OneDrive・SharePoint でメール添付をやめる|リンク共有の社内ルール
目次 クリックで開く
ビジネス現場において、ファイルをメールに添付して送るという習慣は、今や「セキュリティリスク」と「業務効率の低下」を招く最大の要因となっています。特に、パスワード付きZIPファイルを送付した後に別メールでパスワードを送る「PPAP」は、政府も廃止を推奨しており、多くの企業がOneDriveやSharePointを活用したリンク共有への移行を急いでいます。
しかし、単に「これからはリンクで共有してください」と通知するだけでは現場は混乱します。権限設定を誤れば情報漏洩を招き、ルールがなければクラウドストレージはゴミ溜めと化してしまいます。本記事では、実務者が直面する課題を網羅し、OneDriveおよびSharePointを用いたファイル共有の最適解を解説します。
1. メール添付はなぜ「禁止」されるのか?脱PPAPと業務効率の限界
長年親しまれてきたメール添付をなぜ止めるべきなのか。そこには明確な3つの理由があります。
1.1 セキュリティリスク:誤送信後の取り消しが不可能
メールにファイルを添付して送信した瞬間、そのファイルの制御権は送信者の手から離れます。もし宛先を間違えた場合、送信したファイルを削除することはできません。一方で、OneDriveやSharePointのリンク共有であれば、間違いに気づいた瞬間に共有設定をオフにするだけで、相手はファイルにアクセスできなくなります。
1.2 構造的課題:バージョン管理の崩壊
「企画書_20240401.pptx」「企画書_20240401_修正版.pptx」「企画書_20240401_最新_上長確認済.pptx」。メール添付を繰り返すと、このようにファイル名でバージョンを管理する地獄が生まれます。クラウド上の1つのファイルを共同編集する運用に変えることで、常に最新版が1つだけ存在する状態を維持できます。
1.3 容量問題:メールサーバーの逼迫とストレージの無駄
10MBのファイルを10人に一斉送信すれば、それだけで100MBのストレージを消費します。これが毎日繰り返されることで、メールサーバーやPCのストレージは無駄な重複データで埋め尽くされます。リンク共有は、実体は1つ、参照は無限という効率的なデータ保持を実現します。
2. OneDriveとSharePointの使い分け:実務上の判断基準
Microsoft 365を利用している企業の多くが、OneDriveとSharePointのどちらにファイルを置くべきか迷います。この2つのサービスは、保存場所の「所有権」が異なります。
| 項目 | OneDrive for Business | SharePoint Online |
|---|---|---|
| 主な用途 | 個人の作業用・一時的な下書き | チーム・部署・プロジェクトの共有財産 |
| 所有権 | 個人(ユーザー) | 組織(サイトオーナー) |
| 退職時の挙動 | ライセンス削除後、一定期間で消滅 | サイトが存在する限り永続的に残る |
| 共有範囲の推奨 | 1対1、または少人数のクイック共有 | 部署全体、全社、多人数プロジェクト |
実務上のルールとしては、「自分しか使わない、あるいは一時的に誰かに確認してもらうだけのファイルはOneDrive」「チームで中長期的に利用し、後任者にも引き継ぐべきファイルはSharePoint」という切り分けが基本です。社内のデータガバナンスを維持するためには、属人化しやすいOneDriveからの脱却も重要な視点です。
なお、システムの肥大化やSaaSコストの最適化については、以下の記事も参考にしてください。
SaaSコストを削減。フロントオフィス&コミュニケーションツールの「標的」と現実的剥がし方【前編】
3. 【完全版】OneDrive・SharePointの共有設定・手順ガイド
実際にファイルを共有する際の手順と、それぞれの設定が持つ意味を正しく理解しましょう。
3.1 共有リンクの種類と権限の使い分け
共有ボタンをクリックした際に表示される主な選択肢は以下の通りです。
- すべてのユーザー(匿名リンク):リンクを知っている人なら誰でも。社外への公開資料向き。セキュリティ設定で禁止することも多い。
- (組織名)のユーザー:社内のアカウントを持つ人全員。社内Wikiのような資料向き。
- 既存のアクセス権を持つユーザー:既にそのフォルダに権限がある人にリンクを送るだけ。
- 特定のユーザー:メールアドレスを指定した相手のみ。最も安全で推奨される方法。
3.2 共有の手順(ステップバイステップ)
- 共有したいファイルを選択し、上部メニューまたは右クリックから「共有」を選択します。
- 「設定(歯車アイコン)」をクリックし、共有範囲と権限を選択します。
- 「編集可能」か「表示のみ」かを選択します。機密性の高い資料は「ダウンロードを禁止する」のトグルをオンにします。
- 「適用」を押し、相手のアドレスを入力して「送信」または「リンクをコピー」します。
3.3 よくあるエラー:相手がリンクを開けない
「リンクが届いたが開けない」という問い合わせは頻発します。原因の多くは以下の2点です。
- サインインの不一致:共有時に指定したメールアドレスと、相手がブラウザでサインインしているMicrosoftアカウントが異なる場合。
- 社外制限:相手企業のITポリシーで、外部のSharePointサイトへのアクセスが禁止されている場合。
4. 情報漏洩を防ぐ!管理者が最初に行うべきテナント設定
現場のユーザーの意識だけに頼るセキュリティには限界があります。Microsoft 365 管理センター(SharePoint 管理センター)にて、以下の制限をかけることを強く推奨します。
4.1 外部共有レベルの制限
デフォルトでは「すべてのユーザー(匿名)」が許可されている場合があります。これを「新規および既存のゲスト(サインイン必須)」または「既存のゲストのみ」に制限することで、素性のわからない第三者へのリンク流出を防げます。設定は SharePoint 管理センター の「ポリシー」→「共有」から変更可能です。
4.2 ドメインによる制限
特定の取引先とのみ共有を許可したい場合、「ドメインで外部共有を制限する」設定を有効にし、ホワイトリスト方式で許可ドメインを登録します。これにより、誤って競合他社やフリーメール(Gmail等)に共有リンクを送るリスクを物理的に排除できます。
社内のDX推進において、こうしたクラウドツールの権限管理は、ERPや会計ソフトの導入と同様に厳格な設計が求められます。例えば、経理DXを推進する際も、権限設計の不備が業務のボトルネックになることが多々あります。
5. 現場が迷わないための「社内ルール」テンプレート
ツールが整っても、使い方がバラバラでは生産性は上がりません。以下の社内ルールを策定し、周知しましょう。
5.1 フォルダ階層の設計思想
「第1階層は部署名、第2階層は年度、第3階層はプロジェクト名」といった共通の階層構造を定めます。重要なのは、「権限はできるだけ上位フォルダで一括管理し、個別のファイルごとに権限をいじらない」ことです。ファイルごとにバラバラの権限をつけると、後から誰が何を見られるのか管理不能に陥ります。
5.2 ファイル命名規則
ファイル名の先頭には必ず日付(YYYYMMDD)を入れる、あるいは「【確定】」などのステータスを入れることを義務付けます。クラウド上では検索性が重要になるため、意味のあるキーワードをファイル名に含めることが重要です。
6. 定期的な権限レビューとアカウント管理
一度共有したリンクは、放置されがちです。特にプロジェクトが終了した際や、担当者が変わった際には、アクセス権を解除するプロセスを業務フローに組み込む必要があります。
また、退職者のアカウント削除に伴うデータ喪失も大きな問題です。Microsoft 365では、ユーザーを削除するとそのユーザーのOneDriveも一定期間(デフォルト30日)で削除されます。重要なデータは、退職前に必ずSharePointへ移動させる運用を徹底してください。
アカウント管理の自動化や退職者処理の効率化については、Entra ID(旧Azure AD)等の活用が有効です。詳細は以下の記事で解説しています。
SaaS増えすぎ問題と退職者のアカウント削除漏れを防ぐ。Entra ID・Okta・ジョーシスを活用した自動化アーキテクチャ
7. まとめ:ツール導入は「文化の変革」から始まる
OneDriveやSharePointによるリンク共有への完全移行は、単なるITツールの切り替えではありません。それは「情報を囲い込む文化」から「情報を共同で育てる文化」への変革です。最初は「メールの方が楽だ」という反発もあるでしょう。しかし、本記事で紹介したルールと設定を整えることで、1年後には「もうメール添付には戻れない」という効率的な組織へと進化しているはずです。
まずは、一部の部署から「メール添付禁止、共有リンクのみ」のトライアルを開始し、成功体験を積み上げていくことから始めてみてください。最新の仕様や具体的なプランごとの制限については、常に Microsoft公式ドキュメント を参照し、自社のライセンス状況(Business Basic / Standard / Premium等)に合わせた設定を行ってください。
組織規模・外部共有頻度別 × OneDrive/SharePoint社外共有設計パターン × 情報漏洩リスク管理と運用ルール 早見表
OneDrive・SharePointの社外共有は、組織の規模や外部共有の頻度・相手によって最適な設計パターンとリスク管理の方法が異なります。以下の早見表では、4つの組織類型ごとに推奨設計・情報漏洩リスク・管理者設定のポイントを整理しています。
| 組織規模・外部共有の特性 | 推奨する社外共有設計パターン | 情報漏洩リスクが高まる典型的な状況と対策 | Microsoft 365管理者設定と運用ルール設計ポイント |
|---|---|---|---|
| スモールチーム (10〜30名・外部共有は月数件・IT専任不在) |
Microsoft 365管理センターの共有設定を「特定のユーザーのみ」に制限し、リンク共有を「既存のアクセス権を持つユーザー」に絞ることが基本です。外部共有を行う際は「有効期限付きリンク」(推奨:30日以内)を必ず設定し、共有リンクが永続的に有効な状態にならないよう運用ルールを徹底してください。IT専任担当者がいない場合は、Microsoft 365管理者権限を持つ責任者を一名指定し、共有設定の変更と棚卸しを四半期に一度実施する体制を最低限として設けることを推奨します。社外向けのファイル共有は原則としてOneDriveの個人ライブラリ経由ではなく、専用のSharePointサイトを一つ設けて集約管理する設計がトラブル防止に効果的です。 | スモールチームで最も多い情報漏洩リスクは「誰でも閲覧可能なリンク(Anyone with the link)」の誤使用です。意図せず外部に広まったリンクが第三者にアクセスされるリスクがあるため、この設定は管理センターレベルで無効化することを強く推奨します。退職者のMicrosoft 365アカウントを停止した際に、その退職者が作成した共有リンクが引き続き有効になっているケースも頻発します。アカウント停止と同時にそのユーザーが作成した共有リンクを一括失効させる手順を標準運用として定めてください。 | Microsoft 365管理センター(admin.microsoft.com)のSharePoint管理センターで、テナント全体の外部共有レベルを「既存のゲストおよび新しいゲスト」以下に設定することが推奨されます。ゲストアクセスのログはMicrosoft Entra ID(旧Azure AD)の監査ログで確認できるため、月次でのログレビューを運用ルールに組み込んでください。スモールチームであっても、Microsoft 365 Business Premiumに含まれるMicrosoft Defender for Business(旧Defender for Office 365)の安全なリンク機能を有効化することで、フィッシングリンクの踏み抜きリスクを軽減できます。 |
| 中規模組織 (50〜200名・部門間共有・プロジェクト外部メンバー) |
プロジェクト単位でSharePointチームサイトを作成し、外部メンバーをゲストとして招待するパターンが最適です。ゲストユーザーはMicrosoft Entra IDのゲストアカウントとして管理され、多要素認証(MFA)を強制適用することでセキュリティレベルを内部ユーザーに近づけることができます。部門ごとに共有ポリシーの管理権限を委任(サイトオーナーモデル)するか、情報システム部門がすべての外部共有を一元管理するかを、組織の特性に応じて設計してください。SharePointの「機密ラベル」(Microsoft Purview Information Protection)を活用し、社外共有不可のファイルには自動的に共有を制限する設定を適用することで、ヒューマンエラーによる誤共有を防止できます。 | 外部パートナーをプロジェクトチームサイトのゲストに招待した後、プロジェクト終了時にゲストアカウントを削除し忘れるケースが中規模組織で特に多く見られます。Microsoft Entra IDのアクセスレビュー機能を使い、ゲストユーザーの棚卸しを定期的に実施する仕組みを自動化してください。外部メンバーがSharePoint上のドキュメントをダウンロードして社外に持ち出すリスクに対しては、Microsoft Purviewのデータ損失防止(DLP)ポリシーを設定し、機密情報を含むファイルのダウンロードを制御することが有効です。部門を横断した複数プロジェクトで同じ外部メンバーにアクセス権が付与されている場合、権限の重複を定期的に確認することが重要です。 | SharePoint管理センターの「外部共有」設定を「既存のゲストのみ」に絞ることで、承認されていない新規ゲスト招待を防止できます。条件付きアクセスポリシー(Microsoft Entra ID)を使い、ゲストユーザーからのアクセスを特定の条件(MFA完了・準拠デバイスのみなど)に限定する設計を実装してください。SharePointサイトの使用状況レポート(Microsoft 365管理センターの「レポート」)を活用し、外部ユーザーのアクセス状況を月次でレビューする運用を確立することを推奨します。外部共有の申請・承認フローをPower AutomateとMicrosoft Formsで自動化することで、共有設定の変更履歴を記録に残すことができます。 |
| 大企業・コンプライアンス重視 (500名超・法令対応・監査証跡必須) |
Microsoft Purview コンプライアンスポータルを中心に、DLPポリシー・情報保護ラベル・保持ポリシー・コミュニケーションコンプライアンスの4機能を統合的に設計することが必要です。外部共有に関する操作ログはMicrosoft Purviewの監査ログ(Audit)で最大10年間保存でき(Microsoft 365 E5ライセンス)、法的調査(eDiscovery)にも対応できる証跡管理体制を構築してください。社外共有を行う際は必ず情報セキュリティ担当の事前承認を経る業務フローを設け、Power AutomateとSharePointの組み合わせで承認フローを自動化することで、人手を介したプロセスのボトルネックを解消できます。ゼロトラストアーキテクチャの観点から、外部ユーザーには必要最小限の権限のみを付与し、定期的な権限棚卸しをEntra IDのアクセスレビューで自動化してください。 | 大企業で最も深刻なリスクは、複数の部門が独自にゲストアカウントを作成・管理し、IT部門が全体像を把握できなくなる「シャドーIT化」です。ゲストアカウントの作成権限を情報システム部門に集中させ、自己申請型の承認フローで管理することが根本対策です。個人情報(PII)を含む文書がSharePointに保存され、ゲストユーザーにもアクセス可能な状態になっているケースは、個人情報保護法・GDPRの観点から重大なリスクとなります。Microsoft Purviewのデータ分類機能を使い、個人情報を含むファイルを自動検出・ラベリングする仕組みを導入することを推奨します。 | Microsoft 365 E3以上のライセンスで利用可能なMicrosoft Purviewの監査機能(統合監査ログ)を有効化し、SharePoint/OneDriveの全操作ログを保存してください。内部統制上の要件(J-SOX・ISO 27001など)に対応するため、外部共有の申請・承認・実施・棚卸しの各ステップで記録が自動的に生成される業務フローを設計してください。Microsoft Secure Scoreを定期的に確認し、SharePoint/OneDrive関連の推奨設定(外部共有制限・MFA強制など)のスコア改善を情報セキュリティ委員会のKPIとして設定することが効果的です。重大インシデント発生時のエスカレーションフロー(発見→報告→隔離→調査→報告)をインシデント対応計画(IRP)として文書化してください。 |
| 外部パートナー・協力会社との日常的なファイル共有 | 長期的・継続的な外部共有には、毎回リンクを発行するのではなく、専用のSharePointサイト(「外部パートナー用エクストラネット」)を設けてゲストユーザーとして招待する構成が最適です。各外部パートナー会社ごとにSharePointサイトを分けるか、一つのサイト内でサブサイトまたはドキュメントライブラリを分けてアクセス制御を行うかは、共有データの機密レベルと管理コストのバランスで判断してください。外部パートナーがMicrosoft 365のライセンスを持っていない場合でも、Entra IDのB2B招待機能(ゲストアクセス)を使えばMicrosoftアカウントまたはOTPメール認証でアクセス可能な環境を構築できます。共有ファイルの版数管理はSharePointのバージョン履歴機能で自動化し、誰がいつどの版を編集・削除したかを追跡できる状態を維持してください。 | 外部パートナーへの共有リンクを社内チャット(TeamsやSlack)で共有した際に、意図せず別のメンバーにリンクが転送・拡散されるリスクがあります。「特定のユーザーのみ」に限定したリンク共有を徹底し、リンクを受け取った相手が転送しても他者がアクセスできない設定を適用してください。外部パートナーが離職・変更になった際に、その担当者個人のMicrosoftアカウントに紐づいたアクセス権が残存するリスクがあります。契約終了・担当者変更のタイミングでゲストアカウントを削除するプロセスを、発注・購買部門の業務フローに組み込んでください。外部パートナーが共有ファイルを自社のクラウドストレージに同期(OneDriveクライアント経由でのダウンロード同期)している場合、契約終了後もパートナー側のデバイスにデータが残存するリスクがあります。 | 外部共有用SharePointサイトには「ゲストは共有できない」設定を適用し、ゲストユーザーが第三者へさらにファイルを共有することを技術的に防止してください。Entra IDのゲストアクセス設定で「ゲストユーザーは自分のアクセス権を持つコンテンツのリストを確認できない」オプションを有効化することで、ゲストが組織の全体構造を把握できないようにすることが可能です。外部パートナーとのNDA(秘密保持契約)の有効期間とSharePointアクセス権の有効期限を連動させる管理ルールを設けることで、法的・技術的なアクセス管理を一致させることができます。共有ファイルへのアクセスログ(誰がいつどのファイルにアクセスしたか)をSharePoint管理センターまたはMicrosoft Purviewで定期的に確認する習慣を運用ルールとして明文化してください。 |
OneDrive・SharePointの社外共有設計において最も重要な原則は、「技術的な制御(設定・ポリシー)と業務プロセス(申請・承認・棚卸し)の両輪を同時に整備すること」であり、どちらか一方だけでは情報漏洩リスクを根本的に低減することはできません。
運用開始前に確認すべき「社外共有」のチェックリスト
リンク共有へ移行する際、最もトラブルが起きやすいのが社外ユーザーとのやり取りです。設定ミスによる「ファイルが見られない」というクレームや、逆に「誰でも見られてしまう」リスクを防ぐため、以下の3点を必ず確認してください。
- 有効期限の設定: 共有リンクに有効期限(例:30日間)を設定しているか。恒久的なアクセスを許可すると、プロジェクト終了後もデータが外部に残る原因になります。
- ゲストアクセスの招待: 相手がMicrosoftアカウントを持っていない場合、ワンタイムパスコード認証が必要になります。この仕様を事前に相手方へ伝えているか確認しましょう。
- 再共有の禁止: 受信者がさらに別の人へリンクを転送しても、アクセスできない設定(「再共有を許可しない」)になっているか確認が必要です。
Microsoft 365 ライセンス別の共有機能・制限(目安)
自社が契約しているプランによって、セキュリティ機能の適用範囲が異なります。特に機密情報を扱う場合は、Premium以上の機能が推奨されます。
| 機能 | Business Basic / Standard | Business Premium |
|---|---|---|
| リンクのパスワード保護 | 可能 | 可能(標準機能) |
| リンクの有効期限設定 | 可能 | 可能(標準機能) |
| 条件付きアクセス | 不可(要Entra ID P1等) | 可能(場所やデバイスで制限) |
| 秘密度ラベル(自動分類) | 不可 | 可能(ファイルの機密性で保護) |
※2026年時点の公式情報を基にしていますが、最新の仕様はMicrosoft 365 比較表をご確認ください。
さらなるガバナンス強化のために
ファイル共有のルール化と併せて、シャドーITの防止やデバイス管理も不可欠です。社内のIT資産全体をどのように守り、効率化すべきかについては、以下の実務ガイドも併せてご参照ください。
- SaaSコストとオンプレ負債を断つ。バックオフィス&インフラの「標的」と現実的剥がし方(事例付)
- Excelと紙の限界を突破する「Google Workspace × AppSheet」業務DX完全ガイド
より詳細な技術仕様や最新のトラブルシューティングについては、Microsoft Learn:外部共有の概要にて詳しく解説されています。実務での設定変更時には必ずこちらを参照するようにしてください。
よくある質問(OneDrive・SharePoint メール添付をリンク共有へ切り替え)
Q. メールの添付ファイルをOneDrive・SharePointのリンク共有に切り替えるメリットは何ですか?
主なメリットは①常に最新版のファイルを共有できる(添付ファイルは送信時点のスナップショット)②メールボックスの容量節約(大容量ファイルをメールで添付しなくて済む)③ファイルへのアクセス権限を後から変更・取り消せる(添付は送信後に制御不可)④ファイルの閲覧・編集状況を把握できる(SharePointのアクティビティログ)⑤外部共有のセキュリティ管理が一元化できる、の5点です。
Q. SharePointの外部リンク共有で「会社全体」と「リンクを知っている人」の違いは何ですか?
「会社全体」はM365テナントに属するユーザーのみアクセス可能(社外不可)。「リンクを知っている人」はリンクを持っている人なら誰でもアクセス可能(社外も含む)です。「特定のユーザー」は指定したメールアドレスのユーザーのみアクセス可能です。機密ファイルの共有には「特定のユーザー」か「会社全体」を選択し、「リンクを知っている人」は社外に共有しても問題ないファイルのみに使用することを推奨します。
Q. 社内でOneDrive・SharePointリンク共有を普及させるためのルール設計は?
効果的なルール設計は①デフォルト共有方法を「リンク共有」に統一する社内ガイドラインを制定する②機密レベルに応じた共有許可範囲(社内限定/特定ユーザーのみ)を明文化する③定期的に外部共有リンクを棚卸しして不要なリンクを削除する(SharePointのサイト設定→外部共有レポート)④リンク共有の有効期限を設定する(管理コンソールで期限を設定可能)の4点です。
Microsoft 365・グループウェア活用のご相談
TeamsやSharePoint、Outlookを含むMicrosoft 365やグループウェアの導入・運用設計を、情報共有と権限管理の両面から支援します。今の設定で運用上の問題がないかを確認する、導入前後のセカンドオピニオンにも対応しています。
AI×データ統合 無料相談
AI・データ統合・システムの最適な組み合わせを、企業ごとに設計・構築します。「何から始めるべきか分からない」という段階からでも、まずはお気軽にご相談ください。