日本マイクロソフトは、コンプライアンス製品などへの取り組みについて説明。Microsoft 365を通じて提供されるコンプライアンスソリューションの新機能を紹介したほか、これらの機能を活用する際のホワイトペーパーとして、「Insider Risk Management及びCommunication Compliance活用ガイド」を取りまとめたことを発表した。
同活用ガイドは、富士パートナーズ法律事務所が中心になってまとめており、無償でダウンロードできる。
Microsoft 365のコンプライアンスソリューションは、約20製品が用意されており、さまざまなコンプライアンス規制に対応できるようになっている。
Insider Risk Managementは、企業内部の不正防止を支援するもので、機密情報のメールによる持ち出しに関わるファイル共有、ドキュメントの印刷、USBメモリーへの書き出しなどといった疑われる操作を分析。コンプライアンス違反の疑いのあるユーザーの行動や雇用状況などをもとに、機械学習によって、疑いの強い内部不正行動規約違反を検出することができる。発生したアラートはケース化し、コンプライアンス担当者間で共有し、事前の対応が可能になる。
米マイクロソフトAdvanced Global Black Beltの小林伸二氏は、「Insider Risk Managementはピルトインで提供されており、簡単なポリシー設定で、すぐに利用できる。設定後は3ラウドの監視もできる。また、従業員のプライバシーを重視しており、作業の途中までは匿名化して分析することができる」とする。
Insider Risk Managementでは、新たな機能として、社内での不正や情報漏洩がどれぐらい行われているのかを事前調査する「インサイダーリスクの分析」を提供。これにより、AIを活用したガイドに沿って、ポリシーを設定することができるようになるという。
また、スコア付けについては、ユーザー側で検出閾値の変更ができるようになり、「それぞれの企業に最適化した粒度での検出の仕組みを設定できる。ここで検出したアラートをもとにコンプライアンス担当者間での情報共有が行える」とした。
さらに、アラートのレビュー機能を強化。メールがどこに送られているのかといった情報などをもとに、コンプライアンスに影響を及ぼす可能性のある活動を迅速に特定し、対策を開始するまでの時間を短縮するほか、ポリシートリガーのカスタマイズ機能の追加によって、設定を細分化し、怪しいと考えられる利用者を深く分析するといった使い方もできるようになった。
Communication Complianceは、Teamsやメールなどの通信サービスにおけるコンプライアンス違反を検知するもので、事前定義したキーワードや条件を、機械学習を活用して分析。これまで難しかったハラスメント行為、過労や違法な業務命令違反、カルテルなどの兆候を事前に見つけて対処できる。
「ベンダーとの談合、価格不正命令、品質偽装の指示などのコンブライアンス違反にも、カスタマイズして対策を取れる。利益相反するグループ同士の情報流通の監視も可能になる。Communication Complianceは、セットアップ不要ですぐに利用でき、コネクターを利用することで他社サービスにも利用できる」などとした。
新機能として、コミュニケシーョンコンプライアンス機能を拡充。社内でのコンプライアンス違反がどれだけ起きているのかを事前に察知し、ポリシーの設定を支援。さらに、レポート出力機能により、詳しい情報をもとにした対策が可能になる。
また、Privacy Managementは、Microsoft 365 のコンプライアンスソリューション全体におけるプライバシー管理を行うもので、個人情報データの最小化を図り、意図しない過度なデータ共有、権限を広げすぎた過度なデータの公開、個人情報の不必要な保存などに対して、アラートを設定して問題を解決するという。「エンドユーザーによるデータ主体要求(DSR)に対しても、迅速に、的確に対応できる」という。
一方、「Insider Risk Management及びCommunication Compliance活用ガイド」の公開についても説明した。
日本マイクロソフトでは、2020年10月に、Microsoft Digital Trust RegTech Allianceをスタートしており、IT企業だけでなく、法律事務所も参加。約30社により、デジタルを活用したコンプライアンスツールの活用提案に加えて、法律事務所や監査法人が持つ判例や法令、規制最新の事案に関する情報や知見などを組み合わせることで、企業に最適なソリューションを提供する環境を構築している。また、同アライアンスに参加している法律事務所によるセミナーなどを定期的に開催しているほか、法律事務所の監修によるコンプライアンス検知ワードリスト作成プロジェクトを開始。ここで浮き彫りになった検知ワードを、コンプライアンスツールで検知できるかどうかといった検証を行うといったことも行っている。
今回の「Insider Risk Management及びCommunication Compliance活用ガイド」も、Microsoft Digital Trust RegTech Allianceによる成果のひとつだ。
活用ガイド作成の中心的役割を担った富士パートナーズ法律事務所の前田貴史弁護士は、「社内ハラスメントに対する社会の批判、情報漏洩による直接的被害や社会的信用の損失、株価の低迷などが、企業にとって、より大きな課題となっている。これまでは発生した損害や信用をどう回復するかという点にフォーカスされがちだったが、事後的な対応ではなく、事前に検知し、それを未然に防ぐことが大切になっている。また、あらかじめ状況を保存しておくことも、証拠として活用できる。事前検知への取り組みは、企業にとっても、法律の専門家にとってもメリットがある取り組みになり、そこに日本マイクロソフトのコンプライアンスソリューションが活用できる」とする。
富士パートナーズ法律事務所は、近畿および東京の中小企業の顧問業務を中心として活動。2020年5月から、日本マイクロソフトが推進していたコンプライアンス関連システムの開発プロジェクトに参画し、アドバイスや判例情報を提供してきた経緯がある。Digital Trust Regtech Allianceにも設立時から参画していた。
今回まとめた活用ガイドは、Insider Risk Managementなどの日本マイクロソフトのコンプライアンス関連製品が、どんな対策が行えるのかをわかりやすく伝え、製品の本質を理解することを目的にするとともに、潜在する内部的脅威を事前に検知、防御し、企業内の事故を未然に防ぐ対策へとつなげることを促進する狙いがあるとする。
ここでは、想定されるシナリオをベースにして、ツールの活用ポイントを、具体的事例を交えて説明。アラートが発生した際には、企業としてどう対応すべきかといった例や、パワーハラスメントに関する危険なワードのリストも提供する。
「実際の判例をベースとしたシナリオをもとに検知ポイントを解説するほか、検証環境を用いて、製品のアラートごとの検証を実施したり、アラート検知後の企業の対応方針案の策定を提案したりする」という。
たとえば、転職活動をしている社員が、社内の内部情報を持ち出すといった場合には、どんな判例があり、その動きを事前に検知し、外部にリークされる前に防ぐためにはどうしたらいいのかといったことを示したり、社内のパワーハラスメントでは、メールやチャットなどで暴力性を帯びた言葉を執拗に使った上司に対して、告訴した事例などをもとに、使われた言葉の検知やリスク評価、検知後の対応方針案、ツールを活用した対策などを示している。
富士パートナーズ法律事務所の徳安勇佑弁護士は、「不正アクセスなどの外部的脅威への対策は成熟しているが、内部的脅威についてはシステムとしての対策には課題がある。また、テレワークの進展によって、社員などの行動が見えにくくなり、ハラスメントや情報漏洩への対策が取りにくくなっている。Insider Risk ManagementやCommunication Complianceは、使い方次第でさまざまな検知や対応が行える。また、企業ごとに最適化した活用方法もある。活用ガイドでは、製品の概要をわかりやすく伝えることができる説明書の役割を果たすとともに、多角的な視点で脅威を考え、問題が発生する前に対処することを提案するものになる」と位置づけた。
同活用ガイドは無料でダウンロードできる。
なお、Microsoft Digital Trust RegTech Allianceの取り組みは、マイクロソフトにおいて、日本が最初であり、日本での成果をもとにグローバルに展開していく可能性もある。
日本マイクロソフト 技術統括室 チーフセキュリティ オフィサー(CSO)の河野省二氏は、「新型コロナウイルスの感染拡大によって、オンラインによる働き方が進展し、ハイブリッドワークが浸透。そのメリットを享受する一方で、社員が働いている現場が見えないことに、マネジメント層が不安を感じているという課題が出ている。ガバナンスの欠如によりトラスト(信頼)が生まれにくい、経営判断が揺らいでいるという指摘もある。トラストをもとにしたガバナンス構築が必要であり、顔が見える安心なサイバー空間の実現と、信頼できるデジタル資産管理を実行する必要がある」と提言。
「日本マイクロソフトでは、働き方改革、セキュリティ管理、コンプライアンス管理といった観点から、DXによるガバナンスの再構築を支援している。コンプライアンス管理では、コミュニケーションのなかで不適切なものがあったり、ファイルの管理がおろそかで情報が流出したり、ランサムウェアによる被害を受けたりといったことが無いように支援する」などと述べた。