Google Workspaceの管理対象サードパーティアプリ保護とは?iOSでデータ持ち出しを防ぐ設定と運用
Google Workspace を業務で使っていると、Gmail や Drive のデータは Workspace の中だけで閉じません。CRM、契約管理、メモ、翻訳、PDF、社内ポータルなど、さまざまなサードパーティアプリと一緒に動かすことで生産性は上がる一方、iPhone や iPad ではコピー、共有シート、保存先、AirDrop のような持ち出し経路も増えます。
2026年6月3日に Google Workspace Updates で案内された Enhanced data protection for managed third-party apps は、こうした iOS 上のデータ経路を管理者が絞り込みやすくするための機能です。ニュースとして流すだけでは価値が薄く、読者が知りたいのは「何が防げるのか」「何は防げないのか」「DLP や OAuth 審査と何が違うのか」だと考えるべきです。
結論として、この機能は iOS 上で Google Workspace の業務データを個人アプリや未管理アプリへ渡しにくくする管理者向けの保護設定 です。2026年6月3日の公式案内では、初期状態は OFF、OU 単位で有効化、MDM の AppConfig で適用 でき、利用者側の設定はありません。万能な漏えい防止ではないため、DLP、OAuth スコープ審査、監査ログ と分けて設計するのが現実的です。
本記事のポイント
- 2026年6月3日に案内された managed third-party apps 向けの強化データ保護は、iOS上で Google Workspace の業務データを個人アプリや未管理アプリへ渡しにくくする管理者向け機能です。
- この機能は万能な漏えい防止ではなく、コピー、共有シート、保存先、AirDrop などの経路を絞るための統制です。スクリーンショットや一部非対応アプリまでは止められません。
- 実務では OU 単位の有効化、MDM/AppConfig、DLP、OAuth スコープ審査、監査ログを分けて設計すると、現場を止めずに保護を強めやすくなります.
この記事で扱うテーマ
関連キーワード
- Google Workspace サードパーティアプリ 保護
- Google Workspace iOS データ保護
- Google Workspace managed third party apps
- Google Workspace MDM iPhone
- Google Workspace データ持ち出し 防止
このページで答える質問
- Google Workspaceの managed third-party apps 向けデータ保護とは何か?
- iOSでどのようなデータ持ち出しを抑えられるのか?
- DLPやOAuthスコープ審査と何が違うのか?
- 管理者はどの順番で有効化と運用設計を進めるべきか?
managed third-party apps 向けデータ保護とは何か
Google の 2026年6月3日付の公式案内では、この機能は managed third-party apps に対する強化データ保護として紹介されています。記事単体では詳細説明が短いものの、同時に参照されている Admin Help の「Prevent accidental data leaks on iOS devices」を読むと、主語は明確です。iOS 上で Workspace データを外へ出しやすい操作を抑え、同じ端末の個人アカウントや私用アプリへの流出を起こしにくくするための設定群です。
ここで大事なのは、Google Workspace 自体のアクセス権を決める機能ではない ことです。閲覧権限や共有権限を定義するのは Drive や Admin Console の権限設計です。一方、この新機能が扱うのは、端末上で見えている業務データを、別のアプリへどう渡せるか という実行経路です。権限の話というより、持ち出し経路の話だと理解すると混乱しません。
| 論点 | この機能が主に見る範囲 | 別で設計すべき範囲 |
|---|---|---|
| アプリ間の受け渡し | コピー、共有シート、保存先、AirDrop などの持ち出し経路 | Drive の共有権限、閲覧権限、フォルダ設計 |
| 端末管理 | iOS 上の管理対象アプリにどこまで制限をかけるか | 端末の紛失対応、ワイプ、パスコードポリシー |
| 導入単位 | OU 単位の有効化、MDM/AppConfig による配布 | 全社向け利用ルール、部門別の例外承認 |
| 漏えい抑止 | 誤共有や私用アプリ送信をしにくくする | DLP、OAuth 審査、監査ログ、契約審査 |
公式ヘルプでは、保護対象アプリとして Gmail、Google Drive、Docs、Sheets、Slides、Chat、Meet が挙げられています。つまり「Google Workspace で見えているデータを、iOS の別経路へどう出せるか」を止める設計です。一方で、一部ファイルは非対応アプリで開かれうる、スクリーンショットや Apple Visual Look Up のような方法までは止められない とも明記されており、過信は禁物です。
何が防げて、何が防げないのか
管理者が最も知りたいのは、実際にどこまで制御できるかです。Admin Help では、iOS でのデータ共有設定として、業務データのコピー&ペースト、個人アプリへの送信、個人アカウントや Apple Mail への共有、AirDrop、印刷、Files への保存、写真保存などを制御できると整理されています。今回の managed third-party apps 向け強化は、その考え方を 管理対象のサードパーティアプリも含めて実運用しやすくした拡張 と見るのが自然です。
ただし、ここで重要なのは「全部止まる」ではなく「事故になりやすい経路を減らせる」です。たとえば、営業担当が Gmail で受けた顧客情報を個人メモアプリへ貼り付ける、Drive の提案書を私用アプリへ送る、共有シートから AirDrop で外へ出す、といった行為を抑止しやすくなります。反対に、端末カメラで撮る、スクリーンショットを撮る、そもそも非対応のアプリで開く、といった抜け道は残り得ます。
| 観点 | 抑止しやすいもの | 別対策が必要なもの |
|---|---|---|
| アプリ間移動 | 共有シート経由の私用アプリ送信、個人アカウントとの受け渡し | 非対応アプリで開いた後の独自保存 |
| データコピー | 業務アプリから個人アプリへのコピー&ペースト | 画面撮影、手入力による持ち出し |
| ファイル保存 | Files への保存、AirDrop、印刷などの誤操作 | ローカルに既に保存されたデータの二次利用 |
| 運用統制 | OU や管理対象アプリごとの利用境界 | 契約審査、データ分類、監査証跡の整備 |
この整理をしておくと、社内説明も楽になります。つまり、managed third-party apps 保護は「誤って流す」事故を減らす機能 であり、DLP は「送ってはいけないデータそのもの」を検知する機能、OAuth 審査は「そもそもそのアプリにどの権限を渡してよいか」を決める機能 です。似て見えて役割が違います。
管理者はどう設計すべきか|OU、MDM、DLP の役割分担
2026年6月3日の公式案内で、管理者向けの要点は3つです。1つ目は 初期状態が OFF であること。2つ目は OU 単位で有効化できる こと。3つ目は iOS AppConfig を MDM プロバイダ経由で適用できる ことです。逆に言えば、全社一括で突然強制するより、部署ごとに段階導入した方が事故も反発も減ります。
実務では、まず顧客データや契約情報を持ち歩く部門を優先します。営業、CS、役員、外出の多いマネージャー、外部委託とやり取りする部門は対象になりやすい一方、全社員に同じ制限をかけると「必要な業務アプリまで使えない」という反発が出ます。OU 単位で分けられる以上、高リスク部門から試し、運用が固まってから広げる 方が合理的です。
- 対象 OU を決める:営業、CS、経営企画など、外部データと機密情報を持つ部門から始めます。
- 管理対象アプリ一覧を決める:業務で許可するサードパーティアプリを絞り、未管理アプリへ流れないようにします。
- MDM/AppConfig で配布する:各 Workspace アプリに対して一貫した設定が入るようにします。
- DLP と組み合わせる:個人情報、契約金額、顧客機密などは別途 DLP で検知・抑止します。
- 監査と例外承認を決める:使えないアプリが出たときに誰が例外判断するかを先に決めます。
特に iOS では「端末の設定を強くすれば安全」という誤解が起きやすいですが、実務ではそれだけでは足りません。管理対象アプリの境界を作っても、OAuth スコープが広すぎるアドオン を許していれば別経路で情報が出ますし、DLP が弱ければ 機密データそのものは止まりません。さらに、何が起きたかを追うためには 監査ログ が要ります。
向いている会社と、先に止めるべき会社
この機能が向くのは、既に Google Workspace を全社標準で使い、iPhone や iPad で業務データを見ることが前提になっている会社です。加えて、外部 SaaS を一定数使っており、「使うアプリは増えたが、どこまで業務データを渡してよいかの線引きが曖昧」 な会社には特に効きます。BtoB 営業、医療・士業・人材のように外出先で顧客情報を扱う業種とも相性があります。
一方で、まだモバイル管理自体がない会社、Google Device Policy や MDM の運用が固まっていない会社、そもそも共有権限設計が崩れている会社では、この機能だけ入れても効果が薄くなります。端末上の経路だけ絞っても、Drive 側の共有が広すぎれば意味がないからです。そうした場合は、先に AIガバナンスの全体像 や Drive の分類ラベル を整える方が優先度は高くなります。
よくある質問
この機能は DLP と同じですか?
同じではありません。managed third-party apps 向け保護は iOS 上の持ち出し経路を絞る機能で、DLP は送信しようとしているデータの内容を検知して止める機能です。両方を併用すると、経路とデータ内容の両面を押さえやすくなります。
どのアプリが保護対象になりますか?
公式ヘルプでは Gmail、Drive、Docs、Sheets、Slides、Chat、Meet がデータ保護をサポートする Google アプリとして挙げられています。今回の強化は、そこから先の管理対象サードパーティアプリとの受け渡しを実運用しやすくする文脈で理解すると整理しやすいです。
利用者が自分で ON にする設定ですか?
2026年6月3日の公式案内では、利用者向け設定はありません。管理者が OU 単位で有効化し、必要に応じて MDM の AppConfig を使って適用します。
これでスクリーンショットや全ての漏えいを止められますか?
止められません。Google のヘルプでも、スクリーンショット、Apple Visual Look Up、一部の非対応アプリなど、止めきれない経路があることが明記されています。万能な防御ではなく、事故になりやすい経路を減らすための設定です。
どのエディションで使えますか?
2026年6月3日の公式案内では、Enterprise Standard / Plus、Education Standard / Plus、Frontline Standard、Enterprise Essentials Plus、Cloud Identity Premium が案内されています。導入前に自社テナントの契約エディションを必ず確認してください。
関連ページと関連記事
- Google Workspace AIガバナンスチェックリスト:部門展開、利用ルール、監査まで含めた全体像を整理できます。
- Google Workspace DLPでCRMデータを守る方法:持ち出し経路ではなく、機密データそのものをどう止めるかを確認できます。
- Google Workspace MarketplaceでCRMを選ぶ手順:OAuth スコープや第三者アプリ審査の観点を補えます。
- Google Drive監査ログの見方:事故が起きた後に何を追うべきかの確認に役立ちます。
- Google Driveの分類ラベルとは?:データ分類と保護ルールを揃える前提を整理できます。
- Gemini for Workspace管理者設定ガイド:OU、DLP、監査ログを段階展開する考え方が近い記事です。
モバイル業務とデータ保護を両立したい方へ
外出先で Google Workspace を使う組織では、便利さと保護を同時に設計しないと、現場は抜け道を探し、管理側は後追いで禁止を増やしがちです。ファネルAiでは、Google Workspace のモバイル運用、アプリ選定、DLP、監査設計までをつないで整理できます。
