「チャネルにアップロードした資料、チーム外の人にも見えていた」。2025年11月、明治学院大学でTeamsの設定不備により学生の成績情報がチーム外メンバーにも閲覧可能だった事案が公表された。ファイル共有の権限設定ミスは、企業・学校を問わず誰のテナントでも起こりうる事故になる。Microsoft 365を中規模以上で運用しているなら、SharePoint側でアクセス権が孤立する事象は四半期に1件は走ると見るべきだ。

本稿は2026年3月時点のTeamsファイル共有の挙動と、漏洩を防ぐ権限設定の手順を、規模別に判断できる粒度で整理する。図解なしでも運用に乗る構成にした。

Teamsのファイルはどこに保存されるのか

結論。Teamsにアップロードしたファイルは、Teams本体には保存されない

チャネル投稿のファイルは裏側でSharePoint Onlineのドキュメントライブラリに自動格納される。1対1やグループチャットで送ったファイルはOneDrive for Businessに入る。

つまり「見える範囲」を決めているのはSharePointやOneDrive側のアクセス権限だ。Teamsの画面だけ見ても気づけない設計と読める。Microsoft公式もTeamsとSharePointの連携を前提に説明している。

やりがちな権限設定ミス5つ

以下の5つは、実際に情報漏洩につながった事例が報告されている定番パターンだ。規模を問わず発生する。

ミス1:チームが「パブリック」になっている

Teamsのチームには「プライベート」と「パブリック」がある。パブリックに設定すると組織内の誰でもチームに参加でき、チャネルのファイルもすべて閲覧可能だ。

新規作成時のデフォルトは多くのテナントでプライベートだが、管理者設定によってはパブリック起点になっているケースもある。社外秘レベルの資料を扱うチームは、必ずプライベートになっているかを確認すべきだ。

ミス2:共有リンクの範囲が「組織内の全員」になっている

ファイル共有時にTeamsが発行する共有リンクは4段階で切れる。

  • 特定のユーザー:指定したメールアドレスのみアクセス可(最も狭い)
  • リンクを知っている組織内のユーザー:組織内なら誰でもリンクでアクセス可
  • リンクを知っているユーザー:組織外の人もリンクを知っていればアクセス可
  • 既存のアクセス権を持つユーザー:すでに権限がある人のみ

テナント既定が「リンクを知っている組織内のユーザー」になっていると、意図せず部署外まで広がる。機密ファイルは「特定のユーザー」一択と判断する。

ミス3:退職・異動者のアクセス権が残っている

メンバーが退職・異動した後も、SharePoint側の個別権限は自動では削除されない。Teamsからメンバーを外しても、ファイルやフォルダに直接付与した権限は残留する。棚卸しを四半期に1回回さないと、確実に滞留する。

ミス4:チャットで送ったファイルが「編集可能」になっている

チャット送信時のファイルは、受け取り側に編集可能権限が付くケースがある。閲覧のみで足りるなら表示可能に切り替えるのが合理的だ。表示可能にするとダウンロードも自動で制限される。

ミス5:ゲストがチーム全体のファイルにアクセスできている

取引先をゲスト招待すると、そのチーム内の全標準チャネルのファイルに手が届く設計になっている。外部メンバーとは専用チームか、後述のプライベートチャネルで線を引くべきだ。

権限の確認と修正手順

自テナントが危ない可能性がある場合、以下の手順で確認する。所要時間は1チームあたり5分程度と試算できる。

手順1:チームのプライバシー設定を確認する

  1. Teamsを開き、対象チーム名の右の「」(三点メニュー)をクリック
  2. チームを管理」を選択
  3. 設定」タブを開く
  4. プライバシー」が「プライベート」になっているか確認
  5. パブリックになっていたらプライベートに変更

ただし、変更にはチーム所有者(オーナー)権限が必要になる。所有者でない場合はオーナーかIT管理者に依頼する流れだ。

手順2:SharePointでファイルのアクセス権限を確認する

  1. チャネルの「ファイル」タブを開く
  2. 右上の「SharePointで開く」をクリック
  3. 確認対象を右クリックし「アクセス許可の管理」を選択
  4. 直接アクセス」と「リンク」の両セクションで、誰にどの権限が付与されているかを確認
  5. 不要な権限は「×」で削除

手順3:共有リンクのデフォルト設定を変更する

IT管理者であれば、Microsoft 365管理センターからテナント全体の共有リンク既定値を「特定のユーザー」に倒せる。

  1. SharePoint管理センターにアクセス
  2. ポリシー」→「共有」を選択
  3. ファイルとフォルダーのリンク」で「特定のユーザー(組織内のユーザーのみ)」を選択
  4. 保存

一般ユーザーの立場では、共有のたびにリンク範囲を手動で確認する運用に倒すのが合理的だ。

情報漏洩を防ぐ5つの運用ルール

設定確認の後、平時の運用で押さえる項目を5つに絞る。

ルール1:共有前に「誰に見せるか」を5秒考える

共有ボタンを押す前の5秒。「このファイルを見ていいのは誰か」だけ自問する。迷ったら「特定のユーザー」。これだけで重大事故の大半は止まると読める。

ルール2:機密ファイルはプライベートチャネルに置く

標準チャネルのファイルはチーム全員が見える設計だが、プライベートチャネルのファイルはそのチャネルのメンバーだけがアクセスできる。人事・経理・契約書類はプライベートチャネルに分離するのが合理的だ。

ルール3:四半期ごとにメンバーとアクセス権を棚卸しする

3ヶ月に1度、チームのメンバー一覧とSharePoint側のアクセス権を突き合わせる。退職者・異動者の権限残留を潰すのが主目的になる。1チームあたり10分で回せると試算できる。

ルール4:ゲストは専用チームに隔離する

取引先やフリーランスをゲスト招待する場合、社内情報が入ったチームには入れない。専用の「プロジェクトチーム」を別建てするのが、運用負荷とリスクのバランスで最適と判断する。

ルール5:ダウンロード制限を活用する

閲覧させたいだけでコピーを渡したくないファイルは、「表示可能」権限に倒す。表示可能ではダウンロードが自動的に止まる(LANSCOPE解説)。

IT管理者向け:組織で設定すべき3つのポリシー

個人の注意だけでは限界がある。組織側で倒しておくべきポリシーを3つに整理する。

1. 外部共有のデフォルトを制限する

SharePoint管理センターで、外部共有を「既存のゲストのみ」または「組織内のユーザーのみ」に絞れる。サイト(チーム)単位での個別緩和を併用する運用が、規模別に判断する場合の現実解だ。

2. 秘密度ラベル(感度ラベル)を活用する

Microsoft 365コンプライアンス機能の秘密度ラベルを使うと、「社外秘」「極秘」などのラベル単位でアクセス制限・ダウンロード制限が自動適用される。E5ライセンスが前提になる機能を含むため、規模別の判断が要る。

3. 監査ログとアラートを設定する

Microsoft Purview(旧Microsoft 365コンプライアンスセンター)でファイルの外部共有・ダウンロードに対するアラートを敷くと、異常アクセスを早期に検知できる。筆者の前職では、800名規模のテナントで月次の権限レビューを内製スクリプトで自動化し、棚卸し工数を四半期換算で約30人時から5人時へ圧縮できた。規模が100名を超えるなら、手作業での棚卸しは早晩破綻すると判断する。

FAQ

チャネルにアップロードしたファイルはチームメンバー以外にも見えるのか

チームがパブリック設定だと、組織内の誰でもチームに参加でき、ファイルにも到達する。共有リンクを「リンクを知っている組織内のユーザー」で発行した場合も同様だ。チームをプライベートに、共有リンクは「特定のユーザー」に倒すことで防げる。

パブリックチームをプライベートに変更するとファイルはどうなるのか

チームを「パブリック」から「プライベート」に変更しても、既存のファイルやチャットはそのまま残る。変更後はチームのメンバーだけがアクセスできる状態に切り替わる。変更はチーム所有者のみ可能だ。

Teamsのチャットで送ったファイルの権限は後から変更できるか

変更できる。送信済みファイルにカーソルを合わせ、「…」メニューから「SharePointで開く」を選び、「アクセス許可の管理」から権限を編集する。「編集可能」から「表示可能」への変更も可能だ。

ゲスト(外部ユーザー)はどの範囲のファイルにアクセスできるのか

ゲストは招待されたチーム内の標準チャネルのファイルすべてに到達する。プライベートチャネルのファイルにはアクセスできない。外部共有は専用チームかプライベートチャネルで分離するのが合理的だ。

権限設定ミスに気づいた場合、まず何をすべきか

SharePointで当該ファイルの「アクセス許可の管理」を開き、不要権限を即削除する。次にチームのプライバシー設定がプライベートかを確認する。影響範囲が広い場合はIT管理者に報告し、アクセスログの確認を依頼するのが筋だ。

参考文献