Microsoft 365・kintone 活用を支える運用設計の考え方|多くのCIOが課題と捉えるITガバナンス
- Microsoft 365・kintoneのガバナンスが崩れる構造的な原因
- 現場のスピードを落とさず統制を効かせる、ITガバナンス設計の3つの基本原則
- Microsoft 365 と kintone、それぞれで押さえるべき具体的なガバナンス対策
Microsoft 365 や kintone が社内の業務基盤として定着した企業では、ある共通の悩みが生まれています。
「誰がどこにどんなデータを置いているか把握できない」「チームやアプリが増えすぎて管理が追いつかない」「ルールを決めたいが、厳しくしすぎると現場のDXが止まる」——いわゆるITガバナンスの崩壊です。
こうした状況を踏まえ、本記事では、Microsoft 365・kintone のガバナンスが崩れる課題と原因を整理したうえで、現場のスピードを落とさずに整備できる具体的な対策を解説します。
ITガバナンスが抱える現実
DXを推進しても「十分な成果が出ている」と答えた企業はわずか9%——この数字が示すのは、ツールを導入することと、活用しながらガバナンスを維持することの難しさです。まず、日本企業が直面している現実を確認します。
デジタル競争力67か国中31位——日本が抱える構造的な課題
IMD世界デジタル競争力ランキング2024において、日本は67か国中31位にとどまっています。韓国が6位、台湾が9位であることを考えると、その遅れは明らかです。クラウドやSaaSの普及率で見れば日本企業も引けを取らないはずですが、「導入すること」と「使いこなすこと」の間には大きな溝があります。
また、PwC Japan(2024年)の調査では、DXを推進した結果として「十分な成果が出ている」と回答した企業はわずか約9%。残り9割以上の企業が、投資に見合う効果を実感できていない現状があります。
DXを進めるほど情シスが追い詰められる
クラウドサービスの活用が拡大するにつれ、情報システム部門は新たな課題に直面します。
- チーム・アプリ・データが増えすぎて全体像が把握できない
- 誰がどこまでアクセスできるのかが分からない
- ルールを決めようとすると「現場の動きが止まる」と反発される
- 結果として、情シス・管理部門の運用負荷だけが増え続ける
こうした状況を放置すると、ガバナンス不在のDXは利便性と引き換えに情報漏えい・内部統制不備のリスクを生み出します。また、現場任せのツール活用は属人化・部門化を招き、経営層が関与できない状態では組織全体の競争力強化につながりません。
なぜ Microsoft 365・kintone のガバナンスが崩れるのか
便利に使えているうちは問題が見えません。しかし活用が進むにつれ、必ずガバナンスの綻びが表れてきます。その原因は、両サービスの「便利さ」そのものにあります。
両サービスに共通する3つのリスク要因
従業員1,000名以上の大企業のグループウェアシェア57%を占める Microsoft 365(PIGNUS 2024) と、国内39,000社(2026年度)に導入されているkintoneには(Cybozu 2026年2月決算)、利便性の裏に共通するリスク要因があります。
① データが蓄積され続ける業務基盤である
Teams・SharePoint・OneDrive には日常業務のデータが積み重なり、kintoneには業務アプリのレコードや添付ファイルが溜まっていきます。使えば使うほど価値が増える一方、管理を怠ると「野良データ」が増殖し、誰も実態を把握できない状態になります。
② 社外との共有が前提に設計されている
どちらのサービスも外部ユーザーの招待が可能です。社外との円滑な協業を可能にする反面、「誰が・どこまで・何に触れられるか」の管理が甘ければ、意図しない情報漏えいにつながります。
③ 現場主導で「作れてしまう」仕組みである
Teams もkintoneのアプリもIT部門の関与なしに現場が自由に作成できます。kintoneは導入担当の93%が非IT部門(Cybozu 2024)というデータが示す通り、シャドーIT化のリスクをはらんでいます。
「便利さ」が生み出す3フェーズの罠
SaaSの展開は典型的な3フェーズをたどります。
- フェーズ1(導入期): Microsoft 365 やkintoneを現場が自発的に導入
- フェーズ2(成長期): Microsoft 365 定着・生成AI活用開始・ツール数が急増
- フェーズ3(混乱期):ガバナンス不全・アプリの乱立
問題が顕在化するのは決まってフェーズ3です。そのとき多くの情シス担当者は「なぜこうなる前に手を打てなかったのか」と悔やみますが、そもそもフェーズ2の段階でガバナンスを整備する余裕がないほど運用で手一杯になっているという構造的な問題があります。
崩れないITガバナンスを設計する3つの基本原則
具体的な対策の前に、 Microsoft 365・kintone 共通で押さえておくべき運用設計の考え方を整理します。ルールを厳しくすれば現場が止まり、緩くすれば統制が崩れる——この二律背反を解消する考え方が、以下の3原則です。
① 「決めること」と「決めないこと」を決める
ガバナンスの失敗パターンの一つは、ルールを決めすぎて現場が窒息することです。全社で必ず守る最低限のルールを明示したうえで、それ以外は現場の裁量に委ねる「余白」を設けることが重要です。また、試行→本運用→拡大という段階で「変わる前提」でルールを設計し、硬直化を防ぎましょう。
② 人・データ・利用は「必ず増える前提」で設計する
組織変更・退職・外部ユーザーの増加・市民開発の拡大——これらは必ず起きます。「増えたら困る」ではなく「増えても追いかけられる」設計を最初から組み込むことが、長期的な運用負荷を下げる鍵です。
③ 事故は「起きない」ではなく「追える」設計にする
誤操作や不正利用はゼロにはできません。重要なのは「起きたときに分かるか」です。ログの保全・アクセス権の可視化・棚卸しの仕組みを整えることで、現場に自由度を与えながら統制を効かせることができます。「可視化する=現場に任せられる」という発想の転換が、情シスの負担を減らすことにつながります。
Microsoft 365 のガバナンス対策
ここからは各サービスの具体的な対策に入ります。Microsoft 365 はグループウェアとして広く使われている分、情報漏えいやデータロストのリスクも広範囲に及びます。Teams・SharePoint・OneDrive・Copilot の4領域ごとに、備えておきたいポイントを整理します。
データ保全とバックアップ——「クラウドだから安全」は誤解
Microsoft の利用規約には、「情報とデータの管理責任は常に顧客にある」と明記されています。これはクラウドにおける責任共有モデルと呼ばれる概念で、インフラは Microsoft が管理しますが、データはお客様自身が守る必要があります。
備えておきたいポイントは3つです。
- データのバックアップ:ランサムウェア感染や誤削除に備え、Microsoft 365 上のデータをバックアップするサードパーティサービスの利用を検討する
- 長期ログの保管:Microsoft 365 のアクティビティログは標準で180日(元は90日)しか保存されません。有事の際に1年以上さかのぼって調査できるよう、長期ログ保管サービスの導入が有効です
- アクセス制御の強化:標準設定ではIDとパスワードさえあれば自宅や個人デバイスからもログインできます。シングルサインオン(SSO)や条件付きアクセスを設定し、許可したデバイス・ネットワークからのみ利用できる環境を整えましょう
SharePoint / OneDrive のアクセス制御
SharePoint のサイトが増えるほど管理コストは増大します。また、外部共有の設定が甘いと過剰な情報公開につながります。押さえておきたいポイントは以下の2点です。
- バージョン管理の最適化: SharePoint はファイルを上書きするたびに過去バージョンを保持します。規定値は500バージョンであり、複数ユーザーが頻繁に編集する環境ではストレージを大量に消費します。管理センターでこの値を適切に引き下げましょう
- 共有レベルの統制: SharePoint 管理センターの「ポリシー→共有→外部共有」でサイト全体の共有レベルを設定できます。「社内のみ」を原則とし、外部共有は申請制にすることを推奨します
なお、OneDrive は個人のアカウントに紐づいており、退職者の OneDrive 上にチームの重要ファイルが残っていてアクセスできなくなる——というトラブルは珍しくありません。SharePoint と OneDrive の使い分けルールを明確にし、重要ファイルは SharePoint に集約する運用が望ましいです。
Teams のライフサイクル管理
Teams でチームを作成するたびに、バックエンドの SharePoint 上にサイトが自動生成されます。チームの乱立は、SharePoint の不要なサイトの増殖にも直結します。対策として以下を検討してください。
- Microsoft 365 グループの作成制限:管理センターの設定でチーム作成を特定のグループのみに限定できます
- ライフサイクルの自動化:サードパーティ製のツールを活用すると、チームの作成を申請制にしてワークフロー承認後に自動作成する運用が実現できます(有効期限・ストレージ上限・外部ユーザーの有無なども申請項目として設定可能)
Copilot 導入前に整えるべき環境
Microsoft 365 Copilot は SharePoint 上のデータを参照して回答します。アクセス権の整理が不十分な環境で Copilot を有効化すると、本来アクセスできないはずの機密情報が要約・出力されるリスクがあります。Copilot 導入前に必ず実施すべき対策は以下の2点です。
- オープンなアクセス権の廃止:「外部ユーザーを除く全員」「リンクを知っている全員」といった設定を禁止・非表示化し、古いファイルや重複コンテンツを定期的に整理する
-
秘密 度ラベル の設定:「社内限定」「機密情報」などのラベルをファイルに付与することで、許可のないユーザーはファイルを閲覧できない・印刷できない・開けないという保護を実現できます(Microsoft Purview 機能、E5 ライセンスで利用可能)
kintoneのガバナンス対策
kintoneは現場主導でアプリを作れる柔軟性が最大の強みです。その一方で、ガバナンスの整備を怠ると「誰が何のために作ったか分からないアプリ」が増殖し、情シスの管理負荷が急増します。
アプリ作成権限の設計——自由と統制のバランス
kintoneはノーコードで現場がアプリを作れることが最大の強みですが、作成ルールを厳しくしすぎるとノーコードツールの良さが失われます。自社の運用方針に合わせて、以下の3パターンから選択・組み合わせましょう。
パターンA:利用部門に付与する(統制が弱い)
- メリット:業務改善のスピードが早く、管理部門の工数が少ない
- デメリット:アプリが乱立しメンテナンス性が低下しやすい
- 運用例:アプリ作成は許可するが事前申請または報告を求める。研修を受けた特定の担当者にのみ作成権限を付与する
パターンB:管理部門に限定する(統制が強い)
- メリット:必要なアプリのみを運用でき、メンテナンス性が高い
- デメリット:業務改善のスピードが遅く、管理部門の負担も大きい
- 運用例:現場の要望をもとに管理部門がアプリを作成する。現場に権限を付与しない場合でも、要望を吸い上げてシステムに反映できる導線(例:「新規アプリ作成依頼アプリ」)を用意することが重要
パターンC:ハイブリッド型(JBCCの事例)
- トライアルアプリと本番アプリを明確に分け、テストスペースでは自由に作成可能とする
- 本運用に移行する際は責任者を明示し情シスに申請。本番アプリは必ずスペースに所属させる
棚卸しルールの実例
定期的な棚卸しなくしてkintoneのガバナンスは維持できません。サイボウズ社自身の事例では、アプリ作成権限はユーザー全員に付与しつつ、個人情報を含むアプリに関しては情報責任者を明示し半年に1度棚卸しを実施するルールを設けています。
棚卸しには、kintoneのアプリストアにある無償サンプルアプリ「kintoneアプリ管理」が活用できます。アプリの一覧をCSVでインポートし、レコード数・最終更新日・担当者を一覧で確認できるため、「1年間誰も更新していないアプリ」を洗い出す作業が大幅に効率化されます。
属人化を防ぐメモ機能の活用
kintoneには「利用者向けメモ」と「管理者向けメモ」の2種類のメモ機能があります。
- 利用者向けメモ:アプリを開いたユーザーに対して、アプリ責任者や利用ルールを表示できます
- 管理者向けメモ:アプリの作成背景・他アプリとの連携関係・引き継ぎ時の注意事項を記録できます
担当者が退職・異動した後もアプリの意図が失われないよう、これらのメモを活用して引き継ぎコストの最小化を図りましょう。また、kintoneの監査ログではログイン状況・アプリの作成/変更/削除の履歴を確認・出力でき、設定により長期間の保存も可能です。
まとめ——統制とスピードを両立させることがDX投資を最大化する
Microsoft 365・kintoneのガバナンス整備は、DXにブレーキをかけるものではありません。むしろ、適切なガバナンスがあってこそ現場は安心してツールを活用でき、情報システム部門も運用負荷を減らすことができます。
本記事で解説した考え方を改めて整理します。
- 全てを決めない:最低限のルールと現場の余白を設計する
- 増える前提で設計する:後追いではなく先手を打つ
- 見えない状態を作らない:ログ・アクセス権・棚卸しで可視化する
この3原則を軸に、現場はスピードを落とさず、管理部門の負担は減り、DXが止まらず広がっていく——そのサイクルを作ることが、IT投資の効果を最大化することにつながります。
JBCCのITガバナンス支援について
JBCCでは、Microsoft 365・kintone 双方のガバナンス構築を一貫して支援しています。情シス担当者が抱える「運用は回っているが、このままでいいのか不安」という課題に対して、現状診断から運用ルール策定・導入後支援まで、ワンストップでご対応します。
Microsoft 365 については、貴社環境に潜むリスクを可視化する「Microsoft 365 E5 アセスメントサービス」(最大1か月)や、実際に E5 機能を検証する「E3/E5 PoC」(最大3か月)を提供しています。データバックアップ・長期ログ保管・リスクユーザー監視検知・サポート窓口一本化をまとめて提供するJBCCオリジナルの運用サービスもございます。
kintoneについては、kintoneガバナンスガイドライン(サイボウズ提供)とJBCCグループ2,000IDでの運用実績をもとに、お客様に最適な運用ルール・ポリシー策定をワークショップ形式で支援します。「野良アプリの管理」「権限付与のルール化」「ログ管理」「バックアップ」など、導入フェーズに応じた課題を一緒に整理します。
kintone(キントーン)で業務効率化を加速!
kintone開発元であるサイボウズの公認パートナーとして契約数25,000ユーザーと数々の受賞実績をもつJBCCは、多彩なサービスメニューと共に貴社のkintone導入・活用を強力に支援します。
詳細を見る【プレスリリース】kintoneアプリのガバナンスを強化するプラグインを提供開始 未管理アプリの抑止から権限違反の検知・通知まで、運用管理者の負荷を大幅に軽減(2026年04月23日)
「現在の運用に不安がある」「これからガバナンスを整備したい」とお考えの情シス担当者の方は、ぜひお気軽にご相談ください。
お問い合わせ・ご相談はこちら本記事は、JBCCが2026年3月に実施したセミナー「現場DXを広げるためのガバナンス ~Microsoft 365・kintone 活用を支える運用の考え方~」(登壇:JBCC株式会社 齊藤 晃介)の内容をもとに編集・再構成しました。
登壇者プロフィール:
齊藤 晃介
JBCC株式会社 ソリューション事業ハイブリッドクラウド事業部 コラボレーションエバンジェリスト
グループウェアの全体提案など、100社以上のお客様でワークショップを実施。Microsoft 365 や kintone 等の運用設計・ガバナンス整備、セキュリティ対策の支援に従事。導入後の定着・運用改善(権限設計、ログ/バックアップ、ライフサイクル管理等)まで含めた伴走支援を行う。
企業のIT活用をトータルサービスで全国各地よりサポートします。
JBCC株式会社は、クラウド・セキュリティ・超高速開発を中心に、システムの設計から構築・運用までを一貫して手掛けるITサービス企業です。DXを最速で実現させ、変革を支援するために、技術と熱い想いで、お客様と共に挑みます。