Copilot in EU Recent Updates & Flex Routing — What Japanese Organizations Must Know

235 Views

May 07, 26

スライド概要

profile-image
スライド一覧

営業職だがITが好き。 【Award】AWS Community Builders 2025 【資格】AWS×6, MS×多数, TOEIC 950など

シェア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

ダウンロード

関連スライド

slide-thumbnail

(資料例)Microsoft 365 Copilotでできること
user-img ニシ サダオミ 30.3K
slide-thumbnail

俺の考える最強のCopilot活用術 for 営業マン~M365 Copilotがもたらす新しい営業スタイル~
user-img ニシ サダオミ 24.5K
slide-thumbnail

他者のアウトプットを促す技術 組織理解を引き出し他者を巻き込むための具体的方法論
user-img ニシ サダオミ 16.6K
slide-thumbnail

ユーザーが入力すべきでないこと-安全なCopilotの使い方-
user-img ニシ サダオミ 14.9K
slide-thumbnail

Copilotの進化-無料版でできるようになること-
user-img ニシ サダオミ 13.6K
slide-thumbnail

Copilotがもたらす新しい営業スタイル―Copilot in Outlookを使い倒してみた―
user-img ニシ サダオミ 10.5K
各ページのテキスト
1.

Copilot in EU Recent Updates & Flex Routing — What Japanese Organizations Must Know Presented By SADAOMI NISHI

2.

Agenda なぜ日本で大切か 01 Why This Matters for Us in Japan 02 The EU Landscape: GDPR & AI Act 03 What is Flex Routing? Flex Routingとは? 04 Actions to Take 05 Wrap-up まとめ 取るべきアクション EUを取り巻く環境:GDPRとAI法 ピンポイントアドバイス “matter”は動詞の場合、 「大切である」という 意味になります! It doesn’t matter what they say. (彼らが何と言おうとどうでもいい)

3.

Disclaimer The views expressed here are purely personal and do not constitute legal advice. The author is not a GDPR or EU AI Act specialist, nor someone responsible for AI adoption within an EU-based organization. Please consult your legal team or a qualified expert before taking any action. 本記事の内容はあくまで個人の見解であり、法的アドバイスではありません。筆者はGDPRやAI法 の専門家ではなく、EU拠点を持つ企業でのAI推進を担う立場でもありません。実際の対応につい ては、専門家や法務部門にご確認ください。

4.

Why This Matters for Us in Japan なぜ日本で大切か 以下のいずれかに該当する日本企業はGDPRの適用対象: Japanese companies are subject to GDPR if any of the following apply: They have offices or subsidiaries within the EU They provide products or services to customers residing in the EU They have employees or staffs residing in the EU EU域内に拠点・子会社がある EU在住の顧客に商品・サービスを提供している EU在住の従業員・スタッフがいる

5.

The EU Landscape: GDPR & AI Act EUを取り巻く環境:GDPRとAI法 GDPRはデータを規制します。AI法は使い方を規制します。 GDPR controls the data. The AI Act controls the use. Together, they govern Copilot in Europe. GDPR:General Data Protection Regulation EU AI Act:Regulation of the European Parliament and of the Council laying down harmonised rules on Artificial Intelligence GDPR:一般データ保護規則 AI法:人工知能に関する統一規則に関する欧州議会および理事会の規則

6.

GDPR What GDPR Demands: GDPR (General Data Protection Regulation) came into effect on May 25, 2018. Its purpose is to strengthen the protection of EU citizens' personal data and privacy rights, and to harmonize personal data protection standards across the EU. GDPR(一般データ保護規則)は2018年5月25日に施行さ れました。EU市民の個人データ保護とプライバシー権の強化 と、EU域内における個人データ保護基準の統一が目的です。 Strict requirements for transferring personal data outside the EU EU域外への個人データ移転には厳格な要件が必要 Mandatory breach notification to authorities within 72 hours データ漏洩発生時は72時間以内に当局への報告義務 Fines of up to €20M or 4% of global annual turnover for violations 違反時の制裁金は最大2,000万ユーロ または全世界年間売上の4% すべての言葉ではないですが、形容詞の末尾に “en”をつけると動詞になることもあります。 strong(強い)→strengthen(強化する) weak(弱い)→weaken(弱める) ピンポイントアドバイス sharp(鋭い)→sharpen(尖らせる)

7.

GDPR × Japanese Company: The First Penalty Case NTT Data Spain (2022) NTT Data's Spanish subsidiary (EVERIS) provided a customer management system to a Spanish insurance company. When a data breach occurred at the insurance company, an investigation found that EVERIS had inadequate security measures in place. The Spanish Data Protection Agency (AEPD) imposed a fine. スペインの保険会社に顧客管理システムを提供していたNTT データのスペイン子会社(EVERIS)で、取引先の情報漏洩に 関してセキュリティ対策の不備が認定され、スペインデータ保 護当局から制裁金が科された。 “fine”には“罰金”という 意味があります。 Singapore is a fine city. ピンポイントアドバイス ※ダブルミーニングです。

8.

AI Act Three Key Points: The EU AI Act (Regulation on Artificial Intelligence) was adopted in August 2024. It is the world's first comprehensive law regulating artificial intelligence, classifying AI systems into four risk levels and imposing different obligations on each. Full enforcement begins in August 2026. Obligations apply not only to AI providers but also to organizations that use AI AIを提供する側だけでなく使う側(企業)にも義務が発生 2024年8月に成立しました。AIを規制する世界初の包括的 Required compliance varies by risk classification — use of AI in hiring, HR evaluation, healthcare, and legal decisions may be categorized as "high risk" リスク分類によって義務が異なり、人事・採用・医療な な法律で、AIをリスクレベルで4段階に分類し、それぞれに異 どへのAI活用は「高リスク」に該当する可能性 AI法(Regulation on Artificial Intelligence)は なる義務を課します。完全施行は2026年8月です。 not only A but also Bは、 「AだけでなくBにも」という意味です。 今回の例文は、上記の構文と、 完全施行は2026年8月で、EU現地法人・EU向けサー ビスを持つ日本企業も対象 apply to ~(~に適用する)が 合体しています。 Full enforcement begins August 2026 — Japanese companies with EU subsidiaries or EU-facing services are also subject to the law ピンポイントアドバイス

9.

What is Flex Routing? Flex Routingとは? A feature that automatically reroutes Copilot traffic to data centers outside the EU (US, Canada, or Australia) when EU data centers are at capacity. EUのデータセンターが混雑した際に、Copilotのトラフィックを EU域外(米国・カナダ・豪州)に自動迂回させる機能

10.

Microsoft Says "Compliant." Regulators Say "Not So Fast." 日本語スライドが続きます Microsoft's Position • Flex Routing is an exceptional load-balancing measure covered within the Data Processing Addendum (DPA) — not a GDPR violation • Data rerouted to the US, Canada, and Australia is protected under Standard Contractual Clauses (SCCs) and other appropriate safeguards • Microsoft's EU Data Boundary commitment remains in place What Third Parties and Regulators Say • German DSK (Federal and State Data Protection Conference): Microsoft's DPA does not adequately meet GDPR requirements • TechRadar: Flex Routing's default activation poses a GDPR compliance risk for EU organizations from a data sovereignty perspective • GDPR experts: The authority to interpret GDPR compliance lies with national data protection authorities — not Microsoft

11.

Microsoft Says "Compliant." Regulators Say "Not So Fast." Microsoftの見解 • Flex Routingはデータ処理補足契約(DPA)の範囲内における例外的な負荷分散 措置であり、GDPR違反にはあたらない • 米国・カナダ・豪州に迂回されるデータは標準契約条項(SCC)およびその他の適切 な保護措置のもとで保護されている • MicrosoftのEU Data Boundaryへのコミットメントは引き続き有効 第三者機関・規制当局の見解 • ドイツDSK(連邦・州データ保護会議):MicrosoftのDPAはGDPRの要件を十分 に満たしていない • TechRadar:Flex Routingのデフォルト有効化は、データ主権の観点からEU企 業にGDPRコンプライアンスリスクをもたらす • GDPR専門家:GDPRへの準拠を判断する権限はMicrosoftではなく各国のデー タ保護当局にある

12.

Actions to Take 取るべきアクション [Immediate]: Verify and disable Flex Routing in the Microsoft 365 Admin Center 今すぐ:Flex Routingの設 定確認・無効化 [Short-term]: Assess your organization's GDPR exposure and scope [Strategic]: Build a roadmap for EU AI Act compliance ahead of the August 2026 deadline 短期:自社のGDPR適用範囲の確認 中長期:AI法対応のロードマップ策定

13.

Wrap-up まとめ EU compliance is no longer someone else's problem. It's in your settings. It's in your data. It's on your agenda. EUの厳格なコンプライアンスは、もはや他人事ではありません。 思わぬ罰金を食らわないためにも、しっかり対応を進めましょう。

14.

FAQ Q1. なぜEUはここまで厳しい法を設けているのか? EUには世界的なテック企業が存在しません。GoogleもAmazonもMicrosoftも米国企業です。 技術で競えない分、ルールで市場の主導権を握るというのがEUの戦略だと思われます。 Q2. NTTデータはその後どうなったか? 制裁金の支払い後、EVERISはNTT Data Spainとして事業を継続しています。 Q3. なぜMicrosoftはFlex Routingを行ったのか?批判をくらうのは分かるはず。 EUデータセンターの容量不足への対応です。Copilotの急速な普及により需要がインフラ整備を 上回った結果、やむを得ない措置として導入したとされています。

15.

FAQ Q4. Flex Routing、様々な意見がある中で無効化が妥当なのはなぜか? GDPRの解釈権はMicrosoftではなく各国のデータ保護当局にあります。Microsoftが「合法」と 主張しても、ドイツDSKをはじめとする規制当局が「違反」と判断した場合、制裁を受けるのは Microsoftではなくデータ管理者である企業自身です。リスクの所在が自社にある以上、無効化し ておくことが最もリスクを低減できる現実的な選択と言えるでしょう。 Q5. GDPRやAI法は日本も取り入れているのか?あるいは一定の距離を置いているのか? 完全に取り入れているわけではありませんが、影響は受けています。日本の個人情報保護法は GDPRを参考に改正が重ねられており、2019年にはEUから十分性認定を受けています。

16.

FAQ Q6. EUと言っているがUKなどEU圏外はどうなのか? UKは2020年のBrexit後にEUを離脱しましたが、UK GDPRというGDPRとほぼ同等の法律を 独自に施行しています。 また、MicrosoftのEU Data Boundary(データの処理・保存における地理的な境界線)は、EU 加盟国とEFTA(欧州自由貿易連合)加盟国で構成されており、EFTA加盟国はリヒテンシュタイン・ アイスランド・ノルウェー・スイスが含まれます。 Microsoftのメッセージセンターなどにも頻出する通り、「EU+UK+EFTA」をセットで対応する のが良さそうです。

17.

References GDPR & EU Regulation • GDPR Article 3 — Territorial Scope (Official Text) https://www.ppc.go.jp/enforcement/infoprovision/EU/(Japanese Personal Information Protection Commission — official Japanese translation) • GDPR Compliance Guide for Microsoft Copilot https://gdprlocal.com/microsoft-copilot-compliance/ • NTT Data Spain (EVERIS) — First GDPR Fine on a Japanese Company (2022) https://privtech.co.jp/blog/law/gdpr-penalties-japan.html • Flex Routing & GDPR Risk https://www.techradar.com/pro/this-new-microsoft365-copilot-feature-could-throw-your-gdpr-compliance-into-question-hereshow-to-check-and-how-turn-it-off

18.

References EU AI Act • EU AI Act — Official Text (EUR-Lex) https://eur-lex.europa.eu/legalcontent/EN/TXT/?uri=CELEX:32024R1689 • EU AI Act — Risk Classification Overview (European Commission) https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai

19.

References Microsoft Official — EU Data Boundary & Flex Routing • What is the EU Data Boundary? (Microsoft Learn) https://learn.microsoft.com/enus/privacy/eudb/eu-data-boundary-learn • EU Data Boundary — Continuing Data Transfers (Microsoft Learn) https://learn.microsoft.com/en-us/privacy/eudb/eu-data-boundary-transfers-forall-services • Microsoft Completes EU Data Boundary (Microsoft Blog, February 2025) https://blogs.microsoft.com/on-the-issues/2025/02/26/microsoft-completeslandmark-eu-data-boundary-offering-enhanced-data-residency-and-transparency/ • EU Data Boundary FAQ (Microsoft PDF) https://cdn-dynmedia1.microsoft.com/is/content/microsoftcorp/microsoft/final/en-us/microsoft-productand-services/security/pdf/eu-data-boundary-for-the-microsoft-cloud-frequentlyasked-questions-updated-february-2025.pdf

20.

Copilot in EU Recent Updates & Flex Routing — What Japanese Organizations Must Know Presented By SADAOMI NISHI