Microsoft 365 Copilot に参照させたくない組織データを秘密度ラベルで保護する
Microsoft 365 Copilot はアクセス権を無視して情報を参照することはなく、サインインしているユーザー自身に閲覧権限がある組織データのみを対象に回答を生成します。ただし、ユーザーがアクセスできるドキュメントの中に機密情報や社外秘の資料が含まれる場合、意図せず Copilot の回答に反映されてしまう可能性があります。
この記事では、Microsoft Purview の 「秘密度ラベル」 を活用し、Microsoft 365 Copilot に参照させたくない組織データを保護する方法を紹介します。
秘密度ラベルとは
秘密度ラベルは Microsoft Purview 情報保護の中核機能の 1 つです。Office ドキュメントや PDF、メールなどにラベルを付与することで、ユーザーやグループ単位で 閲覧・編集・印刷・転送 などの操作を制御できます。
ファイルに秘密度ラベルを付与するには、Microsoft 365 Business Premium、E3、E5 のいずれかのライセンスが必要です。
秘密度ラベルの大きな特徴は、保護設定がファイルそのものに付与される点です。ファイルが社外に持ち出されても、権限を持たないユーザーは開くことができません。
【閲覧のみ許可した場合】
ファイルを開いて内容を閲覧できます。リボンがグレーアウトし、編集操作を行うことはできません。
【閲覧権限がない場合】
権限のないユーザーがファイルを開こうとするとブロックされます。
Copilot の参照を制御する仕組み
秘密度ラベルでは、保護設定として以下のような操作を細かく制御できます。
- コンテンツの表示 (VIEW)
- コンテンツの編集 (DOCEDIT)
- 印刷 (PRINT)
- 転送 (FORWARD)
- コンテンツのコピーと抽出 (EXTRACT)
Microsoft 365 Copilot の参照を制御するうえで重要になるのが、EXTRACT (コンテンツのコピーと抽出) です。これをオフにすることで、Copilot からの参照を制限できます。
⚠️ 注意:EXTRACT をオフにすると Copilot 以外にも影響します
Copilot の参照制限だけでなく、テキストのコピーや他システムへの情報抽出も制限されます。運用への影響を踏まえたうえで設定してください。
秘密度ラベルの作成とファイルへの割り当て
ここでは、組織の全ユーザーに閲覧のみを許可し、コンテンツのコピーと抽出を制限する秘密度ラベル の作成と、ファイルへの割り当て手順を紹介します。
1. Microsoft Purview で秘密度ラベルを作成
- Microsoft Purview ポータルにアクセスし、[ソリューション] – [Microsoft Information Protection] をクリック

- [秘密度ラベル] – [作成] – [ラベル] をクリック

- 「名前」「表示名」「ユーザー向けの説明」 を入力し、[次へ] をクリック

- [ファイルと他のデータ資産」 と 「メール」 が選択されている状態にして、[次へ] をクリック

- 保護設定で [アクセスの制御] を選択し、[次へ] をクリック

- [アクセス許可の割り当て] – [組織内のすべてのユーザーとグループを追加する] – [アクセス許可の選択] をクリック

「閲覧者」 を選択します。閲覧者を選択することで 「コンテンツの表示 (VIEW)」 がオン、「コンテンツのコピーと抽出 (EXTRACT)」 がオフの状態となります。[保存] をクリックします。
- 組織のドメインが追加されたことを確認し、[次へ] をクリック

- [次へ] – [次へ] – [ラベルの作成] をクリック
- 「ユーザーのアプリにラベルを発行する」 が選択されている状態で [完了] をクリック

2. ラベルの発行
作成した秘密度ラベルは、そのままではユーザーが利用できません。ラベル ポリシー を作成し、対象ユーザーやグループに公開する必要があります。
- [新しいラベル ポリシーの作成] をクリック
- [発行する秘密度ラベルを選ぶ] をクリックし、作成したラベルを選択します。[追加] – [次へ] をクリック

- [次へ] をクリックし、秘密度ラベル ポリシーの名前入力画面まで進める
- 13. 秘密度ラベル ポリシーの名前を入力し、[次へ] – [送信] をクリック
送信後、組織の全ユーザーが秘密度ラベルを利用できるようになります。
3. ファイルに秘密度ラベルを割り当て
ラベルが発行されると、Word、Excel、PowerPoint、Outlook などから秘密度ラベルを付与できるようになります。Copilot に参照させたくない Office ファイルを開き、作成した秘密度ラベルを選択します。
[ホーム]タブ → [秘密度] → 作成した秘密度ラベルを選択
なお、ラベルや権限変更が反映されるまでには一定時間かかる場合があります。
またラベルを外せるのは、そのラベルを割り当てたユーザー本人、またはラベルのアクセス許可の設定で 「フル コントロール (OWNER)」 の権限を持つユーザーとグループのみです。それ以外のユーザーがラベルを外そうとすると 「アクセス許可がありません」 とメッセージが表示されます。
動作を確認してみよう
秘密度ラベルを付与したファイルが、Microsoft 365 Copilot の回答生成に利用されないことを確認してみましょう。
秘密度ラベルの適用前
秘密度ラベルを付与する前は、Copilot Chat から検索するとファイルの内容が回答に反映されます。
秘密度ラベルの適用後
EXTRACT をオフにした秘密度ラベルを付与すると、同じファイルは Copilot の回答生成対象から除外されます。
秘密度ラベル付与後、Copilot 側の参照制御が反映されるまで数分〜数十分かかる場合があります。
まとめ
今回は、Microsoft Purview の 秘密度ラベル を使って、Microsoft 365 Copilot に参照させたくない組織データを保護する方法を紹介しました。
ポイントは次の 3 点です。
- Microsoft 365 Copilot は、ユーザーがアクセスできる組織データを回答生成に利用する
- 秘密度ラベルの EXTRACT (コンテンツのコピーと抽出) をオフにすることで、Copilot の参照を制限できる
- EXTRACT オフはコピーや他システムへの情報抽出にも影響するため、運用ルールとあわせて設計することが重要
Copilot の活用が広がるほど、「どのデータを参照させ、どのデータを守るか」の設計がますます重要になります。秘密度ラベルはその中心となる仕組みですので、ぜひ検証環境から試してみてください。
Microsoft 365 運用 関連コース
-
CI505-H Microsoft 365 運用管理
Microsoft 365 の運用管理に必要な知識と設定すべき項目を理解いただけます。アカウントやデバイス管理に不可欠な Entra ID の基礎知識をはじめ、Exchange Online、Microsoft Teams、SharePoint Online、OneDrive for Business など各サービスにおいて実施すべき設定と推奨設定、理解しておきたい仕組みなど、運用管理に必要な内容を基本から実務レベルまで解説。
-
CI509-H Microsoft 365 デバイス運用管理
Microsoft Defender、Microsoft Purview、Microsoft Entra ID を活用したセキュリティおよびコンプライアンス対策に加え、注目を集める Microsoft 365 Copilot の運用管理など、Microsoft 365 全体の情報保護に関する機能・利用シーン・運用のポイントを具体的に解説。
-
CI506-H Microsoft 365 運用管理 – 情報保護編
Microsoft Defender、Microsoft Purview、Microsoft Entra ID を活用したセキュリティおよびコンプライアンス対策に加え、注目を集める Microsoft 365 Copilot の運用管理など、Microsoft 365 全体の情報保護に関する機能・利用シーン・運用のポイントを具体的に解説。
-
CI508-H Microsoft 365 PowerShell による管理効率化
Microsoft 365 に対する運用管理で PowerShell を利用するための基本や Exchange Online、SharePoint Online、Microsoft Teams を設定するための便利なコマンドライン、設定を自動化するためのスクリプトの作成方法など、PowerShell による Microsoft 365 管理の基本から必須スキルまでを、運用管理に活用できるサンプルを用いて解説。




