Microsoft Copilot for Microsoft 365 のデータ、プライバシー、セキュリティ
Microsoft Copilot for Microsoft 365 は、次のコンポーネントを調整することで AI 搭載の仕事効率化機能を提供する、高度な処理およびオーケストレーション エンジンです。
- 大規模言語モデル (LLM)
- アクセス許可のあるメール、チャット、ドキュメントなどの Microsoft Graph 内のコンテンツ。
- Word や PowerPoint など、毎日使用する Microsoft 365 Apps。
これら 3 つのコンポーネントがどのように連携するかの概要については、「Microsoft Copilot for Microsoft 365 の概要」をご覧ください。 Microsoft Copilot for Microsoft 365 に関連するその他のコンテンツへのリンクについては、「Microsoft Copilot for Microsoft 365 のドキュメント」をご覧ください。
重要
- Microsoft Copilot for Microsoft 365 は、一般データ保護規則 (GDPR) や欧州連合 (EU) のデータ境界など、Microsoft 365 の法人顧客に対する既存のプライバシー、セキュリティ、コンプライアンスの義務に準拠しています。
- Microsoft Graph 経由でアクセスされるプロンプト、応答、データは、Microsoft Copilot for Microsoft 365 で使用されるものを含め、基礎 LLM のトレーニングには使用されません。
この記事の情報は、次の質問に対する回答を提供することを目的としています。
- Microsoft Copilot for Microsoft 365 は独自の組織データをどのように使用しますか?
- Microsoft Copilot for Microsoft 365 は組織の情報とデータをどのように保護しますか?
- ユーザーの Microsoft Copilot for Microsoft 365 を使用した操作に関して格納されるデータは何ですか?
- データ所在地に関する Microsoft Copilot のコミットメントはどのようなものですか?
- Microsoft Copilot for Microsoft 365 は応答に Web コンテンツを使用できますか?
- Microsoft Copilot for Microsoft 365で使用できる拡張機能オプション
- Microsoft Copilot for Microsoft 365 は規制コンプライアンス要件をどのように満たしていますか?
- Microsoft 365 Apps の接続エクスペリエンスの制御は、Microsoft Copilot for Microsoft 365 に適用されますか?
- Microsoft Copilot for Microsoft 365 が作成するコンテンツは信頼できますか? 誰がそのコンテンツを所有していますか?
- AI の責任ある使用に対する Microsoft の取り組みとは
注:
Microsoft Copilot for Microsoft 365 は、新しい機能によって時間の経過と共に進化し続けます。 Microsoft Copilot for Microsoft 365 の最新情報を入手したり、質問したりするには、Microsoft Tech Community の Microsoft 365 Copilot コミュニティにアクセスしてください。
Microsoft Copilot for Microsoft 365 は独自の組織データをどのように使用しますか?
Microsoft Copilot for Microsoft 365 は、LLM を組織データに接続することで価値を提供します。 Microsoft Copilot for Microsoft 365 は、Microsoft Graph を通じてコンテンツとコンテキストにアクセスします。 ユーザー ドキュメント、メール、予定表、チャット、会議、連絡先など、組織データに固定された応答を生成できます。 Microsoft Copilot for Microsoft 365 はこのコンテンツを、ユーザーが現在参加している会議、ユーザーがトピックに関して行ったメールのやり取り、ユーザーが先週行ったチャットでの会話など、ユーザーの作業コンテキストと組み合わせます。 Microsoft Copilot for Microsoft 365 は、このコンテンツとコンテキストの組み合わせを使用して、正確で関連性の高い、コンテキストに応じた応答を提供します。
重要
Microsoft Graph 経由でアクセスされるプロンプト、応答、データは、Microsoft Copilot for Microsoft 365 で使用されるものを含め、基礎 LLM のトレーニングには使用されません。
Microsoft Copilot for Microsoft 365 は、個々のユーザーが少なくとも表示アクセス許可を持っている組織データのみを表示します。 SharePoint などの Microsoft 365 サービスで利用可能なアクセス許可モデルを使用して、適切なユーザーまたはグループが組織内の適切なコンテンツに適切にアクセスできるようにすることが重要です。 これには、Microsoft Teams の共有チャネルなどのテナント間コラボレーション ソリューションを通じて、組織外のユーザーに付与するアクセス許可が含まれます。
Microsoft Copilot for Microsoft 365 を使用してプロンプトを入力すると、プロンプトに含まれる情報、プロンプトが取得するデータ、生成された応答は、現在のプライバシー、セキュリティ、コンプライアンスの義務に従って、Microsoft 365 サービス境界内に残ります。 Microsoft Copilot for Microsoft 365 は、OpenAI の一般公開されているサービスではなく、Azure OpenAI サービスを処理に使用します。
注:
Microsoft Copilot for Microsoft 365 を使用すると、次の状況で、組織のデータが Microsoft 365 サービスの境界から離れる可能性があります。
- プラグインを使用して、Microsoft Copilot for Microsoft 365 がより関連性の高い情報を提供できるようにした場合。 組織のデータを処理する方法を特定するには、プラグインのプライバシーに関する声明と使用条件を確認します。 詳細については、「Microsoft Copilot for Microsoft 365 の機能拡張」をご覧ください。
- Web コンテンツ プラグインを使用してチャットの回答を強化している場合、Copilot for Microsoft 365 は、Bing に送信して Web からの最新情報を取得する検索クエリを生成します。 詳細については、「Microsoft Copilot for Microsoft 365 と Web コンテンツ プラグイン」をご覧ください。
Microsoft Copilot for Microsoft 365 に対する不正使用の監視はリアルタイムで行われます。その際に、Microsoft が、人によるレビューまたは自動レビューのために顧客データへの永続的なアクセスを取得することはありません。 人によるコンテンツのレビューなどの悪用モデレーションは Azure OpenAI で利用できますが、Microsoft Copilot for Microsoft 365 サービスはオプトアウトしています。 Microsoft 365 データが Azure OpenAI によって収集または保存されることはありません。
注:
他の Microsoft 365 サービスや Microsoft 365 Apps を改善するために顧客のフィードバックを使用するのと同様に、Microsoft Copilot for Microsoft 365 を改善するためにオプションで顧客のフィードバックを使用する場合があります。 このフィードバックは、Microsoft Copilot for Microsoft 365 で使用される基礎 LLM のトレーニングには使用されません。 顧客は、管理コントロールを通じてフィードバックを管理できます。 詳細については、「組織に対する Microsoft フィードバックを管理する」および Microsoft Copilot for Microsoft 365 に関するフィードバックの提供に関するページをご覧ください。
ユーザーの Microsoft Copilot for Microsoft 365 を使用した操作に関して格納されるデータ
ユーザーが Microsoft Copilot for Microsoft 365 アプリ (Word、PowerPoint、Excel、OneNote、Loop、Whiteboard など) を操作すると、これらの操作に関するデータが格納されます。 格納されたデータには、ユーザーのプロンプトと Copilot の応答が含まれます。これには、Copilot の応答を根拠に使用される情報への引用が含まれます。 ユーザーのプロンプトと、そのプロンプトに対する Copilot の応答を "操作の内容" と呼び、それらの操作の記録はユーザーの Copilot 操作履歴です。 たとえば、この格納されたデータはユーザーに Graph ベースのチャットを使用した Microsoft Copilot と Microsoft Teams での会議における Copilot の 操作履歴を提供します。 このデータは、Microsoft 365 の組織の他のコンテンツとの契約上のコミットメントに合わせて処理され、保存されます。 データは格納されている間に暗号化されます。Microsoft Copilot for Microsoft 365 で使用されるものも含め、基礎 LLM のトレーニングには使用されません。
管理者は、この格納されたデータを表示および管理するために、コンテンツ検索または Microsoft Purview を使用できます。 また、管理者は Microsoft Purview を使用して、Copilot とのチャット操作に関連するデータのアイテム保持ポリシーを設定することもできます。 詳細については、次の記事を参照してください。
- コンテンツ検索の概要
- Microsoft Copilot の Microsoft Purview データセキュリティおよびコンプライアンス保護
- Copilot for Microsoft 365 のデータ保持の詳細情報
Microsoft Teams で Copilot とチャットする場合、管理者は Microsoft Teams Export API を使用して格納されたデータを表示することもできます。
Microsoft Copilot for Microsoft 365 のユーザー操作履歴の削除
ユーザーは、マイ アカウント ポータルに移動して、プロンプトと Copilot から返される応答などの Copilot の操作履歴を削除できます。 詳細については、Microsoft Copilot 操作履歴を削除することに関するページをご覧ください。
Microsoft Copilot for Microsoft 365 と EU データ境界
LLM への Microsoft Copilot for Microsoft 365 呼び出しは、リージョン内の最も近いデータ センターにルーティングされますが、使用率の高い期間中には、容量が利用可能な他の地域に呼び出すこともできます。
欧州連合 (EU) のユーザーの場合、EU データ境界に準拠するための追加の安全対策があります。 EU トラフィックは EU データ境界内にとどまり、世界中のトラフィックは LLM 処理のために EU およびその他の国または地域に送信できます。
Microsoft Copilot for Microsoft 365 とデータ所在地
Copilot for Microsoft 365 は、Microsoft 製品使用条件およびデータ保護に関する補遺に記載されているデータ所在地のコミットメントを支持しています。 Copilot for Microsoft 365 は、2024 年 3 月 1 日に Microsoft 製品使用条件のデータ所在地コミットメントの対象となるワークロードとして追加されました。
2024 年 3 月 1 日現在、Microsoft アドバンスト データ所在地 (ADR) と Multi-Geo Capabilities オファリングには、Copilot for Microsoft 365 のお客様向けのデータ所在地コミットメントが含まれています。 EU のお客様の場合、Copilot for Microsoft 365 は EU データ境界サービスです。 EU 外のお客様は、米国、EU、またはその他のリージョンでクエリが処理されます。
Microsoft Copilot for Microsoft 365 と Web コンテンツ プラグイン
Copilot for Microsoft 365 には、Web からの最新情報を使用してチャットの回答を強化するオプションがあります。 Web コンテンツ プラグインが有効になっている場合、Copilot は、Web からの情報がより適切で根拠のある応答を提供するのに役立つと判断したときに、Bing 検索インデックスから情報をフェッチすることがあります。
管理コントロールとユーザーレベルのトグルを使用して、環境内で Web コンテンツ プラグインが有効になっているかどうかを管理できます。
Web コンテンツ プラグインのしくみ
チャットで Web コンテンツ プラグインが有効になっている場合、Copilot for Microsoft 365 はユーザーのプロンプトを解析し、Web の接地によって応答の品質が向上する可能性がある用語を識別します。 これらの用語に基づいて、Copilot は、詳細を求める Bing 検索 API に送信される検索クエリを生成します。 この検索クエリは、ユーザーのプロンプトとは異なります。通常、ユーザーのプロンプトや Microsoft 365 データによって通知されるいくつかの単語で構成されます。 プロンプトに関連付けられている Microsoft 365 ドキュメント全体が自動的に含まれるわけではありません。
次の表に、ユーザーのプロンプト、送信された検索クエリ、Copilot の応答の例を示します。
| Entity | テキスト |
|---|---|
| プロンプト (ユーザーによって書き込まれたもの) | Fabrikam の買収を検討しています。 会社の経営戦略など、一般公開されている会社の財務情報を 200 語の概要レポートにまとめてください。 |
| 検索クエリ (Copilot によって生成され、Bing 検索 API に送信されたもの) | Fabrikam 戦略 Fabrikam 財務 |
| 応答 (Copilot によって生成されたもの) | Fabrikam は、より健康的で、伝統的なブランドと同様になじみのある味の代替食品を提供する CPG スタートアップです。 同社は 2019 年にシード資金で 450 万ドルを集め、2022 年のシリーズ B 資金調達ラウンドで 3,150 万ドルを調達しました。 2023 年 1 月の時点で、Fabrikam は合計8,340 万ドルの資金調達を行い、今年は 2 倍の売上を目標としています。 パンデミックの勃発に伴い、Fabrikam は実店舗からオンライン販売への転換という課題に直面し、そこでインフルエンサー マーケティング戦略が展開されました。 Fabrikam は、店舗内のイベントやプロモーションに頼る代わりに、ソーシャルメディアとインフルエンサーのパートナーシップに注目し、ブランドの認知度を高め、より多くの視聴者にリーチしました。 同社はまた、本物の角度からイノベーションにアプローチし、従来の消費ドライバーとより良い製品とのバランスを取り、包括的で堅牢な流通戦略を持っています。 要約すると、Fabrikam は 5,500 万ドル以上の資金調達を行っており、パンデミックの間にオンライン販売に転換するのに役立った強力なインフルエンサー マーケティング戦略を持っています。 |
この例では、2 つの検索クエリのみが Bing 検索 API に送信されます。 ユーザーがプロンプトを入力すると、生成されて Bing に送信されるクエリがチャット エクスペリエンスに表示されます。 ユーザーのプロンプトと Copilot の応答は、Microsoft 365 内に格納されます。 Copilot for Microsoft 365 によって Bing 検索 API に送信された検索クエリは、ユーザー ID とテナント ID から関連付けが解除されます。
Bing 検索 API は、Microsoft 365 とは別に動作し、データ処理のプラクティスが異なる Bing.com によって提供されます。 Bing の使用は、各ユーザーと Microsoft の間の Microsoft サービス規約と、Microsoft のプライバシーに関する声明の対象となります。 Microsoft 製品とサービスのデータ保護に関する補遺 (DPA) は、Web コンテンツ プラグインまたは Bing 検索 API の使用には適用されません。
Web コンテンツの使用を管理するために使用できるコントロール
管理者は、Copilot for Microsoft 365 内の Web コンテンツへのアクセスをブロックできます。 詳細については、「Microsoft Copilot for Microsoft 365 応答で Web コンテンツへのアクセスを管理する」をご覧ください。 管理者が許可した場合でも、ユーザーは Web プラグインを使用するかどうかを選択できます。 詳細については、「Microsoft 365 Copilot で追加のデータ ソースを使用する」をご覧ください。
注:
Microsoft 365 Apps でのオプションの接続エクスペリエンスの使用を制御するポリシー設定は、Microsoft Copilot for Microsoft 365 および Web コンテンツには適用されません。
Microsoft Copilot for Microsoft 365 の機能拡張
Microsoft Copilot for Microsoft 365 は既に Microsoft 365 エコシステム内でアプリとデータを使用することができますが、多くの組織は依然として、作業管理とコラボレーションのためにさまざまな外部ツールとサービスに依存しています。 Microsoft Copilot for Microsoft 365 エクスペリエンスでは、Microsoft Graph コネクタやプラグインを使用して、ユーザーの要求に応答するときにサード パーティのツールとサービスを参照できます。 ユーザーがその情報にアクセスするアクセス許可を持っている場合は、Graph コネクタからのデータを Microsoft Copilot for Microsoft 365 応答で返すことができます。
プラグインが有効になっている場合、Microsoft Copilot for Microsoft 365 は、ユーザーに関連する応答を提供するために特定のプラグインを使用する必要があるかどうかを判断します。 プラグインが必要な場合、Microsoft Copilot for Microsoft 365 はユーザーの代わりにプラグインに送信する検索クエリを生成します。 クエリは、ユーザーのプロンプト、Copilot 操作履歴、およびユーザーが Microsoft 365 でアクセスできるデータに基づいています。
Microsoft 365 管理センターの [統合されたアプリ] セクションでは、管理者は、プラグインに必要なアクセス許可とデータ アクセス、およびプラグインの使用条件とプライバシーに関する声明を表示できます。 管理者は、組織で許可するプラグインを完全に制御して選択できます。 ユーザーは、管理者が許可し、ユーザーがインストールまたは割り当てられているプラグインにのみアクセスできます。 Microsoft Copilot for Microsoft 365 は、ユーザーがオンにしたプラグインのみを使用します。
注:
Microsoft 365 Apps でのオプションの接続エクスペリエンスの使用を制御するポリシー設定は、プラグインには適用されません。
詳細については、次の記事を参照してください。
- 統合アプリでの Copilot 用プラグインの管理
- Microsoft Copilot for Microsoft 365 を拡張する
- Microsoft Copilot for Microsoft 365 が外部データを操作する方法
Microsoft Copilot for Microsoft 365 は組織データをどのように保護しますか?
Microsoft 365 テナント内のアクセス許可モデルは、ユーザー、グループ、テナント間でデータが意図せず漏洩しないようにするのに役立ちます。 Microsoft Copilot for Microsoft 365 は、他の Microsoft 365 サービスで使用されているデータ アクセスの同じ基礎となるコントロールを使用して、各ユーザーがアクセスできるデータのみを表示します。 セマンティック インデックスは、ユーザー ID ベースのアクセス境界を優先するため、グラウンディング プロセスは現在のユーザーがアクセスを許可されているコンテンツにのみアクセスします。 詳細については、Microsoft のプライバシー ポリシーとサービスのドキュメントを参照してください。
Microsoft Purview 情報保護によって暗号化されたデータがある場合、Microsoft Copilot for Microsoft 365 はユーザーに付与されている使用権限を適用します。 この暗号化は、Information Rights Management (IRM) を使用することによって、Microsoft 365 アプリの秘密度ラベル、または制限されたアクセス許可によって適用できます。 Microsoft Purview と Microsoft Copilot for Microsoft 365 の使用の詳細については、「Microsoft Copilot の Microsoft Purview データ セキュリティおよびコンプライアンス保護」をご覧ください。
Microsoft は、顧客が Microsoft 365 サービスやアプリケーションを侵害したり、他のテナントや Microsoft 365 システム自体に不正にアクセスしたりすることを防ぐために、既に複数の形式の保護を実装しています。 これらの形式の保護の例を次に示します。
Microsoft 365 サービスの各テナント内の顧客コンテンツの論理的な分離は、Microsoft Entra 承認とロールベースのアクセス制御によって実現されます。 詳細については、「Microsoft 365 の分離コントロール」を参照してください。
Microsoft は、厳格な物理的セキュリティ、バックグラウンド スクリーニング、多層暗号化戦略を使用して、顧客コンテンツの機密性と整合性を保護しています。
Microsoft 365 は、BitLocker、ファイルごとの暗号化、トランスポート層セキュリティ (TLS)、インターネット プロトコル セキュリティ (IPsec) など、保存中および転送中の顧客コンテンツを暗号化するサービス側テクノロジを使用します。 Microsoft 365 での暗号化の詳細については、「Microsoft Cloud での暗号化」を参照してください。
お客様のデータに対する管理は、GDPR などの広範に適用されるプライバシー法と、クラウド プライバシーに関する世界初の国際規範である ISO/IEC 27018 などのプライバシー標準に準拠するという Microsoft のコミットメントによって強化されます。
Microsoft Copilot for Microsoft 365 プラグインを通じてアクセスされるコンテンツの場合、暗号化によってプログラムによるアクセスを除外できるため、プラグインによるコンテンツへのアクセスが制限されます。 詳細については、「Azure Information Protection の使用権限を構成する」を参照してください。
規制遵守要件を満たす
AI 空間の規制が進化するにつれて、Microsoft は将来の規制要件を満たすために適応し、対応し続けます。
Microsoft Copilot for Microsoft 365 は、企業におけるデータ セキュリティとプライバシーに対する Microsoft の現在のコミットメントの上に構築されています。 これらのコミットメントに変更はありません。 Microsoft Copilot for Microsoft 365 は Microsoft 365 に統合されており、Microsoft 365 の法人顧客に対する既存のすべてのプライバシー、セキュリティ、コンプライアンスの義務に準拠しています。 詳細については、「Microsoft コンプライアンス」を参照してください。
Microsoft は、規制への準拠だけでなく、顧客、パートナー、規制当局とのオープンな対話を優先して、懸念事項をより深く理解し、対処することで、信頼と協力の環境を促進します。 Microsoft は、プライバシー、セキュリティ、透明性が単なる機能ではなく、Microsoft の AI 主導の環境における前提条件であることを認識しています。
追加情報
Microsoft Copilot for Microsoft 365 と接続エクスペリエンスのポリシー設定
組織内の Windows または Mac デバイス上の Microsoft 365 Apps のコンテンツを分析する接続エクスペリエンスをオフにすると、ユーザーは次のアプリで Microsoft Copilot for Microsoft 365 機能を使用できなくなります。
- Excel
- PowerPoint
- OneNote
- Word
同様に、Microsoft 365 Apps の接続エクスペリエンスの使用をオフにすると、Windows または Mac デバイス上のこれらのアプリの Microsoft Copilot for Microsoft 365 機能は使用できなくなります。
これらのポリシー設定の詳細については、以下の記事を参照してください。
- ポリシーの設定を使用して、Microsoft 365 Apps for enterprise (Windows 用) のプライバシー コントロールを管理する
- [環境設定] を使用して、Office for Mac のプライバシー コントロールを管理する
Microsoft Copilot for Microsoft 365 が作成するコンテンツについて
生成 AI によって生成される応答は、100% 事実であるという保証はありません。 応答の改善を続けていますが、他のユーザーに送信する前に、出力を確認する際には依然としてユーザーによる判断が必要です。 Microsoft Copilot for Microsoft 365 の機能は、これらのタスクを完全に自動化するのではなく、生成された AI をレビューする機会を提供しながら、より多くのことを達成するのに役立つ便利な下書きと概要を提供します。
Microsoft は、責任ある AI の原則に沿って、誤った情報や偽情報、コンテンツのブロック、データの安全性、有害なコンテンツや差別的なコンテンツの宣伝の防止などの問題に積極的に対処するために、アルゴリズムの改善を続けています。
Microsoft は、サービスの出力の所有権を要求しません。 つまり、Microsoft は、顧客の出力が著作権で保護されているか、他のユーザーに対して法的強制力があるかどうかを判断することはありません。 これは、生成 AI システムが、複数の顧客からの同様のプロンプトまたはクエリに対して同様の応答を生成する場合があるためです。 そのため、複数の顧客が、同じまたは実質的に類似したコンテンツの権利を持っているか、または権利を所有または主張する可能性があります。
第三者が、Microsoft の Copilots またはそれが生成する出力の使用による著作権侵害で法人顧客を訴えた場合、顧客が当社製品に組み込まれているガードレールとコンテンツ フィルターを使用している限り、Microsoft は顧客を弁護し、訴訟の結果として生じる不利な判決または和解の金額を支払います。 詳細については、「マイクロソフト、お客様向けの Copilot Copyright Commitment を発表」を参照してください。
責任ある AI への取り組み
AI が私たちの生活を変革しようとしているため、このテクノロジの使用と影響に対する新しいルール、規範、プラクティスをまとめて定義する必要があります。 Microsoft は 2017 年から責任ある AI への取り組みを続けており、このテクノロジが人々を第一に考える倫理原則に基づいた方法で使用されるようにするための原則とアプローチを定義しました。
Microsoft は、AI の原則、責任ある AI 標準、および AI、グラウンディング、プライバシー保護の機械学習に関する数十年にわたる研究に従っています。 研究者、エンジニア、ポリシー エキスパートからなる学際的なチームが、潜在的な危害と緩和策について Microsoft の AI システムをレビューします。トレーニングデータを改良し、有害なコンテンツ、クエリ、結果を制限するためのフィルター処理をし、機密トピックをブロックし、データの偏りを検出して修正するのに役立つ InterpretML や Fairlearn などの Microsoft テクノロジを適用しています。 制限事項を明記し、ソースにリンクし、対象分野の専門知識に基づいてコンテンツのレビュー、事実確認、調整をユーザーに促すことで、システムがどのように意思決定を行うかを明確にしています。 詳細については、「AI のガバナンス: 未来に向けた青写真」を参照してください。
Microsoft は、学習を共有し、信頼に基づくパートナーシップを構築しながら、顧客が AI 製品を責任を持って使用できるよう支援することを目指しています。 これらの新しいサービスについて、AI プラットフォーム サービスの使用目的、機能、制限事項に関する情報を提供し、顧客が責任を持って展開を選択するために必要な知識を得ることができるようにしたいと考えています。 また、組織内の開発者や独立系ソフトウェア ベンダー (ISV) とリソースとテンプレートを共有して、効果的で安全で透明性の高い AI ソリューションの構築を支援します。
関連記事
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示