Outlook メール転送禁止ポリシー｜情報漏えい対策の Exchange 設定例

ビジネスにおける情報漏えい経路のなかで、最も対策が後手に回りやすいのが「メールの転送」です。特に、従業員が利便性を求めて私用メールアドレス（GmailやiCloud等）に業務メールを自動転送する設定は、退職後の情報持ち出しや、アカウント乗っ取り時の二次被害を招く深刻な脆弱性となります。

本記事では、Microsoft 365（Exchange Online）を利用する企業が、実務においてどのようにメールの転送制限をかけるべきか、その具体的な設定例と運用上の注意点を網羅して解説します。公式ドキュメントの仕様に基づいた、明日から使える管理者向けの完全ガイドです。

Outlookでのメール転送禁止が必要な理由

組織がメール転送を制限すべき理由は、単なる規律の問題ではありません。近年のセキュリティインシデント事例では、以下のリスクが顕在化しています。

• シャドーITの常態化: 会社が把握していない個人デバイスやクラウドストレージへのデータ蓄積。
• アカウント侵害時の被害拡大: 第三者にOutlookへ不正ログインされた際、全ての受信メールを外部へ自動転送するルールを仕掛けられ、永続的に情報を盗まれる。
• 退職者による不正持ち出し: 退職直前に全てのメールを私用アドレスへ転送し、顧客情報や技術情報を流出させる。

これらのリスクを回避するためには、ユーザーの善意に頼るのではなく、システム側で強制力を持った「転送禁止ポリシー」を適用することが不可欠です。また、組織全体のクラウド化が進む中で、SaaS増えすぎ問題と退職者のアカウント削除漏れを防ぐ仕組みと並行して、メールという「データの出口」を塞ぐことが重要となります。

Exchange Onlineで転送を制限する3つの主要メソッド

Microsoft 365環境において、転送を制限する方法は大きく分けて3つ存在します。それぞれの役割を理解し、自社のポリシーに合ったものを選択してください。

1. リモートドメイン設定（自動転送の一律禁止）

外部ドメイン（組織外）への「自動転送」をグローバルに制御する方法です。最も一般的かつ推奨される「最低限のガードレール」と言えます。この設定を「オフ」にすると、ユーザーがOutlookの「転送設定」や「仕分けルール」で外部アドレスを指定しても、メールは送信されません。

2. アウトバウンドスパムフィルター（送信制限）

Microsoft 365 Defender（Securityセンター）で設定するポリシーです。「自動メール転送」を組織全体で「無効」に設定することで、予期せぬ外部転送をブロックします。現在のExchange Onlineでは、デフォルトで自動転送が制限される仕様に移行していますが、明示的な管理が必要です。

3. Microsoft Purviewによるメッセージ保護（手動転送の禁止）

特定の機密メールに対し、受信者が「転送ボタン」を押せないようにする、あるいは転送しても開けないようにする方法です。「転送禁止（Do Not Forward）」ラベルやIRM（Information Rights Management）を使用します。これは自動転送だけでなく、人の手による転送も防ぐことができます。

Microsoftが外部転送をデフォルトブロックに切り替えた背景

現在のExchange Online（Microsoft 365）では、新規テナントの送信スパムフィルターポリシーにおいて、外部への自動転送はデフォルトでブロックされる設定になっています。この変更が本格展開されたのは2020年後半です。

きっかけはBEC（Business Email Compromise：ビジネスメール詐欺）の急増です。攻撃者がOutlookアカウントに不正ログインした後に真っ先に仕掛けるのが「全受信メールを外部へ自動転送するルール」でした。被害に気づくまで数週間にわたって社内情報が流出し続けるケースが相次いだため、Microsoftは2020年9月ごろをもって「外部自動転送の許可」から「外部自動転送のブロック」へとデフォルト値を反転させました。

重要なのは、既存テナントではこの変更が自動適用されていない点です。2020年以前から利用しているMicrosoft 365テナントでは、設定が「許可（AutoForwardingMode: Automatic）」のままになっているケースが残っています。次のセクションで紹介するPowerShellコマンドで現状を確認し、必要であれば明示的にブロックへ切り替えてください。

【実務】外部への自動転送を禁止する具体的な設定手順

実務担当者がまず実施すべきは、組織外への自動転送をデフォルトで禁止することです。以下の2つのステップで確実な制御を行います。

ステップ1：リモートドメインでの設定

1. Exchange 管理センターにアクセスします。
2. [メール フロー] ＞ [リモート ドメイン] を選択します。
3. 「Default」ドメイン（または対象のドメイン）をクリックし、[編集] を開きます。
4. [返信の種類を構成する] セクションで、「自動転送を許可する」のチェックを外します。
5. 設定を保存します。

ステップ2：送信スパムフィルターポリシーの確認

1. Microsoft Defender ポータルにアクセスします。
2. [メールとコラボレーション] ＞ [ポリシーとルール] ＞ [脅威ポリシー] ＞ [反スパム] を選択します。
3. 「送信スパムフィルターポリシー (既定)」を選択します。
4. [保護の設定を編集する] をクリックし、[転送ルール] の項目で 「自動転送をオフにする」 を選択します。

これにより、ユーザーが個別に転送設定を行っても、システム側で遮断されます。社内業務の自動化を進める一方で、こうしたセキュリティの穴を埋める作業は、Excelと紙の限界を突破する「Google Workspace × AppSheet」業務DXのような高度なデジタル活用を安全に行うための大前提となります。

転送禁止設定の比較・選定表

組織のフェーズやライセンス状況に応じて、最適な手法を選択してください。

PowerShellで現状を確認し一括制御する

GUIでの設定確認は見落としが生じやすいため、管理者が定期的に実施すべきはPowerShellによる棚卸しです。以下のコマンドをExchange Online PowerShell（Connect-ExchangeOnlineで接続後）で実行してください。

現状確認：外部転送が許可になっているか調べる

まずテナント全体の送信スパムポリシーを確認します。

# 送信スパムポリシーの自動転送モードを確認
Get-HostedOutboundSpamFilterPolicy | Select-Object Name, AutoForwardingMode

AutoForwardingMode が Off であればブロック済み、Automatic の場合は外部転送が有効な状態です。次にリモートドメインも確認します。

# リモートドメインで自動転送が許可されているものを抽出
Get-RemoteDomain | Where-Object { 
ビジネスにおける情報漏えい経路のなかで、最も対策が後手に回りやすいのが「メールの転送」です。特に、従業員が利便性を求めて私用メールアドレス（GmailやiCloud等）に業務メールを自動転送する設定は、退職後の情報持ち出しや、アカウント乗っ取り時の二次被害を招く深刻な脆弱性となります。
本記事では、Microsoft 365（Exchange Online）を利用する企業が、実務においてどのようにメールの転送制限をかけるべきか、その具体的な設定例と運用上の注意点を網羅して解説します。公式ドキュメントの仕様に基づいた、明日から使える管理者向けの完全ガイドです。
Outlookでのメール転送禁止が必要な理由
組織がメール転送を制限すべき理由は、単なる規律の問題ではありません。近年のセキュリティインシデント事例では、以下のリスクが顕在化しています。

シャドーITの常態化: 会社が把握していない個人デバイスやクラウドストレージへのデータ蓄積。
アカウント侵害時の被害拡大: 第三者にOutlookへ不正ログインされた際、全ての受信メールを外部へ自動転送するルールを仕掛けられ、永続的に情報を盗まれる。
退職者による不正持ち出し: 退職直前に全てのメールを私用アドレスへ転送し、顧客情報や技術情報を流出させる。

これらのリスクを回避するためには、ユーザーの善意に頼るのではなく、システム側で強制力を持った「転送禁止ポリシー」を適用することが不可欠です。また、組織全体のクラウド化が進む中で、SaaS増えすぎ問題と退職者のアカウント削除漏れを防ぐ仕組みと並行して、メールという「データの出口」を塞ぐことが重要となります。
Exchange Onlineで転送を制限する3つの主要メソッド
Microsoft 365環境において、転送を制限する方法は大きく分けて3つ存在します。それぞれの役割を理解し、自社のポリシーに合ったものを選択してください。
1. リモートドメイン設定（自動転送の一律禁止）
外部ドメイン（組織外）への「自動転送」をグローバルに制御する方法です。最も一般的かつ推奨される「最低限のガードレール」と言えます。この設定を「オフ」にすると、ユーザーがOutlookの「転送設定」や「仕分けルール」で外部アドレスを指定しても、メールは送信されません。
2. アウトバウンドスパムフィルター（送信制限）
Microsoft 365 Defender（Securityセンター）で設定するポリシーです。「自動メール転送」を組織全体で「無効」に設定することで、予期せぬ外部転送をブロックします。現在のExchange Onlineでは、デフォルトで自動転送が制限される仕様に移行していますが、明示的な管理が必要です。
3. Microsoft Purviewによるメッセージ保護（手動転送の禁止）
特定の機密メールに対し、受信者が「転送ボタン」を押せないようにする、あるいは転送しても開けないようにする方法です。「転送禁止（Do Not Forward）」ラベルやIRM（Information Rights Management）を使用します。これは自動転送だけでなく、人の手による転送も防ぐことができます。
Microsoftが外部転送をデフォルトブロックに切り替えた背景
現在のExchange Online（Microsoft 365）では、新規テナントの送信スパムフィルターポリシーにおいて、外部への自動転送はデフォルトでブロックされる設定になっています。この変更が本格展開されたのは2020年後半です。
きっかけはBEC（Business Email Compromise：ビジネスメール詐欺）の急増です。攻撃者がOutlookアカウントに不正ログインした後に真っ先に仕掛けるのが「全受信メールを外部へ自動転送するルール」でした。被害に気づくまで数週間にわたって社内情報が流出し続けるケースが相次いだため、Microsoftは2020年9月ごろをもって「外部自動転送の許可」から「外部自動転送のブロック」へとデフォルト値を反転させました。
重要なのは、既存テナントではこの変更が自動適用されていない点です。2020年以前から利用しているMicrosoft 365テナントでは、設定が「許可（AutoForwardingMode: Automatic）」のままになっているケースが残っています。次のセクションで紹介するPowerShellコマンドで現状を確認し、必要であれば明示的にブロックへ切り替えてください。
【実務】外部への自動転送を禁止する具体的な設定手順
実務担当者がまず実施すべきは、組織外への自動転送をデフォルトで禁止することです。以下の2つのステップで確実な制御を行います。
ステップ1：リモートドメインでの設定

Exchange 管理センターにアクセスします。
[メール フロー] ＞ [リモート ドメイン] を選択します。
「Default」ドメイン（または対象のドメイン）をクリックし、[編集] を開きます。
[返信の種類を構成する] セクションで、「自動転送を許可する」のチェックを外します。
設定を保存します。

ステップ2：送信スパムフィルターポリシーの確認

Microsoft Defender ポータルにアクセスします。
[メールとコラボレーション] ＞ [ポリシーとルール] ＞ [脅威ポリシー] ＞ [反スパム] を選択します。
「送信スパムフィルターポリシー (既定)」を選択します。
[保護の設定を編集する] をクリックし、[転送ルール] の項目で 「自動転送をオフにする」 を選択します。

これにより、ユーザーが個別に転送設定を行っても、システム側で遮断されます。社内業務の自動化を進める一方で、こうしたセキュリティの穴を埋める作業は、Excelと紙の限界を突破する「Google Workspace × AppSheet」業務DXのような高度なデジタル活用を安全に行うための大前提となります。
転送禁止設定の比較・選定表
組織のフェーズやライセンス状況に応じて、最適な手法を選択してください。



対策手法
対象となる動作
主なメリット
推奨ライセンス




リモートドメイン設定
組織外への自動転送
設定が容易。一律禁止に向く。
全てのExchangeプラン


送信スパムポリシー
不審な自動送信
セキュリティポータルで一括管理可能。
Business Basic 以上


Microsoft Purview (IRM)
手動転送・コピー
コンテンツレベルで保護。印刷も禁止可能。
E3 / E5 等の機密保護対応


トランスポートルール
条件に合致する全転送
キーワードや送信元で細かく制御。
全てのExchangeプラン



Outlookのメール転送禁止設定、情報漏えい対策の運用ルールはお済みですか？Aurant のグループウェア支援は、Microsoft 365 の導入・移行設計から社員研修、運用ルールの整備・定着までを一貫して支援します。✓ 導入・移行の設計✓ 社員研修と定着支援✓ 運用ルールの整備グループウェア支援を見る →
特定の宛先（ドメイン）のみ転送を許可する運用例
一律禁止が理想ですが、実務上「特定の業務提携先には自動転送が必要」というケースがあります。その場合は、トランスポートルール（メールフロー）で例外を作成します。
設定例：許可されたドメイン以外の転送をブロック

Exchange 管理センターの [メール フロー] ＞ [ルール] を開きます。
[+ ルールの追加] ＞ [新しいルールを作成する] を選択します。
「このルールを適用する条件」: 送信者が [内部である] かつ メールの種類が [自動転送] である。
「ルールの例外」: 受信者のドメインが [許可リストのドメイン] である。
「実行する処理」: [メッセージを拒否して、その説明を含める] を選択。

このように、「原則禁止・例外許可」のホワイトリスト方式をとることで、セキュリティと業務利便性を両立できます。これは、SFA・CRM・MA・Webの違いを解説。データ連携の全体設計図を構築する際に、外部ベンダーとセキュアにデータをやり取りする際にも応用される考え方です。
設定導入時のトラブルシューティングと注意点
設定変更後、現場から「メールが届かない」という問い合わせが急増することがあります。以下の点を確認してください。
1. メーリングリスト（配布グループ）への影響
外部メンバーを含む配布グループに自動転送設定をかけている場合、外部メンバーにメールが届かなくなる可能性があります。これらは「自動転送」として判定されるためです。必要に応じて、個別に許可ルールを追加してください。
2. NDR（配信不能レポート）の監視
転送がブロックされると、送信者にNDRが返ります。このメッセージが「システムエラー」のように見えるとユーザーが混乱するため、「組織のポリシーにより外部への自動転送は禁止されています」といったカスタム拒否理由を設定することを検討してください。
3. ライセンスと権限の確認
Microsoft Purviewによる高度な保護（手動転送禁止）を利用するには、受信者側も対応したクライアント（Outlook等）を使用している必要があります。Web版Outlookであれば概ね問題ありませんが、古いバージョンのデスクトップアプリではメッセージが開けない等の事象が発生します。詳細はMicrosoft Purview 公式ドキュメントをご確認ください。
よくある質問（Outlookメール転送禁止ポリシー）

Q. Outlookでメール転送を一括禁止する最も確実な設定方法は何ですか？
Exchange Online管理センター（EAC）またはMicrosoft Purviewのメールフロールール（トランスポートルール）で「外部への転送・自動転送を一律ブロックするルール」を設定することが最も確実です。Outlookのアプリ側設定ではなくサーバーサイドで制御するため、ユーザーがOutlookクライアントの設定を変更しても有効なままです。設定はOutbound Spam Filterポリシーで「自動転送ルール」を「オフ」に設定するか、メールフロールールで宛先が社外のアドレスである転送メールをブロックします。


Q. 特定の取引先ドメインへの転送だけを許可する設定はできますか？
はい、ホワイトリスト方式で設定できます。Microsoft Purviewのメールフロールールで「転送先ドメインが〇〇の場合は許可、それ以外はブロック」という条件を作成します。ただしホワイトリストのドメインは個別に管理し、「@example.com」のように過度に広いドメイン指定は避けることが重要です。ホワイトリストの定期レビュー（年1回以上）と不要な例外の削除が、実効性の維持に必要です。


Q. Outlookの転送禁止ポリシーは自動転送ルールにも適用されますか？
はい、サーバーサイドの設定（Exchange Onlineのトランスポートルール・Outbound Spam Filter）は、ユーザーが設定した自動転送ルールにも適用されます。ただしOutlookクライアント側のルール（Outlook.comや旧来のExchangeルール）はサーバーサイドとクライアントサイドで動作が異なる場合があるため、Exchange管理センターで「外部転送ルールの有効化」設定を「無効」に設定することが必要です。

まとめ：多層防御によるメールセキュリティ
Outlookのメール転送禁止設定は、一度設定して終わりではありません。組織の変化に合わせて、定期的にリモートドメインのリストやトランスポートルールを見直すことが重要です。また、メール単体の対策に留まらず、ID管理やデバイス管理、さらにはデータ基盤全体のセキュリティ設計を見直すことで、情報の流出リスクを最小化できます。
企業のIT実務においては、こうした「設定一つ」の積み重ねが、将来的な大きな事故を防ぐ鍵となります。自社のセキュリティレベルを再確認し、適切なポリシー適用を進めてください。


組織規模・セキュリティ要件別 × Outlookメール転送禁止の設計パターン × ポリシーの実効性を高める運用ポイント 早見表
メール転送禁止ポリシーは、組織規模やセキュリティ要件によって適用すべき手法と運用設計が大きく異なります。以下の早見表では、規模・要件ごとに推奨する設計パターン・抜け穴と補完策・ユーザー教育と例外申請の運用設計を整理しましたので、自組織の状況に最も近い行を参照して設定の参考としてください。



組織規模・セキュリティ要件
推奨する転送禁止設計パターンと適用範囲
ポリシーの抜け穴と補完的な対策
転送禁止導入時のユーザー教育と例外申請の運用設計




中小企業
（50名以下・IT担当兼務・セキュリティポリシー整備中）
Exchange Online管理センターの「送信スパムフィルターポリシー」で自動外部転送をブロックする設定が最も導入しやすく、管理者スキルが高くなくても適用できるためまず最初に設定することを推奨します。メールフロールールによる細かい制御は後回しにし、「外部への自動転送を全員禁止」という一律ルールをまず確立して穴をなくします。Microsoft 365 Defender の「送信保護ポリシー」で自動転送の設定を「オフ（転送なし）」に変更するだけで大部分のリスクに対応できるため、工数をかけずに最低限の対策を完了させることが重要です。
中小企業での最大の抜け穴は「個人所有スマートフォンのメールアプリにOutlookアカウントを設定し、そこからGmail等へ手動転送する」という人的な操作です。MDM（モバイルデバイス管理）を導入していない場合、この手動転送を技術的に防ぐことは困難であるため、就業規則・情報セキュリティポリシーに「個人端末への業務メール転送の禁止」を明記することが補完策となります。また「メール本文をコピーしてチャットで送る」という技術的に検知が難しい方法も存在するため、機密情報の取り扱いルールの周知を技術的対策と並行して行うことが不可欠です。
中小企業では「転送禁止にされると仕事ができない」という反発が起きやすいため、導入前に「なぜ転送を禁止するのか」を全社メールで経営者名義で発信し、情報漏洩インシデントの社会的事例（業種に近い事例を選ぶとより伝わります）と合わせて説明します。例外申請が必要な場合（特定ベンダーへの転送が業務上必要など）は、経営者または管理職へのメールによる申請を承認フローとし、承認された転送先をメールフロールールのホワイトリストに追加する運用を設けます。全社への周知から実際の設定適用まで2〜4週間の猶予期間を設けることで、担当者が申請準備をする時間を確保することができます。


中堅企業
（50〜300名・情シス専任・Microsoft 365 Business Premium以上）
メールフロールール（トランスポートルール）を使い「外部ドメインへの自動転送をブロック」しつつ、承認済み転送先ドメインのみを例外として許可するホワイトリスト型設計が適しています。送信スパムフィルターポリシーによるテナント全体の自動転送ブロックをベースにした上で、メールフロールールで個別ユースケースの例外を細かくコントロールする二層設計が中堅企業規模には最適です。Business Premium以上のプランではMicrosoft Purview Information Protection（情報保護）が利用可能なため、秘密度ラベルを付与したメールに対して転送自体を技術的に禁止するIRMポリシーを組み合わせることで、保護レベルを一段引き上げられます。
中堅企業でよく見られる抜け穴は「代理送信（Send As）を使った外部転送の迂回」です。代理送信権限を持つユーザーが転送禁止を意識せず別のアカウント経由で外部送信してしまうケースがあるため、代理送信権限の棚卸しと不要な権限の削除を転送禁止ポリシーと同時に実施します。Microsoft Defenderの「メールフロー分析」レポートを月次で確認し、転送ポリシーに引っかかってブロックされた件数が急増していないかを監視することで、業務上必要な転送がブロックされているインシデントを早期発見できます。また「社員がOutlookルールを手動設定していた場合、ポリシー適用後にルールがエラーになってユーザーから問い合わせが増える」ことへの対策として、適用前にOutlookクライアントのルール設定状況を管理者が確認します。
情シス専任がいる中堅企業では、転送禁止の例外申請フローをServiceNow・kintone・Jira Serviceなどのヘルプデスクツールで電子化し、申請→承認→設定反映の一連を記録に残す運用を確立することが推奨されます。ユーザー教育は全社一斉メールだけでなく、部門ごとの業務担当者向けに「この業務でよく使われていた転送が禁止になる理由と代替手順」を具体的に説明する個別説明会（15〜30分）を開催することで理解度と定着率が上がります。転送禁止ポリシー適用後30日間は情シスに「転送できなくて困っている」という問い合わせ専用の受付口を設け、正当な業務需要への対応漏れがないかをモニタリングします。


大企業
（500名超・Microsoft 365 E3/E5・コンプライアンス部門連携）
Microsoft Purview DLP（データ損失防止）ポリシーを使い、個人情報・機密情報を含むメールの外部転送を自動的にブロックするコンテンツ検査型の転送禁止が大企業には最適です。E3/E5プランではAudit Log（統合監査ログ）が180日〜1年間保存されるため、転送禁止ポリシーに関するすべての操作（ポリシー変更・例外承認・ブロックイベント）を監査ログで証跡管理できる体制を構築します。メールフロールール・送信スパムフィルター・IRMポリシー・DLPポリシーを重層的に組み合わせたDefense in Depth設計を採用し、単一のポリシー無効化では情報が漏れない構造を作ることが大企業標準です。
大企業での抜け穴として最も注意が必要なのは「BCC送信による外部転送の偽装」です。DLPポリシーにBCC宛先の外部ドメインチェックを含めていない場合、外部アドレスをBCCに入れることで自動転送とは見なされずにブロックをすり抜けるケースがあります。E5プランのMicrosoft Defender for Office 365では「異常な送信パターン」を機械学習で検知するアラートを設定できるため、転送禁止ポリシーとは独立した行動ベースの異常検知を補完的に導入することで未知の抜け穴をカバーします。年に1回、外部のセキュリティ監査法人またはMicrosoftパートナーによるメール保護設定のレビューを実施し、設定のドリフト（意図しない変更・設定漏れ）を検出する定期検証を実施します。
大企業のユーザー教育は全社一斉ではなく「情報の取り扱いリスクが高い部門（営業・人事・経理・法務）」を最優先ターゲットとして集中的な研修を実施し、その後全社展開する段階的アプローチが効果的です。例外申請フローはコンプライアンス部門・情シス・所属部門長の三者承認を必要とする設計にし、承認記録をMicrosoft Purview コンプライアンスポータルのケース管理または専用台帳で保管します。「転送できない場合の代替手段（SharePointでの安全なファイル共有・Teamsでのゲストアクセス招待）」を社内WikiまたはSharePointポータルにFAQ形式で掲載し、ユーザーが自己解決できる情報を整備することでヘルプデスクへの問い合わせを抑制します。


規制業種
（医療・金融・法律・個人情報の厳格な管理が義務）
規制業種では転送禁止ポリシーの「例外なし」原則を基本とし、外部転送の例外を認める場合はCISO（最高情報セキュリティ責任者）または個人情報保護管理者の事前承認を必須とする設計にします。医療機関では電子カルテ情報・患者データを含む可能性があるメールについてDLPポリシーで自動ブロックと管理者アラートを設定し、医療情報システムの安全管理に関するガイドライン（厚生労働省）の遵守を技術的に担保します。金融機関ではFISC安全対策基準に準拠した設定要件を確認し、メールの外部転送に関する監査証跡（送信者・宛先・日時・コンテンツサマリー）を規定期間（一般的に5〜7年）保存できるアーカイブ設定をMicrosoft Purviewで構成します。
規制業種での重大な抜け穴は「承認済み外部転送先（提携病院・監督官庁・顧問弁護士等）のドメインが広すぎる設定」です。例えば「@gov.go.jp」全体を許可すると省庁全体への転送が可能になるため、承認する転送先は個別のメールアドレスレベルまで絞り込む設定を行います。医療・法律分野ではファックスからメールへの移行期に「従来はFAXで送っていたものをメールに転送する」という慣習が残りやすく、転送禁止の技術的対策より業務プロセスの変更に抵抗が大きい場合があります。この場合は転送禁止の技術設定と並行して「メールによる安全な代替送付手順」の業務フロー整備を先行させることが定着を早めます。
規制業種のユーザー教育では「転送禁止ポリシーに違反した場合の法的リスクと組織的リスク」（個人情報保護法違反・監督官庁への報告義務・賠償リスク等）を具体的な数字や事例を交えて説明し、ルール遵守の動機付けを強化します。例外申請は年1回の棚卸しを義務付け、過去に承認した例外転送先が現在も業務上必要かを定期レビューし、不要になった例外はホワイトリストから削除するライフサイクル管理を確立します。転送禁止ポリシーの設定内容・承認記録・インシデント対応記録を定期的な内部監査・外部監査の対象として位置づけ、監査担当者が閲覧できる監査証跡レポートをMicrosoft Purviewで自動生成できる体制を整えます。



Outlookのメール転送禁止ポリシーで実効性を高める最大のポイントは、「技術的なブロック設定を入れるだけでなく、正当な業務需要に対する例外申請フローと代替手段を同時に整備し、ユーザーが困ったときの逃げ道を用意すること」です。禁止だけでは業務の抜け道が生まれますが、安全な代替手段と合わせて設計することで実質的な情報漏洩リスクを大幅に低減できます。
【補足】転送禁止ポリシーの実効性を高める3つの視点
Exchange Onlineの設定で「自動転送」を塞いだとしても、実務上のリスクが完全に消えるわけではありません。より強固な情報漏えい対策を行うために、管理者が押さえておくべきチェックポイントを整理します。
1. 「手動転送」と「コピー＆ペースト」への対策
今回解説した設定の多くは、メールサーバー側で自動的に処理される「自動転送（Auto-Forward）」を対象としています。しかし、ユーザーが手動で「転送」ボタンを押し、本文を外部に送信する行為や、内容をコピーして私用チャットツール等に貼り付ける行為は、リモートドメインの設定では防げません。
これらを制限するには、前述のMicrosoft Purview（旧称：Microsoft Information Protection）を活用し、機密情報を扱う特定のグループや条件に対して「転送不可（Do Not Forward）」や「印刷禁止」の権利管理（IRM）を適用する必要があります。
2. 設定導入後の動作確認チェックリスト
ポリシー適用後は、以下の項目が意図通りに動作しているか、テストアカウントを用いて必ず確認してください。

自動転送の拒否：Outlookの「転送設定」で外部アドレスを入力した際、配信不能レポート（NDR）が返ってくるか。
仕分けルールの無効化：ユーザーが個別に作成した「メッセージを転送する」ルールが実行されないか。
内部転送の維持：組織内ドメイン（例：@yourcompany.co.jp）同士の転送は引き続き許可されているか。
配布グループの挙動：外部メンバーを含む配布リストに送信した際、外部メンバーのみが正しく除外（または許可設定に基づき配信）されているか。

3. 退職者・休職者のアカウント管理との連携
メール転送を制限する動機が「情報持ち出し対策」である場合、メール単体の設定だけでなく、ID管理全体を最適化することが近道です。例えば、SaaSアカウント削除漏れを防ぐ自動化アーキテクチャを導入することで、退職と同時にExchangeを含む全SaaSへのアクセス権を一括遮断でき、転送設定の有無に関わらずリスクを根本から絶つことが可能です。
公式リファレンスと技術仕様
設定の詳細は、Microsoftが提供する最新の公式ドキュメントを参照してください。特に、Microsoft Defenderにおける「送信スパムポリシー」は、仕様変更が頻繁に行われるため要確認です。



参照項目
公式ドキュメント（外部リンク）
主な確認内容




自動転送の制御
送信スパムポリシーの構成
Defenderポータルでの一括制御設定


リモートドメイン管理
Exchange Onlineのリモートドメイン
ドメイン単位での自動返信・転送許可設定


トランスポートルール
メールフロー ルール (トランスポート ルール)
詳細な条件分岐（ホワイトリスト）の設定方法



また、昨今ではLINE等の外部チャットツールを用いた顧客獲得が進んでいますが、そこでのデータ管理も同様にセキュアな設計が求められます。WebトラッキングとID連携の実践ガイドにあるような、ITP対策やセキュアな名寄せアーキテクチャの視点を持つことで、メール以外の経路におけるデータ漏えいリスクも包括的にカバーできるようになります。


Microsoft 365 を「メール・会議・ドキュメント・AI・ID」まで一体で設計する観点はMicrosoft 365 統合運用ガイドにまとめています。Outlook メール転送禁止ポリシーの前後の論点もこちらから確認できます。

Microsoft 365・グループウェア活用のご相談
TeamsやSharePoint、Outlookを含むMicrosoft 365やグループウェアの導入・運用設計を、情報共有と権限管理の両面から支援します。今の設定で運用上の問題がないかを確認する、導入前後のセカンドオピニオンにも対応しています。
グループウェア活用支援を見る →


.AutoForwardEnabled -eq $true } | Select-Object Name, DomainName, AutoForwardEnabled

「Default」ドメインの AutoForwardEnabled が True の場合、リモートドメイン側でも転送が有効です。

個別メールボックスの転送設定を一覧取得する

転送先アドレスが設定されているメールボックスを抽出します。退職前の持ち出し対策として月次で実行することを推奨します。

# 転送設定が入っているメールボックスをCSV出力
Get-Mailbox -ResultSize Unlimited | Where-Object { 
ビジネスにおける情報漏えい経路のなかで、最も対策が後手に回りやすいのが「メールの転送」です。特に、従業員が利便性を求めて私用メールアドレス（GmailやiCloud等）に業務メールを自動転送する設定は、退職後の情報持ち出しや、アカウント乗っ取り時の二次被害を招く深刻な脆弱性となります。
本記事では、Microsoft 365（Exchange Online）を利用する企業が、実務においてどのようにメールの転送制限をかけるべきか、その具体的な設定例と運用上の注意点を網羅して解説します。公式ドキュメントの仕様に基づいた、明日から使える管理者向けの完全ガイドです。
Outlookでのメール転送禁止が必要な理由
組織がメール転送を制限すべき理由は、単なる規律の問題ではありません。近年のセキュリティインシデント事例では、以下のリスクが顕在化しています。

シャドーITの常態化: 会社が把握していない個人デバイスやクラウドストレージへのデータ蓄積。
アカウント侵害時の被害拡大: 第三者にOutlookへ不正ログインされた際、全ての受信メールを外部へ自動転送するルールを仕掛けられ、永続的に情報を盗まれる。
退職者による不正持ち出し: 退職直前に全てのメールを私用アドレスへ転送し、顧客情報や技術情報を流出させる。

これらのリスクを回避するためには、ユーザーの善意に頼るのではなく、システム側で強制力を持った「転送禁止ポリシー」を適用することが不可欠です。また、組織全体のクラウド化が進む中で、SaaS増えすぎ問題と退職者のアカウント削除漏れを防ぐ仕組みと並行して、メールという「データの出口」を塞ぐことが重要となります。
Exchange Onlineで転送を制限する3つの主要メソッド
Microsoft 365環境において、転送を制限する方法は大きく分けて3つ存在します。それぞれの役割を理解し、自社のポリシーに合ったものを選択してください。
1. リモートドメイン設定（自動転送の一律禁止）
外部ドメイン（組織外）への「自動転送」をグローバルに制御する方法です。最も一般的かつ推奨される「最低限のガードレール」と言えます。この設定を「オフ」にすると、ユーザーがOutlookの「転送設定」や「仕分けルール」で外部アドレスを指定しても、メールは送信されません。
2. アウトバウンドスパムフィルター（送信制限）
Microsoft 365 Defender（Securityセンター）で設定するポリシーです。「自動メール転送」を組織全体で「無効」に設定することで、予期せぬ外部転送をブロックします。現在のExchange Onlineでは、デフォルトで自動転送が制限される仕様に移行していますが、明示的な管理が必要です。
3. Microsoft Purviewによるメッセージ保護（手動転送の禁止）
特定の機密メールに対し、受信者が「転送ボタン」を押せないようにする、あるいは転送しても開けないようにする方法です。「転送禁止（Do Not Forward）」ラベルやIRM（Information Rights Management）を使用します。これは自動転送だけでなく、人の手による転送も防ぐことができます。
Microsoftが外部転送をデフォルトブロックに切り替えた背景
現在のExchange Online（Microsoft 365）では、新規テナントの送信スパムフィルターポリシーにおいて、外部への自動転送はデフォルトでブロックされる設定になっています。この変更が本格展開されたのは2020年後半です。
きっかけはBEC（Business Email Compromise：ビジネスメール詐欺）の急増です。攻撃者がOutlookアカウントに不正ログインした後に真っ先に仕掛けるのが「全受信メールを外部へ自動転送するルール」でした。被害に気づくまで数週間にわたって社内情報が流出し続けるケースが相次いだため、Microsoftは2020年9月ごろをもって「外部自動転送の許可」から「外部自動転送のブロック」へとデフォルト値を反転させました。
重要なのは、既存テナントではこの変更が自動適用されていない点です。2020年以前から利用しているMicrosoft 365テナントでは、設定が「許可（AutoForwardingMode: Automatic）」のままになっているケースが残っています。次のセクションで紹介するPowerShellコマンドで現状を確認し、必要であれば明示的にブロックへ切り替えてください。
【実務】外部への自動転送を禁止する具体的な設定手順
実務担当者がまず実施すべきは、組織外への自動転送をデフォルトで禁止することです。以下の2つのステップで確実な制御を行います。
ステップ1：リモートドメインでの設定

Exchange 管理センターにアクセスします。
[メール フロー] ＞ [リモート ドメイン] を選択します。
「Default」ドメイン（または対象のドメイン）をクリックし、[編集] を開きます。
[返信の種類を構成する] セクションで、「自動転送を許可する」のチェックを外します。
設定を保存します。

ステップ2：送信スパムフィルターポリシーの確認

Microsoft Defender ポータルにアクセスします。
[メールとコラボレーション] ＞ [ポリシーとルール] ＞ [脅威ポリシー] ＞ [反スパム] を選択します。
「送信スパムフィルターポリシー (既定)」を選択します。
[保護の設定を編集する] をクリックし、[転送ルール] の項目で 「自動転送をオフにする」 を選択します。

これにより、ユーザーが個別に転送設定を行っても、システム側で遮断されます。社内業務の自動化を進める一方で、こうしたセキュリティの穴を埋める作業は、Excelと紙の限界を突破する「Google Workspace × AppSheet」業務DXのような高度なデジタル活用を安全に行うための大前提となります。
転送禁止設定の比較・選定表
組織のフェーズやライセンス状況に応じて、最適な手法を選択してください。



対策手法
対象となる動作
主なメリット
推奨ライセンス




リモートドメイン設定
組織外への自動転送
設定が容易。一律禁止に向く。
全てのExchangeプラン


送信スパムポリシー
不審な自動送信
セキュリティポータルで一括管理可能。
Business Basic 以上


Microsoft Purview (IRM)
手動転送・コピー
コンテンツレベルで保護。印刷も禁止可能。
E3 / E5 等の機密保護対応


トランスポートルール
条件に合致する全転送
キーワードや送信元で細かく制御。
全てのExchangeプラン



Outlookのメール転送禁止設定、情報漏えい対策の運用ルールはお済みですか？Aurant のグループウェア支援は、Microsoft 365 の導入・移行設計から社員研修、運用ルールの整備・定着までを一貫して支援します。✓ 導入・移行の設計✓ 社員研修と定着支援✓ 運用ルールの整備グループウェア支援を見る →
特定の宛先（ドメイン）のみ転送を許可する運用例
一律禁止が理想ですが、実務上「特定の業務提携先には自動転送が必要」というケースがあります。その場合は、トランスポートルール（メールフロー）で例外を作成します。
設定例：許可されたドメイン以外の転送をブロック

Exchange 管理センターの [メール フロー] ＞ [ルール] を開きます。
[+ ルールの追加] ＞ [新しいルールを作成する] を選択します。
「このルールを適用する条件」: 送信者が [内部である] かつ メールの種類が [自動転送] である。
「ルールの例外」: 受信者のドメインが [許可リストのドメイン] である。
「実行する処理」: [メッセージを拒否して、その説明を含める] を選択。

このように、「原則禁止・例外許可」のホワイトリスト方式をとることで、セキュリティと業務利便性を両立できます。これは、SFA・CRM・MA・Webの違いを解説。データ連携の全体設計図を構築する際に、外部ベンダーとセキュアにデータをやり取りする際にも応用される考え方です。
設定導入時のトラブルシューティングと注意点
設定変更後、現場から「メールが届かない」という問い合わせが急増することがあります。以下の点を確認してください。
1. メーリングリスト（配布グループ）への影響
外部メンバーを含む配布グループに自動転送設定をかけている場合、外部メンバーにメールが届かなくなる可能性があります。これらは「自動転送」として判定されるためです。必要に応じて、個別に許可ルールを追加してください。
2. NDR（配信不能レポート）の監視
転送がブロックされると、送信者にNDRが返ります。このメッセージが「システムエラー」のように見えるとユーザーが混乱するため、「組織のポリシーにより外部への自動転送は禁止されています」といったカスタム拒否理由を設定することを検討してください。
3. ライセンスと権限の確認
Microsoft Purviewによる高度な保護（手動転送禁止）を利用するには、受信者側も対応したクライアント（Outlook等）を使用している必要があります。Web版Outlookであれば概ね問題ありませんが、古いバージョンのデスクトップアプリではメッセージが開けない等の事象が発生します。詳細はMicrosoft Purview 公式ドキュメントをご確認ください。
よくある質問（Outlookメール転送禁止ポリシー）

Q. Outlookでメール転送を一括禁止する最も確実な設定方法は何ですか？
Exchange Online管理センター（EAC）またはMicrosoft Purviewのメールフロールール（トランスポートルール）で「外部への転送・自動転送を一律ブロックするルール」を設定することが最も確実です。Outlookのアプリ側設定ではなくサーバーサイドで制御するため、ユーザーがOutlookクライアントの設定を変更しても有効なままです。設定はOutbound Spam Filterポリシーで「自動転送ルール」を「オフ」に設定するか、メールフロールールで宛先が社外のアドレスである転送メールをブロックします。


Q. 特定の取引先ドメインへの転送だけを許可する設定はできますか？
はい、ホワイトリスト方式で設定できます。Microsoft Purviewのメールフロールールで「転送先ドメインが〇〇の場合は許可、それ以外はブロック」という条件を作成します。ただしホワイトリストのドメインは個別に管理し、「@example.com」のように過度に広いドメイン指定は避けることが重要です。ホワイトリストの定期レビュー（年1回以上）と不要な例外の削除が、実効性の維持に必要です。


Q. Outlookの転送禁止ポリシーは自動転送ルールにも適用されますか？
はい、サーバーサイドの設定（Exchange Onlineのトランスポートルール・Outbound Spam Filter）は、ユーザーが設定した自動転送ルールにも適用されます。ただしOutlookクライアント側のルール（Outlook.comや旧来のExchangeルール）はサーバーサイドとクライアントサイドで動作が異なる場合があるため、Exchange管理センターで「外部転送ルールの有効化」設定を「無効」に設定することが必要です。

まとめ：多層防御によるメールセキュリティ
Outlookのメール転送禁止設定は、一度設定して終わりではありません。組織の変化に合わせて、定期的にリモートドメインのリストやトランスポートルールを見直すことが重要です。また、メール単体の対策に留まらず、ID管理やデバイス管理、さらにはデータ基盤全体のセキュリティ設計を見直すことで、情報の流出リスクを最小化できます。
企業のIT実務においては、こうした「設定一つ」の積み重ねが、将来的な大きな事故を防ぐ鍵となります。自社のセキュリティレベルを再確認し、適切なポリシー適用を進めてください。


組織規模・セキュリティ要件別 × Outlookメール転送禁止の設計パターン × ポリシーの実効性を高める運用ポイント 早見表
メール転送禁止ポリシーは、組織規模やセキュリティ要件によって適用すべき手法と運用設計が大きく異なります。以下の早見表では、規模・要件ごとに推奨する設計パターン・抜け穴と補完策・ユーザー教育と例外申請の運用設計を整理しましたので、自組織の状況に最も近い行を参照して設定の参考としてください。



組織規模・セキュリティ要件
推奨する転送禁止設計パターンと適用範囲
ポリシーの抜け穴と補完的な対策
転送禁止導入時のユーザー教育と例外申請の運用設計




中小企業
（50名以下・IT担当兼務・セキュリティポリシー整備中）
Exchange Online管理センターの「送信スパムフィルターポリシー」で自動外部転送をブロックする設定が最も導入しやすく、管理者スキルが高くなくても適用できるためまず最初に設定することを推奨します。メールフロールールによる細かい制御は後回しにし、「外部への自動転送を全員禁止」という一律ルールをまず確立して穴をなくします。Microsoft 365 Defender の「送信保護ポリシー」で自動転送の設定を「オフ（転送なし）」に変更するだけで大部分のリスクに対応できるため、工数をかけずに最低限の対策を完了させることが重要です。
中小企業での最大の抜け穴は「個人所有スマートフォンのメールアプリにOutlookアカウントを設定し、そこからGmail等へ手動転送する」という人的な操作です。MDM（モバイルデバイス管理）を導入していない場合、この手動転送を技術的に防ぐことは困難であるため、就業規則・情報セキュリティポリシーに「個人端末への業務メール転送の禁止」を明記することが補完策となります。また「メール本文をコピーしてチャットで送る」という技術的に検知が難しい方法も存在するため、機密情報の取り扱いルールの周知を技術的対策と並行して行うことが不可欠です。
中小企業では「転送禁止にされると仕事ができない」という反発が起きやすいため、導入前に「なぜ転送を禁止するのか」を全社メールで経営者名義で発信し、情報漏洩インシデントの社会的事例（業種に近い事例を選ぶとより伝わります）と合わせて説明します。例外申請が必要な場合（特定ベンダーへの転送が業務上必要など）は、経営者または管理職へのメールによる申請を承認フローとし、承認された転送先をメールフロールールのホワイトリストに追加する運用を設けます。全社への周知から実際の設定適用まで2〜4週間の猶予期間を設けることで、担当者が申請準備をする時間を確保することができます。


中堅企業
（50〜300名・情シス専任・Microsoft 365 Business Premium以上）
メールフロールール（トランスポートルール）を使い「外部ドメインへの自動転送をブロック」しつつ、承認済み転送先ドメインのみを例外として許可するホワイトリスト型設計が適しています。送信スパムフィルターポリシーによるテナント全体の自動転送ブロックをベースにした上で、メールフロールールで個別ユースケースの例外を細かくコントロールする二層設計が中堅企業規模には最適です。Business Premium以上のプランではMicrosoft Purview Information Protection（情報保護）が利用可能なため、秘密度ラベルを付与したメールに対して転送自体を技術的に禁止するIRMポリシーを組み合わせることで、保護レベルを一段引き上げられます。
中堅企業でよく見られる抜け穴は「代理送信（Send As）を使った外部転送の迂回」です。代理送信権限を持つユーザーが転送禁止を意識せず別のアカウント経由で外部送信してしまうケースがあるため、代理送信権限の棚卸しと不要な権限の削除を転送禁止ポリシーと同時に実施します。Microsoft Defenderの「メールフロー分析」レポートを月次で確認し、転送ポリシーに引っかかってブロックされた件数が急増していないかを監視することで、業務上必要な転送がブロックされているインシデントを早期発見できます。また「社員がOutlookルールを手動設定していた場合、ポリシー適用後にルールがエラーになってユーザーから問い合わせが増える」ことへの対策として、適用前にOutlookクライアントのルール設定状況を管理者が確認します。
情シス専任がいる中堅企業では、転送禁止の例外申請フローをServiceNow・kintone・Jira Serviceなどのヘルプデスクツールで電子化し、申請→承認→設定反映の一連を記録に残す運用を確立することが推奨されます。ユーザー教育は全社一斉メールだけでなく、部門ごとの業務担当者向けに「この業務でよく使われていた転送が禁止になる理由と代替手順」を具体的に説明する個別説明会（15〜30分）を開催することで理解度と定着率が上がります。転送禁止ポリシー適用後30日間は情シスに「転送できなくて困っている」という問い合わせ専用の受付口を設け、正当な業務需要への対応漏れがないかをモニタリングします。


大企業
（500名超・Microsoft 365 E3/E5・コンプライアンス部門連携）
Microsoft Purview DLP（データ損失防止）ポリシーを使い、個人情報・機密情報を含むメールの外部転送を自動的にブロックするコンテンツ検査型の転送禁止が大企業には最適です。E3/E5プランではAudit Log（統合監査ログ）が180日〜1年間保存されるため、転送禁止ポリシーに関するすべての操作（ポリシー変更・例外承認・ブロックイベント）を監査ログで証跡管理できる体制を構築します。メールフロールール・送信スパムフィルター・IRMポリシー・DLPポリシーを重層的に組み合わせたDefense in Depth設計を採用し、単一のポリシー無効化では情報が漏れない構造を作ることが大企業標準です。
大企業での抜け穴として最も注意が必要なのは「BCC送信による外部転送の偽装」です。DLPポリシーにBCC宛先の外部ドメインチェックを含めていない場合、外部アドレスをBCCに入れることで自動転送とは見なされずにブロックをすり抜けるケースがあります。E5プランのMicrosoft Defender for Office 365では「異常な送信パターン」を機械学習で検知するアラートを設定できるため、転送禁止ポリシーとは独立した行動ベースの異常検知を補完的に導入することで未知の抜け穴をカバーします。年に1回、外部のセキュリティ監査法人またはMicrosoftパートナーによるメール保護設定のレビューを実施し、設定のドリフト（意図しない変更・設定漏れ）を検出する定期検証を実施します。
大企業のユーザー教育は全社一斉ではなく「情報の取り扱いリスクが高い部門（営業・人事・経理・法務）」を最優先ターゲットとして集中的な研修を実施し、その後全社展開する段階的アプローチが効果的です。例外申請フローはコンプライアンス部門・情シス・所属部門長の三者承認を必要とする設計にし、承認記録をMicrosoft Purview コンプライアンスポータルのケース管理または専用台帳で保管します。「転送できない場合の代替手段（SharePointでの安全なファイル共有・Teamsでのゲストアクセス招待）」を社内WikiまたはSharePointポータルにFAQ形式で掲載し、ユーザーが自己解決できる情報を整備することでヘルプデスクへの問い合わせを抑制します。


規制業種
（医療・金融・法律・個人情報の厳格な管理が義務）
規制業種では転送禁止ポリシーの「例外なし」原則を基本とし、外部転送の例外を認める場合はCISO（最高情報セキュリティ責任者）または個人情報保護管理者の事前承認を必須とする設計にします。医療機関では電子カルテ情報・患者データを含む可能性があるメールについてDLPポリシーで自動ブロックと管理者アラートを設定し、医療情報システムの安全管理に関するガイドライン（厚生労働省）の遵守を技術的に担保します。金融機関ではFISC安全対策基準に準拠した設定要件を確認し、メールの外部転送に関する監査証跡（送信者・宛先・日時・コンテンツサマリー）を規定期間（一般的に5〜7年）保存できるアーカイブ設定をMicrosoft Purviewで構成します。
規制業種での重大な抜け穴は「承認済み外部転送先（提携病院・監督官庁・顧問弁護士等）のドメインが広すぎる設定」です。例えば「@gov.go.jp」全体を許可すると省庁全体への転送が可能になるため、承認する転送先は個別のメールアドレスレベルまで絞り込む設定を行います。医療・法律分野ではファックスからメールへの移行期に「従来はFAXで送っていたものをメールに転送する」という慣習が残りやすく、転送禁止の技術的対策より業務プロセスの変更に抵抗が大きい場合があります。この場合は転送禁止の技術設定と並行して「メールによる安全な代替送付手順」の業務フロー整備を先行させることが定着を早めます。
規制業種のユーザー教育では「転送禁止ポリシーに違反した場合の法的リスクと組織的リスク」（個人情報保護法違反・監督官庁への報告義務・賠償リスク等）を具体的な数字や事例を交えて説明し、ルール遵守の動機付けを強化します。例外申請は年1回の棚卸しを義務付け、過去に承認した例外転送先が現在も業務上必要かを定期レビューし、不要になった例外はホワイトリストから削除するライフサイクル管理を確立します。転送禁止ポリシーの設定内容・承認記録・インシデント対応記録を定期的な内部監査・外部監査の対象として位置づけ、監査担当者が閲覧できる監査証跡レポートをMicrosoft Purviewで自動生成できる体制を整えます。



Outlookのメール転送禁止ポリシーで実効性を高める最大のポイントは、「技術的なブロック設定を入れるだけでなく、正当な業務需要に対する例外申請フローと代替手段を同時に整備し、ユーザーが困ったときの逃げ道を用意すること」です。禁止だけでは業務の抜け道が生まれますが、安全な代替手段と合わせて設計することで実質的な情報漏洩リスクを大幅に低減できます。
【補足】転送禁止ポリシーの実効性を高める3つの視点
Exchange Onlineの設定で「自動転送」を塞いだとしても、実務上のリスクが完全に消えるわけではありません。より強固な情報漏えい対策を行うために、管理者が押さえておくべきチェックポイントを整理します。
1. 「手動転送」と「コピー＆ペースト」への対策
今回解説した設定の多くは、メールサーバー側で自動的に処理される「自動転送（Auto-Forward）」を対象としています。しかし、ユーザーが手動で「転送」ボタンを押し、本文を外部に送信する行為や、内容をコピーして私用チャットツール等に貼り付ける行為は、リモートドメインの設定では防げません。
これらを制限するには、前述のMicrosoft Purview（旧称：Microsoft Information Protection）を活用し、機密情報を扱う特定のグループや条件に対して「転送不可（Do Not Forward）」や「印刷禁止」の権利管理（IRM）を適用する必要があります。
2. 設定導入後の動作確認チェックリスト
ポリシー適用後は、以下の項目が意図通りに動作しているか、テストアカウントを用いて必ず確認してください。

自動転送の拒否：Outlookの「転送設定」で外部アドレスを入力した際、配信不能レポート（NDR）が返ってくるか。
仕分けルールの無効化：ユーザーが個別に作成した「メッセージを転送する」ルールが実行されないか。
内部転送の維持：組織内ドメイン（例：@yourcompany.co.jp）同士の転送は引き続き許可されているか。
配布グループの挙動：外部メンバーを含む配布リストに送信した際、外部メンバーのみが正しく除外（または許可設定に基づき配信）されているか。

3. 退職者・休職者のアカウント管理との連携
メール転送を制限する動機が「情報持ち出し対策」である場合、メール単体の設定だけでなく、ID管理全体を最適化することが近道です。例えば、SaaSアカウント削除漏れを防ぐ自動化アーキテクチャを導入することで、退職と同時にExchangeを含む全SaaSへのアクセス権を一括遮断でき、転送設定の有無に関わらずリスクを根本から絶つことが可能です。
公式リファレンスと技術仕様
設定の詳細は、Microsoftが提供する最新の公式ドキュメントを参照してください。特に、Microsoft Defenderにおける「送信スパムポリシー」は、仕様変更が頻繁に行われるため要確認です。



参照項目
公式ドキュメント（外部リンク）
主な確認内容




自動転送の制御
送信スパムポリシーの構成
Defenderポータルでの一括制御設定


リモートドメイン管理
Exchange Onlineのリモートドメイン
ドメイン単位での自動返信・転送許可設定


トランスポートルール
メールフロー ルール (トランスポート ルール)
詳細な条件分岐（ホワイトリスト）の設定方法



また、昨今ではLINE等の外部チャットツールを用いた顧客獲得が進んでいますが、そこでのデータ管理も同様にセキュアな設計が求められます。WebトラッキングとID連携の実践ガイドにあるような、ITP対策やセキュアな名寄せアーキテクチャの視点を持つことで、メール以外の経路におけるデータ漏えいリスクも包括的にカバーできるようになります。


Microsoft 365 を「メール・会議・ドキュメント・AI・ID」まで一体で設計する観点はMicrosoft 365 統合運用ガイドにまとめています。Outlook メール転送禁止ポリシーの前後の論点もこちらから確認できます。

Microsoft 365・グループウェア活用のご相談
TeamsやSharePoint、Outlookを含むMicrosoft 365やグループウェアの導入・運用設計を、情報共有と権限管理の両面から支援します。今の設定で運用上の問題がないかを確認する、導入前後のセカンドオピニオンにも対応しています。
グループウェア活用支援を見る →


.ForwardingSMTPAddress -ne $null } |
  Select-Object UserPrincipalName, ForwardingSMTPAddress, DeliverToMailboxAndForward |
  Export-Csv "forwarding_report.csv" -NoTypeInformation -Encoding UTF8

一括でブロックに切り替える

確認後、デフォルトポリシーを明示的にブロックへ変更します。

# 送信スパムポリシーで外部自動転送を無効化
Set-HostedOutboundSpamFilterPolicy -Identity Default -AutoForwardingMode Off

# リモートドメイン（Default）でも自動転送を無効化
Set-RemoteDomain -Identity Default -AutoForwardEnabled $false

両方を設定することで二重のブロックが機能します。送信スパムポリシーはスパムフィルター経由の制御、リモートドメインはメールフロー経由の制御であり、片方が緩んでいても残る方が補完します。

Microsoft Defender for Office 365 の転送アラートを確認する

PowerShellで設定を固めた上で、異常検知の仕組みもあわせて整備してください。Microsoft 365 Defenderポータルの [アラートポリシー] には「転送/リダイレクト ルールを作成しているユーザー」という組み込みアラートが用意されており、ユーザーがOutlookで新たに転送ルールを作成した際に管理者へ通知が飛びます。デフォルトで有効になっていますが、通知先メールアドレスが設定されているかを一度確認しておくことを推奨します。

特定の宛先（ドメイン）のみ転送を許可する運用例

一律禁止が理想ですが、実務上「特定の業務提携先には自動転送が必要」というケースがあります。その場合は、トランスポートルール（メールフロー）で例外を作成します。

設定例：許可されたドメイン以外の転送をブロック

1. Exchange 管理センターの [メール フロー] ＞ [ルール] を開きます。
2. [+ ルールの追加] ＞ [新しいルールを作成する] を選択します。
3. 「このルールを適用する条件」: 送信者が [内部である] かつ メールの種類が [自動転送] である。
4. 「ルールの例外」: 受信者のドメインが [許可リストのドメイン] である。
5. 「実行する処理」: [メッセージを拒否して、その説明を含める] を選択。

このように、「原則禁止・例外許可」のホワイトリスト方式をとることで、セキュリティと業務利便性を両立できます。これは、SFA・CRM・MA・Webの違いを解説。データ連携の全体設計図を構築する際に、外部ベンダーとセキュアにデータをやり取りする際にも応用される考え方です。

設定導入時のトラブルシューティングと注意点

設定変更後、現場から「メールが届かない」という問い合わせが急増することがあります。以下の点を確認してください。

1. メーリングリスト（配布グループ）への影響

外部メンバーを含む配布グループに自動転送設定をかけている場合、外部メンバーにメールが届かなくなる可能性があります。これらは「自動転送」として判定されるためです。必要に応じて、個別に許可ルールを追加してください。

2. NDR（配信不能レポート）の監視

転送がブロックされると、送信者にNDRが返ります。このメッセージが「システムエラー」のように見えるとユーザーが混乱するため、「組織のポリシーにより外部への自動転送は禁止されています」といったカスタム拒否理由を設定することを検討してください。

3. ライセンスと権限の確認

Microsoft Purviewによる高度な保護（手動転送禁止）を利用するには、受信者側も対応したクライアント（Outlook等）を使用している必要があります。Web版Outlookであれば概ね問題ありませんが、古いバージョンのデスクトップアプリではメッセージが開けない等の事象が発生します。詳細はMicrosoft Purview 公式ドキュメントをご確認ください。

よくある質問（Outlookメール転送禁止ポリシー）

まとめ：多層防御によるメールセキュリティ

Outlookのメール転送禁止設定は、一度設定して終わりではありません。組織の変化に合わせて、定期的にリモートドメインのリストやトランスポートルールを見直すことが重要です。また、メール単体の対策に留まらず、ID管理やデバイス管理、さらにはデータ基盤全体のセキュリティ設計を見直すことで、情報の流出リスクを最小化できます。

企業のIT実務においては、こうした「設定一つ」の積み重ねが、将来的な大きな事故を防ぐ鍵となります。自社のセキュリティレベルを再確認し、適切なポリシー適用を進めてください。

Microsoft 365 を「メール・会議・ドキュメント・AI・ID」まで一体で設計する観点はMicrosoft 365 統合運用ガイドにまとめています。Outlook メール転送禁止ポリシーの前後の論点もこちらから確認できます。