Microsoft 365 Copilotのデータ越境 英国事件の経緯

Microsoft 365 Copilotのデータ越境 英国事件の経緯

編集部注：本稿のタイトルが想起させる「英国における M365 Copilot データ越境スキャンダル」という単一の事件は、執筆時点で固有名のついた一件として確認できない。しかし英国 ICO の生成 AI 公式見解、EchoLeak（CVE-2025-32711）、Black Hat 2024 の Bargury 研究、EU/UK Data Boundary 拡張は、英国子会社を持つ日本企業の CISO・法務・経営層にとって単独事件以上に重い「越境論点の束」を形成している。本稿は実在論点を時系列で整理する^[1][2][3]。

M365 Copilot の位置づけ：エンタープライズ AI の中核と越境の必然

M365 Copilot は Word・Excel・Outlook・Teams・SharePoint に統合された生成 AI で、Microsoft Graph 上のテナントデータ（メール、ファイル、チャット、カレンダー）を「グラウンディング情報」として参照しつつ、Azure OpenAI Service 経由で GPT-4 系モデルに推論を依頼する構成をとる^[4]。

利用者から見れば「自社データに精通した AI」だが、データフロー上はプロンプトとグラウンディング・コンテキストが Azure OpenAI のリージョン推論エンドポイントへ送信される。Microsoft は「顧客データは訓練に使われない」と説明するが、推論処理がどの地理的リージョンで行われるかはサブスクリプション種別・契約時期・機能ごとに異なる^[4][5]。Web グラウンディング（Bing 連携）や Copilot Studio エージェントが外部サービスを呼ぶ場合、データは EU/UK Data Boundary の外へ流出しうる。経営層が「オンプレ並み」と誤解しがちな点が論点の起点である^[5][6]。

英国・EU における Data Residency の論点

EU では GDPR 第 44 条以下が個人データの第三国移転を制限する。Schrems II 判決（2020）で Privacy Shield が無効化された後、欧州委員会は 2023 年 7 月に EU-US DPF を採択し Microsoft 等の認証企業に適切性認定の傘がかかった。しかし NOYB が「Schrems III」を予告しており、CJEU 再無効化のリスクは消えていない^[7][8]。

英国は Brexit 後「UK Extension to the EU-US DPF」を導入し、UK GDPR と DPA 2018 のもと ICO が独立監督する。Microsoft は 2024 年に EU Data Boundary フェーズ 2 を完了し、2025 年にフェーズ 3 で顧客サポートデータも EU 内に閉じ込めた^[5][9]。UK Data Boundary も漸進実装中だが、Copilot 等の新サービスは当初 boundary 対象外で開始し後追いで内包される。法務が押さえるべきは「boundary 約束は静的契約ではなく動的ロードマップ」という事実である^[5]。

実在事案と ICO の関連動向

英国 ICO は 2024 年 4 月、生成 AI とデータ保護の 5 本立てコンサルテーション最終回を公表し、訓練データの法的根拠・目的拘束・正確性・権利行使・個人データ分類の見解を示した^[10]。同年 9 月には Microsoft 傘下 LinkedIn が「英国ユーザーのデータを生成 AI 訓練に既定オンで利用」した件で ICO が懸念表明し、LinkedIn は英国・EU・EEA・スイス・香港で当該機能を停止した^[11]。Copilot 本体への直接処分は確認されないが、ICO は「自テナントのデータが第三国でどう処理されるかを把握しないこと自体が UK GDPR 第 5 条 1 項 (f) と第 30 条に抵触しうる」立場を示してきた^[10][12]。

英国公共調達では内閣府の「Generative AI Framework for HMG」（2024 年 1 月初版・以後改訂）が、政府部門による Copilot 等利用条件として data residency と監査ログ可用性を明示する^[13]。英国子会社が公共部門と取引する日本企業はサプライチェーン側の Copilot 統制を求められる構図となった。

EchoLeak と Bargury 研究：越境を「攻撃」が証明した

2025 年 6 月、AIM Labs は Copilot の zero-click 脆弱性「EchoLeak」（CVE-2025-32711、CVSS 9.3）を公表した。攻撃者が細工メールを送るだけで、被害者が Copilot に質問した瞬間、メール内の埋め込みプロンプトが実行されテナント機密が画像 URL や Teams リンク経由で外部に持ち出される間接プロンプトインジェクションである。Microsoft はサーバー側修正を完了したが業界への衝撃は大きい^[2][14]。

先立つ Black Hat USA 2024 では Zenity CTO の Michael Bargury 氏が「Living off Microsoft Copilot」で、Copilot Studio 製エージェントが認証境界を越えて漏えいさせうること、悪意ある文書に従い RAG 経由で機密を要約送出すること、メール送信ペイロードに被害者文書を秘匿混入できることを実証した^[3][15]。

EchoLeak と Bargury 研究の本質は、「データが物理的に EU/UK 内に留まっても、Copilot の意味論的越境（攻撃者指示に従いテナント外へ出る経路）はリージョン契約では防げない」点にある。Data Boundary は地理的越境を抑えるが AI による論理的越境までは保証しない──CISO が経営層に伝えるべき核心はここにある^[2][3]。

日本企業（英国子会社運用）への示唆

英国子会社を持つ日本企業がグループ標準で Copilot を導入する場合、三層の越境リスクに直面する。第一に英国子会社の従業員・取引先データが UK GDPR の越境制限対象となり、日本本社（第三国）への移転に SCC または BCR が要る。日本は EU 十分性認定を取得済みだが、UK の十分性認定は 2025 年 6 月に再評価期限を迎え見直し中である^[16]。第二に Copilot 推論が英国外（多くは EU 内）で行われるため、英国 → EU、EU → 米国（DPF）の移転連鎖が生じる。第三に EchoLeak 型の論理的越境が起きれば UK GDPR 第 33 条 72 時間通知義務と、日本の個人情報保護法第 26 条の漏えい報告義務が並行発動する^[12][16]。

CISO・法務・経営層のための 5 項目チェックリスト

1. テナント設定の地理確認：M365 管理センターで Copilot のデータ処理リージョンを確認し、Web グラウンディングおよび Copilot Studio 連携先の所在地を棚卸しする^[4][5]
2. SharePoint・OneDrive 権限の最小化：Copilot は既存の Graph 権限を継承するため、過剰共有された機密ファイルが推論コンテキストに紛れ込むリスクを SharePoint Advanced Management 等で監査する^[3][14]
3. 監査ログの取得と保管：Microsoft Purview の Audit (Premium) で Copilot 利用ログを 1 年以上保管し、UK ICO・PPC の照会に応えられる体制を確立する^[10][12]
4. DPIA と TIA の更新：UK GDPR 第 35 条の DPIA、SCC 上の Transfer Impact Assessment を Copilot 導入時点と機能追加（Web 検索、エージェント連携）の都度改訂する^[8][10]
5. EchoLeak 型攻撃への防御：間接プロンプトインジェクションを想定した受信メール・外部文書のサニタイズ、画像レンダリング制限、データ持ち出しの DLP ルールを設定する^[2][14]

打ち手：Data Boundary 契約と運用統制の二段構え

打ち手は四層で組む。契約面で EU/UK Data Boundary 関連 Product Terms をライセンス契約に明示し、Microsoft の boundary フェーズ進捗を四半期ごと法務がトラッキングする。技術面で Copilot の Web グラウンディングを既定オフ化し、必要ロールにのみ機能開放する条件付きアクセスを Entra ID で実装する。組織面では CISO・DPO・法務・人事・業務オーナーから成る「Copilot ガバナンス委員会」を設置し、ユースケースごとのデータ分類とリスクレベルを定義したガイドラインを社内ポータルで公開する。英国子会社では ICO のアカウンタビリティ・フレームワークに沿った ROPA を Copilot 利用範囲まで拡張し、外部監査人による年次レビューを推奨する^{[5][9][10][12]}。

「データが地理的にどこに置かれているかという問いは、もはや AI 時代のセキュリティの半分しか説明しない。残り半分は、データが意味論的にどこへ行きうるか──つまり AI がどんな指示に従って何を出力しうるかである」── EchoLeak の公表後、AIM Labs のチーフサイエンティストが述べた洞察は、Copilot ガバナンスの本質を突いている^[2]。

結論：3 つのテイクアウェイ

1. 「英国事件」は単一事象ではなく論点の束である。ICO の生成 AI 見解、EchoLeak、Bargury 研究、EU/UK Data Boundary 拡張が交錯し、企業に「動的な統制」を要求している^{[1][2][3][10]}。
2. 地理的越境（Data Residency）と論理的越境（プロンプトインジェクション経由の漏えい）は別の脅威である。Microsoft の boundary 契約は前者を縮小するが、後者は組織側の Purview・DLP・権限統制で塞ぐ必要がある^[2][14]。
3. 日本企業の英国子会社は二重の規制（UK GDPR と日本法）に晒される。DPIA・TIA・ROPA を Copilot のライフサイクルに同期させ、Microsoft の Roadmap を法務がトラッキングする継続運用が必須である^[8][12][16]。

経営者視点：データ越境のリスクと業務効率のトレードオフ

経営層にとって Copilot は生産性投資の象徴で、社員一人月額 30 ドル超の ROI 圧力が強い。Microsoft 調査では利用者の 70% が「より生産的になった」と答え、文書ドラフト時間は平均 30% 削減された^[17]。一方 Copilot はテナント内の既存権限設計とデータ分類の弱点を増幅して見せる装置でもある。越境リスクを抑えるためグラウンディング範囲を絞るほど価値は痩せる──ここに本質的トレードオフがある。

推奨される経営判断は、ユースケースを A）社内文書検索、B）対外文書ドラフト、C）Copilot Studio エージェント業務組み込みの三段に分け、A から漸進展開し各段階で UK ICO ガイドラインと自社 DPIA の証跡を残してから次に進むアプローチである。Schrems III、UK 十分性認定見直し、EchoLeak 類似脆弱性の出現──いずれも単独で経営インパクトを持ちうる以上、AI 投資は「速さ」ではなく「巻き戻せる速さ」で進めるべきである。CISO・DPO・法務・財務が一枚の「Copilot リスク・ベネフィット・ダッシュボード」を取締役会へ毎四半期提出する体制こそ、データ越境時代の経営規律である^{[5][8][10][16][17]}。

参考文献

1. Microsoft, “Microsoft Trust Center – Microsoft 365 Copilot”, microsoft.com/trust-center, 2024-2025
2. AIM Labs, “Breaking down ‘EchoLeak’, the First Zero-Click AI Vulnerability Enabling Data Exfiltration from Microsoft 365 Copilot” (CVE-2025-32711), 2025-06
3. Michael Bargury (Zenity), “Living off Microsoft Copilot”, Black Hat USA 2024 Briefings, 2024-08
4. Microsoft Learn, “Data, Privacy, and Security for Microsoft 365 Copilot”, learn.microsoft.com, 2024-2025 更新
5. Microsoft, “EU Data Boundary for the Microsoft Cloud – Phase 3 completion announcement”, 2025
6. Microsoft Tech Community, “Microsoft 365 Copilot architecture and data flows”, 2024
7. European Commission, “Adequacy decision for the EU-US Data Privacy Framework”, 2023-07-10
8. NOYB / Max Schrems, “Statements on EU-US DPF challenge (Schrems III)”, noyb.eu, 2023-2024
9. Microsoft, “UK Data Boundary roadmap”, microsoft.com, 2024
10. UK ICO, “Generative AI and Data Protection – Consultation series response”, ico.org.uk, 2024-04
11. UK ICO, “Statement in response to LinkedIn pausing generative AI training using UK user data”, 2024-09-20
12. UK ICO, “Guidance on AI and data protection”, 2023-2024 改訂版
13. UK Cabinet Office / CDDO, “Generative AI Framework for HMG”, gov.uk, 2024-01 初版・以後改訂
14. NIST NVD, “CVE-2025-32711 – Microsoft 365 Copilot Information Disclosure Vulnerability”
15. Zenity Labs, “15 ways to break your Copilot”, 2024
16. UK Government / DSIT, “UK adequacy assessment of data protection regimes (review)”, 2025
17. Microsoft Work Trend Index Annual Report, “AI at Work Is Here. Now Comes the Hard Part”, 2024