お問い合わせ
AI NOTE — 019

GoogleカレンダーにDLPポリシーを設定する方法——機密情報漏洩の防止とGeminiリスクへの対処

PUBLISHED2026.04.21
READ9 分
CATEGORYAI

「あー、またやっちゃったな…」

情シスとして、日々情報セキュリティには気を配っているつもりでも、ヒヤリとする瞬間はありますよね。特に、会議室の予約やイベント作成でGoogleカレンダーを使う際、うっかり機密性の高い情報がタイトルや説明に入力されてしまい、意図せず社外秘情報が共有されてしまう、なんて経験はありませんか?

例えば、M&A関連の会議や人事評価に関するイベント、新製品開発のプロジェクト名など、本来なら特定のメンバーにしか見せてはいけない情報が、カレンダーの共有設定ミスや閲覧権限の広いアカウントによって、社内の誰もが見られる状態になっていた…なんて話は、決して他人事ではありません。

さらに、最近話題になっている生成AIの利用に伴う情報漏洩リスクも気になるところです。Google WorkspaceにGeminiが統合される中で、カレンダーのイベント情報がAIの学習データに使われたり、意図しないプロンプトインジェクションによって機密情報が引き出されたりする可能性はないのでしょうか?

Google WorkspaceのDLP(Data Loss Prevention)機能は、このような情報漏洩リスクを低減するための強力なツールです。そして、2026年2月にGoogle Workspace Updates公式ブログで発表された「DLP for Calendar」のベータ開始は、情シスにとって待望の機能です。

この記事を読んだほうが良い人

  • Google Workspaceのセキュリティ強化を検討している情シス担当者
  • Googleカレンダーからの情報漏洩リスクに不安を感じている方
  • DLP for Calendarの具体的な設定方法を知りたい方
  • 生成AI(Gemini)とGoogle Workspaceの連携におけるセキュリティリスクに関心がある方
  • 組織単位(OU: Organizational Unit の略で、ユーザーやデバイスをグループ化する管理単位)で柔軟なセキュリティポリシーを適用したいと考えている方

GoogleカレンダーDLPの概要とメリット

Google WorkspaceのDLP機能は、特定の機密情報(クレジットカード番号、個人識別情報、社外秘のプロジェクトコードなど)が組織外へ共有されるのを防ぐための仕組みです。これまではGmailやGoogleドライブが主な対象でしたが、2026年2月にベータ提供が開始された「DLP for Calendar」により、Googleカレンダーのイベント情報も保護対象となりました。

DLP for Calendarで何ができるのか

DLP for Calendarは、以下のカレンダーイベントフィールドをスキャンし、設定したポリシーに違反する機密情報が含まれていないかチェックします。

  • イベントタイトル
  • イベントの説明
  • イベントの場所

ポリシーに違反する情報が検出された場合、情シスは以下の3つのアクションから選択できます。

  1. 監査: 検出された情報をログに記録し、管理者に通知します。情報漏洩は防ぎませんが、状況把握に役立ちます。
  2. 警告: イベント作成者に対して、機密情報が含まれている可能性があることを警告します。作成者は警告を無視してイベントを作成することも可能です。
  3. ブロック: イベントの作成や更新を完全にブロックし、機密情報が共有されるのを防ぎます。

この機能は、Google Workspace管理コンソールのヘルプ(About DLP for Calendar beta)によると、Frontline Standard / Frontline Plus、Enterprise Standard / Enterprise Plus、Education Fundamentals / Education Standard / Education Plus、Enterprise Essentials、Cloud Identity Premiumの各エディションで利用可能です。組織全体または特定の組織単位(OU)に適用できるため、部署や役職に応じた柔軟なセキュリティポリシーを構築できます。

DLP for Calendarを導入するメリット

  • 偶発的な情報漏洩の防止: ユーザーの不注意による機密情報の共有を未然に防ぎます。
  • コンプライアンス遵守の強化: 業界規制や社内ポリシーに沿った情報管理体制を構築しやすくなります。
  • シャドーITリスクの低減: 従業員がカレンダーで機密情報を共有する際に、意図しない経路での情報流出を防ぎます。

Gemini統合とカレンダー情報漏洩リスクへの対処

Google Workspaceにおける生成AI(Gemini)の統合は、業務効率化の大きな可能性を秘めていますが、同時に新たなセキュリティリスクも生じさせます。特に注目すべきは、2026年1月にMiggo Securityが発見・報告し、Googleがパッチを適用した「Geminiプロンプトインジェクション脆弱性」です。これはThe Hacker NewsやGoogleヘルプドキュメントでも報告されました。

Geminiプロンプトインジェクション脆弱性とは

プロンプトインジェクションとは、AIが処理するデータに悪意のある指示(プロンプト)を紛れ込ませ、AIに予期せぬ動作をさせる攻撃手法です。この脆弱性は、Geminiが処理するデータ(この場合はカレンダーイベント情報など)の中に、悪意のあるプロンプトが埋め込まれていた場合、AIがそのプロンプトに従って予期せぬ動作をしてしまうというものです。Miggo Securityが実際に示した事例では、攻撃者が仕込んだプロンプトにより、Geminiが新規カレンダーイベントを作成し、ターゲットのプライベート会議情報の要約をそのイベントの説明欄に書き込むことで、機密情報が窃取される可能性がありました。

Googleは迅速にこの脆弱性に対処しましたが、今後のAI技術の進化とともに、類似のリスクが再発しないとは限りません。情シスとしては、AIがアクセスする可能性のあるデータに対して、常に警戒を怠らない姿勢が重要です。

DLP for CalendarがGeminiリスクにどう貢献するか

DLP for Calendarは、Geminiプロンプトインジェクションのようなリスクに対して直接的に対策するものではありませんが、間接的に重要な役割を果たします。 カレンダーイベントから機密情報を事前に除去またはブロックすることで、そもそもGeminiが機密情報にアクセスする機会を減らすことができます。AIが処理する情報源をクリーンに保つことは、プロンプトインジェクションのような攻撃面を縮小し、AI利用の安全性を高める上で不可欠な対策です。

DLP for Calendarの設定手順と実践例

DLP for Calendarの設定は、Google Workspace管理コンソールから行います。ここでは、具体的な設定手順と、よくある機密情報を検出するための正規表現の例を紹介します。

1. DLPポリシーの作成

  1. Google Workspace管理コンソールにログインします。
  2. 「セキュリティ」>「アクセスとデータ管理」>「データ保護」に移動します。
  3. 「ポリシーの管理」から新しいポリシーを作成します。
  4. 「ルール」セクションで、「Googleカレンダー」を選択します。

2. ルールの設定

ここでは、検出するコンテンツ、アクション、適用範囲を設定します。

a. 検出するコンテンツの定義

「検出するコンテンツ」で、どのような機密情報を検出するかを指定します。

  • プリセット検出器: クレジットカード番号、社会保障番号など、Googleが提供する標準の検出器を利用できます。
  • カスタム検出器: 正規表現を使用して、独自の機密情報を定義できます。例えば、社内プロジェクトコードや特定のキーワードなどを設定できます。

実践例:社内プロジェクトコードとM&A関連キーワードの検出

検出対象 正規表現(例) 説明
プロジェクトコード (PRJ|PROJ)-\d{4} 「PRJ-XXXX」または「PROJ-XXXX」形式のコードを検出
M&A関連キーワード M&A|Merger|Acquisition|買収|合併|統合 M&Aに関連するキーワードを検出(大文字・小文字を無視する設定も可能)
個人識別番号 \b[A-Z]{2}\d{7}[A-Z]\b 例: JP1234567A のような特定のフォーマットのID

これらの正規表現をカスタム検出器として設定し、「イベントタイトル」「イベントの説明」「イベントの場所」のいずれかに合致する場合に検出するよう設定します。

b. アクションの選択

検出された情報に対して実行するアクションを選択します。

  • 監査
  • 警告
  • ブロック

情シスとしては、まずは「監査」で運用を開始し、検出状況を把握した上で「警告」や「ブロック」へと段階的に移行することをおすすめします。特に「ブロック」はユーザーの利便性に影響を与えるため、十分な周知とテストが必要です。

c. 適用範囲の指定(OU単位での適用)

このDLPポリシーを適用する組織単位(OU)を選択します。

  • 組織全体に適用
  • 特定のOUにのみ適用

例えば、特定の部署(例:経営企画部、人事部)のみに、より厳格なDLPポリシーを適用するといった運用が可能です。これにより、組織のニーズに合わせたきめ細やかなセキュリティ対策を実現します。

考察:DLPとAI時代のセキュリティガバナンス

GoogleカレンダーDLPの登場は、Google Workspaceにおける情報セキュリティの網羅性をさらに高めるものです。しかし、DLPはあくまで「漏洩を防ぐ」ための最終防衛線であり、情報セキュリティガバナンス全体の一部に過ぎません。

生成AIの活用が加速する中で、情シスはデータのライフサイクル全体におけるセキュリティを再考する必要があります。

  • データ生成: どのような情報が生成され、どこに保存されるのか。
  • データ利用: 誰が、どのような目的でデータを利用するのか。AIがデータにアクセスする際のルールはどうか。
  • データ共有: 組織内外への共有ルールは厳格に守られているか。
  • データ破棄: 不要になった機密情報は適切に破棄されているか。

DLP for Calendarは、データ利用・共有フェーズでのリスクを低減しますが、根本的な対策としては、従業員へのセキュリティ教育、機密情報取り扱いガイドラインの徹底、そしてAI利用ポリシーの策定が不可欠です。特に、AIが業務に深く組み込まれるほど、その「判断」や「生成」のプロセスをどのようにコントロールし、監査していくかが重要です。

まとめ:今取るべき一手

GoogleカレンダーDLPの登場は、情シスにとって情報漏洩対策の新たな一手となります。特に、生成AI(Gemini)の活用が進む中で、カレンダーイベントに含まれる機密情報が意図せずAIに渡ってしまうリスクを低減するためにも、DLP for Calendarは積極的に導入を検討すべき機能です。

今すぐ取るべきアクションとしては、以下のステップをおすすめします。

  1. DLP for Calendarの機能理解と情報収集: Google Workspace Updatesなどの公式情報を確認し、自社のエディションで利用可能か、具体的な機能詳細を把握します。
  2. 既存の機密情報の洗い出し: 自社でどのような情報が機密情報と定義されており、それらがカレンダーイベントに含まれる可能性があるかをリストアップします。
  3. スモールスタートでの導入検討: まずは特定のOUやグループを対象に「監査」モードでDLPポリシーを適用し、検出される情報の種類や量をモニタリングします。
  4. 従業員への周知と教育: DLP導入の目的と、機密情報の取り扱いに関するルールを従業員に周知し、セキュリティ意識を高めます。特に、AIに情報を入力する際の注意点も併せて教育することが重要です。
  5. AI利用ポリシーの策定: 生成AIの利用に関する社内ポリシーを策定し、カレンダー情報を含む各種データのAIへの入力・利用に関するガイドラインを明確にします。

情報セキュリティは、一度設定したら終わりではありません。常に変化する脅威に対応し、継続的に改善していくことが情シスに求められます。DLP for Calendarを効果的に活用し、安全なGoogle Workspace環境を構築していきましょう。この取り組みを通じて、組織全体のセキュリティレベルを一段と高め、安心して業務に取り組める環境を実現できます。

コーポレートITのご相談はお気軽に DRASENAS 公式サイト

CONTACT

御社の IT 部門、ここにあります。

「ITのことはあまりわからない」── そのような状態からで、まったく問題ございません。まずはお気軽にご相談ください。

無料相談を予約する → サービス詳細を見る
一社ずつ、一から。