Google Workspaceの添付ファイルDLPとは?proximity matchingを含む設定と運用
Google Workspaceで情報漏えい対策を強めたいとき、本文や共有権限だけ見ていると、実際の事故経路を外しやすくなります。顧客リスト、見積書、契約書、採用候補者一覧のようなデータは、本文よりも添付ファイルとして送られたり共有されたりすることが多く、DLPを入れていても「ファイル側の条件」が弱いと外へ出ていきます。
2026年6月3日に Google Workspace Updates は、非Workspaceファイル添付向けのDLP条件と proximity matching の一般提供を案内しました。これにより、Gmail、Drive、Chatで、ファイル名、拡張子、MIME type、近接条件まで含めた保護がしやすくなっています。Calendar DLP や iOS 上の managed third-party apps 保護と合わせると、本文、添付ファイル、持ち出し経路を分けて設計できる段階に入りました。
結論として、Google Workspaceの添付ファイルDLPは Gmail、Drive、Chatで送受信・共有されるファイルを、ファイル名、拡張子、MIME type、内容条件で検知・制御する機能 です。proximity matching は、単独条件では誤検知しやすい顧客情報や契約条件を「近くに別条件があるときだけ」強く判定するために使います。本文側の統制は Calendar DLP、モバイルの持ち出し制御は managed third-party apps 保護 と役割を分けると実務に落とし込みやすくなります。
本記事のポイント
- 添付ファイルDLPは、Gmail、Drive、Chatのファイル名、拡張子、MIME type、ファイル内条件を使って、顧客リストや見積書の外部共有を止める設計に向いています。
- proximity matchingは、単独条件では誤検知しやすい口座情報、契約条件、顧客識別情報を文脈付きで検知したい場面に向いています。
- Google Workspace全体で見ると、添付ファイルDLP、Calendar DLP、iOSのmanaged third-party apps保護を分けて設計すると、本文・ファイル・持ち出し経路を整理しやすくなります。
この記事で扱うテーマ
関連キーワード
- Google Workspace 添付ファイル DLP
- Google Workspace proximity matching
- Gmail Drive Chat DLP 添付ファイル
- Workspace DLP ファイル名 拡張子 MIME type
- Google Workspace 情報漏えい対策 添付ファイル
- Google Workspace DLP 設定
このページで答える質問
- Google Workspaceの添付ファイルDLPとは何ですか?
- proximity matchingはどんな場面で使うべきですか?
- Gmail、Drive、Chatで何を検知できますか?
- Calendar DLPやmanaged third-party apps保護とどう使い分けますか?
Google Workspaceの添付ファイルDLPとは何か
今回の一般提供で重要なのは、DLPの対象を「本文に含まれる文字列」だけで考えないことです。Google の案内では、Gmail、Drive、Chat の添付ファイルを対象に、ファイル名、拡張子、MIME type、ファイルに関連する条件を使ったルールを組めるようになっています。これにより、顧客リスト、見積書、契約ドラフト、採用候補者一覧のように、実務で添付ファイルとして流れやすいデータを、チャネル横断で止めやすくなりました。
Google Workspace管理者が押さえるべきポイントは、添付ファイルDLPが「Driveだけの共有制限」でも「Gmailだけの送信抑止」でもないことです。ファイル名、拡張子、MIME type を使って、どの種類のファイルがどこへ出ると危ないかを決め、そのうえで Gmail、Drive、Chat に横展開する考え方です。DLP を本文中心で設計していた組織では、ここが抜け穴になりやすくなります。
| 観点 | 添付ファイルDLPで見る範囲 | 別で設計すべき範囲 |
|---|---|---|
| 主対象 | Gmail、Drive、Chatで扱う添付ファイル | 本文テキスト、会話文脈、予定本文 |
| 条件 | ファイル名、拡張子、MIME type、関連コンテンツ条件 | OU設計、外部共有ポリシー、承認フロー |
| 向いている用途 | 顧客一覧、見積書、契約書、採用資料、CSV出力 | CRM原本の保管、権限棚卸し、事故対応手順 |
| 補完が必要な論点 | 誤検知の削減、文脈付き判定 | Calendar DLP、モバイル持ち出し保護、監査ログ運用 |
たとえば、営業部門では「見積」「価格表」「顧客一覧」といったファイル名で PDF や CSV が外へ出ることが多くなります。採用では「候補者一覧」「面接評価」、管理部門では「請求」「振込」「契約」などです。これらは本文に何も書かなくても、添付ファイルそのものが漏えい対象になります。
proximity matchingは何のためにあるのか
proximity matching は、ある検出条件の近くに別の検出条件があるときだけ反応させる仕組みです。単独のキーワードや正規表現だけで止めようとすると、通常業務でも警告が多発しやすく、現場がDLPを嫌う原因になります。文脈がそろったときだけ強く判定することで、誤検知を減らしながら危険なデータだけを狙いやすくなります。
たとえば、口座番号だけでは社内メモやサンプルデータにも反応しやすくなりますが、その近くに routing number や振込先を示す語があるときだけ警告すれば、実データらしいパターンに寄せられます。CRMデータでは、顧客名と契約金額、候補者名と評価メモ、社内コード名と価格条件のように、「組み合わせで機密性が上がる情報」に向いています。
| 単独条件 | 誤検知しやすい理由 | proximity matchingで改善する見方 |
|---|---|---|
| 口座番号 | サンプル値や説明資料にも出る | 近くに routing number や振込関連語があるときだけ強く判定する |
| 顧客名 | 営業日報や議事録で日常的に出る | 近くに金額、契約、見積関連語があるときだけ上位警告にする |
| 候補者名 | 採用日程や面談予定でも出る | 近くに評価語や個人識別情報がある場合だけ block へ寄せる |
| 社内コード名 | 社内共有なら通常利用も多い | 近くに価格条件や対外資料を示す条件がある場合だけ制御する |
この機能は「全部を block する」ためではなく、「どの条件の組み合わせなら事故コストが高いか」を設計に落とすためのものです。DLP を現場で回すうえでは、警告の量よりも、危険な文脈に当たったときに確実に止められるかが重要です。
Gmail・Drive・Chatで何を止めるべきか
添付ファイルDLPは、どこでも同じ条件をかければよいわけではありません。チャネルごとに危ない経路が違うため、用途を分けて考える必要があります。
| チャネル | 止めたい典型 | 実務上の見方 |
|---|---|---|
| Gmail | 顧客リスト、見積書、契約書の外部送信 | ファイル名、拡張子、宛先ドメイン条件を組み合わせる |
| Drive | 共有リンクでの外部持ち出し | 外部共有、共有範囲変更、特定ファイル種別を優先監視する |
| Chat | チャットスペースでのファイル投下 | 外部参加者のいるスペース、社外連携スペースを重点管理する |
営業なら CSV の顧客一覧、PDF の価格表、スプレッドシートの案件一覧が危険です。採用なら履歴書、評価シート、候補者一覧。経理なら振込先一覧、請求書、支払明細。ファイル名、拡張子、MIME type を使うと、業務ごとの危険物を比較的整理しやすくなります。
一方で、CRM や共有ドライブの原本管理まで添付ファイルDLPだけで解決することはできません。原本の保管場所、共有権限、外部共有ポリシーは、Google Workspace AIガバナンスチェックリスト や 共有ドライブ外部共有の設計 と合わせて設計する必要があります。
Calendar DLPとモバイル保護は別レイヤーで考える
添付ファイルDLPを調べる読者が次に迷いやすいのが、「予定本文に書いた情報も止められるのか」「iPhone からの持ち出しはどうするのか」という論点です。ここは役割分担を明確にする方が整理しやすくなります。
Google Calendar DLP は、予定タイトル、説明、場所の自由記述欄を対象に audit、warn、block を掛ける機能です。つまり「本文や予定欄に何を書けるか」を制御します。一方、managed third-party apps 保護 は、iOS 上で Google Workspace のデータをどの管理対象アプリへ渡してよいかを絞る機能です。こちらは「どの経路で持ち出せるか」を制御します。
| 機能 | 主対象 | 使いどころ |
|---|---|---|
| 添付ファイルDLP | Gmail、Drive、Chatのファイル | 見積書、顧客一覧、契約資料の共有・送信制御 |
| Calendar DLP | 予定タイトル、説明、場所 | 商談予定、採用面談、訪問メモに書きすぎる情報を止める |
| managed third-party apps 保護 | iOSの管理対象アプリ間共有 | 個人アプリ、未管理アプリへの持ち出し経路を絞る |
営業や採用の現場では、本文、予定、添付ファイル、スマホの共有経路が別々に存在します。ひとつの機能で全部を解決しようとすると設計が崩れるため、本文は Calendar DLP、添付ファイルは今回のDLP拡張、端末上の持ち出しは managed third-party apps 保護で分ける方が現実的です。
管理者が最初に決めるべき導入順
- 危険なファイルを3種類だけ決める:顧客一覧、見積書、契約資料など、まずは漏れると困るものを絞ります。
- チャネルを1つずつ見る:Gmail 外部送信、Drive 外部共有、Chat の外部スペースの順に整理します。
- 最初は audit と warn で実態を見る:誤検知が多い条件は proximity matching へ寄せます。
- block は事故コストが高い経路から入れる:対外送信、社外共有、外部参加チャネルを優先します。
- Calendar とモバイル経路を別で補う:本文制御と端末上の持ち出し制御を分けます。
- 月次レビューを組む:違反件数ではなく、誤検知率と本当に止めたい事故の再現性で見直します。
この順番にすると、現場を止めずに「どの条件が実務に効くか」を見やすくなります。添付ファイルDLPは、Google Workspace全体の情報保護の一部であり、運用設計なしで単体導入しても長続きしません。
よくある質問
Google Workspaceの添付ファイルDLPは何を検知できますか?
2026年6月3日のGoogle Workspace Updatesの案内では、非Workspaceファイル添付に対して、ファイル名、拡張子、MIME type、関連する条件を使ったDLPルールを構成できます。主にGmail、Drive、Chatでのファイル共有や送受信を制御するために使います。
proximity matchingは何に向いていますか?
単独条件では誤検知しやすい情報を、文脈付きで見たいときに向いています。口座番号と振込関連語、顧客名と契約金額、候補者名と評価メモのように、組み合わせで危険度が上がるデータに使うと有効です。
Gmail、Drive、Chatで同じルールをそのまま使えますか?
同じではありません。Gmailは対外送信、Driveは共有リンク、Chatは外部参加スペースのように、危険な経路が異なります。共通の検出条件を持ちつつ、アクションはチャネルごとに分ける方が現実的です。
Calendar DLPと何が違いますか?
Calendar DLP は予定タイトル、説明、場所の自由記述欄を止める機能です。添付ファイルDLPはファイルそのものを止める機能なので、対象が違います。予定本文とファイルの両方が漏えい経路になる場合は併用が必要です。
managed third-party apps 保護とも関係ありますか?
ありますが、役割は別です。managed third-party apps 保護は iOS 上でどのアプリへ業務データを渡せるかを絞る機能で、添付ファイルDLPはファイル自体の共有・送信制御です。ファイル保護と端末経路保護を分けて考えると整理しやすくなります。
最初から block にしてよいですか?
事故コストが高い対外経路には有効ですが、全社一律 block だと運用が詰まりやすくなります。最初は audit と warn で誤検知を見てから、危険度の高い条件だけ block に上げる方が安定します。
関連ページと関連記事
- Google Workspace DLPでCRMデータを守る方法:添付ファイルDLPを含む横断設計を確認できます。
- Google Calendar DLPとは?:予定本文の自由記述欄をどう守るかを確認できます。
- Google Workspaceの管理対象サードパーティアプリ保護とは?:iOSの持ち出し経路をどう絞るかを補完できます。
- Google Workspace AIガバナンスチェックリスト:共有権限、監査、退出設計を含む全体像を整理できます。
- Google Drive監査ログの見方:共有事故後の追跡や月次レビューに役立ちます。
Google WorkspaceのDLP設計を整理したい方へ
添付ファイル、予定本文、モバイル持ち出しを横断して守るには、機能紹介だけでは足りません。ファネルAiでは、どのファイルをどの経路で止めるか、どこで警告に留めるか、どの部門から block に上げるかまで実務フローに沿って整理できます。
