JAKARTA, TINTAHIJAU.com — Di tengah pesatnya adopsi teknologi kecerdasan buatan generatif di lingkungan kerja, isu keamanan data dan kepatuhan regulasi menjadi perhatian utama organisasi. Menjawab tantangan tersebut, Microsoft menghadirkan Microsoft Copilot Enterprise Data Protection (EDP) sebagai lapisan perlindungan tambahan bagi perusahaan yang menggunakan Microsoft 365 Copilot.
Langkah ini dinilai krusial, mengingat penggunaan AI generatif secara sembarangan berpotensi membuka celah kebocoran data sensitif. Jika karyawan mengunggah dokumen internal ke alat AI yang tidak terkelola, informasi tersebut bisa saja dimanfaatkan untuk melatih model AI dan berujung tersebar ke pihak luar. Risiko ini semakin besar bagi organisasi yang terikat regulasi ketat seperti GDPR di Eropa atau HIPAA di sektor kesehatan.
Melalui Enterprise Data Protection, Microsoft menegaskan bahwa peningkatan produktivitas lewat Copilot tidak boleh mengorbankan keamanan dan kepatuhan.
Menjaga Data Tetap di Batas Perusahaan
Enterprise Data Protection merupakan serangkaian kontrol identitas, keamanan, dan tata kelola yang memastikan Copilot bekerja sesuai batas data organisasi. Setiap prompt yang dimasukkan pengguna, berikut hasilnya, dijaga tetap berada di dalam tenant Microsoft 365 milik organisasi. Microsoft juga menyatakan tidak akan menyimpan atau membagikan data pelanggan, serta tidak menggunakannya untuk melatih model dasar kecerdasan buatan.
Secara prinsip, Copilot hanya dapat mengakses data yang memang diizinkan untuk dilihat oleh pengguna. Jika seorang karyawan tidak memiliki hak membuka suatu dokumen, maka Copilot pun tidak akan menampilkan isi dokumen tersebut.
Lima Pilar Perlindungan Data
Meski tidak secara resmi diformalkan, Microsoft menerapkan lima pilar utama dalam Enterprise Data Protection.
Pilar pertama adalah data residency, yang menjamin seluruh prompt dan respons Copilot diproses di dalam ekosistem cloud Microsoft dan mematuhi aturan kedaulatan data. Dengan demikian, data organisasi tidak pernah diproses oleh model AI konsumen di luar platform Microsoft.
Pilar kedua berkaitan dengan identity and access control (IAM). Copilot tunduk pada izin pengguna, termasuk penerapan sensitivity labels dari Microsoft Purview. Dokumen yang ditandai sebagai rahasia atau sangat rahasia tidak akan diungkap Copilot kepada pengguna yang tidak berwenang.
Pilar ketiga adalah data retention. Microsoft memastikan data Copilot tidak disimpan setelah sesi berakhir dan tidak digunakan untuk melatih model AI, sehingga mengurangi risiko kebocoran akibat penyimpanan jangka panjang.
Pilar keempat, data governance, memberi organisasi visibilitas dan kontrol penuh. Data Copilot dapat diaudit, dicari melalui fitur eDiscovery, serta dikelola dengan kebijakan retensi yang sama seperti data Microsoft 365 lainnya—sebuah aspek penting jika organisasi menghadapi proses hukum.
Pilar terakhir adalah Responsible AI. Microsoft menerapkan pengaman untuk meminimalkan “halusinasi” AI, menyediakan rujukan data bila memungkinkan, serta mencegah keluaran yang mengandung konten berbahaya.
Tidak Hanya Teknologi, Perlu Kesiapan Organisasi
Meski Microsoft telah menyiapkan perlindungan berlapis, keberhasilan penerapan Copilot tetap bergantung pada kesiapan internal organisasi. Microsoft mendorong perusahaan untuk meninjau ulang izin akses di seluruh tenant Microsoft 365, menerapkan sensitivity labels secara konsisten, serta mengamankan sumber data eksternal yang terhubung melalui konektor.
Edukasi pengguna juga menjadi kunci. Karyawan perlu memahami praktik prompt engineering yang aman dan bertanggung jawab, termasuk larangan mencoba menyiasati sistem keamanan melalui prompt tertentu.
Dengan pendekatan ini, Microsoft menegaskan posisinya bahwa AI generatif dapat dimanfaatkan secara maksimal di dunia kerja, tanpa harus mengorbankan keamanan data dan kepatuhan regulasi.
