リスクの高いAI利用ポリシーとは

リスクの高いAI利用ポリシーとは、Copilot生成AIアプリで危険なプロンプト、問題のある応答、機密情報の共有などを検知し、組織のAI利用リスクとして確認するためのポリシーです。社員を罰するための仕組みというより、AI利用の事故につながる兆候を早めに見つける監査の入口です。

英語表記:Risky AI usage policy

何をリスクとして見るのか

2026年6月24日時点のMicrosoft公式情報では、Microsoft PurviewやDSPM for AIの文脈で、危険なAI利用、倫理的に問題のあるやり取り、機密情報を含むAI利用などをレポートできると説明されています。たとえば、Microsoft 365 Copilotで顧客情報を含むプロンプトが増えていないか、AIアプリごとの機密なやり取りが多くないかを確認します。

ここでのリスクは、必ずしも「悪意のある社員」だけを意味しません。現場が便利だからと機密情報を貼り付ける、AIに判断を任せすぎる、不適切な回答をそのまま使う、といった日常的な行動も含みます。利用を止める前に、どこで危ない使われ方が起きているかを見える化するのが出発点です。

DSPMとDLPの間をつなぐ

リスクの高いAI利用ポリシーは、DSPM for AIでリスクを見つけ、DLP for Microsoft 365 Copilotで具体的な制御をかける流れの中に置くと分かりやすくなります。ポリシーで危険な利用傾向を見つけたら、機密プロンプトブロック、感度ラベル、教育、例外運用などを組み合わせる流れです。

Topicレポートには少し時間差がある

Microsoftの説明では、ポリシー結果を見るには少なくとも1日待ってReportsページを確認する流れが示されています。AIリスク監視は、入力した瞬間に全てを止める魔法のボタンではありません。傾向を見て対策を回す運用として設計する必要があります。

経営での使い方

経営側では、リスク検知を監視だけで終わらせないことが大切です。検知件数が多い部門には教育を行い、同じ種類の機密情報が繰り返し出るならDLPを強める候補になります。AIエージェントが関わる場合は、リスクの高いエージェントポリシーも合わせて見るべきです。検知、原因、教育、制御、再確認までを一つの運用にすることで、AI活用を止めずに事故を減らせます。

リスクの高いAI利用ポリシーに関するよくある質問

誰がこのレポートを見るべきですか?
情報システム、セキュリティ、法務、コンプライアンスの担当者が中心です。部門責任者にも共有し、教育や業務ルールに反映します。
検知件数が多い部署は悪い部署ですか?
すぐにそうは言えません。利用量が多いだけの場合もあります。件数だけで判断せず、内容、頻度、業務背景、再発傾向を見ます。
検知した後は何をすべきですか?
検知された部門や利用内容を確認し、教育、プロンプト制御、感度ラベル、DLPポリシーの見直しへつなげます。件数だけを見ても改善にはなりません。

あわせて読みたい記事