Microsoft Copilotとは何か——製品ファミリーの全体像

日本のエンタープライズへのMicrosoft Copilot導入とLLMのガバナンス - Microsoft Copilotとは何か——製品ファミリーの全体像 - 章扉

Microsoft Copilotは単一の製品名ではなく、マイクロソフトが提供するAIアシスタント群の総称である。エンタープライズ導入の文脈で最初に押さえるべきは、その中核である「Microsoft 365 Copilot」だ。WordやExcel、PowerPoint、Outlook、Teamsといった日常業務アプリに組み込まれ、社内のメール、会議、ファイル、チャットの文脈を踏まえて文書を下書きし、会議を要約し、データを分析する。たとえば営業担当が朝Outlookを開くと、前日夜に届いた長い交渉スレッドの要点と返信案が提示され、Teamsの欠席会議は論点と宿題が整理された議事録として届き、Excelでは「地域別の売上前年比を出してグラフにして」と日本語で頼むだけで集計が返ってくる。検索の置き換えも大きく、「先月の役員会で決まった価格改定の資料はどれか」と聞けば、アクセス権のある範囲から該当ファイルを探し出して要約する。

ライセンスは既存のMicrosoft 365(E3/E5やBusinessプラン)へのアドオンで、米国では1ユーザー月額30ドル(約4,600円)、日本の公式価格は月額4,497円(税抜)である。2026年には300ユーザー以下の中小企業向けに月額21ドル(約3,300円)の価格が導入され、7月1日からは「Business Standard with Copilot」などCopilot同梱SKUが恒久版として提供されている。販社経由では割引もあり、たとえばNTTドコモビジネスは年間契約・月払いで月額3,635円(税込)の例を公表している。

ファミリーの他のメンバーも役割が明確だ。無償の「Microsoft 365 Copilot Chat」はWeb情報ベースのセキュアなチャットで、従量課金エージェントの入口となる。「Copilot Studio」はローコードで自社専用エージェントを作る開発基盤、「GitHub Copilot」は開発者向け、「Security Copilot」はセキュリティ運用向け、そして「Microsoft Foundry」(2025年11月のIgniteで「Azure AI Foundry」から改称)はAzure上でLLMアプリやエージェントを本格開発するためのプラットフォームである。2026年に入ると製品の重心は「アシスタント」から「エージェント」へ移り、6月の機能更新では、タスクを定義すると計画から実行、成果物の納品までを担うエージェント型システム「Copilot Cowork」が全世界で一般提供となった。6月上旬のBuild 2026では、常時稼働型の自律エージェント「Autopilot」の第1号として「Microsoft Scout」も発表されている。

普及の実勢は数字が物語る。マイクロソフトの2026会計年度第3四半期決算(2026年4月29日発表)で、Microsoft 365 Copilotの有料シートは2,000万を突破した。1月末の第2四半期時点の1,500万から一四半期で500万増と過去最速の伸びで、TechCrunchによればシート当たりのクエリ数も前四半期比で約20%増加し、ナデラCEOは「週次の利用水準はOutlookと同等」と述べた。決算報道では、アクセンチュアの74万シート超が「過去最大のCopilot案件」とされ、バイエル、ジョンソン・エンド・ジョンソン、メルセデス・ベンツ、ロシュがそれぞれ9万シート超を運用していることも明らかにされている。米メディアの集計では、Fortune 500の9割超が何らかの形でCopilotを利用しているという。

日本のエンタープライズへのMicrosoft Copilot導入とLLMのガバナンス - Microsoft Copilotとは何か——製品ファミリーの全体像 - 図表1

エンタープライズ導入の全体フロー——準備から定着化、エージェント拡張まで

日本のエンタープライズへのMicrosoft Copilot導入とLLMのガバナンス - エンタープライズ導入の全体フロー——準備から定着化、エージェント拡張まで - 章扉

大企業のCopilot導入は「ライセンスを買って配る」だけでは失敗する。マイクロソフト自身が導入ガイドやCopilot Success Kit、2026年6月に公開された「Copilot Adoption Hub」で示すのは、準備(Get ready)、展開とオンボーディング、成果創出、拡張という段階的アプローチであり、国内の成功事例もほぼこの型に沿っている。

第一段階:技術・データの準備——Copilotの体感品質を決める下地作り

日本のエンタープライズへのMicrosoft Copilot導入とLLMのガバナンス - 第一段階:技術・データの準備——Copilotの体感品質を決める下地作り - 章扉

第一段階は技術・データの準備である。前提となるのはMicrosoft 365 E3/E5等の基盤ライセンス、Entra IDによるID管理、そしてメール・ファイル・会議がExchange OnlineとOneDrive、SharePoint、Teams上で運用されていることだ。オンプレミスのファイルサーバーに資料が残る企業では、Copilotが参照できる情報が乏しく「賢くない」という失望を招くため、SharePointへの移行度合いが体感品質を左右する。同時に、後述するアクセス権限の総点検(過剰共有の是正)をこの段階で行うことが、日本企業の導入プロジェクトで最も重視されるようになった。

準備の解像度を上げるには、Copilotが回答を組み立てる仕組みから逆算するのが早い。Copilotはユーザーの質問を受けると、Microsoft Graphを通じて本人がアクセス権を持つメール・ファイル・会議・チャットを検索し、意味ベースの検索を担うセマンティックインデックスで関連情報を絞り込み、その文脈をLLMに渡して回答を生成する。つまりGraphに載っていない情報はCopilotにとって存在しないのと同じであり、体感品質を決めるのはモデルの性能ではなくデータの所在である。技術面の確認項目は三つに整理できる。第一にMicrosoft 365 Appsの更新チャネルで、Copilotの利用には最新チャネルまたは月次エンタープライズチャネルが必要になるため、変更管理の慎重さから半期チャネルを使い続けてきた企業はチャネル移行という無視できない前工程を抱える。第二にネットワークで、プロキシやファイアウォールがWebSocket接続を含むMicrosoft 365の接続要件を満たしているかを事前に検証する。第三にデータの所在で、ファイルサーバーからSharePointへの移行を計画するとともに、移行しきれない基幹系や外部システムの情報はMicrosoft Graphコネクタでインデックスへ取り込む道を検討する。

もう一つの柱である権限総点検は、技術作業というより組織運動である。棚卸しで典型的に見つかるのは、「Everyone except external users」が付与されたままの部門サイト、既定設定のまま「組織内の全員」に開かれた共有リンク、そして異動や退職でオーナー不在のまま放置されたサイトだ。是正は情報システム部門だけでは完結せず、中身の機密性を判断できる現場のサイトオーナーによるアクセスレビューが不可欠で、サイト数の多い大企業では数カ月単位の工程になる。ここを省略してライセンス配布を急ぐと、パイロット初週に「Copilotに聞いたら他部門の人事資料が要約されて出てきた」という類のインシデントが起き、プロジェクトごと凍結されかねない。だからこそ後述するRestricted SharePoint SearchやDSPM for AIの過剰共有評価を暫定ガードレールとして併用し、是正の進捗を数値で追いながら進めるのが国内プロジェクトで確立した型である。あわせてこの段階でAI利用ポリシーの初版と、責任者および部門横断委員会という推進体制を固めておくと、以降の各段階で判断が止まらなくなる。

日本のエンタープライズへのMicrosoft Copilot導入とLLMのガバナンス - 第一段階:技術・データの準備——Copilotの体感品質を決める下地作り - 図表1

第二段階:パイロット——ペルソナ設計と効果測定で「使われる証拠」を作る

日本のエンタープライズへのMicrosoft Copilot導入とLLMのガバナンス - 第二段階:パイロット——ペルソナ設計と効果測定で「使われる証拠」を作る - 章扉

第二段階はパイロットである。実務では300人から1,000人規模で、部門を横断して「業務時間の長い管理職」「会議の多い企画部門」「文書作成の多い法務・人事」などペルソナを分けて配布し、8〜12週間で効果を測る。効果測定にはViva Insightsの「Copilot Dashboard」を使い、週次アクティブ率、機能別利用回数、会議要約やメール下書きで節約された推定時間を追跡する。ここで重要なコツは、利用率の低いユーザーを責めるのではなく、利用率の高い「チャンピオン」を見つけて事例を社内に流通させることだ。全社員へ一斉導入した住友商事では、部門ごとにチャンピオンを置き、プロンプト事例を共有する社内コミュニティを回すことで定着させたと日経クロステックが報じている。

パイロット設計で最初に決めるのは「誰に配るか」である。希望者を募ると推進派に偏り、全社展開の段階で初めて無関心層の壁に突き当たるため、ペルソナごとに人数を割り当てたうえで、あえて懐疑的なベテランを混ぜておくのがコツだ。対象者の当たりを付けるにはViva Insightsの就業データが使え、会議時間やメール処理時間が長い集団ほど削減余地が大きく、効果を数字で示しやすい。配布後は最初の2週間が勝負で、ここで「自分の業務で役立った」という原体験を作れなかったユーザーの多くはそのまま離脱する。経営スポンサーが登壇するキックオフ、職種別のプロンプト例集の配布、初週の伴走セッションまでをパイロットの設計に含め、「配って様子を見る」だけの運用を避けることが定着率を大きく変える。

効果測定は定量と定性の二本立てにする。Copilot Dashboardが示す推定節約時間はマイクロソフトの調査に基づく換算値なので、そのまま経営報告に載せるのではなく、「1週間で何時間浮いたか」「どの業務では使えなかったか」を問う利用者サーベイと突き合わせて補正する。週次アクティブ率に加えて、週に複数回使う習慣化層の割合や、要約・下書き・検索といった機能別の利用分布まで見ると、次の研修で埋めるべきギャップが具体的に特定できる。並行して、うまくいった事例だけでなくハルシネーションや期待外れだった場面も収集して利用ガイドに反映しておくと、全社展開後の問い合わせが目に見えて減る。パイロットの出口では、利用率、削減時間、満足度、インシデント件数を一枚に整理し、全社展開の投資判断とKPI目標の根拠として経営に提示する——ここまで含めてパイロットの成果物である。

第三段階:全社展開と定着化——利用データで拡大を判断し、業務プロセスへ組み込む

日本のエンタープライズへのMicrosoft Copilot導入とLLMのガバナンス - 第三段階:全社展開と定着化——利用データで拡大を判断し、業務プロセスへ組み込む - 章扉

第三段階が全社展開と定着化である。日本製鉄はまず4,400シートで開始し、1カ月でTeams会議のAIメモ利用約2万件、メールスレッド要約約4,500件、社内ファイル検索のプロンプト送信5万回超という利用実態を確認したうえで、グループ全体で11,000シートまで拡大した。段階拡大の判断材料を利用データで持つ、というのが現在の定石である。教育面では、集合研修よりも「自部門の業務での使い方」を短い動画やランチセッションで繰り返し見せる方が効くというのが、OBC(月間利用率90%前後を維持)や三井物産(月間稼働率96%以上)の事例から得られる示唆だ。

展開の順序にも定石がある。扱う情報量が多くCopilotの守備範囲と重なる管理職・企画・間接部門から先に配り、工場や店舗のフロントライン人材は共有端末やライセンス体系の論点が別に立つため後段に回す。拡大の各波では、パイロットで検証済みのオンボーディング一式——キックオフ、職種別プロンプト集、チャンピオンによる実演——をパッケージとして繰り返し適用し、部門ごとの利用率の立ち上がりをダッシュボードで確認してから次の波へ進む。あわせてヘルプデスクに生成AI専用の一次対応窓口とFAQを整備し、パイロット期に育てた社内コミュニティとプロンプトライブラリを全社に開放する。導入初期の暫定措置として絞っていた検索範囲は権限是正が完了したサイトから順に開き、条件付きアクセスやモバイル統制は全社ポリシーへ昇格させる。展開とはライセンス配布ではなく、この運用一式の水平展開を指す。

定着化の敵は、導入直後の熱狂が冷めたあとに来る静かな利用低下である。物珍しさで使われる最初の数週間を過ぎると利用は必ず一度落ちるため、ダッシュボードで低利用部門を特定し、汎用研修の再実施ではなく、その部門の業務に即したチャンピオンの実演を投入する。OBCや三井物産の高い稼働率が示すように、決め手は業務プロセスへの正式な組み込みであり、会議の議事録はTeamsのAIメモを正とする、定例報告の初稿はCopilotで作る、といった業務ルール側の書き換えまで踏み込むと、利用は個人の意欲頼みから組織の標準へ変わる。新入社員や異動者のオンボーディングにCopilot研修を組み込み、AIガバナンス委員会が利用状況とインシデントを定例レビューする体制まで整えば、定着は属人的な運動ではなく仕組みとして回り始める。

日本のエンタープライズへのMicrosoft Copilot導入とLLMのガバナンス - 第三段階:全社展開と定着化——利用データで拡大を判断し、業務プロセスへ組み込む - 図表1

第四段階:エージェント拡張——ユースケース選定とクレジット設計で本番化する

日本のエンタープライズへのMicrosoft Copilot導入とLLMのガバナンス - 第四段階:エージェント拡張——ユースケース選定とクレジット設計で本番化する - 章扉

第四段階はエージェントへの拡張である。Copilot Studioで社内規程問い合わせボットや経費精算ガイドなどの定型エージェントを作り、さらに基幹システムと連携する業務エージェントへ進む。ここからはライセンス設計が変わり、Copilot Studioは2025年9月に課金単位が「メッセージ」から「Copilotクレジット」に変更され、月額29,985円で25,000クレジットのプリペイドパックか、1クレジット0.01ドル(約1.5円)の従量課金を選ぶ。クラシック応答1、生成応答2、エージェントアクション5、テナントグラフ参照10といった消費レートの積み上げでコストが決まるため、PoC段階で1会話あたりの平均クレジット消費を実測してから本番規模を見積もるのがコツである。2026年6月にGAとなったCopilot Coworkも利用量ベース課金であり、管理センターの「Cost Management Dashboard」で予算管理と利用監視を行う運用が前提になる。

エージェント化の入口は段階的に選べる。最も軽いのはSharePointサイト上の文書を根拠に回答するエージェントをサイトから直接作る方法で、根拠を明示できる範囲の質問応答ならこれで足りる。次がCopilot Studioの宣言型エージェントで、指示・参照ナレッジ・アクションを定義してMicrosoft 365 Copilotの画面内で動かす。さらに基幹システムのAPIやMCP経由の外部接続を伴う業務エージェントへ進むと、開発・検証・本番の環境分離やコネクタ利用の統制といったPower Platform側のガバナンス設計(後述)が本格的に必要になる。ユースケース選定の基準は一貫していて、根拠文書が整備済みで、間違えても被害が小さく、問い合わせ量の多い領域——就業規則や経理規程のFAQ、IT問い合わせ、営業資料の検索——から本番化し、判断を伴う業務や社外向けの適用は後に回す。あわせて全エージェントにオーナーと目的を登録させ、使われないまま放置された野良エージェントを定期的に棚卸しする台帳運用を、数が少ないうちに始めておく。

コスト設計はこの段階の主要議題である。プリペイドパックの単価は1クレジットあたり約1.2円と従量課金の約1.5円より2割ほど安いが、月内に使い切れなければ割高に転じるため、まず従量課金で始めて1会話あたりの平均クレジットと月間会話数を実測し、消費が安定して読めるようになってからプリペイドへ切り替えるのが順当だ。テナントグラフ参照の消費レートが10と重いことが示すとおり、社内データを検索するエージェントほど1会話あたりの消費は跳ねやすく、定型質問をクラシック応答で捌く、参照範囲を絞るといった応答設計がそのままコスト最適化になる。有料シートを持たない社員にも無償のCopilot Chat経由で従量課金エージェントを届けられるため、全社員向けの規程FAQはシート追加ではなくクレジット消費で賄う設計も選択肢に入る。Coworkのような利用量ベース課金も含めて、部門別・エージェント別の消費をCost Management Dashboardで月次レビューし、翌期予算と部門按分に反映するFinOpsの運用をここで確立しておく。エージェントの数と権限が増えるほど、統制の重心は「作らせない」から「すべて見えるようにする」へ移る——この台帳とコストの運用が、その先のLLMガバナンス設計の土台になる。

なお2026年4月15日以降、2,000シート以上の組織では、有料ライセンスを持たないユーザー向けのWord・Excel・PowerPoint・OneNote内Copilot Chatが順次利用できなくなった。無償機能で様子を見る戦略が取りにくくなったため、対象者の絞り込みとライセンス計画を早期に固める必要がある。

日本のエンタープライズへのMicrosoft Copilot導入とLLMのガバナンス - 第四段階:エージェント拡張——ユースケース選定とクレジット設計で本番化する - 図表1

LLMのガバナンスとはそもそも何か

日本のエンタープライズへのMicrosoft Copilot導入とLLMのガバナンス - LLMのガバナンスとはそもそも何か - 章扉

LLMガバナンスとは、大規模言語モデルを業務利用する際のリスクを、方針・体制・プロセス・技術統制の四層で管理する営みを指す。従来のITガバナンスと違うのは、システムの挙動が確率的で、入力(プロンプト)と参照データ次第で出力が変わる点だ。管理対象は大きく分けて、入力側(機密情報や個人情報をモデルに渡してよいか)、参照側(RAGや社内検索でモデルがアクセスできる範囲は適切か)、出力側(ハルシネーション、著作権、差別的表現をどう抑えるか)、そして運用側(誰がいつ何を聞いたかの監査、モデル更新時の再評価、インシデント対応)の四つに整理できる。

リスクが抽象論でないことは、実際の事故・脆弱性が示している。2025年6月に公表された「EchoLeak」(CVE-2025-32711、CVSSスコア9.3)は、Microsoft 365 Copilotに対する世界初のゼロクリック攻撃として注目を集めた。攻撃者が仕込みプロンプトを隠した一見無害なメールを送るだけで、ユーザーが何も操作しなくてもCopilotが機密データを外部に漏らし得るという「LLMスコープ違反」型の脆弱性で、発見したAim Securityの報告を受けマイクロソフトがサーバー側で修正済み、悪用は確認されていない。この事例は、LLMが「アクセスできる情報すべて」が攻撃対象領域になること、つまりアクセス権限の設計そのものがAIセキュリティであることを実証した。

もう一つ、日本企業で顕在化しているのが「過剰共有(オーバーシェアリング)」問題である。SharePoint上で「全社に共有」のまま放置された人事評価やM&A資料は、従来は「検索で見つけにくい」ことで事実上守られていたが、Copilotは権限のある情報を瞬時に見つけて要約してしまう。Copilotは権限外の情報には一切アクセスしない設計だが、権限設定そのものが緩ければ意味がない。導入前の権限総点検が国内プロジェクトの標準工程になったのはこのためだ。

こうしたリスクを組織的に管理する枠組みとして、国際的には三つの標準が事実上の共通言語になっている。米NISTの「AI Risk Management Framework」は、統治(Govern)、把握(Map)、測定(Measure)、管理(Manage)の4機能でリスク管理体制を整理する任意フレームワークで、2024年7月には生成AI固有のリスクを扱うプロファイルも追加された。ISO/IEC 42001:2023はAIマネジメントシステム(AIMS)の要求事項を定めた認証可能な国際規格で、日本では2025年8月にJIS Q 42001:2025として国内規格化された。EUのAI Actは法的拘束力を持つ規制で、2026年6月に確定した「デジタルオムニバス」により高リスクAIの義務適用が延期された(詳細は後述)ものの、生成AIコンテンツの透明性義務は予定通り2026年8月2日に発効する。

日本の制度も2025年から急速に整った。2025年5月28日に成立し9月1日に全面施行された「AI推進法」(人工知能関連技術の研究開発及び活用の推進に関する法律)は、罰則よりも振興と自主的取り組みを重視するイノベーション促進型の法律で、内閣にAI戦略本部を設置した。同法に基づく初の法定計画「人工知能基本計画」(副題は『信頼できるAI』による『日本再起』)が2025年12月23日に閣議決定され、AI利活用の加速、開発力強化、AIガバナンスの主導などを方針に掲げる。実務者向けには、総務省・経済産業省の「AI事業者ガイドライン」が2025年3月28日に第1.1版へ改訂され、EU AI Actや広島AIプロセスの国際行動規範報告枠組みが反映された。さらにAIセーフティ・インスティテュート(AISI)は2026年2月に「CAIO設置・AIガバナンス実務マニュアル(案)」を公表し、チーフAIオフィサーを置いた推進体制の型を示している。金融分野では金融庁が2025年3月の「AIディスカッションペーパー」第1.0版に続き、2026年3月に第1.1版を公表、AIエージェントを「特定の目標を達成するために自律的に行動するAIシステム」と定義する節を新設した。エンタープライズのLLMガバナンスは、これらの標準・法制と自社の統制をマッピングする作業だと言い換えてよい。

日本のエンタープライズへのMicrosoft Copilot導入とLLMのガバナンス - LLMのガバナンスとはそもそも何か - 図表1

Microsoft純正のガバナンス機構——Purviewと管理センターで何をどう設定するか

日本のエンタープライズへのMicrosoft Copilot導入とLLMのガバナンス - Microsoft純正のガバナンス機構——Purviewと管理センターで何をどう設定するか - 章扉

マイクロソフトはCopilot導入企業向けに、2026年5月更新の公式ブループリント「Secure & Governed Data Foundation for Microsoft 365 Copilot」で、過剰共有の是正(Remediate oversharing)、ガードレールの設置(Set up guardrails)、規制対応(Meet regulations)という三本柱の手順を示している。設定の流れを実務目線で追うと次のようになる。

まず過剰共有の是正である。Copilotライセンスに含まれるSharePoint Advanced Management(SAM)でサイト単位の共有状況レポートを取得し、「全社共有リンクが有効なサイト」「外部共有が有効なサイト」「アクセスの多い機密サイト」を洗い出す。是正が終わるまでの暫定措置として、テナント全体の検索対象を許可リスト方式に絞る「Restricted SharePoint Search」や、特定サイトをCopilotの参照対象から外す「Restricted Content Discovery」を適用し、その間にサイトオーナーへのアクセスレビューを回す。Microsoft Purviewの「Data Security Posture Management(DSPM)for AI」にはデータリスク評価(oversharing assessment)が用意されており、2026年のアップデートでSharePointのアイテム単位の調査・修復が可能になった。検出された問題ファイルに対し、解決、秘密度ラベル適用、所有者への通知、共有リンク削除という四つのアクションを管理画面から直接実行できる。なお従来型のDSPM画面は2026年9月30日に廃止され、データ資産全体とAI利用を一元的に扱う統合DSPMへ移行する。

次にガードレールである。中核は秘密度ラベル(sensitivity labels)で、「公開」「社内」「機密」「極秘」の3〜4層を設計し、自動ラベル付けポリシーで既存文書へ遡及適用する。Copilotはラベルの暗号化・権限設定を尊重し、応答にも参照元で最も厳しいラベルを継承させる。さらにPurviewのDLP(データ損失防止)をCopilotに適用すると、特定ラベル付き文書をCopilotの処理対象から除外したり、プロンプトにクレジットカード番号などの機微情報が含まれた場合に処理自体を拒否させたりできる。加えてEntra IDの条件付きアクセスで管理外デバイスからのCopilot利用を制限し、Intuneのアプリ保護ポリシーでモバイルからの情報持ち出しを抑える、という多層防御を組む。

三本目が規制対応と監査である。Copilotとのやり取り(プロンプトと応答)はPurviewの監査ログに記録され、eDiscoveryでの証拠保全、訴訟ホールド、保持ポリシーによるライフサイクル管理の対象にできる。金融機関など説明責任の重い業種では、「誰が・いつ・どのデータを根拠に・何を生成したか」を追跡できるこの監査証跡が、金融庁AIディスカッションペーパーの求める説明可能性への実務回答になっている。エージェント時代への備えとしては、2025年11月のIgniteで発表された「Agent 365」が、組織内の全エージェントを台帳化するレジストリ、最小権限のアクセス制御、エージェントと人・データの関係を可視化するダッシュボード、脅威からの保護という管理機能を提供する。

2026年に新しく重要になったのがモデル選択のガバナンスだ。2025年9月24日にAnthropicのClaudeモデル(Researcher エージェントにOpus 4.1、Copilot StudioにSonnet 4とOpus 4.1)が管理者オプトイン方式で加わった当初、モデルはマイクロソフト管理外の環境でホストされAnthropicの利用規約が適用されていた。その後AnthropicはMicrosoftのサブプロセッサーとして組み込まれ、2026年7月1日更新の公式ドキュメントによれば、現在はMicrosoft製品条項・データ保護追補(DPA)・顧客著作権コミットメントの適用下で、EU・EFTA・英国を除く商用クラウドの大半のテナントで既定オンになっている(2026年6月時点の最新モデルはClaude Opus 4.8)。ただしAnthropicモデルはEUデータ境界や国内処理コミットメントの対象外であること、そして「データ保持を伴うプレビューモデル」(Claude Fable 5/Claude Mythos 5など)は例外的にAnthropicが独立のデータ処理者として最大30日間入出力を保持するため常に既定オフで、テナント管理者が明示的に有効化しない限り誰も使えないことは、データ所在地要件を持つ日本企業が必ず確認すべきポイントである。管理は Microsoft 365管理センターの「Copilot > 設定 > AI providers operating as Microsoft subprocessors」で行い、Entraセキュリティグループ単位で利用者を絞り込める。「研究開発部門のみClaude許可、他部門はOpenAIモデルのみ」といった段階的な運用が現実解になっている。

Azureを含めたシステム構成——複数のベストプラクティス

日本のエンタープライズへのMicrosoft Copilot導入とLLMのガバナンス - Azureを含めたシステム構成——複数のベストプラクティス - 章扉

Copilot活用のシステム構成には、統制水準とカスタマイズ度に応じて四つの代表パターンがある。

第一のパターンは「SaaS完結型」で、Microsoft 365 Copilotをテナント内で完結させる構成である。データはMicrosoft 365サービス境界の内側に留まり、顧客データがモデルの学習に使われることはなく、追加のインフラ構築は不要だ。前章のPurview/SAM整備が実質的なアーキテクチャ作業のすべてであり、9割の企業にとって最初の一歩はこれで足りる。統制上の論点はモデル選択(Anthropicモデルの扱い)とログ保全の設計に集約される。

第二は「Copilot Studio拡張型」である。SaaSの使い勝手を保ったまま、コネクタやModel Context Protocol(MCP)経由で基幹システム・SaaSの実データに接続するエージェントを組む。2026年にはMCPベースの「フェデレーテッドコネクタ」が加わり、数百のSaaSのライブデータをCopilotの文脈に取り込めるようになった。Power Platform管理センターの環境戦略(開発・検証・本番の分離、Managed Environments、DLPポリシーでの利用可能コネクタ制限)がガバナンスの要で、野良エージェントを防ぐには「作れる人を絞る」のではなく「作ってよい場所と接続先を絞る」のが定石である。市民開発で約500体のエージェントを展開した東京建物の事例は、この型の到達点を示している。

第三は「Microsoft Foundry+RAG自社開発型」で、基幹業務へのAI組み込みや顧客向けサービスに使う。ベストプラクティスはマイクロソフトのAzure Architecture Centerに「Baseline Microsoft Foundry Chat Reference Architecture in an Azure Landing Zone」としてコード付き(Bicep/Terraform)で公開されており、要点は、AI専用の特別扱いをせずCloud Adoption Frameworkのアプリケーションランディングゾーンに載せること、Private Endpoint とプライベートDNSゾーンでモデルエンドポイントを閉域化すること、FoundryのプロジェクトをRBACの分離単位としてチームごとに切ることだ。モデルのデプロイ方式は、世界中のリージョンで処理される「Global Standard」、地理的境界内で処理される「Data Zone」(EU・米国向け)、東日本などリージョン固定の「Standard」、そして確定容量を予約する「PTU(プロビジョンドスループット)」から選ぶ。日本のデータレジデンシー要件が厳しい場合は東日本リージョン固定を選ぶことになるが、最新モデルの提供はグローバル配置が先行する時期があるため、「機微データは東日本固定の安定モデル、一般用途はGlobal Standardの最新モデル」と用途で使い分けるのが現実的だ。

第四が「AIゲートウェイ型」で、複数部門・複数モデルを本格運用する大企業の終着点である。Azure API Management(APIM)のGenAIゲートウェイ機能を全LLMトラフィックの関所とし、部門・アプリ単位のトークン上限(TPM制限・期間クォータ)、複数バックエンドへの負荷分散とサーキットブレーカー、意味的に同じ質問への応答を再利用するセマンティックキャッシュ、Azure AI Content Safetyによるプロンプトモデレーションをポリシーとして一元適用する。OpenAI、Anthropic、さらにAmazon Bedrockなど他社モデルも単一エンドポイントの背後に束ねられるため、モデルの乗り換えやマルチベンダー化をアプリ改修なしで行える。トークン消費のメータリングを部門別に取れることは、AI費用の按分(FinOps)にも直結する。マイクロソフトはFoundry用とAPIMゲートウェイ用のランディングゾーンをGitHubの「AI-Landing-Zones」リポジトリで公開しており、これを出発点に自社ポリシーを差し込むのが2026年の標準的な進め方である。

いずれのパターンでも共通するのは、監視と評価の運用をあらかじめ組み込むことだ。Log Analyticsへのプロンプトログ、レイテンシ、トークン消費の集約、Foundryの評価機能による回答品質の定点観測、リリース前のレッドチーミング、そしてPurviewによる利用監査を、構築時の受け入れ条件に含めておくと、後からのガバナンス後付けで手戻りすることがない。

日本のエンタープライズへのMicrosoft Copilot導入とLLMのガバナンス - Azureを含めたシステム構成——複数のベストプラクティス - 図表1

具体的な構築手順——日本の大企業ユースケースに学ぶ

日本のエンタープライズへのMicrosoft Copilot導入とLLMのガバナンス - 具体的な構築手順——日本の大企業ユースケースに学ぶ - 章扉

実例が最良の教科書である。マイクロソフトの導入事例と各社発表から、日本の大企業の到達点を追ってみる。

住友商事は日本企業として初めてMicrosoft 365 Copilotをグローバル全社導入した企業で、2024年4月から海外グループ会社を含む約9,000人が一斉利用を開始した。社内イントラネットの蓄積情報から質問に答える「社内相談AI」を整備し、情報検索時間を大幅に削減、部門チャンピオンによる活用事例の横展開で定着を図っている。同社はコスト削減効果を年間約12億円と公表しており、ITmediaが2026年2月に報じたインタビューでも月間アクティブ率約90%という定着ぶりが示された。日本製鉄は対照的に段階拡大型で、戦略部門から4,400シートで開始し、利用データ(月2万件の会議AIメモ等)で効果を確認しながらグループ11,000シートへ広げた。九州電力グループは従業員約1万人へ全社導入し、現場から経営層までの情報流通の速さを変革の梃子にしたとされる。三井物産は月間稼働率96%以上という定着度を公表しており、これは配布したライセンスがほぼ全員に毎月使われている状態を意味する。東京建物は全社導入に加えてCopilot Studioの市民開発で約500体のエージェントを展開し、「教えすぎない、作り込みすぎない」を合言葉に現場主導の活用文化を作った。中堅規模ではOBCが1,115ライセンスで全社展開を完了し、月間利用率90%前後を維持している。金融分野では、東京海上ホールディングスが2026年3月、金融機関として初めて東大発スタートアップCitadel AIのAIガバナンスツールを全面採用したと同社が発表しており、モデル検証・監視を外部ツールで体系化する動きが始まった。

これらを踏まえ、従業員3万人の製造業を想定した12カ月の構築手順を具体的に描くと次のようになる。最初の3カ月は基盤整備に充てる。情報システム部門はSAMのレポートで全SharePointサイトの共有状況を棚卸しし、「全社共有」設定のサイト上位200件をオーナーレビューにかけ、並行してPurviewで「社外秘」「部外秘」の秘密度ラベルを設計、人事・経理・M&A関連ライブラリに自動ラベルを適用する。この間、Restricted SharePoint Searchで検索範囲を主要ポータルに限定しておき、DSPM for AIの過剰共有評価を週次で回して残リスクを数値管理する。法務・リスク部門はAI利用ポリシー(禁止用途、人による確認が必須の場面、著作権・個人情報の扱い)をAI事業者ガイドライン第1.1版を参照して策定し、CAIO相当の責任者と部門横断のAIガバナンス委員会を設置する。

次の3カ月がパイロットである。経営企画、設計開発、営業、工場管理部門から計500人を選び、Copilotライセンスを付与、週次でCopilot Dashboardの利用率と「1週間で節約できた時間」の自己申告を突き合わせる。うまくいく企業はここでKPIを「利用率70%以上、1人週2時間以上の削減実感」のように定量化し、未達の部門には研修ではなくチャンピオンの実演セッションを投入する。7〜9カ月目に全社展開の判断を行い、管理職と間接部門から順に2万シートへ拡大、条件付きアクセスとIntuneのモバイル統制を全社ポリシーに昇格させる。最後の3カ月でエージェント拡張に入り、Copilot Studioの本番環境を分離したうえで、就業規則・経理規程の問い合わせエージェント、設計文書の検索エージェントなど「間違えても被害の小さい」ユースケースから本番化し、クレジット消費の実測値で翌年度予算を組む。基幹システム連携や顧客向け適用はFoundry+AIゲートウェイの検討に切り出し、初年度には含めないのが安全である。

この手順で最も重要なコツは、権限是正とラベル設計を「Copilot導入の前工程」として予算化することだ。国内プロジェクトの遅延要因は技術ではなく、放置されてきたデータガバナンス負債の精算にある。逆に言えば、この精算はCopilotがなくても本来やるべきだった投資であり、経営への説明では「AI導入費」ではなく「データ資産の健全化とAI活用の同時実現」として位置づけると通りやすい。

日本のエンタープライズへのMicrosoft Copilot導入とLLMのガバナンス - 具体的な構築手順——日本の大企業ユースケースに学ぶ - 図表1日本のエンタープライズへのMicrosoft Copilot導入とLLMのガバナンス - 具体的な構築手順——日本の大企業ユースケースに学ぶ - 図表2

日本のコンサル・SIerはどう動いているか——各社サービスと報道の論調

日本のエンタープライズへのMicrosoft Copilot導入とLLMのガバナンス - 日本のコンサル・SIerはどう動いているか——各社サービスと報道の論調 - 章扉

供給側の布陣は2026年に入って一気に厚くなった。日経クロステックは「国内大手IT4社のAIエージェントサービスが出そろった」と報じ、各社が得意領域から攻める構図を伝えている。NTTデータは生成AI活用の包括支援(組織変革からデータ基盤、プラットフォーム構築まで)を掲げ、日本経済新聞によれば2026年度中にITシステム開発をほぼ生成AIが担う技術の導入を目指すという。富士通は2026年1月、企業が専有環境で自社最適化した生成AIモデルやエージェントを自律的に開発・改善できる「Fujitsu Kozuchi Enterprise AI Factory」を発表し日欧で提供を開始するほか、Microsoft 365 Copilotのエージェントとして動く「Fujitsu AI Auto Presentation」をヘッドウォータースと共同開発した。NECは業務ノウハウを自動抽出して組織で共有する独自エージェント技術「cotomi Act」を2026年1月に投入し、日立グループでは日立ソリューションズがCopilot Studioによる業務アプリ開発支援サービスを早くから展開している。

コンサルティング側では、アビームコンサルティングがCopilot StudioによるAIエージェント構築支援を体系化し、NECグループのMicrosoft 365 Copilot利用推進を支援した実績を公開、さらにNECと組んで業務プロセス・データ基盤・ガバナンスを一体で再設計する「共創型BPX」を打ち出した。マイクロソフト専業に近い日本ビジネスシステムズ(JBS)は導入企業向けのコミュニティ支援サービスを提供し、技術ブログでCopilot Coworkのコスト管理やエージェント活用ユースケースを発信し続けている。こうした「導入して終わり」ではなく定着・内製化まで伴走するサービスへの重心移動が、2026年の国内市場の特徴である。

調査・報道の論調は「普及は進んだが成果はこれから」で一致している。PwC Japanグループの「生成AIに関する実態調査2026春」(6カ国比較)では、日本企業の生成AI活用・推進度は87%と前回から11ポイント上昇し未着手はわずか4%になった一方、効果を「期待以上・期待通り」とする割合は6カ国中最下位だった。PwCは、期待を上回る企業の共通点として経営直下の推進体制、AIエージェントの導入、業務プロセスへの正式な組み込み、複数モデルの活用を挙げる。デロイト トーマツのプライム上場企業調査でも、生成AIツール導入率64.4%、AIエージェント導入率29.7%に達し、約4割が生成AI導入に伴う人員の配置転換を実施したとされ、「使う」から「業務を作り替える」への移行が数字に表れ始めた。海外アナリストでは、Directions on Microsoftがマイクロソフトの有料シート公表値を検証しつつ、Anthropicモデル追加を「選択肢と同時にリスクも増やす」と論評するなど、ガバナンス面の論点提示が増えている。日経クロステックの連載「Microsoft 365 Copilot活用大全」やオリックス・レンテックの「権限設計と情報ガバナンス」解説のように、国内メディアの記事も機能紹介から権限・ガバナンス実務へと明確にシフトした。金融向けには大和総研が2026年4月に金融庁AIディスカッションペーパー第1.1版の解説レポートを出すなど、規制文書の実務翻訳も充実してきた。

日本のエンタープライズへのMicrosoft Copilot導入とLLMのガバナンス - 日本のコンサル・SIerはどう動いているか——各社サービスと報道の論調 - 図表1

市場データと資本の流れ——出資・提携の勢力図

日本のエンタープライズへのMicrosoft Copilot導入とLLMのガバナンス - 市場データと資本の流れ——出資・提携の勢力図 - 章扉

市場規模の予測は強気一色である。IDCが2026年3月に公表した「Worldwide AI and Generative AI Spending Guide 2026V1」によれば、日本国内のAI市場支出は2025年の2兆3,725億円から2029年には6兆8,897億円へ、年平均36.0%で成長する。とりわけAIエージェントが牽引するAIソフトウェアは年平均48.9%と全体を上回る伸びが見込まれ、2026年の国内AIインフラ投資は8,210億円と前年比18%超の増加が予測されている。

この需要を当て込んだインフラ投資と資本提携が、2026年上期の最大のニュースだった。マイクロソフトは2024年4月に発表した29億ドル(約4,400億円)の対日投資に続き、2026年4月3日、ブラッド・スミス社長が来日して高市首相と会談し、2026年から2029年にかけて100億ドル(約1兆6,000億円)を日本のAIインフラ、サイバーセキュリティ協力、人材育成に投じると発表した。国内データセンターの拡張に加え、さくらインターネットおよびソフトバンクと連携して国内設置GPUによるAI計算資源を提供すること、2030年までに100万人超のAI人材を育成することが柱で、CNBCによれば発表を受けてさくらインターネット株は20%急騰した。

モデル供給側の勢力図も動いている。マイクロソフトとOpenAIは2025年10月に資本関係を再編し、マイクロソフトはOpenAIの営利法人の約27%(公表時評価額で約1,350億ドル、約21兆円相当)を保有する。一方で2025年11月18日にはマイクロソフト・Anthropic・NVIDIAの三社提携が発表され、AnthropicはAzureの計算資源を300億ドル(約4兆7,000億円)分購入することをコミットし、NVIDIAは最大100億ドル(約1兆6,000億円)、マイクロソフトは最大50億ドル(約7,700億円)をAnthropicに出資する。CopilotやFoundryでOpenAIモデルとClaudeが並ぶマルチモデル体制は、この資本構造に裏打ちされている。

日本市場固有の動きでは、ソフトバンクグループとOpenAIが折半出資する合弁会社「SB OAI Japan」が2025年11月5日に発足し(ソフトバンク株式会社の連結子会社)、OpenAIが2026年2月5日に発表した法人向けAIプラットフォーム「Frontier」を基盤とする企業向けAI「クリスタル・インテリジェンス(Cristal intelligence)」の国内展開を2026年中に予定する。ソフトバンクの宮川社長は「Crystalは異次元」と述べ、まず自社内での検証を進めていると業界誌BUSINESS NETWORKが伝えた。通信系ではKDDIが国産LLMスタートアップのELYZAを傘下に持ち、富士通はカナダCohereとの提携に基づく日本語特化LLM「Takane」を展開する。AIガバナンス領域では、前述のCitadel AIがNEDOのAIセーフティ強化研究開発を担い、デロイト トーマツとAI品質検証で提携するなど存在感を増しており、AIセキュリティの草分けだったRobust Intelligence(共同創業者は日本人の大柴行人氏)が2024年に米Ciscoに買収された例も含め、「AIを検証・統制する技術」自体が投資対象になっている。

日本のエンタープライズへのMicrosoft Copilot導入とLLMのガバナンス - 市場データと資本の流れ——出資・提携の勢力図 - 図表1日本のエンタープライズへのMicrosoft Copilot導入とLLMのガバナンス - 市場データと資本の流れ——出資・提携の勢力図 - 図表2

今後の展望——2026年後半から2027年にかけて計測される動き

日本のエンタープライズへのMicrosoft Copilot導入とLLMのガバナンス - 今後の展望——2026年後半から2027年にかけて計測される動き - 章扉

直近では、昨日2026年7月1日に発効したMicrosoft 365基盤スイートの値上げが日本企業のTCOを直撃する。2025年12月4日に予告されたもので、Microsoft 365 E3は月額36ドルから39ドル(約5,600円から約6,000円)へ8.3%、E5は57ドルから60ドル(約8,800円から約9,300円)へ5.3%、Office 365 E3は23ドルから26ドル(約3,600円から約4,000円)へ13%、Business Standardは12.50ドルから14ドル(約1,900円から約2,200円)へ12%上がる(Business PremiumとOffice 365 E1は据え置き)。Copilotアドオン自体の価格は変わらないが、基盤コストの上昇はCopilot予算の圧縮要因になるため、2026年度下期の更新契約では値上げ幅とCopilot拡張のバランス調整が各社の宿題になる。7月末に発表されるマイクロソフトのFY26通期決算では、2,000万シートからの伸びと、Cowork型の従量課金収益がどれだけ立ち上がったかが注目点だ。

規制面のマイルストーンは明確である。EUでは高リスクAIの義務適用がデジタルオムニバス(2026年5月6日政治合意、6月16日欧州議会承認、6月29日理事会最終承認)でスタンドアロン型は2027年12月2日、製品組込型は2028年8月2日へ延期された一方、AIとの対話や生成コンテンツであることの開示を求める第50条の透明性義務は予定通り2026年8月2日に適用が始まり、生成コンテンツへの機械可読な表示(ウォーターマーク等)は2026年12月2日が実装期限となる。欧州で事業を持つ日本企業は、延期に安堵するのではなく、透明性対応を先に片付けたうえで高リスク対応のロードマップを引き直すことになる。国内では、人工知能基本計画に基づく分野別ロードマップが2026年夏に示されると報じられており、AISIのCAIOマニュアルの正式版化、金融庁AIディスカッションペーパーの次期改訂、JIS Q 42001認証取得企業の広がりが、日本企業のガバナンス実装を測る指標になる。

製品面では、エージェントの「管理」が主戦場になる。2026年後半には、Agent 365によるエージェント台帳・権限管理の本格採用、Copilot Studioの2026リリースウェーブ1で予告されたエージェントガバナンス強化、Cowork・Scoutに続く自律エージェント(Autopilot)群の拡充、そしてMCP対応フェデレーテッドコネクタによる外部SaaS接続の一般化が進む。7月15日には米政府クラウド(GCC)の非連邦顧客向けにAnthropicモデル設定の展開が始まる予定で、政府領域へのマルチモデル展開はISMAPやガバメントクラウドを運用する日本の公共分野にとっても先行指標になる。11月に例年開催されるIgnite 2026では、エージェントの安全性・監査・課金をめぐる管理基盤の拡充が発表の中心になるとみられ、SB OAI Japanのクリスタル・インテリジェンス商用展開、NECのcotomi Act、富士通のEnterprise AI Factoryが国内エンタープライズでどこまで実装例を積むかが、2027年の国内市場の勢力図を決める。

日本のエンタープライズへのMicrosoft Copilot導入とLLMのガバナンス - 今後の展望——2026年後半から2027年にかけて計測される動き - 図表1

SIer視点の実務総括——「入れてから考える」から「設計して入れる」へ

日本のエンタープライズへのMicrosoft Copilot導入とLLMのガバナンス - SIer視点の実務総括——「入れてから考える」から「設計して入れる」へ - 章扉

現場を担う立場から2026年上期の状況を総括すると、Copilot導入の成否を分ける変数は三つに絞られてきた。第一にデータの下地である。権限是正と秘密度ラベルという地味な前工程に投資した企業だけが、EchoLeakが示したようなAI固有の攻撃面を抑えつつ、検索や要約の品質で成果を出している。第二に定着の設計である。三井物産の月間稼働率96%やOBCの利用率90%は偶然ではなく、チャンピオン制度とダッシュボードによる定量管理の産物であり、「配って終わり」の導入では利用率の壁を超えられない。第三にガバナンスの拡張性である。モデルがOpenAI一択からClaude併用へ、利用形態がチャットからCowork・Scoutのような自律エージェントへ広がるなか、Anthropicサブプロセッサー設定のようなテナント管理、Agent 365のような台帳管理、APIMゲートウェイのような技術統制を先回りで設計した企業が、次の一手を最速で打てる。

日本のAI推進法とAI基本計画は規制で縛るより活用を促す設計であり、EUの延期判断も含め、2026年は「規制を待つ」理由が消えた年である。裏を返せば、ガバナンスの水準は各社の設計力に委ねられた。Microsoft 365 CopilotとAzure、そして国内外のパートナーエコシステムは、その設計を実装に落とすための部品をすでに揃えている。問われているのは部品の有無ではなく、自社の業務とリスクに合わせてそれらを組み上げる意思決定の速さである。