システムソリューション営業本部の高山です。

以前のブログにてCopilot for Microsoft 365の機能について紹介させていただきました。
Copilot for Microsoft365で文書作成の業務を効率化しよう(1)
Copilot for Microsoft365で文書作成を効率化しよう(2)
Copilot for Microsoft365でExcelのマクロ作成を効率化しよう
Copilot for Microsoft365でTeams会議を効率化しよう

今回からのテーマはCopilot for Microsoft 365を使用するうえで必要となる、企業の商用データを保護する観点から考慮していきます。

Copilot for Microsoft 365における、企業データの扱いについて

まず、Microsoftが考えるAIのプライバシーに関する情報は以下ブログで言及されています。
https://blogs.microsoft.com/on-the-issues/2023/12/19/trust-privacy-bing-copilot-responsible-ai/?ref=generatived.com

英語の記事なので、Copilotに要約してもらいます。(青背景部分)

要約した内容を見ると、情報の保護としてCopilotはAzure OpenAI サービスを利用するため、Microsoft 365のサービスの境界内で閉じていることが分かります。
ただし、企業のデータがMicrosoftに収集されることになります。
Microsoftは収集したデータをどの様に扱うのでしょうか。
少し心配になりますね。。。
調べた結果、以下のDocsに明記されていました。

https://learn.microsoft.com/ja-jp/microsoft-365-copilot/microsoft-365-copilot-privacy?WT.mc_id=M365-MVP-5002496#how-does-microsoft-copilot-for-microsoft-365-use-your-proprietary-organizational-data

なるほど、収集したデータは基礎LLM（LLM: Large Language Model ※大規模言語モデル "機械学習の枠組みで日本語や英語などの言語を数理的に取り扱う生成モデル"）のトレーニングに使用されないと明記されていますね。
ただし、同URLに気になる記載があります。※ 2024年3月6日時点

Microsoft Copilot for Microsoft 365と Web コンテンツ プラグイン

https://learn.microsoft.com/ja-jp/microsoft-365-copilot/microsoft-365-copilot-privacy?WT.mc_id=M365-MVP-5002496#microsoft-copilot-for-microsoft-365-and-the-web-content-plugin

Web コンテンツの使用を管理するために使用できるコントロール

https://learn.microsoft.com/ja-jp/microsoft-365-copilot/microsoft-365-copilot-privacy?WT.mc_id=M365-MVP-5002496#controls-available-to-manage-the-use-of-web-content

Microsoft Copilot for Microsoft 365が Web コンテンツにアクセスできるかどうかを選択する

https://learn.microsoft.com/ja-jp/microsoft-365-copilot/manage-public-web-access

以上、Docsの内容から「Microsoft Copilot for Microsoft 365を利用する際にチャットの回答にBing検索を使用するオプションが有効となっている場合はWEB上にデータを送信する」という意味に見受けられます。

Bingチャットは以下画像の通り、Microsoft Edge上で使用することができます。

Copilot for Microsoft 365内の Web コンテンツへのアクセスをブロックする

Docsの手順通りCopilot for Microsoft 365が Web コンテンツを参照出来ない様に設定しようと思います。

https://learn.microsoft.com/ja-jp/microsoft-365-copilot/manage-public-web-access#choose-whether-microsoft-copilot-for-microsoft-365-can-access-web-content

既定では「有効」となっているため「無効」に変更します。
「Copilot による Web コンテンツでの応答の改善を許可する」を「非アクティブ」に設定後24時間を経ちましたが、Microsoft Edge側のUIに変化は無く、あくまでも内部的な変更となる様です。

うーん、BingのWEBチャットが継続して利用可能な状態となるので少し不安に感じます。
そもそも、組織内の情報をCopilotで検索する場合に「組織」に対して検索するところを誤って「WEB」に対して検索してしまうリスクがあります。
今回は思い切って、BingのWEBチャット自体を無効化する方法を考え、検証したいと思います。

BingのWEBチャットを無効化する

Windows Copilotで商用データ保護するうえで参考になる情報がありました。
https://learn.microsoft.com/ja-jp/copilot/manage#require-commercial-data-protection-in-

Windows Copilotの商用データ使用を禁止するために 「www.bing.com」のDNS構成で、DNSエントリーをCNAMEにBingのチャットが無効化されたURL「nochat.bing.com」を設定しています。

今回の検証では、Bingのチャット自体にアクセスさせないためクライアントのwindows ファイアウォール設定でアクセスをブロックしたいと思います。
まず「www.bing.com」と「nochat.bing.com」のIPアドレスを控え、hostsファイル内で名前解決します。

次にwindows ファイアウォールの送信設定で上記IPアドレスをブロックします。

その結果、Microsoft EdgeのURL欄から「www.bing.com」へのアクセスはブロックすることが出来ましたが、Microsoft Edgeのサイドバーに表示されているCopilotは引き続きアクセス可能な様です。

では、上記に加えてMicrosoft Edgeのサイドバーを無効化します。
検証のため、レジストリを使用します。
===================================
キー：HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge
値(DWORD 32ビット)："HubsSidebarEnabled" 0
===================================

設定した結果、Bingチャットのブロックおよび、Edgeサイドバーを無効化することができました。

これで、Microsoft EdgeからBingのWEBチャットの利用を禁止することができました。
また、Copilot for Microsoft 365の機能は継続してMicrosoft Teamsを使用して企業の商用データを検索することができます。
Microsoft TeamsのCopilotはWEB検索機能が無いため、安心して検索できます。

Windows Copilotを無効化する

CopilotのBing WEB検索を使用する手段としてMicrosoft Copilotを使用する方法があります。 Windows CopilotはWindows 11 OSに標準搭載される予定です。

本機能もMicrosoft Edgeと併せて無効化します。
検証のため、ローカルグループポリシーを使用します。

===================================
「ユーザー設定」>「管理用テンプレート」>「Windows コンポーネント」>「Windows Copilot」
「Windows Copilotを無効にする」:「有効」
===================================
設定した結果、Bingチャットのブロックおよび、Wndows Copilotを無効化することができました。

まとめ

いかがでしたでしょうか、Copilot for Microsoft 365で利用される企業の商用データは基本的に保護されており、Microsoft 365のAzure OpenAI サービスの境界内から外に出ることはありません。
また、収集したデータは基礎LLMのトレーニングに使用されません。
一部領域から外に出る可能性のあるBing チャットのWEB検索情報もユーザーに利用させない仕組みを設計し、運用ルールを決めユーザーが順守することで情報を守ることができます。

今回検証のため簡易的に実現しましたが本来は、Windows ファイアウォールでは無くWEBプロキシ、レジストリ/ローカルグループポリシーでは無くIntuneのMDM制御など、組織のポリシーとしてソリューションの設計および運用の設計を実施したうえで実装・構築をする必要があります。

ゼロトラスト・セキュリティ 導入支援(iFILTER@Cloud【Webセキュリティ】、Microsoft Intune【デバイス管理】)

また、今回の検証結果を踏まえたうえで情報の保護に不安を感じる場合は、別のAIチャットボットサービスとしてAzure OpenAI Serviceの導入を検討されてはいかがでしょうか。

AIチャットボット構築サービス powered by Azure OpenAI Service

次回は組織内における情報の保護についての検証結果を記事にしたいと思います。

Copilot及びMicrosoft365ライセンスは弊社で販売しておりますのでお問合せフォームからご連絡ください。
問い合わせフォーム

※このブログで参照されている、Microsoft、Windows、Microsoft Azure、その他のマイクロソフト製品およびサービスは、米国およびその他の国におけるマイクロソフトの商標または登録商標です。