PurviewがAIプロンプト監視に対応シャドーAIを把握する仕組み

従業員のAIチャットが、IT管理者の監視対象になる。

Microsoftは2026年5月、メッセージセンターのアップデートMC1304292を通じて、Microsoft Purview インサイダーリスク管理（IRM）に新機能を追加することを発表した。企業のIT管理者・セキュリティ担当者が、従業員のAIサービスへのプロンプトとAIからの返答を閲覧できるようになる。

この記事でわかること：

Microsoft Purview IRMの新機能が何を可能にするか
シャドーAIが企業データリスクになる理由
プロンプト閲覧範囲とプライバシー保護の仕組み
既存のEdgeシャドーAI防止機能との関係
プレビュー・GA提供スケジュール

https://windowsreport.com/microsoft-to-let-it-admins-monitor-risky-ai-prompts-in-purview/

シャドーAIとは何か

企業でAI活用が広がる一方、従業員が私用のAIツール（ChatGPTの個人アカウントなど）を業務に使う「シャドーAI」が増えている。シャドーITのAI版だが、リスクの大きさは段違いだ。社内情報を入力したりファイルをアップロードしたりすることで、機密データが外部サービスに渡る。データがモデルの学習に使われる可能性もあり、知的財産の流出や長期的なデータ露出につながる。

MicrosoftはRSAC 2026（2026年3月）でも、シャドーAIへの対応をEdge for Businessの重点テーマとして発表済みだ（参考）。今回のPurview新機能は、その取り組みをさらに一歩進める形になる。

新機能でできること

https://windowsreport.com/microsoft-to-let-it-admins-monitor-risky-ai-prompts-in-purview/

今回の機能追加の核心は「プロンプトとAI返答の可視化」だ。これまでのIRMはファイル操作やメール送信などのアクティビティをリスク指標として検知していた。新機能はAIサービスへの入力そのものを調査対象にする。

リスク指標が検出された場合、権限を持つセキュリティ担当者は次の情報を閲覧できる。従業員が入力したプロンプトの内容（平文）と、AIサービスが返した返答の内容（平文）だ。対象となるのはリスクフラグが立った操作に限られるため、社員全員のAI利用が常時記録されるわけではない。

検知できるリスクの種類は次の通りだ。機密情報・個人情報の意図しない入力、内部文書やソースコードの漏洩、未公開情報（M&A情報など）の不適切な扱い、そして企業ポリシー違反のAI利用がある。

プライバシー保護の仕組み

初期調査では、ユーザーの個人情報は仮名化された状態で表示される。調査担当者は誰のプロンプトかを確認せずに内容を評価できる設計だ。

問題があると判断された場合のみ、権限を持つ担当者が仮名を実名に紐づける「実名化」を行う。この操作には相応の権限が必要で、ロールベースのアクセス制御（RBAC）が適用されている。すべてのアクセスイベントに監査ログが生成されるため、担当者によるアクセス自体も追跡できる。

Microsoftは「企業のセキュリティ要件と従業員のプライバシー保護のバランスを取る設計」と説明している（参考）。

EdgeのシャドーAI保護との役割の違い

Microsoft Edgeのシャドーアイ保護は「予防」の仕組みだ。PurviewのDLPポリシーと連動し、機密ラベルが付いたファイルのアップロードや特定プロンプトの送信を未然にブロックする。プロンプトがブロックされた場合、ユーザーには理由を示す通知が表示され、代わりにMicrosoft 365 Copilotへ誘導される仕組みも備えている。

対して今回の新機能は「調査」のフェーズで使うものだ。問題が起きた疑いがある場合に、セキュリティ担当者が詳細を確認するためのツールとして機能する。予防の段階で防ぎきれなかったケースや、既存のリスク指標で浮上したインシデントの深掘りに使う。

この2つは競合する機能ではなく、予防と調査で役割が分かれている。

提供スケジュール

MCアップデートの発表によると、プレビュー提供は2026年5月後半の開始を予定している。一般提供（GA）は2026年6月の予定だ。対象はMicrosoft Purview インサイダーリスク管理を利用するエンタープライズ契約の顧客となる。

AIガバナンスの整備が急務になっている企業にとって、プロンプト内容を調査の証拠として活用できる本機能は実用的な選択肢になる。一方で、「AIの入力が会社に見られる」という事実は従業員の心理的な影響も大きい。導入にあたっては、ポリシーの目的と仕組みを事前に社内へ説明しておくことが、運用をスムーズにする上で重要になるだろう。