共有データの「境界線問題」 ― 共有メールボックス・配布リスト・Teamsの分離実務|テナント分離ガイド第6回
テナント分離プロジェクトで、最も工数が膨らむのが共有データの仕分けです。個人のメールボックスやOneDriveは「所有者と一緒に移動」というシンプルなルールで処理できますが、共有メールボックス・配布リスト・Teamsチームは「どちらに帰属するか」を一つひとつ判断する必要があります。
本記事では、この 境界線問題 をどう解くか、合意形成のプロセスと技術的な実装パターンを解説します。
なぜ境界線問題が発生するか
テナント分離は組織の物理的な切り離しを伴います。一方、デジタル資産(共有データ)は 長年の業務運用の中で組織横断的に共有される ことを前提に作られています。組織を分けると、この前提が崩れます。
典型的な「境界があいまい」なオブジェクト:
- 共有メールボックス
info@、support@、sales@等 - 全社配布リスト
all-staff@、部門横断グループ - Teamsチーム プロジェクト型、社内コミュニティ型
- SharePointサイト 全社規程、人事関連、ナレッジベース
- 共有予定表 会議室、社用車、共有設備
- Power Automate フロー 部門横断の業務自動化
仕分けの4パターン
境界があいまいなデータには、以下4つの仕分けパターンがあります。
パターンA:旧テナントに残す(Keep)
旧組織が引き続き主たる利用者で、新組織側はもはや業務上必要としない場合。
例:旧組織の経理部門のみが使う accounting@ 共有メールボックス、旧組織の社内規程が格納されたSharePointサイト
パターンB:新テナントに移す(Move)
新組織が主たる利用者で、旧組織側では業務上必要としない場合。
例:分離対象事業部門専属の sales-eu@ 共有メールボックス、対象部門専属のTeamsチーム
パターンC:両方に複製する(Clone)
両組織が継続的に必要とし、独立に運営できる場合。
例:共通の社内規程SharePointサイト(同じ内容を両テナントにコピーして以後は別管理)、人事関連の汎用テンプレートライブラリ
パターンD:共存運用する(Coexist)
両組織が同じデータを参照し続ける必要がある場合。Cross-Tenant Access、ゲストアクセス、Information Barrierで対応。
例:共同プロジェクトのTeamsチーム、業務提携の共通ナレッジベース
仕分け判断のフレームワーク
各オブジェクトについて、以下のチェックリストを順に確認します。
Q1. 過去90日のアクセスログで、両組織のメンバーが利用しているか?
├─ NO(一方のみ) → そのテナントに残す/移す(A or B)
└─ YES → Q2へ
Q2. 事業譲渡契約・TSAで「データの帰属先」が明示されているか?
├─ YES → 契約に従う
└─ NO → Q3へ
Q3. データの作成者・主たる管理者はどちらの組織か?
├─ 一方の組織 → そのテナントに移管、もう一方はゲストアクセス
└─ 両組織 → Q4へ
Q4. 両組織が独立に管理できるデータか?(個別更新で問題ないか)
├─ YES → 両方に複製(C)
└─ NO → 共存運用(D):Cross-Tenant Access設定合意形成のプロセス
仕分けは技術判断ではなく、ビジネス判断 が大半を占めます。情シスだけで決められません。
ステップ1:オブジェクト一覧の作成
棚卸し成果物(第3回参照)から、境界があいまいなオブジェクトのみを抽出した一覧を作ります。
| オブジェクト名 | 種別 | 旧利用者 | 新利用者 | 仮判定 | 確定者 | 確定日 |
|---|---|---|---|---|---|---|
| info@oldco.com | 共有MB | 全社 | カスタマーサポート部 | C:両方 | CIO・サポート部長 | TBD |
| 営業ナレッジSharePoint | サイト | 営業部 | 営業部 | B:移管 | 営業本部長 | TBD |
ステップ2:判断基準の事業部門レビュー
事業部門の責任者と、仕分け仮判定をレビューする会議を設けます。ここで時間をかけても良い。後から覆るとプロジェクトが大きく遅延します。
ステップ3:CIO・PMO による最終判断
部門間で意見が分かれた場合は、CIO(または事業譲渡PMOリーダー)が最終判断します。判断記録は文書化し、TSA監査時に参照できるようにします。
ステップ4:法務・コンプライアンスのチェック
特にデータプライバシー(GDPR、個人情報保護法)、業界規制(金融・医療・ライフサイエンス)に関わるデータは、法務・コンプライアンス部門のレビューが必須です。
技術実装パターン
仕分けが決まったら、技術的にどう実装するかをまとめます。
共有メールボックス:両方に複製(C)
旧テナントの共有メールボックスを新テナントにコピーするのは、移行ツール(BitTitan等)で対応可能です。
カットオーバー後の運用:
- メールエイリアス(
info@oldco.com→ 旧テナント) - 新エイリアス(
info@newco.com→ 新テナント) - 旧 → 新への自動転送ルール(移行期間中のみ)
配布リスト:両方に新規作成(C)
両組織に同名(または類似名)の配布リストを作成。両組織が継続的に発信する場合は、相互のメール送信のため、メールフロールールでお互いの配布リストを認識させます。
Teamsチーム:共存運用(D)
Microsoft 365 Multi-Tenant Organization (MTO) または Cross-Tenant Access を使い、分離後もチームを共有利用。
1. 旧テナントでチームを残し、新テナントメンバーをゲストとして招待
2. または、Shared Channels(共有チャネル)を使って、両テナントのメンバーが
ネイティブメンバーとしてアクセスできる構成にするゲスト方式は権限管理が複雑で、ファイルへのアクセス制限・E-Discoveryへの影響を評価する必要があります。
SharePointサイト:両方に複製(C)
SharePointサイトの複製は、AvePoint FLY、ShareGate Migration、Microsoft 365 Migration Toolkit等で対応します。
複製後の運用は 完全に独立。一方で更新した内容はもう一方には反映されません。「同じ内容を維持する」ことを業務オペレーションで徹底するのは現実的ではないので、複製後はそれぞれのテナントで独自進化する想定で設計します。
Power Automate / Logic Apps
部門横断のフローは、新テナント側で再構築します。トリガー対象(メール、SharePointリスト等)が両テナントにある場合は、両テナントにフローを作るかGraph API経由で外部統合します。
よくある失敗パターン
失敗1:「とりあえず両方に複製」で爆発する
判断を先送りして「迷ったら両方に複製」にすると、新テナント側で不要なデータが大量発生し、ライセンス費・ストレージ費の無駄が発生します。90日以上アクセスがないオブジェクトは複製しないを原則にしてください。
失敗2:技術的にできるからといって共存運用に依存
Cross-Tenant Access は便利ですが、業務的には「テナント分離した意味がない」状態を生みます。事業譲渡契約上の「データの完全引き渡し」要件を満たさない可能性も高いです。共存運用は 明確な業務上の必要性 がある場合に限定してください。
失敗3:ナレッジベースの所有権を決めない
社内Wiki的なSharePointサイトやTeamsチームは「みんなのもの」となっており、所有者が不在のことがあります。分離プロジェクトで初めて「これは誰の責任で更新するの?」が問題になります。仕分けを機にオーナーを決めるのが望ましいアプローチです。
失敗4:旧テナントへのアクセス権を残しすぎる
「念のため」で旧テナントの分離対象ユーザーにアクセス権を残し続けると、TSA終了後もアクセス可能な状態が続きます。TSA終了日に必ずアクセス権を剥奪するプロセスを設計してください。
実務テンプレート:仕分け判定書
事業部門との合意形成で使えるテンプレートを置いておきます。
【共有データ仕分け判定書】
オブジェクト名:
例)info@oldco.com(共有メールボックス)
種別:
□ 共有メールボックス □ 配布リスト □ Teamsチーム
□ SharePointサイト □ 共有予定表 □ Power Automate
□ その他
過去90日の利用状況:
- 旧組織からのアクセス:[件数]
- 新組織からのアクセス:[件数]
- 主たる業務用途:[ ]
仕分け判定:
□ A. 旧テナントに残す
□ B. 新テナントに移す
□ C. 両方に複製
□ D. 共存運用(Cross-Tenant Access)
判断理由:
[ ]
カットオーバー後の運用責任者:
- 旧テナント側:[ ]
- 新テナント側:[ ]
承認:
- 事業部門責任者:[氏名・日付]
- CIO・PMO:[氏名・日付]
- 法務・コンプライアンス:[氏名・日付]次に読むべき記事
仕分けが決まっても、カットオーバー前の 共存期間 には「分離対象だがまだ移行していない」状態が続きます。この期間に「見せてはいけないデータ」が見えないよう制御する手段を、次回解説します。
情シス365の境界線問題支援
「事業部門との合意形成が進まない」「仕分け判断のファシリテーターがいない」というケースで、情シス365のコンサルタントが第三者として入る支援メニューもあります。