Microsoft Copilotが数週間にわたりあなたの機密メールを閲覧。原因と対策を解説

数週間にわたり、Microsoft 365 Copilotは、組織が明確に機密と指定したメールを静かに読み取り、要約し、表面化させていました。法務メモ、ビジネス契約、政府とのやり取り、保護対象保健情報。いずれも、本来AIが触れてはならないはずの情報です。

主なポイント

1. アプリケーション層のAI制御は単一障害点となる。 Microsoftの感度ラベルやDLPポリシーは、Copilotと同じプラットフォーム内に存在していました。コードエラーが発生すると、すべての制御が同時に機能しなくなりました。組織には、AIによる機密コンテンツ（法務コミュニケーション、ビジネス契約、保護対象保健情報など）の処理を防ぐ独立した防御層がありませんでした。
2. Copilotがアクセスした内容について、組織には独立した可視性が全くなかった。 2026年1月21日から2月初旬にかけて、Copilotは独立したアラートを一切発することなく、機密メールを読み取り要約していました。組織がこの侵害に気付いたのは、Microsoftが数週間後に公表したときです。独立した監査証跡がなければ、セキュリティチームは自社環境内で発生していたAIによる無許可処理を把握できませんでした。
3. Microsoftの対応は、本質的なコンプライアンス問題を見落としていた。 Microsoftは「ユーザーは既に閲覧権限のある情報のみアクセスした」と説明しました。しかし、コンプライアンス上の論点はユーザーの権限ではなく、AIが機密コンテンツを取り込み、処理し、要約する権限があったかどうかです。HIPAA、GDPR、EU AI法の下では、この違いが極めて重要です。
4. AIガバナンスにおける多層防御はもはや必須。 このインシデントは、セキュリティアーキテクトが長年主張してきたことを裏付けます。AIガバナンスには、AIプラットフォームとは独立したデータ中心の制御が必要です。ゼロトラストアーキテクチャ、目的制限、最小権限のAIアクセスは、もはや理想論ではなく運用上の必須事項です。Kiteworksはこの独立したガバナンス層を提供し、ベンダーの制御が失敗してもデータ層の防御が維持されるようにします。
5. 規制上のリスクは現実であり、未解決のまま。 CopilotがPHI、PII、その他の規制対象データを含むメールを処理していた場合、組織はHIPAA、GDPR第33条、各州のデータ侵害法に基づく通知義務を負う可能性があります。Microsoftは影響を受けた組織数を公表しておらず、コンプライアンスチームは不完全な情報でリスク評価を迫られています。

このバグ（CW1226324として追跡）は、2026年1月21日に顧客から最初に報告されました。Microsoftは2月初旬に修正の展開を開始しましたが、2月中旬時点でもすべての影響を受けたテナントで完全な修正は完了していません。英国国民保健サービス（NHS）はこの問題を内部で指摘しました。Microsoftは、どれだけの組織が影響を受けたかを公表していません。

ここで、すべてのセキュリティ責任者が立ち止まるべきポイントがあります。感度ラベルは設定されていました。データ損失防止（DLP）ポリシーも正しく構成されていました。すべてのチェック項目は満たされていました。しかし、何の意味もありませんでした。

これは設定ミスでも、管理者のエラーでもありません。プラットフォーム内部のコードバグであり、AIを機密データから遠ざけるはずだったすべての保護策を無効化しました。これは単なるパッチ適用で済む問題ではなく、根本的なアーキテクチャの課題です。

実際に何が起きたのか

Copilot Chatの「ワークタブ」機能のコードエラーにより、AIはユーザーの送信済みアイテムや下書きフォルダーからメールを取得できてしまいました。これらのメールには機密ラベルが付与され、AI処理を明確にブロックするDLPルールも設定されていたにもかかわらずです。ラベルは「手を触れるな」と指示していましたが、Copilotはそれを無視しました。

Microsoftはサービスアドバイザリでこの問題を認め、「機密」ラベルが適用されたメールがMicrosoft 365 Copilot Chatによって「誤って処理」されていたと説明しました。原因はコード上の問題であり、2月初旬からサーバー側で修正の展開を開始したとしています。

Microsoftの公式回答は慎重に言葉を選んだものでした。「ユーザーは既に閲覧権限のある情報のみアクセスした」と。しかし、これは技術的に狭義では正当化できますが（Copilotはユーザー自身のメールボックス内で動作するため）、本質的な論点を完全に回避しています。

問題はユーザーの権限ではありません。AIが機密コンテンツを取り込み、処理し、要約する権限があったかどうかです。感度ラベルやDLPポリシーは、まさにそれを防ぐために存在していました。これらの制御が失敗した結果、組織が明確に禁止していた方法でAIシステムが機密データを処理しました。これこそがコンプライアンス上の重大な侵害です。

誰も語りたがらないアーキテクチャ上の問題

これは単なるバグの話ではありません。バグは起きるものです。コードにはエラーが含まれ、パッチが適用されます。それがライフサイクルです。

本質的な問題は構造にあります。無許可のAI処理を防ぐはずだったすべてのセキュリティ制御（感度ラベル、DLP、アクセス制限）は、AIそのものと同じプラットフォーム内に存在していました。プラットフォームが壊れると、すべてが壊れる。第二層も、独立したチェックも、バックストップもありません。

例えるなら、銀行の金庫の扉、警報、監視カメラがすべて同じブレーカーで動いているようなものです。1本の配線が切れれば、金庫は開き、警報も鳴らず、映像も残りません。まさに今回の事例です。

これは理論上のリスクではありません。世界経済フォーラム（WEF）の2026年グローバルサイバーセキュリティ展望によれば、生成AIによるデータ漏洩は、今や世界のCEOが最も懸念するサイバーセキュリティ課題となっており、回答者の30%が指摘しています。サイバーセキュリティ専門家全体でも、その懸念は2024年の21%から2026年には34%に上昇しています。一方で、約3分の1の組織はAIセキュリティの検証プロセスを導入していません。

Copilotのインシデントは、このギャップが本番環境で現実化した例です。

「信頼して検証せよ」が機能しない理由──検証者がベンダー自身の場合

MicrosoftはAI提供者であり、セキュリティ制御提供者であり、その制御が機能しているかを監査する責任主体でもあります。制御が失敗した際、組織には独立した把握手段がありませんでした。Microsoftが数週間後に通知するまで、誰も気付けなかったのです。

Copilotによる機密コンテンツへのアクセスを記録する独立した監査証跡は存在しませんでした。異常な処理パターンを検知する仕組みもなく、AIが未許可のメール要約を始めてもリアルタイムでアラートが発動することはありませんでした。唯一のシグナルは、事後に公開されたサービスアドバイザリだけでした。

これこそが、Kiteworksが解決するために設計されたガバナンスギャップです。Copilotのバグが示す通り、AIガバナンス制御はAIプラットフォームとは別レイヤーで動作しなければなりません。同じエコシステム内のポリシートグルではなく、独立した制御プレーンとして存在する必要があります。

実際には以下のような形となります：

独立したデータガバナンス層。 Kiteworksは独立した制御プレーンとして機能します。AIプラットフォームはKiteworksのAPI経由で、強制されたポリシーに従ってデータへアクセスします。メールリポジトリやファイルシステムへ直接アクセスすることはありません。たとえAIプラットフォームにバグがあっても、自ら管理しない制御を迂回することはできません。

目的制限と最小権限アクセス。 AIのアクセスを特定のデータ分類や用途に限定します。Copilotにメールボックス全体へのアクセスを許可するのではなく、目的制限により一般的な業務メールのみAIがアクセスでき、機密・PHI・CUIラベル付きメールにはアクセスできないようにします。すべてのリクエストは現行ポリシーに照らして評価され、「一度認証すれば永遠にすべてアクセス可能」にはなりません。

異常検知とリアルタイム監視。 KiteworksはAIエージェントが異常なデータアクセスパターンを示した際に検知します。AIシステムが突然大量の機密コンテンツを処理し始めた場合、自動アラートがリアルタイムでセキュリティチームに届きます。事後のサービスアドバイザリではなく、即時対応が可能です。

改ざん不可かつ独立した監査証跡。 AIがどのデータに、いつ、誰の権限でアクセスし、どんな操作をしたかを記録する包括的なログ。これらのログは組織自身が管理し、AIベンダーの管理下にはありません。規制当局から説明を求められた際、組織はベンダーとは独立した証拠を提示できます。

今、組織が評価すべきコンプライアンスリスク

Copilotのバグによる規制上の影響は、技術的な修正を超えた範囲に及びます。Copilotが保護対象保健情報や個人データ、その他の規制対象コンテンツを含むメールを処理していた場合、組織はまだ考慮していないコンプライアンス義務に直面する可能性があります。

HIPAA。 §164.308(b)(1)に基づき、カバードエンティティはビジネスアソシエイトとの間でPHIの利用・開示を定めた書面契約を締結しなければなりません。Copilotが既存契約で認められていない方法で機密指定されたPHIを処理した場合、報告義務のある侵害に該当するか評価が必要です。Microsoftの「ユーザーは閲覧権限があった」という主張は、AIが処理権限を持っていたかどうかには答えておらず、この点はHIPAA規制当局が厳しく精査します。

GDPR。 第32条は、個人データ処理のセキュリティを確保する「適切な技術的・組織的措置」を求めています。Microsoftの感度ラベルだけに依拠していた組織は、その制御が数週間機能しなかった場合、困難な説明を迫られます。第33条は、個人データ侵害を認識してから72時間以内に監督当局へ通知することを義務付けています。機密メールにEU個人データが含まれていた場合、既に通知期限が進行している可能性があります。

EU AI法。 第12条は、高リスクAIシステムが運用記録を詳細に保持することを求めています。Copilotで機微なデータを処理していた組織は、高リスク区分に該当する可能性があります。運用記録がMicrosoft自身のログしかない場合（障害を起こしたベンダーと同一）、規制が想定する独立した証跡が不足します。

州レベルのデータプライバシー法。 米国の複数の州では、個人情報への無許可アクセスが発生した場合に通知義務が発生します。Copilotが州法の通知対象情報を含む機密メールを処理していた場合、Microsoftのサービスアドバイザリだけでは組織の義務は解決しません。

Kiteworksはこれらのコンプライアンス要件に直接対応します。独立した監査証跡が、侵害通知評価に必要な証拠を提供します。エクスポート可能なコンプライアンスレポートにより、AIガバナンス制御を規制当局へ証明できます。データ処理契約やビジネスアソシエイト契約もデータ層で強制され、ベンダーの制御に依存する約束だけに頼りません。

今、組織が取るべき対応

自社の影響範囲を評価する。 CW1226324の影響を受けたかどうかを確認してください。2026年1月21日から修正完了日までのMicrosoft 365管理センターのアラートやCopilot利用ログを確認します。この期間中の送信済みアイテムや下書き内の機密メールのメタデータをエクスポートしてください。MicrosoftがCopilotのアクセスログを提供できない場合は、そのギャップを正式に記録しておきます。

侵害通知義務の有無を評価する。 機密メールにPHI、PII、その他の規制対象データが含まれていた場合、HIPAA §164.408、GDPR第33条、または該当する州法の通知義務について法務部門に相談してください。Microsoftのインシデント説明だけで自社のコンプライアンス義務が解決したと考えないでください。

独立したAIガバナンスを導入する。 AIプラットフォームの制御だけに頼って機微データをAI処理から守るのはやめましょう。Kiteworksのような独立したデータガバナンス層を導入し、ベンダーのバグに関係なくアクセス制御を強制します。目的制限、最小権限アクセス、継続的な検証はアプリケーション層ではなくデータ層で徹底してください。

独立した監査証跡を確立する。 AIデータアクセスのログがAIベンダーだけに管理されていないことを確認します。Kiteworksは、組織データへのAIのすべての操作を記録する改ざん不可の監査証跡を提供し、セキュリティ・コンプライアンスチームにベンダー報告に依存しない証拠をもたらします。

AIアクセスアーキテクチャを見直す。 AIツールがデータリポジトリに広範なアクセス権を持っていないか、目的や分類ごとにアクセスが制限されているかを評価します。Copilotのバグは、Copilotがメールボックス全体にアクセスできたため送信済みや下書きにも影響しました。目的制限や属性ベースアクセス制御を導入すれば、プラットフォームの制御が失敗しても許可された分類だけに処理を限定できます。

ベンダーに透明性を求める。 Microsoftに対し、影響範囲・影響を受けたテナント・インシデント期間中にCopilotが処理したコンテンツのデータ保持・完全修正までのタイムラインを詳細に記載した事後報告書を要求してください。ベンダーがこの透明性を提供できない場合、それ自体が今後のアーキテクチャ設計における重要なガバナンスシグナルとなります。

業界が学ぶべき教訓

Microsoft Copilotのバグは、孤立した事例ではありません。組織がAIプラットフォームに自己管理を任せたときに何が起きるかを示すケーススタディです。

WEFの2026年グローバルサイバーセキュリティ展望は、AIエージェントの普及が進むにつれ、その認証情報・権限・やり取りの管理が人間ユーザー以上に重要かつ複雑になると警告しています。同レポートは、ゼロトラスト原則に基づき、すべてのAIインタラクションをデフォルトで信頼せず、継続的な検証・監査証跡・強固な説明責任体制の構築を求めています。

Copilotのバグは、まさにその理由を示しています。感度ラベルは信頼メカニズムでした。プラットフォームがそれを尊重することを信じていた。しかし、悪意ではなくコードエラーによって、プラットフォームはそれを守りませんでした。そして独立したガバナンス層がなければ、失敗を補うものは何もありません。

Kiteworksは、その独立した層を提供します。ゼロトラストデータ交換アーキテクチャにより、AIプラットフォームはKiteworksを通じて認証しなければ機微データにアクセスできません。ポリシーはデータ層で強制され、アプリケーション層には依存しません。目的制限でAIのアクセス範囲を制限し、継続的な検証ですべてのリクエストを評価。包括的な監査証跡で、何が・いつ・誰の権限で起きたかを証明します。

AI時代を次のサービスアドバイザリの当事者にならずに乗り切る組織は、今この独立したガバナンスを構築している企業です。委員会でも、ラベルでも、ベンダーの約束でもありません。ポリシーをデータ層で強制する運用インフラ──それは、管理すべきプラットフォームのコードバグでも迂回できません。

ラベルは設定されていました。ポリシーも構成されていました。それでもAIはあなたの機密メールを読みました。これでAIガバナンスへの考え方が変わらないなら、何が変えられるでしょうか？