Microsoft Copilot for Microsoft 365 のデータ、プライバシー、セキュリティ

Microsoft Copilot for Microsoft 365 は、次のコンポーネントを調整することで AI 搭載の仕事効率化機能を提供する、高度な処理およびオーケストレーション エンジンです。

• 大規模言語モデル (LLM)
• アクセス許可のあるメール、チャット、ドキュメントなどの Microsoft Graph 内のコンテンツ。
• Word や PowerPoint など、皆様が毎日使用している Microsoft 365 の生産性アプリ。

これら 3 つのコンポーネントがどのように連携するかの概要については、「Microsoft Copilot for Microsoft 365 の概要」をご覧ください。 Microsoft Copilot for Microsoft 365 に関連するその他のコンテンツへのリンクについては、「Microsoft Copilot for Microsoft 365 のドキュメント」をご覧ください。

この記事の情報は、次の質問に対する回答を提供することを目的としています。

• Microsoft Copilot for Microsoft 365 は独自の組織データをどのように使用しますか?
• Microsoft Copilot for Microsoft 365 は組織の情報とデータをどのように保護しますか?
• ユーザーの Microsoft Copilot for Microsoft 365 を使用した操作に関して格納されるデータは何ですか?
• データ所在地に関する Microsoft Copilot のコミットメントはどのようなものですか?
• Microsoft Copilot for Microsoft 365で使用できる拡張機能オプション
• Microsoft Copilot for Microsoft 365 は規制コンプライアンス要件をどのように満たしていますか?
• Microsoft 365 Apps の接続エクスペリエンスの制御は、Microsoft Copilot for Microsoft 365 に適用されますか?
• Microsoft Copilot for Microsoft 365 が作成するコンテンツは信頼できますか? 誰がそのコンテンツを所有していますか?
• AI の責任ある使用に対する Microsoft の取り組みとは

Microsoft Copilot for Microsoft 365 は独自の組織データをどのように使用しますか?

Microsoft Copilot for Microsoft 365 は、LLM を組織データに接続することで価値を提供します。 Microsoft Copilot for Microsoft 365 は、Microsoft Graph を通じてコンテンツとコンテキストにアクセスします。 ユーザー ドキュメント、メール、予定表、チャット、会議、連絡先など、組織データに固定された応答を生成できます。 Microsoft Copilot for Microsoft 365 はこのコンテンツを、ユーザーが現在参加している会議、ユーザーがトピックに関して行ったメールのやり取り、ユーザーが先週行ったチャットでの会話など、ユーザーの作業コンテキストと組み合わせます。 Microsoft Copilot for Microsoft 365 は、このコンテンツとコンテキストの組み合わせを使用して、正確で関連性の高い、コンテキストに応じた応答を提供します。

Microsoft Copilot for Microsoft 365 は、個々のユーザーが少なくとも表示アクセス許可を持っている組織データのみを表示します。 SharePoint などの Microsoft 365 サービスで利用可能なアクセス許可モデルを使用して、適切なユーザーまたはグループが組織内の適切なコンテンツに適切にアクセスできるようにすることが重要です。 これには、Microsoft Teams の共有チャネルなどのテナント間コラボレーション ソリューションを通じて、組織外のユーザーに付与するアクセス許可が含まれます。

Microsoft Copilot for Microsoft 365 を使用してプロンプトを入力すると、プロンプトに含まれる情報、プロンプトが取得するデータ、生成された応答は、現在のプライバシー、セキュリティ、コンプライアンスの義務に従って、Microsoft 365 サービス境界内に残ります。 Microsoft Copilot for Microsoft 365 は、OpenAI の一般公開されているサービスではなく、Azure OpenAI サービスを処理に使用します。 Azure OpenAI が、顧客コンテンツや、Copilot for Microsoft 365 で Copilot が変更したプロンプトをキャッシュすることはありません。

Microsoft Copilot for Microsoft 365 に対する不正使用の監視はリアルタイムで行われます。その際に、Microsoft が、人によるレビューまたは自動レビューのために顧客データへの永続的なアクセスを取得することはありません。 人によるコンテンツのレビューなどの悪用モデレーションは Azure OpenAI で利用できますが、Microsoft Copilot for Microsoft 365 サービスはオプトアウトしています。 Microsoft 365 データが Azure OpenAI によって収集または保存されることはありません。

ユーザーの Microsoft Copilot for Microsoft 365 を使用した操作に関して格納されるデータ

Microsoft Copilot for Microsoft 365 がユーザーによって (Word、PowerPoint、Excel、OneNote、Loop、Whiteboard などのアプリを使用する中で) 操作される際、当社は、それらの操作に関するデータを保存します。 格納されたデータには、ユーザーのプロンプトと Copilot の応答が含まれます。これには、Copilot の応答を根拠に使用される情報への引用が含まれます。 ユーザーのプロンプトと、そのプロンプトに対する Copilot の応答を "操作の内容" と呼び、それらの操作の記録はユーザーの Copilot 操作履歴です。 たとえば、この格納されたデータはユーザーに Graph ベースのチャットを使用した Microsoft Copilot と Microsoft Teams での会議における Copilot の 操作履歴を提供します。 このデータは、Microsoft 365 の組織の他のコンテンツとの契約上のコミットメントに合わせて処理され、保存されます。 データは格納されている間に暗号化されます。Microsoft Copilot for Microsoft 365 で使用されるものも含め、基礎 LLM のトレーニングには使用されません。

管理者は、この格納されたデータを表示および管理するために、コンテンツ検索または Microsoft Purview を使用できます。 また、管理者は Microsoft Purview を使用して、Copilot とのチャット操作に関連するデータのアイテム保持ポリシーを設定することもできます。 詳細については、次の記事を参照してください。

• コンテンツ検索の概要
• 生成 AI アプリ向け、Microsoft Purview のデータセキュリティおよびコンプライアンス保護
• Copilot for Microsoft 365 のデータ保持の詳細情報

Microsoft Teams で Copilot とチャットする場合、管理者は Microsoft Teams Export API を使用して格納されたデータを表示することもできます。

Microsoft Copilot for Microsoft 365 のユーザー操作履歴の削除

ユーザーは、マイ アカウント ポータルに移動して、プロンプトと Copilot から返される応答などの Copilot の操作履歴を削除できます。 詳細については、Microsoft Copilot 操作履歴を削除することに関するページをご覧ください。

Microsoft Copilot for Microsoft 365 と EU データ境界

LLM への Microsoft Copilot for Microsoft 365 呼び出しは、リージョン内の最も近いデータ センターにルーティングされますが、使用率の高い期間中には、容量が利用可能な他の地域に呼び出すこともできます。

欧州連合 (EU) のユーザーの場合、EU データ境界に準拠するための追加の安全対策があります。 EU トラフィックは EU データ境界内にとどまり、世界中のトラフィックは LLM 処理のために EU およびその他の国または地域に送信できます。

Microsoft Copilot for Microsoft 365 とデータ所在地

Copilot for Microsoft 365 は、Microsoft 製品使用条件およびデータ保護に関する補遺に記載されているデータ所在地のコミットメントを支持しています。 Copilot for Microsoft 365 は、2024 年 3 月 1 日に Microsoft 製品使用条件のデータ所在地コミットメントの対象となるワークロードとして追加されました。

2024 年 3 月 1 日現在、Microsoft アドバンスト データ所在地 (ADR) と Multi-Geo Capabilities オファリングには、Copilot for Microsoft 365 のお客様向けのデータ所在地コミットメントが含まれています。 EU のお客様の場合、Copilot for Microsoft 365 は EU データ境界サービスです。 EU 外のお客様は、米国、EU、またはその他のリージョンでクエリが処理されます。

Microsoft Copilot for Microsoft 365 の機能拡張

Microsoft Copilot for Microsoft 365 は既に Microsoft 365 エコシステム内でアプリとデータを使用することができますが、多くの組織は依然として、作業管理とコラボレーションのためにさまざまな外部ツールとサービスに依存しています。 Microsoft Copilot for Microsoft 365 エクスペリエンスでは、Microsoft Graph コネクタやプラグインを使用して、ユーザーの要求に応答するときにサード パーティのツールとサービスを参照できます。 ユーザーがその情報にアクセスするアクセス許可を持っている場合は、Graph コネクタからのデータを Microsoft Copilot for Microsoft 365 応答で返すことができます。

プラグインが有効になっている場合、Microsoft Copilot for Microsoft 365 は、ユーザーに関連する応答を提供するために特定のプラグインを使用する必要があるかどうかを判断します。 プラグインが必要な場合、Microsoft Copilot for Microsoft 365 はユーザーの代わりにプラグインに送信する検索クエリを生成します。 クエリは、ユーザーのプロンプト、Copilot 操作履歴、およびユーザーが Microsoft 365 でアクセスできるデータに基づいています。

Microsoft 365 管理センターの [統合されたアプリ] セクションでは、管理者は、プラグインに必要なアクセス許可とデータ アクセス、およびプラグインの使用条件とプライバシーに関する声明を表示できます。 管理者は、組織で許可するプラグインを完全に制御して選択できます。 ユーザーは、管理者が許可し、ユーザーがインストールまたは割り当てられているプラグインにのみアクセスできます。 Microsoft Copilot for Microsoft 365 は、ユーザーがオンにしたプラグインのみを使用します。

詳細については、次の記事を参照してください。

• 統合アプリでの Copilot 用プラグインの管理
• Microsoft Copilot for Microsoft 365 を拡張する
• Microsoft Copilot for Microsoft 365 が外部データを操作する方法

Microsoft Copilot for Microsoft 365 は組織データをどのように保護しますか?

Microsoft 365 テナント内のアクセス許可モデルは、ユーザー、グループ、テナント間でデータが意図せず漏洩しないようにするのに役立ちます。 Microsoft Copilot for Microsoft 365 は、他の Microsoft 365 サービスで使用されているデータ アクセスの同じ基礎となるコントロールを使用して、各ユーザーがアクセスできるデータのみを表示します。 セマンティック インデックスは、ユーザー ID ベースのアクセス境界を優先するため、グラウンディング プロセスは現在のユーザーがアクセスを許可されているコンテンツにのみアクセスします。 詳細については、Microsoft のプライバシー ポリシーとサービスのドキュメントを参照してください。

Microsoft Purview 情報保護によって暗号化されたデータがある場合、Microsoft Copilot for Microsoft 365 はユーザーに付与されている使用権限を適用します。 この暗号化は、Information Rights Management (IRM) を使用し、秘密度ラベルによって、または Microsoft 365 に含まれるアプリのアクセス許可の制限によって適用されることがあります。 Microsoft Purview と Microsoft Copilot for Microsoft 365 の使用の詳細については、「生成 AI アプリの Microsoft Purview データ セキュリティおよびコンプライアンス保護」をご覧ください。

Microsoft は、顧客が Microsoft 365 サービスやアプリケーションを侵害したり、他のテナントや Microsoft 365 システム自体に不正にアクセスしたりすることを防ぐために、既に複数の形式の保護を実装しています。 これらの形式の保護の例を次に示します。

• Microsoft 365 サービスの各テナント内の顧客コンテンツの論理的な分離は、Microsoft Entra 承認とロールベースのアクセス制御によって実現されます。 詳細については、「Microsoft 365 の分離コントロール」を参照してください。

• Microsoft は、厳格な物理的セキュリティ、バックグラウンド スクリーニング、多層暗号化戦略を使用して、顧客コンテンツの機密性と整合性を保護しています。

• Microsoft 365 は、BitLocker、ファイルごとの暗号化、トランスポート層セキュリティ (TLS)、インターネット プロトコル セキュリティ (IPsec) など、保存中および転送中の顧客コンテンツを暗号化するサービス側テクノロジを使用します。 Microsoft 365 での暗号化の詳細については、「Microsoft Cloud での暗号化」を参照してください。

• お客様のデータに対する管理は、GDPR などの広範に適用されるプライバシー法と、クラウド プライバシーに関する世界初の国際規範である ISO/IEC 27018 などのプライバシー標準に準拠するという Microsoft のコミットメントによって強化されます。

• Microsoft Copilot for Microsoft 365 プラグインを通じてアクセスされるコンテンツの場合、暗号化によってプログラムによるアクセスを除外できるため、プラグインによるコンテンツへのアクセスが制限されます。 詳細については、「Azure Information Protection の使用権限を構成する」を参照してください。

規制遵守要件を満たす

AI 空間の規制が進化するにつれて、Microsoft は将来の規制要件を満たすために適応し、対応し続けます。

Microsoft Copilot for Microsoft 365 は、企業におけるデータ セキュリティとプライバシーに対する Microsoft の現在のコミットメントの上に構築されています。 これらのコミットメントに変更はありません。 Microsoft Copilot for Microsoft 365 は Microsoft 365 に統合されており、Microsoft 365 の法人顧客に対する既存のすべてのプライバシー、セキュリティ、コンプライアンスの義務に準拠しています。 詳細については、「Microsoft コンプライアンス」を参照してください。

Microsoft は、規制への準拠だけでなく、顧客、パートナー、規制当局とのオープンな対話を優先して、懸念事項をより深く理解し、対処することで、信頼と協力の環境を促進します。 Microsoft は、プライバシー、セキュリティ、透明性が単なる機能ではなく、Microsoft の AI 主導の環境における前提条件であることを認識しています。

追加情報

Microsoft Copilot for Microsoft 365 と接続エクスペリエンスのポリシー設定

組織内の Windows または Mac デバイス上の Microsoft 365 Apps のコンテンツを分析する接続エクスペリエンスをオフにすると、ユーザーは次のアプリで Microsoft Copilot for Microsoft 365 機能を使用できなくなります。

• Excel
• PowerPoint
• OneNote
• Word

同様に、Microsoft 365 Apps の接続エクスペリエンスの使用をオフにすると、Windows または Mac デバイス上のこれらのアプリの Microsoft Copilot for Microsoft 365 機能は使用できなくなります。

これらのポリシー設定の詳細については、以下の記事を参照してください。

• ポリシーの設定を使用して、Microsoft 365 Apps for enterprise (Windows 用) のプライバシー コントロールを管理する
• [環境設定] を使用して、Office for Mac のプライバシー コントロールを管理する

Microsoft Copilot for Microsoft 365 が作成するコンテンツについて

生成 AI によって生成される応答は、100% 事実であるという保証はありません。 応答の改善を続けていますが、他のユーザーに送信する前に、出力を確認する際には依然としてユーザーによる判断が必要です。 Microsoft Copilot for Microsoft 365 の機能は、これらのタスクを完全に自動化するのではなく、生成された AI をレビューする機会を提供しながら、より多くのことを達成するのに役立つ便利な下書きと概要を提供します。

Microsoft は、責任ある AI の原則に沿って、誤った情報や偽情報、コンテンツのブロック、データの安全性、有害なコンテンツや差別的なコンテンツの宣伝の防止などの問題に積極的に対処するために、アルゴリズムの改善を続けています。

Microsoft は、サービスの出力の所有権を要求しません。 つまり、Microsoft は、顧客の出力が著作権で保護されているか、他のユーザーに対して法的強制力があるかどうかを判断することはありません。 これは、生成 AI システムが、複数の顧客からの同様のプロンプトまたはクエリに対して同様の応答を生成する場合があるためです。 そのため、複数の顧客が、同じまたは実質的に類似したコンテンツの権利を持っているか、または権利を所有または主張する可能性があります。

第三者が、Microsoft の Copilots またはそれが生成する出力の使用による著作権侵害で法人顧客を訴えた場合、顧客が当社製品に組み込まれているガードレールとコンテンツ フィルターを使用している限り、Microsoft は顧客を弁護し、訴訟の結果として生じる不利な判決または和解の金額を支払います。 詳細については、「マイクロソフト、お客様向けの Copilot Copyright Commitment を発表」を参照してください。

Copilot は有害なコンテンツをどのようにブロックしますか?

Azure OpenAI Service には、コア モデルと連携して動作するコンテンツ フィルター システムが含まれています。 憎悪と公平性、性、暴力、自傷行為のカテゴリのコンテンツ フィルター モデルは、さまざまな言語で特別にトレーニングされ、テストされています。 このシステムは、有害なコンテンツの出力を特定してブロックするように設計された分類モデルを通じて、入力プロンプトと応答の両方を実行することによって機能します。

憎悪と公平性に関連した危害とは、人種、民族、国籍、性自認と性表現、性的指向、宗教、在留資格、能力、外見、体の大きさなどの属性に基づいて軽蔑的または差別的な言葉を使用するコンテンツを指します。 公平性は、既存の社会的不平等に寄与することなく、AI システムがすべての人々のグループを公平に扱うことを保証することに関係しています。 性的コンテンツには、人間の生殖器官、恋愛関係、エロティックまたは愛情表現で描かれた行為、妊娠、性暴力、売春、ポルノ、虐待などの暴行または強制行為として描かれたものを含む身体的性行為に関する議論が含まれます。 暴力とは、行為、武器、関連する実体など、危害を加えたり殺害したりすることを目的とした身体的行為に関連する言語を指します。 自傷行為とは、自分自身を傷つけたり殺したりすることを意図した行為を指します。

Azure OpenAI コンテンツ フィルターについて詳しくは、こちらをご覧ください。

Copilot は保護された材料検出を提供しますか?

はい。Copilot for Microsoft 365 は、著作権の対象となるテキストやライセンス制限の対象となるコードを含む保護された素材の検出を提供します。 これらの軽減策のすべてが、Microsoft 365 シナリオのすべての Copilot に関連しているわけではありません。

Copilot はプロンプト インジェクション (脱獄攻撃) をブロックしますか?

脱獄攻撃は、生成 AI モデルが訓練されたとおりに動作したり、従うように指示されたルールに違反したりするように設計されたユーザー プロンプトです。 Microsoft Copilot for Microsoft 365 は、プロンプト インジェクション攻撃から保護するように設計されています。 脱獄攻撃と、Azure AI Content Safety を使用して脱獄攻撃を検出する方法の詳細をご覧ください。

責任ある AI への取り組み

AI が私たちの生活を変革しようとしているため、このテクノロジの使用と影響に対する新しいルール、規範、プラクティスをまとめて定義する必要があります。 Microsoft は 2017 年から責任ある AI への取り組みを続けており、このテクノロジが人々を第一に考える倫理原則に基づいた方法で使用されるようにするための原則とアプローチを定義しました。

Microsoft は、AI の原則、責任ある AI 標準、および AI、グラウンディング、プライバシー保護の機械学習に関する数十年にわたる研究に従っています。 研究者、エンジニア、ポリシー エキスパートからなる学際的なチームが、潜在的な危害と緩和策について Microsoft の AI システムをレビューします。トレーニングデータを改良し、有害なコンテンツ、クエリ、結果を制限するためのフィルター処理をし、機密トピックをブロックし、データの偏りを検出して修正するのに役立つ InterpretML や Fairlearn などの Microsoft のテクノロジを適用しています。 制限事項を明記し、ソースにリンクし、対象分野の専門知識に基づいてコンテンツのレビュー、事実確認、調整をユーザーに促すことで、システムがどのように意思決定を行うかを明確にしています。 詳細については、「AI のガバナンス: 未来に向けた青写真」を参照してください。

Microsoft は、学習を共有し、信頼に基づくパートナーシップを構築しながら、顧客が AI 製品を責任を持って使用できるよう支援することを目指しています。 これらの新しいサービスについて、AI プラットフォーム サービスの使用目的、機能、制限事項に関する情報を提供し、顧客が責任を持って展開を選択するために必要な知識を得ることができるようにしたいと考えています。 また、組織内の開発者や独立系ソフトウェア ベンダー (ISV) とリソースとテンプレートを共有して、効果的で安全で透明性の高い AI ソリューションの構築を支援します。

関連記事

• Microsoft Copilot for Microsoft 365 の要件
• Microsoft Copilot for Microsoft 365 の使用を開始
• Microsoft Copilot の導入サイト