「情報漏洩だけは絶対に避けたいので、二年ほど前にDLPを一通り設定してもらったんです。ただ、その後は誰もさわっていなくて。今も本当に効いているのか、正直に言うとよく分かっていません」——先日、社員七十名ほどの会社のIT担当者から受けた相談です。
DLP(Data Loss Prevention、情報漏洩防止)は、マイナンバーやクレジットカード番号、機密ファイルといった「外に出てはいけない情報」が、メールや共有・外部リンクで漏れ出そうになったときに、警告したり止めたりする仕組みです。問題は、これが一度設定すれば終わりの機能ではないことにあります。事業が変わり、使うツールが増え、扱う情報の種類が増えれば、二年前に作ったルールは静かに現実からずれていきます。本記事では、DLPを陳腐化させず運用し続ける進め方を、受託で伴走する立場から書きます。
なぜDLPは「作った初月」がいちばん効いていて、あとは劣化するのか
DLPが劣化する理由は、機能が壊れるからではありません。会社のほうが変わり続けるからです。
新しい取引先とのやり取りが増えて、それまで想定していなかった形式の資料を送るようになる。新しいSaaSを導入して、機密データの置き場所が増える。部署が増え、扱う個人情報の種類が変わる。こうした変化のたびに、「守るべき情報」と「実際に検知しているルール」の間に隙間が生まれます。設定した初月はぴたりと合っていたルールが、一年後には半分しか現実をカバーしていない、ということが普通に起きます。
しかも厄介なのは、劣化しても画面上はエラーが出ないことです。ルールは動き続けているように見える。だから「たぶん大丈夫」のまま放置され、実際に漏洩が起きたときに初めて穴に気づく。機密ファイルの所在が把握できなくなる問題はドライブのAI分類の記事でも触れましたが、DLPも同じで、放置は「効いているつもり」を生むのがいちばん怖いのです。
2026年6月の変化 — DLPルールを「コードとして管理できる」ようになった
ここで効いてくるのが、2026年6月に入ったGoogle WorkspaceのDLP APIの拡張です。これまでDLPのルールや検出条件はAPIから参照する(読む)ことしかできませんでしたが、新たに作成・更新・削除の操作が加わりました。
これが実務にとって何を意味するか。管理コンソールの画面を一つずつ手でクリックして直すのではなく、ルールの一式をコードや設定ファイルとして持ち、点検し、まとめて更新できるようになったということです。どんなルールが今動いているのかを一覧で棚卸しでき、変更の履歴を残せ、「四半期ごとにルールを見直す」といった運用を仕組みとして回せます。手作業の設定は、誰がいつ何を変えたのか分からなくなりがちですが、コードとして管理すれば、その透明性が保てます。
受託で最初にやるのは「新しいルール追加」ではなく「今あるルールの棚卸し」
相談を受けたとき、私たちがまず着手するのは新しい検知ルールを足すことではありません。今どんなルールが動いていて、それが今の業務と合っているかを棚卸しすることです。
二年前のルールには、もう使っていないツール宛ての例外が残っていたり、今いちばん守りたい情報がそもそも対象になっていなかったりします。ここを整理せずにルールを足すと、誤検知が増えて現場が警告に慣れてしまい、かえって危険です。棚卸しで「守るべき情報の実態」と「今のルール」のずれを可視化し、そこから優先順位をつけて直していく。DLP APIでルールを一覧化できるようになったことは、この棚卸しを現実的な手間で回せるようにしてくれました。
事例: 誤検知が多すぎて「みんなが警告を無視していた」会社
具体例を挙げます(社名は伏せます)。個人情報を扱う業務があり、過去にDLPを導入していた会社から相談を受けました。ところが実態は、共有のたびに警告が出すぎていて、社員全員が警告を反射的に閉じるのが習慣になっていました。これでは、本当に危険な一件が来ても誰も止まりません。
そこで、まず実際に流れている警告を一定期間集計し、どのルールが業務上あたり前の操作にまで反応しているかを洗い出しました。そのうえで、明らかに過剰なルールを絞り、逆に本当に守るべき情報で抜けていた検知を足し直しました。結果として警告の総数は大きく減り、残った警告は「本当に確認すべきもの」だけになった。効いたのは高度な検知の追加ではなく、現場が警告を信じられる状態に戻したことでした。内部からの持ち出しを見つける仕組みは監査ログとアラートの記事ともあわせてご覧ください。
止めるより先に「業務を止めない」を設計する
DLPで最後まで気をつけるべきは、厳しくしすぎて業務が止まることです。すべてをブロックにすれば漏洩は防げますが、正当なやり取りまで止まり、現場は「DLPは邪魔なもの」として抜け道を探し始めます。それでは本末転倒です。
だから私たちは、いきなり全面ブロックにはせず、まず「警告して記録する」段階から入り、実際のログを見ながら本当に止めるべき操作だけをブロックに引き上げていきます。メールの誤送信による漏洩対策はGmailの誤送信・外部漏洩防止の記事で詳しく扱っていますが、考え方は共通で、現場が回る強さに調整し続けることが肝です。
情報漏洩対策のDLPを昔入れたきり点検できていない、警告が多すぎて形骸化している、そもそも今のルールで守れているのか不安——そうしたお悩みがあれば、グリームハブのIT・Google Workspace無料相談からお気軽にお問い合わせください。今あるルールの棚卸しから、業務を止めない運用設計、定期点検の仕組み化まで、無理のない範囲でご一緒します。