個人と法人で使われるクラウドサービスが異なる現象ってありますが、
Copilotほどハッキリとその現象が現れるものって珍しいと思います。
私は最近、ファイナンシャルプランナー(FP)さんに向けて生成AIの活用に関する講演依頼をいただくことが多く、その中でFPさんが扱うデータって機微な情報が多いから使う生成AIのサービスをどれにするかは考えて使うようにしてくださいねって話をしています。
だけど調べてみるとChatGPT (Enterprise)も、(Microsoft 365) Copilotも、(Google Workspace with) Geminiも、入力データは学習に使われない旨が書かれていて、
一見するとどれも同じように思えるのです。
ということで今日はその点に踏み込んでみたいと思います。
基本情報をクラウドアプリカタログで見てみよう
クラウドアプリカタログとはMicrosoft Defender for Cloud Appsと呼ばれる企業で使用するクラウドサービスの監視を行うサービスがあるのですが
このサービスの機能のひとつにクラウドアプリカタログと呼ばれる機能があります。
クラウドアプリカタログは世の中にあるクラウドサービスがどんな特徴を持っているのかを知り、自社で利用するために必要なセキュリティやコンプライアンスの基準を満たしているのかを判断するのに役立てることができます。
Microsoft Defender管理センター画面からクラウドアプリ > クラウドアプリカタログの順にアクセスし、カテゴリを生成AIに絞ると生成AI絡みのサービスが一覧で表示されます。
2025年11月現在 1203個のクラウドアプリが登録されています。
代表的なものを見てみましょう。
ChatGPT
ChatGPTは米国に本社を持つ企業で設立は2015年、株式公開はされていません。
株式公開されていることが安心材料なのか?と言われるとなんともですが、
恐らくそのことが原因でスコアが少し低く見積もられています。
次にセキュリティを見てみましょう。
スコアは満点なのですが、[パスワードを記憶する]や[パスワードポリシー]などパスワード管理の点でいくつかの欠落が確認できます。
後述しますが [データ分類] に対応していないのはマイナスポイントだと言えます。
続いてコンプライアンスについてです。
企業に属してお仕事をするのであれば各種コンプライアンス標準に準拠しなければならないこともあるかと思いますが、いくつかの基準が欠落していることがわかります。
最後はそのほかの法的事項です。
アカウント削除後のデータの保管期間やDMCAに基づく著作権の遵守状況などが確認できます。こちらはパーフェクトですね。
ここまで見てきたようにChatGPTは企業でもChatGPT Enterpriseなどを通じて利用されていることからも一定の信頼を得て使われる理由がよくわかります。
Gemini
続いてGeminiを見てみましょう。
Geminiの運営会社Googleは米国に本社を持つ企業で設立は1998年、株式公開されています。
非の打ち所がないように思えますが、1998年設立はスコアが少し低く見積もられるそうです。
なんとなく恣意的な運用のようにも見えますが..
セキュリティについてはこんな感じ。いいですね。
コンプライアンス面も完璧!
法的事項も問題ありません
参考までにNotebookLMも同じスコアでした。
GeminiはChatGPTではクリアしていなかったコンプライアンスの基準もクリアしていて
非の打ち所がありませんでした。
Copilot
今日の本題Copilotを見てみましょう。
Copilotは無料のものと有料のものがありますが、ここでは有料のものを主題にしているので
Microsoft 365 Copilotで比較してみます。運営会社Microsoftは米国に本社を持つ企業で設立は1975年、株式公開されています。
セキュリティについて。
他のサービスではTLS1.3を利用しているのに対してTLS1.2を採用している点が気になります。
コンプライアンスについてはもう完璧!
完璧にするために項目作ったんじゃないのか?とうがった見方をしたくもなりますが、
ストレートにこれだけの準拠状況は素晴らしいと思います。
最後に法的事項もきっちりクリアしています。
こうやって見てみるとChatGPTのコンプライアンスの基準が少し気になる程度でどれも変わらないかなという印象でした。
じゃあ何が違うの?
ここからはエビデンスではなく私の考察が中心になってしまうのですが
一番大きな理由は元ネタとなるデータがどこにあるか?だと思います。
業務で生成AIを利用するのであれば、既存のデータを読み込ませて作業をすることもあるでしょう。そのときに先ほど見ていただいた項目のうち [データ分類] という項目がありましたが、GeminiでもCopilotでも対応していたことが確認できました。
しかし問題はどのようなデータ分類基準によって分類をサポートするか?です。
Gemini であれば Google Workspace、
Microsoft 365 Copilotであれば Microsoft 365 の分類基準に沿ったデータ分類を行います。
そして、その中から機密性が高いと分類されたデータは必要に応じて
生成AIからそのデータを入出力に使えないようにすることができるようになっています。
こうした理由から Microsoft 365 を利用している会社であれば Microsoft 365 Copilot
Google Workspaceを利用している会社であれば Google Workspace with Gemini
を利用することになるんだと思います。
その他の異なる点を見てみる
監査ログも異なる点のひとつです。
Gemini側は私もそこまで詳しくないので間違っていたら指摘してほしいのですが、
Geminiはプロンプトへの入力内容をログに残すことはないようです (調べた限りでは入力内容をモデル改善に使わないという方針に基づく措置のようです)。
これに対してMicrosoft 365 Copilot では Microsoft Purviewの [アクティビティエクスプローラー] という機能を通じてプロンプトへの入力内容を参照できます。
どちらが良いか?という議論をするつもりはありませんが、こうした違いはあります。
またこれはマイクロソフトらしいなと思うのはオンプレミスデータへの対応です。
(これは私も検証していないので、検証したらこうだったよ!などの情報があれば嬉しいです)
Microsoft Graphコネクタと呼ばれる機能を利用してオンプレミスのファイル共有を接続し、Copilotから参照させるような運用が可能になります。このコネクタにはオンプレミス以外にもSharePoint ServerやBoxなどにも対応していると書かれていました。
ただコネクタで範囲を広げれば、そのすべての範囲できちんとデータ分類が行われているか (Microsoft 365的な言い方をすると秘密度ラベルが設定されているか?) という点が課題になります。
まとめ
Microsoft 365 Copilot は企業での Microsoft 365 の利用率の高さを背景にそのメリットを活かせる生成AIのサービスとして企業の求めるセキュリティやコンプライアンスの基準をクリアした形で提供していることがわかります。だからこそ企業で Microsoft 365 Copilot が使われることが多いのでしょう。一方、そのメリットを享受するためには
元ネタとして利用するデータがきちんとデータ分類されていること
= 秘密度ラベルが設定されていること
が重要なポイントになります。秘密度ラベルの設定についてはMicrosoft Purview まとめでも解説していますのでぜひ活用していただき、Microsoft 365 Copilot を利用しているのであればセキュリティやコンプライアンスの面でもそのメリットを享受してほしいなと思います。
#Microsoft 365 Advent Calendar 2025
