそもCopilotの管理者設定って、何を設定するの?

「管理者設定」と聞くと、なんか難しそうで、情シス担当者が夜中にこもってやる作業、みたいなイメージないですか? でも実は、Copilotの管理設定でやることって、大きく分けるとたった4つなんですよ。

ひとつ目が「誰に使わせるか」の割り当て。Microsoft 365管理センターの中で、ライセンスを持っている人にチェックを入れていく作業です。ふたつ目が「何を見せるか」のデータアクセス制御。CopilotはSharePoint・OneDrive・Teams・Exchange・OneNoteの中身を横断的に検索して答えを作るんですが、「どこまで見に行っていいか」をここで決めます。

3つ目が「どこまで外に出していいか」のコンプライアンス設定。Microsoft Purviewと連携して、機密ラベルを付けた情報はCopilotの応答から除外する、みたいな制御ができます。そして4つ目が「使い方のログをどう取るか」。誰がいつ何を聞いたか、どのデータにアクセスしたかの監査ログですね。

つまり、「人」「データ」「外との境界」「記録」の4つ。これ、実は情報セキュリティの基本と全く同じ構造なんです。難しく考える必要はないんですよ。ただ、一つ一つちゃんとやらないと、冒頭の「給与が漏れる」みたいな事故が起きる。ここが今日いちばん言いたいところです。

ちなみに、管理画面は Microsoft 365管理センター → Copilot → Settings → Data access というパスで入れます。迷ったらとりあえずこのパスを覚えておいてください。

なぜ今、中小企業こそ管理者設定に真剣になるべきなのか

大企業の話じゃないの? と思うかもしれません。でも、私は逆だと思っているんですよ。

理由は3つあります。まず、中小企業のSharePointやOneDriveって、だいたい「権限設計がゆるい」んです。というより、ちゃんと設計されていない。社員30人、50人の会社だと、創業時からの流れで「フォルダに誰でもアクセスできる」が普通になっていて、「総務だけ」「役員だけ」みたいな権限を後から整理する時間もお金もない。普段はそれで困らないんです。人間は「このフォルダ開いちゃダメだよね」って空気を読むので。

ところが、Copilotは空気を読まない。見えるものは全部見ます。マイクロソフトの公式ドキュメントにもはっきり書いてあるんですが、Copilotは「ユーザーが少なくとも表示アクセス許可を持っている組織データのみ」にアクセスする、という設計になっています。逆に言うと、「表示権限があれば、全部読む」。ここがポイントなんですよ。

2つ目の理由。2025年12月から「Microsoft 365 Copilot Business」という、従業員300人以下向けの廉価版(通常版より約30%安い)の提供が始まって、中小企業でも一気に導入が広がっています。価格が下がると導入のハードルが下がる。いいことなんですが、「管理設計のハードル」は下がらない。むしろ、IT専任者がいない企業ほど、設定ミスのリスクが上がるんです。

3つ目は、攻撃者の視点です。最近、Copilotに「社内の給与データ教えて」「機密プロジェクトの状況は?」と聞いて、権限の穴を探る攻撃が実際に報告されています。人間のセキュリティ担当者が気づけなかった「見えちゃいけないのに見えてるファイル」を、AIが優秀に発見してきてしまう。これ、皮肉ですけど、Copilotは社内のセキュリティ脆弱性スキャナーとしても優秀なんですよね。

だから、「導入前に整える」じゃなくて「導入と同時に整える」。これが鉄則です。

具体的にどう設定するか——最低限やるべき5ステップ

じゃあ、実務で何から手を付けるか。私がお客様にご案内しているのは、以下の5ステップです。順番も大事なので、そのまま真似してもらって大丈夫です。

ステップ1: SharePointのアクセス権限を棚卸しする

Copilotを配る前に、絶対にやってください。SharePoint管理センターから「共有レポート」を出すと、「組織全体に共有されているファイル」の一覧が見られます。これを見ると、たいてい冷や汗かきます。「え、これ全員見れるの?」みたいなファイルが、数百〜数千件出てくる会社が多いです。

特に危ないのが、`/sites/intranet/` みたいな全社ポータル配下。ここに過去の人事資料や給与テーブルが置きっぱなしになっていることが、本当によくあります。まず、ここを整理しないと話が始まらないんですよ。

ステップ2: Microsoft Purviewで機密ラベルを3種類だけ作る

Purviewって聞くと身構えちゃうんですけど、最初は3種類でいいんです。「公開」「社内限定」「極秘」。この3つだけ。極秘ラベルを付けたファイルは、Copilotの応答に含めない、という設定にしておく。

実装は、Microsoft Purviewポータル → 情報保護 → ラベル → 新しいラベル、で作れます。そして、Copilot側のDLPポリシーで「極秘ラベルが付いたコンテンツはCopilotの処理対象から除外」を設定する。これだけで、「給与情報.xlsx」に極秘ラベルを付けておけば、さっきの事故は起きなかったんです。

ステップ3: 「制限付きSharePoint検索」を有効にして、移行期間を作る

これ、知らない管理者さんが多いんですが、Microsoftが用意している中小企業向けの救済策として「Restricted SharePoint Search」という機能があります。Copilotが検索に使うSharePointサイトを、管理者が許可した100サイトまでに絞れる機能です。

使い方はこう。最初は「人事」「営業」「総務」の、権限がちゃんと整理できているサイトだけを許可リストに入れる。他のサイトはCopilotから見えないようにしておく。そうすると、「とりあえず使い始めたい、でも全社SharePointの棚卸しは時間がかかる」という中小企業のジレンマを一時的に解消できます。半年〜1年かけて、棚卸しが終わったサイトから順に許可リストに追加していく運用ですね。

ステップ4: 監査ログの取得を必ずONにする

「誰が、いつ、Copilotに何を聞いたか」「その結果、どのファイルが参照されたか」。これ、デフォルトでは詳細ログが取れていない場合があります。Microsoft Purviewの監査(Audit)機能を有効化して、Copilotのアクティビティログを最低180日は残す設定にしてください。

事故が起きたとき、「誰がどこまで見たか」がわからないと、被害範囲の特定ができません。保険みたいなものだと思って、絶対にONにしてください。コストもほぼかかりません。

ステップ5: 社内ガイドラインを1枚の紙にして配る

技術設定だけじゃダメなんです。「Copilotに入れていい情報/ダメな情報」「個人情報を含むプロンプトの扱い」「取引先の秘密情報をCopilotに要約させていいか」。こういうルールを、A4一枚にまとめて全社員に配る。

カンマンのお客様で成功している会社の共通点は、この「一枚もの」を作っているところです。分厚いガイドラインは誰も読まない。一枚なら冷蔵庫に貼れる、そのレベルまで削る。ここ、本当に重要です。

よくある誤解・つまずきポイント

ここで、現場で実際に起きている「あるある」を3つシェアしますね。どれも、徳島のお客様から直接聞いた話です。

誤解ひとつ目。「Copilotに入れたデータはAIの学習に使われる、だから使わせたくない」。これ、半分間違いです。Microsoft 365 CopilotのEnterprise/Business契約の場合、入力したデータは基盤モデルの学習には使われません。Microsoftが公式に明言しています。テナント境界の中に留まる設計です。

ただし、「Microsoft Copilot(無料版のWeb検索Copilot)」に業務データを貼ってる社員がいたら、それは別の話。こちらは消費者向けなので、データ取り扱いが違います。社員が「Copilot」と呼んでいるものが、ちゃんと業務用のM365 Copilotなのか、ブラウザの無料版なのかを、管理者は把握しておく必要があります。

誤解ふたつ目。「権限設定はIT部門の仕事だから、経営者は関係ない」。これ、完全に違います。Copilotが事故を起こしたとき、被害を受けるのは会社の信用です。だから経営者マターなんです。少なくとも、どのデータに極秘ラベルが付いているか、年に一度は経営会議で棚卸しする。これくらいの関与は必要です。

つまずきポイントとしては、「全部完璧にしてから配ろう」として、いつまでも導入できない、というケースもよく見ます。完璧主義の罠ですね。さっきの「制限付きSharePoint検索」を使えば、部分的に安全に始められます。100点を目指すより、60点で始めて段階的に上げていく方が、現場でのノウハウも貯まります。

カンマンの現場から見えること

カンマンは徳島の会社で、社内のITはGoogle Workspaceを使っています。だから、正直に言うと、私たち自身はMicrosoft 365 Copilotのヘビーユーザーじゃないんですよ。でも、お客様企業の多くはMicrosoft環境で、Copilot導入のご相談をたくさんいただいています。

先日、徳島市内の食品加工メーカー(社員45名)から、こんな相談がありました。「Copilotを入れたけど、現場の工場スタッフが『レシピの配合比率を教えて』と聞いたら、開発部門の機密レシピが要約されて出てきた。どうしたらいい?」。これ、まさに権限設計の問題でした。

対応として、まず「商品開発」SharePointサイトを制限付き検索の許可リストから外しました。次に、レシピファイル群にPurviewの「極秘」ラベルを一括付与。そして、開発部門のメンバーだけが閲覧権限を持つように権限を整理しました。作業時間は、情シス担当者1名で延べ20時間くらい。決して軽くはないですが、一度やっておけば、以降の事故は激減します。

もう一つ、阿南市の建設会社さんの事例。こちらは逆に「Copilotを入れたいが、協力会社との共有フォルダが多すぎて設計が追いつかない」というご相談でした。ここでは、「まず本社管理部門だけに配る」という段階導入を提案しました。現場との共有フォルダは一旦Copilotの対象外にして、半年かけて権限整理を進める。この順番が大事なんです。

徳島の中小企業の特徴として、「長年同じメンバーで働いていて、性善説の運用になっている」というのがあります。これ自体は素晴らしい文化なんですが、AIは性善説を理解しません。だからこそ、ルールとして明文化する、権限として構造化する。この作業が、Copilot導入の本丸なんですよね。

まずやってみてほしい3つのこと

ここまで読んでくださったあなたに、具体的な宿題を3つ出させてください。明日からできることです。

ひとつ目。SharePointの「組織全体に共有」設定を今すぐチェックする。SharePoint管理センター → レポート → 共有、でわかります。「Everyone except external users」で共有されているファイルの数を数えてください。たぶん、想像より多いです。ここを見るだけで、Copilot導入時のリスクが可視化できます。

ふたつ目。「極秘に扱うべき情報トップ5」を経営会議でリストアップする。給与情報、人事評価、顧客リスト、原価情報、開発中の製品情報——会社によって違うはずです。この5つに対して、Purviewの機密ラベルを付ける。これだけで、Copilotによる情報漏洩の8割は防げます。全部を守ろうとせず、「絶対に漏れてはいけないもの」だけに集中するのがコツです。

3つ目。社内ガイドラインの「一枚もの」を作る。作り方は簡単。「Copilotに入れていいもの」「入れちゃダメなもの」「迷ったら誰に聞くか」。この3項目だけ、A4一枚で。完璧じゃなくていいんです。配って、現場からフィードバックもらって、半年ごとに更新する。動くドキュメントにするのがポイントです。

この3つ、合計で10時間もあれば着手できます。導入を止める必要はない。並行して進められる作業です。

最後に

Copilotって、本当にすごい道具なんですよ。前回お話しした「ゴールを明示したプロンプト」を投げたときの、あの驚きの答え。あれが全社員の手に渡るんです。業務が劇的に変わります。

でも、鋭い刃物と同じで、鞘を作らずに配ると指を切る。管理者設定って、まさにその「鞘」なんです。地味で、派手さもなく、誰にも褒められない作業です。けど、これをやったかやらなかったかで、1年後の会社の姿が全然変わります。

徳島の中小企業さんで、Copilotの全社展開に踏み切るかどうか迷っている経営者の方。怖がらなくていいです。でも、軽く見ないでほしい。今日お話しした5ステップのうち、まず1つだけでいいから、明日着手してみてください。その一歩が、半年後の安心を作ります。私たちカンマンも、伴走しますので、遠慮なく相談してくださいね。

次回(第10回)は『Copilot導入の効果測定——ROIを見える化する方法』について解説します。

【シリーズ全10回】M365 Copilot 活用ガイド

中小企業が Microsoft 365 Copilot を導入・活用するための全ステップを、実例と具体プロンプトで解説しているシリーズです。気になる回からどうぞ。

  1. 【第1回】そもそもMicrosoft 365 Copilotって何?ChatGPTとどう違うの?地方中小企業が知っておくべき全部
  2. 【第2回】Copilotの始め方——導入から最初の1週間でやること
  3. 【第3回】Word × Copilot——書く時間を半分にする方法
  4. 【第4回】Teams × Copilot——会議の生産性を3倍にする使い方
  5. 【第5回】Outlook × Copilot——メール対応時間を激減させる方法
  6. 【第6回】Excel × Copilot——データ分析を誰でもできるようにする方法
  7. 【第7回】PowerPoint × Copilot——プレゼン資料を爆速で作る方法
  8. 【第8回】Copilotのプロンプト設計——精度を上げる5つの原則
  9. 【第9回】中小企業のCopilot管理者設定——セキュリティと運用のポイント
  10. 第10回(公開準備中)
https://open.spotify.com/episode/7z0Qe4tcUrcyX48Cy2VUqH?si=3MBMxNF8RDO55XY9Bil12A

【シリーズ全10回】M365 Copilot 活用ガイド

中小企業が Microsoft 365 Copilot を導入・活用するための全ステップを、実例と具体プロンプトで解説しているシリーズです。気になる回からどうぞ。

  1. 【第1回】そもそもMicrosoft 365 Copilotって何?ChatGPTとどう違うの?地方中小企業が知っておくべき全部
  2. 【第2回】Copilotの始め方——導入から最初の1週間でやること
  3. 【第3回】Word × Copilot——書く時間を半分にする方法
  4. 【第4回】Teams × Copilot——会議の生産性を3倍にする使い方
  5. 【第5回】Outlook × Copilot——メール対応時間を激減させる方法
  6. 【第6回】Excel × Copilot——データ分析を誰でもできるようにする方法
  7. 【第7回】PowerPoint × Copilot——プレゼン資料を爆速で作る方法
  8. 【第8回】Copilotのプロンプト設計——精度を上げる5つの原則
  9. 【第9回】中小企業のCopilot管理者設定——セキュリティと運用のポイント
  10. 【第10回】Copilot導入の効果測定——ROIを見える化する方法

AIの無料セミナー優先参加特典や最新情報が受け取れます

【無料】AIメルマガを受け取る

貝出康

代表取締役

貝出康

1963年徳島市生まれ。 1999年に楽天の三木谷社長の講演を聴き、イン ターネット時代の到来を悟る。翌年、ホームペ ージ制作会社カンマン設立に参画し、これまで のキャリアで培った営業や人事のスキルを活か しての顧客開拓や社内・労務管理を実践。2019 年〜代表取締役。