ChatGPT EnterpriseがMicrosoft 365の業務データに深く踏み込む
OpenAIは、ChatGPT Enterpriseユーザー向けに提供しているMicrosoft 365連携アプリの機能を拡張し、メール起草やカレンダーへの会議設定など書き込みアクセスに対応したことを明らかにした。これにより、ChatGPT Enterpriseは単なるファイル参照にとどまらず、ユーザーの日常業務に直接介入できる存在へと進化しつつある。
アクセスできるMicrosoft 365データの範囲
現在、ChatGPT Enterprise向けにOpenAIが提供するEntra ID(旧Azure AD)アプリをテナントにインストールすると、以下のデータへのアクセスが可能になる。
- SharePoint Online / OneDrive for Business(ファイルの読み取り・アップロード)
- Exchange Online(メールボックス、ユーザーカレンダー)
- Microsoft Teams(チャット、チャンネルメッセージ、タスク)
これらはエンタープライズレベルで管理される「委任アクセス(Delegated Access)」であり、テナント管理者がEntra管理センターからアプリをインストール・承認する形で機能する。個人ユーザー向けの無料プランでも、SharePoint OnlineとOneDriveへの接続アプリは別途提供されている。
Microsoft 365 Copilotの「Work IQ」と何が違うのか
Microsoftは自社のCopilotについて「Work IQ(ユーザーと組織に最適化されたインテリジェンス層)」と位置付けている。メール起草やカレンダー操作という機能面だけ見れば、ChatGPT Enterpriseとの差は縮まっているように見える。
しかし、本質的な差異はGraph APIのアクセス範囲の深さにある。Microsoft 365 CopilotはGraph APIをフルに活用し、ユーザーにとって重要な情報を多面的に把握してパーソナライズされた回答を生成できる。一方のChatGPT Enterpriseは、現時点ではアクセス可能なデータを読み込んでAIが推論する形であり、Copilotと同等の「文脈理解の深さ」には達していない。
見落とせないコンプライアンスリスク
サードパーティアプリにこれほどの業務データへのアクセスを与えることは、コンプライアンス面で重大な課題をはらんでいる。
特に注意が必要なのが**秘密度ラベル(Sensitivity Labels)**の問題だ。Graph APIベースのアプリは、秘密度ラベルで暗号化・保護されたコンテンツを直接処理できない。保護を解除してアクセスさせることは技術的には可能だが、再度ラベルを付与するにはassignSensitivityLabel Graph APIを使う必要があり、これはAzureサブスクリプションで課金される従量制APIである。
また、AIと人間のやり取りの監査ログや、ファイルへのアクセス監査といったガバナンス要件を満たすためのプロセスも、従来のMicrosoft 365環境とは異なる設計が求められる。
テナント管理者が取るべき対応
自テナントに見覚えのないChatGPTアプリが存在する場合、まずはEntra管理センターで当該アプリを無効化または削除することを検討したい。ChatGPTアプリは必要であれば再作成が容易なため、まず影響範囲を確認してから判断するのが現実的だ。
Copilotライセンスを購入せずにAIによる業務効率化を図る手段として、ChatGPT Enterpriseの活用は選択肢の一つではある。ただし、Microsoft 365 CopilotとChatGPT Enterpriseは機能的に等価ではない点を正確に理解した上で、ガバナンス要件・コスト・使い勝手を総合的に評価することが重要だ。