出典:VentureBeat
詳細を読む
VentureBeatの調査報告によると、2026年1月21日から4週間にわたって、Microsoft Copilotが機密ラベルとDLPポリシーを無視して機密メールを読み取り・要約するという重大なセキュリティ障害が発生しました。英国NHSを含む複数の組織が影響を受けましたが、セキュリティスタック内のいかなるツールもこの異常を検知・警告しませんでした。
さらに深刻なのは、これが8ヶ月以内に2回目の同種の障害であるという事実です。Microsoft自身のパイプライン内部でポリシー強制ポイントが機能しなくなるという根本的な設計上の問題が疑われます。マイクロソフトの説明責任が強く問われています。
この事件はエンタープライズAIの信頼問題の核心を突いています。企業のCISOが最も恐れるのは、AIツールがコンプライアンス境界を自律的に超えることです。ゼロトラスト・セキュリティモデルがAIエージェントには通用しないケースが増えています。
Microsoft 365のCopilotは世界中の企業で最も広く使われているAI生産性ツールの一つです。この規模のツールが機密情報保護に繰り返し失敗することは、エンタープライズAI採用全体の信頼基盤を損なう深刻なリスクです。
企業のAI導入担当者は、今後AIツールの選定においてセキュリティ境界の遵守能力を最優先評価項目に加える必要があります。ベンダーの公称するコンプライアンス機能が本当に機能するかを独立検証する体制が欠かせません。