M365の設定変更が情報セキュリティ規程・契約に与える影響を、最低限ここだけ押さえる
- 山崎行政書士事務所
- 2025年11月27日
- 読了時間: 10分
Microsoft 365(以下 M365)は、一度入れて終わりではありません。
新機能が次々追加される
Microsoft側の推奨設定が変わる
ユーザーから「ここ不便だから緩めてほしい」と要望が来る
そのたびに、情シスやベンダーがぽちぽち設定を変えていく——これが現場のリアルだと思います。
ところが、Microsoft自身もドキュメントで、
構成ドリフト(最初の設計からのズレ)が脆弱性や障害の原因になる
変更はきちんと管理しないと、セキュリティ体制が崩れる
と注意喚起しています。
さらにやっかいなのは、設定変更が「情報セキュリティ規程」や「お客様との契約」と矛盾してしまうケースです。
この記事では、
「すべての設定変更をいちいち法務に回すのは現実的じゃない」という前提に立ちつつ、“ここだけは押さえておかないと危ない”M365設定変更のポイント
を、静岡の中堅企業の一人情シス・総務法務向けに整理します。
1. なぜM365の“ただの設定変更”が、規程・契約に響くのか
1-1. M365は「社内規程・契約の前提」になりやすい
最近の情報セキュリティ規程やお客様への説明資料には、だいたいこんな文言が入っています。
「メール・ファイル共有にはM365を利用している」
「すべてのクラウドサービスへのアクセスにはMFAを利用する」
「外部共有は認証済みユーザーのみに限定する」
また、クラウドサービスやM365の導入に関する解説でも、**多要素認証(MFA)や外部共有制御などを前提にした“ベストプラクティス構成”**が紹介されています。
ここから少しでも設定を緩めると、
「規程に書いてあること」と
「現実のM365テナントの設定」
がズレてしまうわけです。
1-2. M365の設定は“契約で約束したセキュリティ”そのもの
さらに、お客様との業務委託契約・DPA(データ処理契約)・セキュリティ合意書などで、
「アクセス制御」「ログ保管」「データの所在」「外部共有制限」
といった項目を約束しているケースも多いはずです。
Microsoftも、自社サービスのセキュリティ・コンプライアンスのページで、M365が各種規制・標準に対応できるよう設計されている旨を説明していますが、それをどう使うか(設定するか)は利用者側の責任だとしています。
つまり、
「ちょっと使いやすくするつもりで変えた設定」が、内部規程やお客様への約束を崩してしまうことがある
ということです。
2. ここを変えるときは要注意 —— 5つの“契約直結”設定
全部をチェックするのは現実的ではないので、**“変える前に法務・情報セキュリティ担当に一声かけたい5ジャンル”**に絞ります。
① 認証・アクセス(MFA・条件付きアクセス・ゲスト)
代表的な設定例
MFA(多要素認証)の有効/無効
条件付きアクセス(IP制限、デバイス準拠要件)
ゲストユーザー/外部ユーザーの招待可否
Microsoftのベストプラクティスやゼロトラストポリシーでは、**すべてのクラウドアクセスに対する強力なID管理とMFAが“最低ライン”**とされています。
ここを変えると何が起きるか?
規程で「リモートアクセスはMFA必須」と書いているのに、一部ユーザーだけ例外にした
お客様へのセキュリティ説明資料で「外部からのアクセスは条件付きアクセスで制御」と回答していたのに、実際はルールを緩めていた
→ 規程違反・虚偽説明のリスクが出てきます。
最低限のルール案
「MFA・条件付きアクセス・ゲスト招待に関する設定変更は、情報セキュリティ責任者の承認を必須とする」 「一時的な緩和を行う場合も、期限と対象を記録する」
② 外部共有・ゲストアクセス(SharePoint / OneDrive / Teams)
代表的な設定例
共有リンクの既定値
「組織内のユーザーのみ」→「リンクを知っている全員」に変更 など
テナント全体の外部共有の許可レベル
Teamsの外部ユーザー/外部組織とのチャット・会議
M365のセキュリティ解説でも、外部共有設定は機密情報漏えいに直結するポイントとして扱われています。
ここを変えると何が起きるか?
「匿名リンクを使わない」と規程に書いてあるのに、使い勝手優先で「誰でもアクセス可」にデフォルト変更
大口顧客との契約書で、「データアクセスは認証済み利用者に限定」と約束しているのに、実質的に誰でもアクセスできる状態を許容してしまった
→ 契約違反・顧客向け説明との不整合が発生します。
最低限のルール案
「外部共有レベル・リンク既定値の変更は、“情報セキュリティ規程・顧客との契約”に影響する設定として、事前に法務・情シスでレビューする」 「匿名リンクを許可する場合は、対象サイト・フォルダ・期間を明示し、例外管理とする」
③ 保持ポリシー・ログ保存(コンプライアンス機能全般)
代表的な設定例
メール・Teams・SharePointの保持期間(Retention)
eDiscovery / 保持ラベルの削除・短縮
監査ログの有効/無効、保持期間
M365のコンプライアンス機能は、
法令・業界ガイドラインに対応した保管
監査・インシデント対応のためのログ保持
を実現するためのものとして案内されています。
ここを変えると何が起きるか?
内部規程で「メールログは1年間保管」としているのに、容量節約のために90日に短縮してしまった
お客様との契約で「アクセスログを◯年間保管」と書いているのに、実際のM365監査ログはそこまで残っていない
→ 規程違反・契約違反に直結します。
最低限のルール案
「保持ポリシー・監査ログ・eDiscovery関連の設定変更は、情報セキュリティ規程・契約書の“ログ保管・記録”の条項と突き合わせて確認する」 「変更前と変更後の保持期間を一覧化して、監査時に説明できるようにしておく」
④ セキュリティ機能のON/OFF(Defender / DLP / Safe Links 等)
代表的な設定例
Defender for Office 365(フィッシング対策・Safe Links・Safe Attachments)の有効/無効
DLP(データ損失防止)ポリシーの緩和
スパムフィルタや迷惑メールのしきい値変更
Microsoft Defender for Office 365のドキュメントでも、Safe Links等の保護機能は悪意あるURLによる攻撃から守る重要な仕組みとされています。
ここを変えると何が起きるか?
「メールについてはフィッシング対策を実施」と規程に書いているのに、実際はSafe Links等の保護をオフにしている
お客様へのセキュリティアンケートで「DLPにより個人情報の誤送信防止を行っている」と回答しているのに、誤送信が多いからとルールを大幅に緩めている
→ 説明と実態が食い違い、事故時の説明責任が重くなる可能性があります。
最低限のルール案
「セキュリティ機能を“オフ”または“弱める”方向に変えるときは、必ずリスク評価と代替策(監視強化など)をセットで検討する」 「ONにする方向の変更(強化)は、原則として歓迎。ただしユーザー影響がある場合は周知・ヘルプ整備を行う」
⑤ プライバシー系・AI系機能(接続エクスペリエンス・Copilot 等)
代表的な設定例
Officeアプリの「接続エクスペリエンス」(オンライン翻訳、オンライン画像など)のON/OFF
診断データ・利用データの送信レベル
Microsoft 365 Copilot等、AI機能の有効化とデータの扱い方
Microsoftは、M365 Appsのプライバシーコントロールや接続エクスペリエンスについて、管理者がポリシーで制御できることを説明しています。
また、Microsoft 365 Copilotについても、プロンプトや応答の扱い・データ保存・プライバシーについて専用の説明が用意されています。
ここを変えると何が起きるか?
会社として「この種類のデータは外部サービスに送らない」と決めているのに、オンライン翻訳やクラウドAI機能を無造作にONにした
個人情報保護方針では「このように利用します」と説明しているのに、新しいAI機能の有効化により、実際のデータ処理が増えている
→ プライバシーポリシー・個人情報保護法上の説明と不整合を起こす可能性があります。
最低限のルール案
「新しいAI機能・オンラインサービス連携を有効にする前には、少なくとも“プライバシーポリシー・取扱い通知”との整合を確認する」 「個人データや機微情報がその機能に入力される可能性があるかどうか」を、必ずチェックする
3. 「全部チェック」は無理だから、最低これだけの“交通整理”を
M365の変更は、Microsoft側のアップデートも含めると年間数百件レベルとされています。全部に目を通してガチガチに審査すると、ITチームが回らなくなる、というのがMicrosoft自身の問題意識です。
そこで、現実的にやるなら、次の3点だけは押さえておきたいところです。
3-1. 「契約直結設定リスト」を作る
この記事で挙げた5ジャンルを参考に、
認証・アクセス(MFA・条件付きアクセス)
外部共有・ゲストアクセス
保持ポリシー・ログ
セキュリティ機能ON/OFF
プライバシー・AI機能
について、「ここを変えるときは要・法務チェック」リストを作っておきます。
→ M365管理センター/Entra管理センター/コンプライアンスセンターの設定項目と紐づけて一覧化しておくとベストです。
3-2. 変更時の「メモ」を最低限残す
すべてをチケット管理しなくても、
いつ
誰が
どの設定を
どのように変えたか
だけは、簡単なログ(Excelでも可)で残しておくと、
監査対応
インシデント調査
契約見直しのタイミングでの確認
が、だいぶ楽になります。
Microsoftの変更管理ドキュメントでも、構成ドリフトを防ぐために、変更内容・承認・記録を残すことの重要性が強調されています。
3-3. 四半期に1回くらいは「規程・契約とのギャップ」を眺める
情報セキュリティ規程
個人情報保護方針
主要なお客様とのセキュリティ合意書・DPA
を横に置きながら、
M365のセキュリティベースライン/推奨設定
実際のテナント設定
をざっくり比較する時間を、年に数回だけでも確保しておくと、
「もう規程と現実が合っていない」
「この契約条項は、今の設定だと守れていない」
といった“ズレ”に早めに気づけます。
4. 実際にありそうな“ヒヤリ”ケースを2つだけ
ケース1:匿名リンクを許可したら、契約と食い違っていた
もともと規程・顧客向け資料では「外部共有は認証済みユーザーに限定」と説明
現場から「匿名リンクじゃないと相手が面倒がる」と言われ、一部サイトで匿名リンクを許可
→ 数ヶ月後、顧客監査で
「説明資料では匿名リンク禁止となっているのに、実際は使える設定になっている」
と指摘され、規程改訂+設定修正+説明のやり直しに…。
ケース2:ログ保持期間を短くした結果、インシデント調査で困る
ストレージ節約のために、監査ログの保持期間を90日に短縮
半年前の不正アクセス疑いについて調べることになったが、過去ログが残っておらず詳細が追えない
規程では「アクセスログを1年間保管」と書いており、対応が不十分だったと判断される
こうしたケースは、実際に各社の解説やセキュリティ事故事例でも指摘されています。
5. 山崎行政書士事務所がお手伝いできること
山崎行政書士事務所では、クラウド法務・情報セキュリティ専門として、
貴社のM365テナントの主な設定(認証・外部共有・保持・ログ・Defender・AI機能など)をヒアリング/確認したうえでの「規程・契約とのギャップ診断」
「ここを変えるときは法務チェック必須」という“M365設定変更チェックリスト”の作成支援
情シス・法務・経営陣の間で共有できるM365設定変更ポリシー(簡易版変更管理ルール)のドラフト作成
お客様とのセキュリティ合意書・DPAのM365前提部分の見直し・アップデート案作成
といったご相談に対応しています。
「M365の設定は日々変えているけれど、規程や契約にどう効いているのか整理できていない」
という段階からで構いません。
静岡県内の企業さま向けには、オンライン・訪問どちらでも対応可能です。
お問い合わせの際に、
M365の主なプラン(Business / E3 / E5 など)
気になっている領域(外部共有・ログ・AI機能など)
を教えていただければ、「最低限ここだけ押さえれば」という現実的なラインから一緒に整理していきます。
コメント