IT資産管理

Microsoft Copilotの情報漏洩とは?パターンや対策を解説

Written by WizLANSCOPE編集部

Microsoft Copilotの情報漏洩とは?パターンや対策を解説

生成AIの社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!

MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。ChatGPT をはじめ、各種 AI サービスの業務利用ルール策定の参考に活用いただけます。

資料をダウンロードする

目 次

Microsoft Copilotとは、Microsoft社が開発したAIアシスタントツールで、画像の作成や文章の要約などの作業を効率化できるツールです。

高い利便性をもつ一方で、入力したデータの漏洩といったリスクも存在するため、利用にあったては、適切なセキュリティ対策が求められます。

本記事では、Microsoft Copilotを利用する際に懸念される情報漏洩のリスクや対策などについて詳しく解説します。

▼本記事でわかること

  • Microsoft Copilot利用時の情報漏洩リスク
  • 生成AIによる情報漏洩の事例
  • Microsoft Copilotによる情報漏洩を防ぐ対策

Microsoft Copilotを使っている、または利用を検討中の方は、ぜひご一読ください。

Microsoft Copilotで情報が漏洩するパターン


Microsoft Copilot(マイクロソフトコパイロット)は、Microsoft社が開発したAIアシスタントツールです。

活用することで、画像や文章の作成など、さまざまな業務を効率化できるメリットがあります。

しかし高い利便性をもつ一方で、Copilotには以下のような情報漏洩リスクも存在します。

  • 入力情報の漏洩
  • 会話履歴の漏洩
  • アカウント情報の漏洩

本章では、Copilot利用時に想定される情報漏洩のパターンを解説します。

具体的なリスク内容を把握し、ぜひ安全な利用につなげてください。

入力した情報が漏洩する

まず懸念されるのが、ユーザーが入力した情報そのものの漏洩リスクです。

Copilotには複数のプランが用意されていますが、無料版においては、ユーザーが入力したデータがAIモデルの学習に利用される可能性があります。

そのため、誤って機密データを入力すると、その内容が学習データとして取り込まれ、ほかのユーザーへの回答生成時に参照されてしまうリスクがあります。

結果として、ユーザーが意図せずに自社の重要情報が第三者に開示されてしまう危険性があるのです。

会話履歴が漏洩する

Copilotとの会話履歴が漏洩してしまうリスクもあります。

Copilotとの会話履歴は、高度なセキュリティ環境で保護されていますが、外部からの攻撃によって漏洩するリスクも決してゼロではありません。

アカウント情報が漏洩する

Copilotを利用する際は、Microsoftアカウントの登録が必要です。

このアカウント作成のために登録するメールアドレスやパスワードが、不正アクセスなどによって漏洩するリスクがあります。

アカウント情報が流出した場合、悪意のある第三者によって不正アクセスされ、会話履歴や保存データを閲覧される危険性があります。

さらに業務でMicrosoftの他サービス(SharePoint、OneDrive、Outlook、Teamsなど)を利用している場合、権限設定の誤りや共有範囲の管理不備で、機密情報が外部に漏洩する恐れもあります。

したがって、アカウントの適切な管理に加えて、アクセス権限の設定も正確に行うことが求められます。

生成AIによる情報漏洩の事例


近年、 Microsoft Copilot やChatGPT、Geminiなどをはじめとする生成AIは急速に普及し、多くの企業で業務効率化や生産性向上のために役立てられています。

しかしその一方で、生成AIの利用に伴う情報漏洩事例も数多く報告されています。

ここでは、実際に発生した生成AIによる情報漏洩の事例を2つ紹介します。

生成AIに機密情報を入力した事例

2023年3月、大手電子機器メーカーの従業員がChatGPTに設備情報や会議内容といった機密情報を入力してしまう事案が発生しました。

入力された情報が実際に第三者の回答に表示されたかは確認されていませんが、一度AIのサーバー上に保存されたデータはユーザー自身でも削除することができません。

そのため、一度入力してしまうと、入力内容が流出するリスクを完全に排除することは困難です。

この問題が発覚した後、同社は全社的に生成AIの業務利用を禁止する措置を取りました。

システムバグによって情報が漏洩した事例

2023年3月、ChatGPTの開発元であるOpenAIのシステムに発生したバグにより、ChatGPTの有料版である「ChatGPT Plus」の会員情報が漏洩する事故が発生しました。

漏洩したのは、有料会員の約1.2%にあたるユーザーの個人情報で、ログイン時に他のユーザーに関するに以下の情報が表示される不具合が生じました。

  • 会員の氏名
  • メールアドレス
  • 住所
  • クレジットカード番号の下4桁
  • カードの有効期限

事件の発端となったシステムのバグはすでに修正されています。

関連ページ

ChatGPT利用時の情報漏洩リスクとは?有効な対策を解説

Microsoft Copilotによる情報漏洩を防ぐ対策


Copilotの利用に伴う情報漏洩を防ぐためには、以下のような対策が有効です。

  • 法人向けプランを利用する
  • 個人・機密情報の入力を避ける
  • DLPを導入する
  • 従業員への教育を行う
  • ガイドラインの整備をする

これらの対策を組み合わせることで、多層的なセキュリティ体制を構築し、様々な角度から情報漏洩リスクに対処できるようになります。

安全にCopilotを利用するためにも、対処法を確認していきましょう。

法人向けプランを利用する

Microsoft Copilotのセキュリティレベルは、選択するプランによって大きく異なります。

特に法人向けの上位プランであるMicrosoft 365 Copilot (旧、Copilot for Microsoft 365)では、高度なセキュリティ環境が提供されています。

このMicrosoft 365 Copilot では、ユーザーが入力したプロンプトや収集したデータがAI学習に利用されることはありません。

そのため、Copilot に入力した個人情報や機密情報が、AIを通じて漏洩したり、他のユーザーに表示されたりするリスクを防ぐことができます。

また、Microsoft 365を導入している場合は、Microsoft 365 サブスクリプションサービスで構築した、セキュリティ設定やコンプライアンス、プライバシーポリシーなどを自動的に継承できるというメリットもあります。

関連ページ

Microsoft 365 Copilot 何ができる?最新の機能や料金を解説

個人・機密情報の入力を避ける

Copilot利用時の情報漏洩を防ぐ基本的な対策としては、個人情報や機密情報を一切入力しないことです。

これを徹底することで、根本的な漏洩リスクを排除できます。

もし重要な情報を入力しなければならない場合は、特定の情報を「xxx」といった記号に置き換えたり、仮名やダミーデータに変換したりするマスキングを行いましょう。

これにより、AIの機能を利用しながらも実際の機密が流出するリスクを下げられます。

関連ページ

生成AIのセキュリティリスクとは?具体的な対策方法をわかりやすく解説

DLPを導入する

DLP(Data Loss Prevention)とは、組織が保有する重要な情報を自動的に識別し、その不正な送信やコピーを制限することで漏洩を防止するシステムです。

このDLPと生成AIツールを連携することで、従業員が機密情報を入力・送信しようとした際に警告を発し、送信をブロックすることができます。

関連ページ

DLPとは?仕組みやメリット、IT資産管理ツールとの違いを解説

従業員への教育を行う

Copilotを安全に活用するためには、従業員一人ひとりがAIの仕組みとリスクを理解し、適切な利用方法を身につけることが欠かせません。

そのためには、定期的な研修やトレーニングの実施が効果的です。

教育を通じてAIリテラシーが向上すれば、従業員はCopilotを「ただ便利なツール」としてではなく、「責任を持って使うべきツール」として認識できます。

また、AIリテラシーが向上することで、企業が正式に認めていない生成AIを従業員が無断で業務利用する「シャドーAI」の防止にもつながります。

組織全体の安全な生成AI利用のためにも、企業は定期的に教育機会を設けるようにしましょう。

関連ページ

情報セキュリティ教育の必要性とは?具体的な実施手順も解説

ガイドラインの整備を行う

組織全体で共有できる明確なガイドラインの整備も欠かせない対策です。

ガイドラインがなければ、従業員ごとに判断基準がばらつき、結果的にリスクを抱える行為が見過ごされることにもなります。

具体的には、AIの使用目的や範囲を明確に定義し、データの取り扱い手順をマニュアルとして整備しましょう。

さらに、倫理面に配慮した利用指針を加えることで、単なるセキュリティ対策にとどまらず、社会的信用の維持にもつながります。

また、ガイドラインは一度作成すれば終わりというものではありません。

技術やサービスの進化に合わせて定期的に更新し、常に現状に即した内容に保つようにしましょう。

関連ページ

生成AIガイドラインとは?企業に役立つひな型を公開!リスクや対策も解説

MOTEXが提供する「AIガイドライン」

エムオーテックス株式会社(以下、MOTEX)では、 Webセキュリティ専門家でEGセキュアソリューションズ取締役CTOの徳丸 浩氏が監修したAIサービス業務利用時の注意点・確認事項をまとめた「AIサービス利用ガイドライン」を提供しています。

生成AIを、企業・組織で安全に業務利用するためには、従業員に対して、生成AIの利用方法やセキュリティリスクを適切に理解させる必要があります。

また生成AIは、「プロンプトインジェクション」をはじめ、従来のサイバー攻撃とは異なるセキュリティリスクも潜んでいるため、生成AIに特化したセキュリティ対策を実施することが重要です。

「AIガイドライン」では、AIサービスを業務で利用する際の注意点・確認事項を、生成AIならではの注意点や事例も交え、専門的な視点で分かりやすくまとめています。

AIサービスの業務利用を検討されている方、社内の指針・ルールの策定や従業員への注意喚起にお悩みのセキュリティ担当の方は、ぜひご活用ください。

生成AIの社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!

MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。ChatGPT をはじめ、各種 AI サービスの業務利用ルール策定の参考に活用いただけます。

資料をダウンロードする

まとめ

本記事では、 Microsoft社が開発したAIアシスタントツール「Microsoft Copilot」の利用時に懸念される情報漏洩リスクや対策などを解説しました。

本記事のまとめ

  • Microsoft Copilot利用時に発生する情報漏洩のパターンとしては、「入力した情報の漏洩」「会話履歴の漏洩」「アカウント情報の漏洩」などが挙げられる
  • Microsoft Copilotによる情報漏洩を防ぐ方法として、「法人向けプランの利用」「個人・機密情報の入力制限」「DLPの導入」「従業員への教育の実施」「ガイドラインの整備」などが挙げられる
  • Microsoft Copilot およびMicrosoft 365 サービスを安全に利用する際は、監査ログが取得できる「LANSCOPE セキュリティオーディター」の利用が有効である

企業・組織がCopilotを業務に活用する場合は、入力データがAIの学習モデルに利用されない企業向けプラン「Microsoft 365 Copilot」の利用がおすすめです。

さらに、より安全な利用を目指すのであれば、従業員への教育の実施やガイドラインの整備といった対策をあわせて行うようにしましょう。

MOTEXでは、 AIサービス業務利用時の注意点・確認事項をまとめた「AIサービス利用ガイドライン」を提供しています。

ぜひダウンロードして、安全なAI利用にご活用ください。

生成AIの社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!

MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。ChatGPT をはじめ、各種 AI サービスの業務利用ルール策定の参考に活用いただけます。

資料をダウンロードする

おすすめ記事