顧客リストを個人Gmailへ送れてしまう会社 — DLPで止める | GH Media
URLがコピーされました

顧客リストを個人Gmailへ送れてしまう会社 — DLPで止める

URLがコピーされました
顧客リストを個人Gmailへ送れてしまう会社 — DLPで止める

「退職が決まっていた営業担当が、最終出社の週に、担当顧客の一覧と見積書のフォルダを自分の個人Gmailアドレスへ何通かに分けて送っていました。気づいたのは本人が辞めた後、監査ログをたまたま見返したときです」——従業員100名弱の会社で、実際に起きた話です。持ち出された情報は取引先の連絡先と価格。悪意があったかは本人に確認できず、ただ「送れてしまう状態だった」という事実だけが残りました。

多くの会社が入れている情報漏洩対策は、宛先の色分けや送信取り消しといった「うっかり」を減らす仕組みです。これは有効ですが、人の注意力を前提にしており、意図的な持ち出しや、注意しても起きる大量送信は止められません。2026年、Google Workspace は DLP(Data Loss Prevention=情報漏洩防止)のルールを Gmail・Chat・ドライブで統一し、メールやファイルの中身を検査して、条件に当たったら自動で送信をブロック・取り消すことができるようになりました。本記事では、この仕組みの考え方と、中小企業がどこから始めればよいかを整理します。

「うっかり対策」だけでは持ち出しは止まらない

まず、既存の対策との役割の違いを押さえます。宛先を間違えて送ってしまう事故への備え——Gmail の誤送信・情報漏洩対策で扱ったような、送信取り消しや情報保護モードは、人が気をつけることを支える仕組みです。これは日々のミスを確実に減らします。

しかし、冒頭のような「本人がその気で送る」ケースや、「業務で毎日大量にメールを送るなかに紛れる持ち出し」には、注意喚起は効きません。必要なのは、送ろうとしている内容そのものを機械が見て、危ないものは通さないという別レイヤーの守りです。ここを担うのが DLP です。誤送信対策が「人の手すべり」を防ぐのに対し、DLP は「内容ベースで自動判定して止める」——両者は競合ではなく、重ねて使うものです。

DLPは「中身を見て、条件に当たったら自動で止める」

DLP の基本は、あらかじめ決めた検知条件(クレジットカード番号らしい文字列、マイナンバーの形式、「顧客リスト」と分類ラベルの付いたファイルなど)に、送られようとしているメールやファイルが当てはまるかを自動で判定し、当てはまったらあらかじめ決めた動作(警告して確認を求める/送信をブロックする/送信後に取り消す)を実行する、というものです。

2026年の統合により、この同じルールをドライブの共有・Gmail の送信・Chat の投稿にまたがって適用できるようになりました。「顧客の個人情報を含むものは社外ドメインへ出さない」という一つの方針を、ファイル共有でもメールでもチャットでも同じ基準で効かせられます。窓口ごとにバラバラだったザルの目を、一枚のルールで塞ぐイメージです。あわせて、Gemini など AI がこうした機微データにアクセスする範囲も DLP で制限でき、監査ログとアラートによる事後検知と組み合わせると、「事前に止める」と「後から追う」の両輪がそろいます。

どんなルールから始めるか

いきなり全項目を厳しくブロックすると業務が止まります。効果と副作用のバランスから、優先度をつけて始めるのが現実的です。

検知する内容最初の推奨アクション
マイナンバー・パスポート番号など法定の重要個人情報社外送信をブロック(誤検知が少なく、影響も甚大なため最優先)
クレジットカード番号らしい文字列警告+送信前に本人へ確認を求める
「顧客リスト」「機密」などのラベルを付けたファイル社外ドメインへの共有・添付をブロック、または上長承認を必須化

肝心なのは、まず「何を守りたいか」を決めることです。あれもこれもと検知条件を盛ると誤検知だらけになり、現場が警告に慣れて形骸化します。守るべき情報の種類を数個に絞り、そこから始めるのが定着のコツです。守るべき項目の洗い出しは、セキュリティ設定チェックリストの棚卸しと同じ流れで進められます。

入れ方を間違えると業務が止まる — 段階導入

DLP は「ブロック」という強い動作を持つぶん、設計を誤ると正当な業務メールまで止めてしまいます。安全な導入手順は、まず検知だけを有効にして様子を見る(監査モード)ことです。実際の業務でどれくらい条件に引っかかるか、そのうち何が誤検知かを数週間観察し、ルールを調整します。誤検知が十分に減ってから、警告→ブロックへと動作を強めていきます。この段階を踏まずにいきなりブロックで入れると、「請求書が送れない」「見積もりが共有できない」といった業務停止を招き、結局ルールごと無効化される——という失敗が起きがちです。

情報の持ち出しは、起きてからでは取り返せません。うっかり対策は入れているが意図的な持ち出しには無防備、退職者の持ち出しが不安、そもそも何を守るべきか整理できていない——そうした状況であれば、グリームハブの Google Workspace 運用支援・IT 相談へお気軽にご相談ください。守るべき情報の洗い出しから、業務を止めない DLP の段階導入までご一緒に設計します。

Sources

URLがコピーされました

グリームハブ株式会社は、変化の激しい時代において、アイデアを形にし、人がもっと自由に、もっと創造的に生きられる世界を目指しています。

記事を書いた人

鈴木 翔

鈴木 翔

技術の可能性に魅了され、学生時代からプログラミングとデジタルアートの分野に深い関心を持つ

関連記事

「Google Workspace」の記事一覧を見る