Microsoft Copilotとは、Microsoftが提供する生成AIアシスタントであり、質問への回答や文章の生成のほか、WordやExcel等と連携して仕事を効率化することができます。

一方で、情報漏洩リスクへの不安から、なかなか導入に踏み切れない方も多いのではないでしょうか。

本記事では、Microsoft Copilotの利用を検討している方に向けて、Microsoft Copilotによる情報漏洩リスクと具体的な対策についてわかりやすくご紹介します。

また、AI総研では経験豊富なコンサルタントによる、AI・ChatGPT活用の個別無料相談会を実施しております。自社に合った活用方法や導入の進め方などでお困りの方はお気軽にご相談ください。

⇒AI・ChatGPT活用の個別無料相談会の詳細はこちら

Microsoft Copilotの３つの情報漏洩パターン

Microsoft Copilotによる情報漏洩のパターンとして、以下の3つが挙げられます。

• ①Copilotに入力した個人情報・機密情報の流出
• ②会話履歴の情報の流出
• ③Copilotのアカウント情報の流出

それぞれについてわかりやすく紹介していきます。

①Copilotに入力した個人情報・機密情報の流出

Copilotに会社内部の機密情報や顧客の個人情報などを入力してしまうと、サービス提供者や他のユーザーに機密情報が流出・漏洩してしまうリスクが存在します。

②会話履歴の情報の流出

Copilotと対話した内容は、高いセキュリティ環境の下で保護されますが、会話履歴が流出する可能性も否定できません。　

③Copilotのアカウント情報の流出

Copilotを利用するためには、メールアドレスとパスワードを設定してMicrosoftのアカウントを作成する必要があります。

アカウント情報の管理を怠ると、自分のメールアドレスやパスワードが漏洩し、その結果、第三者に勝手にCopilotを使われてしまうおそれがあります。

Microsoft Copilotによる情報漏洩に対する６つの対策

Microsoft Copilotによる情報漏洩に対する対策として、以下の6つが挙げられます。

• ①個人情報や機密情報を入力しない
• ②対話/操作履歴を削除する
• ③法人向けプランを利用する
• ④セキュリティシステムを導入する
• ⑤利用ルールやマニュアルを策定する
• ⑥従業員へのリテラシー教育を行う

それぞれについてわかりやすく紹介していきます。

①個人情報や機密情報を入力しない

Copilotを通じた情報漏洩によるトラブルを防ぐ最も確実な手段は、Copilotに個人情報や機密情報を入力しないことです。

個人情報や機密情報に該当する部分は「XXX」などとマスキングすることなどの対応をとることで、情報漏洩を防ぎつつ、Copilotを有効に活用することができます。

②対話/操作履歴を削除する

Copilotとの対話履歴や操作履歴に個人情報や機密情報が含まれている場合には、これらの履歴を事後的に削除することが重要です。

これにより、履歴情報が流出し、第三者に情報が漏洩するリスクを軽減することができます。

③法人向けプランを利用する

Copilotはプランによってセキュリティレベルが異なります。特に法人向けの最も高額のプランであるCopilot for Microsoft 365では、Microsoft 365に準じた高レベルのセキュリティ環境が構築されています。

そのため、情報流出のリスクを確実に避けたいのであれば、Copilot for Microsoft 365のプランを利用することがおすすめです。

④セキュリティシステムを導入する

社内でブラウザ版のCopilotを利用している場合には、サイバー攻撃やウィルス感染を防ぐために、セキュリティシステムを導入することが重要です。

機密情報のコピーを禁止するData Loss Preventionやウィルス感染対策ソフトなどを導入することで、Copilotによるセキュリティトラブルを未然に防止することができます。

⑤利用ルールやマニュアルを策定する

Copilotによる情報漏洩リスクを回避し、安全に利用するためには、明確な利用ルールやマニュアルを策定することが重要です。

具体的には、社内でのAIの使用目的、使用範囲、倫理ガイドライン、データ取り扱いのルール・マニュアルを策定する必要があります。

⑥従業員へのリテラシー教育を行う

Copilotのポテンシャルを最大限に活用しつつ、同時にリスクを管理するためには、従業員のAIに関する理解とスキル、すなわちAIリテラシーを向上させることが不可欠です。

研修プログラムや実践的なトレーニングを通じて、従業員がCopilotの基本的な知識、適切な使用方法、関連するリスクを理解することで、Copilotの安全な利用を促すことができます。

生成AIによる情報漏洩の事例２選

生成AIによる代表的な企業の情報漏洩事例として以下の２つが挙げられます。

• ①サムスンの社内ソースコードが生成AI経由で外部に流出
• ②日本のChatGPTアカウント661件が闇取引市場で売買される

それぞれについてわかりやすく紹介していきます。

①サムスンの社内ソースコードが生成AI経由で外部に流出

生成AI活用による代表的な企業の情報漏洩事例として韓国サムスン電子での情報漏洩が挙げられます。

サムスン電子は、従業員によるChatGPTなどの生成人工知能（AI）ツールの利用を禁止する新ポリシーを策定しました。

これは、従業員がChatGPTにセンシティブなデータをアップロードし、誤って情報をリークさせた事例が発覚したためです。

詳細な内容は不明ですが、エンジニアが社内ソースコードをChatGPTにアップロードし、外部サーバーに保存されたデータが他のユーザーに開示されたことが背景にあるとされています。

新たなポリシーは、社内のコンピューターやタブレット、携帯電話、社内ネットワークでの生成AIシステムの使用を禁止し、個人所有の端末でChatGPTなどを利用する場合には、サムスンの知的財産や会社関連の情報、個人データを入力しないよう要求しています。

②日本のChatGPTアカウント661件が闇取引市場で売買される

シンガポールの情報セキュリティ会社Group-IBは、日本からChatGPTのログイン情報（IDとパスワード）が漏洩していると発表しました。

グループIBは、ウェブブラウザなどに保存された情報を盗み出すマルウェア「インフォスティーラー」によってこの漏洩を検知しました。

2023年5月までの1年間で、ChatGPTのアカウントがダークウェブの闇市場で取引されており、その中で少なくとも661件が日本からの漏洩であることが確認されています。

Microsoft Copilotを安全に活用するための３つのポイント

Microsoft Copilotを安全に活用するためのポイントとして以下の３つが挙げられます。

• ①個人情報や機密情報を入力しない
• ②高度に専門的な質問や複雑なタスクには対応できない場合がある
• ③回答や生成されたコンテンツを業務等に活用する場合はダブルチェックをする

それぞれについてわかりやすく紹介していきます。

①個人情報や機密情報を入力しない

Copilotに入力した情報は、Copilotが学習するために、基本的にはクラウド上で保管されます。

そのため、会社内部の機密情報や顧客の個人情報などを入力してしまうと、サービス提供者や他のユーザーに機密情報が流出してしまうリスクが存在します。

そのため、機密情報や個人情報を入力しなければならない場合には、セキュリティの高い環境を整備した有料プランを利用するなど、情報漏洩対策をしっかりと施すことが重要です。

②高度に専門的な質問や複雑なタスクには対応できない場合がある

Copilotも全知全能の万能ツールではないので、あまりにも高度に専門的な質問や複雑なタスクの指示には応えられない場合があります。

高度で複雑な質問や指示を出す場合には、質問を複数回に分けて行うなど、質問の仕方を工夫することが重要です。

③回答や生成されたコンテンツを業務等に活用する場合はダブルチェックをする

Copilotによる回答や生成されたコンテンツは、基本的には正確なものですが、誤りや不適切な表現が含まれている場合もあります。そのため、Copilotの生成物を業務等に活用する場合には、事前に人の目でダブルチェックをすることが重要です。