【クラウド法務】M365 ゼロトラスト導入でトラブルになりやすい3つのポイント― 「M365 ゼロトラスト 法務」を導入前に必ず整理しておきたい契約・責任分界 ―

導入：ゼロトラスト構成はできた。でも「法務的にOKか」は誰も答えられない

M365 環境のゼロトラスト構成は、ドキュメントも豊富で、技術的な情報は探せば一通り見つかります。条件付きアクセス、デバイス準拠、Intune、Entra ID のベストプラクティス… 技術ブログや MS Docs を追いかけていれば、構築自体はなんとか形になるはずです。

しかし、全国の情シス・IT部門の方から相談を受けていると、次のような声を非常によく耳にします。

本記事では、「M365 ゼロトラスト 法務 × クラウド法務」 という視点から、全国の製造業・IT企業の案件で実際に見えてきた よくある落とし穴 と、実務で使える 整理のフレーム をご紹介します。

1. M365 ゼロトラスト導入時に、現場で実際に組まれている構成イメージ

まずは「技術構成の事実」を、ざっくりと言語化しておきます。多くの企業での M365 ゼロトラスト構成 は、次のような全体像になっています。

• テナント・ID基盤

  • Entra ID を ID 基盤として利用（オンプレAD / 他IdP と連携）

  • テナントは日本本社に集約、海外拠点はアカウントだけ共通利用

• アクセス制御・ゼロトラスト周り

  • 条件付きアクセス（CA）で

    • MFA 強制

    • ロケーション / デバイス / リスクベース制御

  • Azure AD P1/P2（現 Entra ID P1/P2）で

    • Identity Protection

    • Privileged Identity Management（PIM）

• エンドポイント / デバイス管理

  • Intune で社給PC・スマホを管理

  • 一部 BYOD 端末はアプリ保護ポリシー（MAM）で対応

• ログ・監査

  • M365 監査ログ／Entra ID サインインログ／セキュリティアラートをMicrosoft Purview / Defender / Sentinel / Log Analytics 等へ集約

  • 保持期間はプラン依存＋一部は長期保管用ストレージへアーカイブ

このあたりまでは、多くの企業で “技術構成図” として整理されていることがほとんどです。

一方で、次のような 「法務・契約・社内規程の図」 が存在しないケースが非常に多いのが実情です。

• ゼロトラストによって取得・保存される ログ・利用履歴・位置情報 を「どの範囲まで・どの目的で・誰の責任で扱うか」

• 利用規程・就業規則・個人情報保護規程との整合性（特に BYOD・監視・私用利用の扱い）

• クラウド事業者・ベンダー・自社の 責任分界 と、インシデント時に「誰が・どこまで対応するのか」

ここまでは“技術構成”として整理された図がある一方で、「契約上・規程上、どこからどこまで誰の責任か」 という図が存在しないケースがほとんどです。

ここから先が「M365 ゼロトラスト 法務」＝クラウド法務の領域になります。

2. 全国の案件で見えてきた「クラウド法務上の落とし穴」3選

代表的なものを3つだけ挙げると、次のようなパターンです。

① 「ゼロトラスト＝何でも監視してよい」と誤解している

• 技術的にはOK

  • 詳細なログ・利用状況・端末情報を取得し、リスクベースでアクセス制御を実施

  • M365 監査ログ／Defender 情報をもとにユーザーの行動を細かく把握

• 法務・人事的にはNGになりうる点

  • 就業規則・情報セキュリティ規程・プライバシーポリシーで、どこまでの監視を、何の目的で行うか が明確でない

  • 労働法・プライバシーの観点から、「監視されていること自体」を従業員に適切に通知・同意させていない

  • 「不正対策」「セキュリティ確保」が目的と言いつつ、実態としては 行動監視ツール のように使われてしまうリスク

② BYOD／在宅勤務まわりのルールが追いついていない

• 技術的にはOK

  • Intune MAM でアプリ単位での制御を実施し、個人端末にも M365 を安全に提供

  • 条件付きアクセスで「準拠デバイスのみ」「準拠＋MAM」のハイブリッド運用

• 法務的にはNGになりうる点

  • 私物端末への強制力の範囲（ワイプ・ポリシー適用・アプリ制限）が就業規則・誓約書・BYODポリシーに落ちていない

  • 情報漏えい時に「会社の責任」「従業員の責任」をどう分けるかが曖昧

  • 在宅勤務での利用状況（家族との共有PCなど）に関するリスクとルールが具体的に設計されていない

③ ベンダーが決めたゼロトラスト構成を「そのまま受け入れて」しまう

• 技術的にはOK

  • ベンダー提供の「M365 ゼロトラスト標準テンプレート」で条件付きアクセスや Intune ポリシーを一括適用

  • 最低限のログ・アラート設定もテンプレートに含まれている

• 法務・契約的にはNGになりうる点

  • テンプレートが 自社の契約・規程・業界ガイドラインに合っているか誰も精査していない

  • インシデント発生時に「このゼロトラスト構成で防げたはずの事故だったのか」といった責任論が出たとき、ベンダー・自社それぞれの責任範囲が曖昧

  • 「ゼロトラストだから大丈夫」と社内に説明してしまい、期待値と実態のギャップ からトラブルになるリスク

「技術的には M365 ゼロトラスト構成はできているが、法務・人事・契約の整理が追いついていない」——多くの企業で、このギャップが生じています。

3. M365 ゼロトラスト 法務で、まず押さえるべき3つの整理軸

技術構成をいじる前に、最低限、次の3つを紙に落としておくと、その後のベンダー調整・社内説明が格段に楽になります。

① 誰がどのレイヤーを担保するか（責任分界表）

• クラウド事業者（Microsoft）

  • M365 / Entra ID / Intune / Defender 等サービスの提供・SLA

  • データセンター・基盤側のセキュリティ

• 構築ベンダー / 運用ベンダー

  • ゼロトラストポリシー（CA・Intune 等）の設計・実装

  • 運用監視・一次対応・技術検証の範囲

• 自社（情シス / セキュリティ・基盤チーム）

  • ベンダーの提案を受けた上での 最終意思決定

  • 規程・就業規則・誓約書との整合確認

  • 経営層・監査・従業員への説明責任

• 人事・総務・コンプライアンス部門

  • 監視・ログ取得と就業管理の線引き

  • 懲戒・不正対策としての利用ルール

この責任分界表を、PowerPoint 1枚や Excel 1シートで見える形にすることが、「ゼロトラスト構成の是非」を議論するうえでの前提になります。

② どのログを、どの用途で、どの期間、誰の責任で扱うか

• 対象ログ

  • M365 監査ログ（Exchange / SharePoint / Teams 等）

  • Entra ID サインインログ・監査ログ

  • Intune / Defender / Endpoint 関連ログ

• 用途と目的

  • インシデント対応

  • 不正アクセス・内部不正の検知

  • 労務管理との線引きをどこに置くか

• 保持期間・保管場所

  • ライセンスで自動的に決まる範囲＋拡張オプション

  • 長期保管用ストレージ・アーカイブ

• 責任の所在

  • ログ設計・保存設定をミスした場合の責任

  • ログが不足していて原因究明できなかった場合に、どこまでを「会社の責任」「ベンダーの責任」とするか

ここを 「M365 ログ・監視ポリシー」として文書化 しておくと、監査・社内問い合わせ・トラブル時の説明が一気にスムーズになります。

③ 従業員・海外拠点をまたぐときの「ルールと契約」の整合性

• 従業員向け（国内）

  • 情報セキュリティ規程・BYOD ポリシー・在宅勤務規程との整合

  • 監視の範囲・ログの利用目的・保管期間の明示

• 海外拠点・グループ会社向け

  • 欧州等でのプライバシー規制（GDPR 等）を踏まえたログの扱い・アクセス権限・マスキング方針

• ベンダー・委託先との契約

  • ゼロトラスト構成に関連する設計責任・インシデント対応責任

  • ログへのアクセス権限（ベンダーがどこまで見られるのか）

技術構成だけでなく、「人・契約・規程」を含めた全体像 を揃えることが、M365 ゼロトラスト 法務としての最低ラインになります。

4. ケーススタディ：製造業A社（売上800億円、拠点10カ国）の場合

実際に当事務所でご相談を受けた事例の一つをご紹介します（業種等は匿名化しています）。

• 業種：製造業（BtoB）

• 売上規模：約800億円

• 拠点：日本本社＋欧州3カ国＋アジア6カ国

• テーマ：M365 ゼロトラスト構成の導入と、それに伴う規程・契約の整理

課題の整理

• ベンダー主導で ゼロトラスト構成（条件付きアクセス／Intune／MFA） を実装→ 技術構成図は存在するが、法務・人事的な整理がない

• 在宅勤務・BYOD が急拡大し、「どこまで監視してよいのか」「私物端末の責任はどこまでか」 を巡って社内で議論が紛糾

• 監査部門・親会社から、「ゼロトラスト構成のリスク・効果を、契約・規程ベースで説明してほしい」と要望されていた

当事務所の支援内容（抜粋）

• 技術構成と社内規程・契約のクロスチェック

  • M365 / Entra ID / Intune の構成図を整理

  • 現行の就業規則・情報セキュリティ規程・誓約書・委託契約と突き合わせ

• 責任分界マトリクスの作成

  • クラウド事業者・ベンダー・日本本社・海外拠点・従業員それぞれについて「平常時」「インシデント時」「不正発覚時」の責任を整理

• M365 ログ・監視ポリシーのドラフト作成

  • どのログを・どの目的で・どの期間・誰の権限で閲覧・利用するかを文書化

  • 労務管理に直接使う／使わないの線引きを明確化

• BYOD / 在宅勤務ポリシーの見直し支援

  • Intune MAM・アプリ保護ポリシー・ワイプ等を前提にしたルール案を作成

  • 従業員への説明資料（FAQ形式）の作成もサポート

結果として

• 技術構成だけでなく、規程・契約・責任分界までを一体として説明できる状態 になった

• 在宅勤務・BYOD に対する「なんとなく不安」が、具体的なルールと文書に置き換わり、社内の合意形成が進んだ

• ベンダーとの責任分界も明確になり、「ゼロトラストだから大丈夫」といった曖昧な説明から脱却できた……といった声をいただいています。

5. M365 ゼロトラスト導入済み企業が、今すぐ確認しておきたいチェックポイント

自社で検討を進める際のチェックリストとして、次の項目を挙げておきます。

• □ クラウド事業者・ベンダー・自社・従業員・海外拠点の責任分界図が1枚で説明できる

• □ M365 ゼロトラスト構成で取得している ログ・利用履歴・端末情報 について、　 目的・保持期間・閲覧権限を文書化できている

• □ 在宅勤務・BYOD を含めた 端末・場所のパターンごとのルール が、　 就業規則・情報セキュリティ規程・誓約書と整合している

• □ インシデント・内部不正・規程違反が起きたときの　 「誰が・どこまで・いつまでに・何をするか」 が文章化されている

• □ ベンダー任せのゼロトラスト構成から脱却し、　 「自社としての M365 ゼロトラスト方針」 を説明できる

「すべて自信を持って YES と言える企業」は、全国的に見てもまだ多くありません。

6. 全国からのご相談について

山崎行政書士事務所では、Microsoft 365 / Entra ID / Intune / Defender 等の技術構成と、契約・規程・監査対応をセットで整理する「クラウド法務支援」 を行っています。

• ベンダーとの 責任分界 を、M365 ゼロトラスト構成前提で整理したい

• 在宅勤務・BYOD を含めた M365 利用ルール・規程 を整えたい

• 監査・親会社・海外拠点・従業員からの質問に、一貫したストーリーで答えられるようにしたい

といったお悩みがあれば、オンライン（全国対応） にて初回のご相談を承っております。

👉 ご相談フォームはこちら

👉 お問い合わせの際に、「M365 ゼロトラスト 法務の記事を見た」 と書いていただけるとスムーズです。