次の方法で共有


生成 AI アプリ向け、Microsoft Purview のデータセキュリティおよびコンプライアンス保護

セキュリティ & コンプライアンスに関する Microsoft 365 ライセンス ガイダンス

Microsoft Purview を使用して、AI の使用に関連するリスクを軽減および管理し、対応する保護とガバナンス制御を実装します。

Microsoft Purview を使用して、生成型 AI の使用状況とデータのカテゴリを検出、保護、準拠します。

Microsoft Purview AI ハブは現在プレビュー段階であり、使いやすいグラフィカル ツールとレポートを提供し、organization内での AI の使用に関する分析情報をすばやく得ることができます。 ワンクリック ポリシーは、データを保護し、規制要件に準拠するのに役立ちます。

AI ハブを他の Microsoft Purview 機能と組み合わせて使用して、Microsoft 365 CopilotMicrosoft Copilotのデータセキュリティとコンプライアンスを強化します。

注:

organizationのライセンス プランでこれらの機能がサポートされているかどうかをチェックするには、ページの上部にあるライセンス ガイダンスのリンクを参照してください。 Microsoft 365 Copilot自体のライセンス情報については、Microsoft 365 Copilotのサービスの説明を参照してください。

次のセクションを使用して、AI ハブと、Microsoft 365 Copilotやその他の生成的な AI アプリのorganizationの導入を加速するための追加のデータ セキュリティとコンプライアンス制御を提供する Microsoft Purview 機能の詳細を確認します。 Microsoft Purview を初めて使用する場合は、製品の概要も役立ちます。 Microsoft Purview について学習してください。

Microsoft 365 Copilotのセキュリティとコンプライアンスの要件の詳細については、「Microsoft 365 Copilotのデータ、プライバシー、セキュリティ」を参照してください。 Microsoft Copilotについては、「Copilot のプライバシーと保護」を参照してください。

Microsoft Purview AI ハブでは、AI アプリの分析情報、ポリシー、制御が提供されます

注:

Microsoft Purview AI ハブは現在プレビュー段階であり、変更される可能性があります。

Microsoft Purview ポータルまたはMicrosoft Purview コンプライアンス ポータルの AI ハブは、AI アプリのデータをすばやくセキュリティで保護し、AI の使用を事前に監視するのに役立つ中央管理の場所を提供します。 これらのアプリには、サードパーティの大きな言語モジュール (LLM) のMicrosoft 365 Copilotと AI アプリが含まれます。

次のビデオを見て、AI ハブの動作を確認してください。 記録は、Microsoft 365 のMicrosoft CopilotがMicrosoft 365 Copilotに再ブランド化される前に行われ、AI ハブのナビゲーション ページの一部が変更されました。 ただし、機能は変わりません。

AI ハブには一連の機能が用意されているため、生産性と保護を選択しなくても AI を安全に採用できます。

  • organizationの AI アクティビティに関する分析情報と分析

  • AI プロンプトでデータを保護し、データ損失を防ぐためのすぐに使用できるポリシー

  • 最適なデータ処理とポリシーの格納を適用するためのコンプライアンス制御

Gemini や ChatGPT で使用されるなど、サポートされているサード パーティの AI サイトの一覧については、「Microsoft Purview でサポートされている AI サイトによるデータセキュリティとコンプライアンス保護」を参照してください。

Microsoft Purview AI ハブの例のスクリーンショット。分析。

AI ハブの使用方法

AI の使用状況に関する分析情報を迅速に取得し、データを保護するために、AI ハブには、1 回のクリックでアクティブ化できる 構成済みのポリシー がいくつか用意されています。 これらの新しいポリシーがデータを収集して AI ハブに結果を表示したり、既定の設定に加えた変更を反映したりするには、少なくとも 24 時間を許可します。

AI ハブの使用を開始するには、Microsoft Purview ポータルまたはMicrosoft Purview コンプライアンス ポータルのいずれかを使用できます。 Microsoft Entraコンプライアンス管理者グループ ロールのメンバーであるアカウントなど、コンプライアンス管理に適切なアクセス許可を持つアカウントが必要です。

  1. 使用しているポータルに応じて、次のいずれかの場所に移動します。

    • Microsoft Purview ポータルにサインインします>AI ハブ (プレビュー) カード。

      AI ハブ (プレビュー) カードが表示されない場合は、[すべてのソリューションの表示] を選択し、[データ セキュリティ] セクションから [AI ハブ (プレビュー)] を選択します。

    • Microsoft Purview コンプライアンス ポータル>AI ハブ (プレビュー)にサインインします

  2. [ 概要] で、[ はじめ に] セクションを確認して、AI ハブの詳細と、実行できる即時のアクションについて確認します。 ポップアップ ウィンドウを表示するには、それぞれを選択して詳細を確認し、アクションを実行し、現在の状態を確認します。

    アクション 詳細
    Microsoft Purview 監査を有効にする 新しいテナントの監査は既定でオンになっているため、既にこの前提条件を満たしている可能性があります。 その場合、ユーザーに Copilot のライセンスが既に割り当てられている場合は、ページのさらに下にある [分析 ] セクションから Copilot アクティビティに関する分析情報が表示されます。
    Microsoft Purview ブラウザー拡張機能をインストールする サード パーティの AI サイトの前提条件。
    デバイスを Microsoft Purview にオンボードする サード パーティの AI サイトの前提条件でもあります。
    データ検出の分析情報を拡張する サードパーティの生成 AI サイトにアクセスし、機密情報を送信するユーザーに関する情報を収集するためのワンクリック ポリシー。 オプションは、ページのさらに下にある [AI データ分析] セクションの [ 分析情報の拡張 ] ボタンと同じです。

    前提条件の詳細については、「 AI ハブの前提条件」を参照してください。

    アクティブ化できる構成済みのポリシーの詳細については、「 AI ハブからのワンクリック ポリシー」を参照してください。

  3. 次に、[ 推奨事項] セクションを 確認し、テナントに関連するオプションを実装するかどうかを決定します。 これらのオプションには、サードパーティの生成 AI サイトに送信される機密データを保護し、秘密度ラベルを使用してデータを保護するのに役立つ 既定のポリシー の作成が含まれます。 推奨事項の例を次に示します。

    ナビゲーション ウィンドウの [ すべての推奨事項の表示 ] リンクまたは [推奨事項 ] を使用して、テナントに対して使用可能なすべての推奨事項とその状態を確認できます。 推奨事項が完了または却下されると、[ 概要 ] ページに推奨事項が表示されなくなります。

  4. ナビゲーション ウィンドウの [レポート ] セクションまたは [レポート] ページを使用して、ポリシーの結果を表示します。 レポートが設定されるまで少なくとも 1 日待つ必要があります。

  5. AI ハブ の [ポリシー] ページを使用して、作成されたポリシーの状態を監視します。 編集するには、ポータルで対応する管理ソリューションを使用します。 たとえば、 AI で非倫理的な動作を制御する場合は、コミュニケーション コンプライアンス ソリューションから 一致を確認して修復 できます。

  6. AI ハブから [アクティビティ エクスプローラー ] を選択して、ポリシーから収集されたデータの詳細を表示します。

    このより詳細な情報には、アクティビティ、ワークロードとアプリ、ユーザー、日付と時刻、検出された機密情報の種類が含まれます。

    アクティビティの例としては、 AI の相互作用分類スタンプDLP ルールの一致AI 訪問などがあります。 適切なパーミシソンがある場合、Copilot のプロンプトと応答は AI インタラクション イベントに含まれます。 イベントの詳細については、「 アクティビティ エクスプローラーのイベント」を参照してください。

    ワークロードの例としては、Microsoft Copilot他の AI アプリなどがあります

    AI アクティビティを示すアクティビティ エクスプローラーである Microsoft Purview AI ハブのスクリーンショットの例。

Microsoft 365 CopilotとMicrosoft Copilotについては、これらのポリシーと分析情報を、Microsoft Purview の追加の保護とコンプライアンス機能と組み合わせて使用します。

Microsoft Purview が Copilot の情報保護を強化

Microsoft 365 Copilotは、既存のコントロールを使用して、テナントに格納されているデータがユーザーに返されたり、ユーザーがそのデータにアクセスできない場合に大きな言語モデル (LLM) によって使用されたりしないようにします。 データにorganizationの秘密度ラベルがコンテンツに適用されている場合は、追加の保護レイヤーがあります。

  • Outlook でファイルをWord、Excel、PowerPoint、または同様に電子メールまたは予定表イベントで開くと、ラベルに対して構成されているラベル名とコンテンツ マーキング (ヘッダーやフッター テキストなど) を使用して、アプリ内のユーザーにデータの機密性が表示されます。 Loopコンポーネントとページでも、同じ秘密度ラベルがサポートされます

  • 秘密度ラベルが暗号化を適用する場合、Copilot がデータを返すには、ユーザーが EXTRACT の使用権限と VIEW を持っている必要があります。

  • この保護は、Office アプリで開いているときに Microsoft 365 テナントの外部に保存されたデータ (使用中のデータ) にまで拡張されます。 たとえば、ローカル ストレージ、ネットワーク共有、クラウド ストレージなどです。

ヒント

SharePoint と OneDrive の秘密度ラベルをまだ有効にしていない場合は、これらのサービスで処理できるファイルの種類とラベルの構成についても理解することをお勧めします。 これらのサービスで秘密度ラベルが有効になっていない場合、Microsoft 365 Copilotアクセスできる暗号化されたファイルは、Windows 上の Office アプリから使用されているデータに制限されます。

手順については、「 SharePoint と OneDrive で Office ファイルの秘密度ラベルを有効にする」を参照してください。

さらに、幅広いコンテンツからデータにアクセスできるBusiness Chat (旧称 Graph ベースのチャットとMicrosoft 365 Chat) を使用すると、Microsoft 365 Copilotによって返されるラベル付きデータの秘密度が、引用文献と応答に記載されている項目に表示された秘密度ラベルを持つユーザーに表示されます。 Microsoft Purview ポータルまたはMicrosoft Purview コンプライアンス ポータルで定義されている秘密度ラベルの優先度番号を使用すると、Copilot の最新の応答には、その Copilot チャットに使用されるデータの最も優先度の高い秘密度ラベルが表示されます。

コンプライアンス管理者は秘密度ラベルの優先順位を定義しますが、優先度の高い数値は通常、コンテンツの機密性が高く、アクセス許可が制限されます。 その結果、Copilot 応答は最も制限の厳しい秘密度ラベルでラベル付けされます。

注:

アイテムがMicrosoft Purview 情報保護によって暗号化されているのに秘密度ラベルがない場合、暗号化にユーザーの EXTRACT または VIEW の使用権限が含まれていない場合、Microsoft 365 Copilotもこれらのアイテムをユーザーに返しません。

秘密度ラベルをまだ使用していない場合は、「秘密 度ラベルの概要」を参照してください。

DLP ポリシーでは、Microsoft 365 Copilot操作のデータ分類はサポートされていませんが、機密情報の種類とトレーニング可能な分類子は、コミュニケーション コンプライアンス ポリシーでサポートされ、Copilot に対するユーザー プロンプトの機密データと応答を識別できます。

秘密度ラベル継承による Copilot 保護

Microsoft 365 Copilotを使用して、秘密度ラベルが適用されている項目に基づいて新しいコンテンツを作成すると、ソース ファイルの秘密度ラベルがラベルの保護設定と共に自動的に継承されます。

たとえば、ユーザーは Word で Copilot を使用して下書きを選択し、[ファイルを参照] を選択します。 または、ユーザーが [PowerPoint のファイルからプレゼンテーションを作成する] を選択するか、Business Chatから [ページで編集] を選択します。 ソース コンテンツには秘密度ラベル Confidential\Anyone (無制限) が適用されており、そのラベルは "Confidential" と表示されるフッターを適用するように構成されています。 新しいコンテンツには、同じフッターを持つ Confidential\Anyone (無制限) というラベルが自動的に付けられます。

この動作の例を確認するには、Ignite 2023 セッションの次のデモ「Microsoft 365 Copilotの準備」をwatchします。 デモでは、ユーザーが Copilot を使用して下書きし、ラベル付きファイルを参照するときに、 General の既定の秘密度ラベルを 機密 ラベルに置き換える方法を示します。 リボンの下の情報バーは、Copilot によって作成されたコンテンツによって新しいラベルが自動的に適用されたことをユーザーに通知します。

複数のファイルを使用して新しいコンテンツを作成する場合、ラベルの継承には 優先度が最も高い 秘密度ラベルが使用されます。

すべての自動ラベル付けシナリオと同様に、ユーザーは常に継承されたラベルをオーバーライドして置き換えることができます (または、 必須のラベル付けを使用していない場合は削除します)。

秘密度ラベルのない Microsoft Purview 保護

秘密度ラベルがコンテンツに適用されていない場合でも、サービスと製品は Azure Rights Management サービスの暗号化機能を使用する可能性があります。 その結果、Microsoft 365 Copilotは、ユーザーにデータとリンクを返す前に、VIEW と EXTRACT の使用権限を引き続きチェックできますが、新しい項目に対する保護の自動継承はありません。

ヒント

機密ラベルを常に使用してデータを保護し、ラベルによって暗号化を適用すると、最適なユーザー エクスペリエンスが得られます。

秘密度ラベルなしで Azure Rights Management サービスの暗号化機能を使用できる製品とサービスの例:

  • Microsoft Purview のメッセージの暗号化
  • Microsoft Information Rights Management (IRM)
  • Microsoft Rights Management コネクタ
  • Microsoft Rights Management SDK

Azure Rights Management サービスを使用しない他の暗号化方法の場合:

  • S/MIME で保護されたメールは Copilot から返されません。また、S/MIME で保護されたメールが開いている場合、Outlook では Copilot を使用できません。

  • パスワードで保護されたドキュメントは、同じアプリ (使用中のデータ) でユーザーが既に開いていない限り、Microsoft 365 Copilotからアクセスできません。 パスワードは、移行先アイテムによって継承されません。

電子情報開示や検索などの他の Microsoft 365 サービスと同様に、Microsoft Purview カスタマー キーまたは独自のルート キー (BYOK) で暗号化されたアイテムはサポートされ、Microsoft 365 Copilotから返される資格があります。

Microsoft Purview では、Copilot のコンプライアンス管理がサポートされています

Microsoft Purview コンプライアンス機能とエンタープライズ データ保護を使用して、Microsoft 365 CopilotとMicrosoft Copilotのリスクとコンプライアンスの要件をサポートします。

Copilot との対話は、テナント内のユーザーごとに監視できます。 そのため、Purview の分類 (機密情報の種類とトレーニング可能な分類子)、コンテンツ検索、コミュニケーション コンプライアンス、監査、電子情報開示、保持ポリシーを使用した自動保持と削除の機能を使用できます。

コミュニケーション コンプライアンスのために、ユーザー プロンプトと Copilot 応答を分析して、不適切または危険なやり取りや機密情報の共有を検出できます。 詳細については、「 Copilot の相互作用を検出するように通信コンプライアンス ポリシーを構成する」を参照してください。

communication-compliance-microsoft-365-copilot。

監査では、ユーザーが Copilot と対話するときに、統合監査ログに詳細がキャプチャされます。 イベントには、ユーザーが Copilot と対話する方法とタイミング、Microsoft 365 サービスでアクティビティが行われた方法、および操作中にアクセスされた Microsoft 365 に格納されているファイルへの参照が含まれます。 これらのファイルに秘密度ラベルが適用されている場合は、それもキャプチャされます。 Microsoft Purview ポータルまたはMicrosoft Purview コンプライアンス ポータル監査ソリューションで、[Copilot アクティビティ] を選択し、[Copilot と対話] を選択します。 ワークロードとして [Copilot ] を選択することもできます。 たとえば、コンプライアンス ポータルからは次の通りです。

Copilot とのユーザー操作を識別するための監査オプション。

コンテンツ検索の場合、ユーザーは Copilot に対してプロンプトを表示し、Copilot からの応答はユーザーのメールボックスに格納されるため、ユーザーのメールボックスが検索クエリのソースとして選択されたときに検索および取得できます。 クエリ ビルダーの [Add condition>Type>Equals any>Add/Remove more options>Copilot 操作から選択して、ソース メールボックスからこのデータを選択して取得します。

電子情報開示の場合と同様に、同じクエリ プロセスを使用してメールボックスを選択し、Copilot へのユーザー プロンプトと Copilot からの応答を取得します。 コレクションが作成され、電子情報開示 (Premium) のレビュー フェーズに移行された後、このデータは、既存のすべてのレビュー アクションを実行するために使用できます。 これらのコレクションとレビュー セットは、さらに保留またはエクスポートできます。 このデータを削除する必要がある場合は、「 Copilot のデータを検索して削除する」を参照してください。

自動保持と削除をサポートする 保持ポリシー の場合、Copilot へのユーザー プロンプトと Copilot からの応答は、 Teams チャットと Copilot の対話の場所によって識別されます。 以前は Teams チャットのみという名前でした。ユーザーは、このポリシーを適用するために Teams チャットを使用している必要はありません。 Teams チャット用に構成された既存のアイテム保持ポリシーには、Microsoft 365 CopilotとMicrosoft Copilotとの間のユーザー プロンプトと応答が自動的に含まれるようになりました。

Copilot の対話を含むように Teams チャットの保持場所を更新しました。

このリテンション期間の詳細については、「 Copilot のリテンション期間について」を参照してください。

すべてのアイテム保持ポリシーと保持と同様に、同じ場所の複数のポリシーがユーザーに適用される場合、 保持の原則 によって競合が解決されます。 たとえば、適用されたすべてのアイテム保持ポリシーまたは電子情報開示ホールドの最も長い期間、データが保持されます。

保持ラベルを使用して Copilot で参照されているファイルを自動的に保持する場合は、自動適用保持ラベル ポリシーを使用してクラウド添付ファイルのオプションを選択します。Exchange、Teams、Viva Engage、Copilot で共有されているクラウドの添付ファイルとリンクにラベルを適用します。 保持されているすべてのクラウド添付ファイルと同様に、参照時のファイル バージョンは保持されます。

Copilot の対話を含むように、自動適用保持ラベルのクラウド添付ファイル オプションが更新されました。

このリテンション期間のしくみの詳細については、「 クラウドの添付ファイルを使用したリテンション期間のしくみ」を参照してください。

構成手順については、次の手順を実行します。

AI ハブと Copilot のその他のドキュメント

ブログ投稿のお知らせ: Microsoft Purview でジェネレーティブ AI を自信を持って利用できるようにデータをセキュリティで保護する

詳細については、「Microsoft Purview AI ハブに関する考慮事項」および「Copilot のデータ セキュリティとコンプライアンス保護」を参照してください。

Microsoft 365 Copilot: