AIエージェント導入前に決めるべき禁止事項｜送信・削除・決裁を自動化しないルール

結論：AIエージェント導入は「禁止事項」から設計する

AIエージェント導入で最初に決めるべきことは、「何を自動化するか」だけではない。むしろ本番利用に近づくほど、先に決めるべきなのはAIに絶対にやらせないことである。

AIエージェントは、チャットボットとは違う。社内文書を読み、SaaSを操作し、メールを作成し、CRMを更新し、チケットを起票し、場合によっては外部APIを呼び出す。つまり、AIは「回答するだけの道具」から「業務システムを動かす実行主体」に変わる。

この段階で禁止事項がないと、現場は次のような判断を都度行うことになる。

現場の判断	放置した場合のリスク
AIに顧客メールを自動送信させてよいか	誤送信、機密情報流出、炎上
AIにCRMやDBを更新させてよいか	誤更新、監査不能、営業データの汚染
AIにファイルを削除させてよいか	復旧不能、証跡喪失
AIに値引きや契約条件を判断させてよいか	収益悪化、契約トラブル
AIに人事評価や採用判断を任せてよいか	説明不能、差別・公平性リスク

GXO株式会社が中小・中堅企業のAI導入で重視するのは、AIを止めることではない。止めるべき操作を先に決めることで、安心して任せられる範囲を広げることである。

なぜ禁止事項が必要なのか

OWASP GenAI Security ProjectのLLM Top 10 2025では、LLM06として「Excessive Agency」が挙げられている。これは、LLMベースのシステムがツールや外部システムを呼び出す能力を持つとき、過剰な機能、過剰な権限、過剰な自律性によって被害が起きるリスクである。

また、NIST AI Risk Management Frameworkは、AIの設計、開発、利用、評価に信頼性やリスク管理の観点を組み込むための枠組みとして公開されている。生成AI向けのプロファイルも公開されており、AI導入は「使ってみる」だけではなく、リスクを管理する前提で進める必要がある。

この2つから、中小・中堅企業が実務で押さえるべきポイントは明確である。

• AIに与える機能は最小限にする
• AIに与える権限は最小限にする
• 影響の大きい操作は人間承認を必須にする
• ログを残せない操作は本番利用させない
• 外部入力に反応して実行する操作は特に制限する

つまり、AIエージェントの本番導入は「便利そうな機能を追加する作業」ではなく、業務権限、承認、監査、停止条件を再設計する作業である。

最初に禁止すべき10項目

AIエージェント導入前に、まず全社共通で禁止すべき操作を決める。以下は、社内規程、利用ガイドライン、RFP、ベンダー要件にそのまま転用できる初期案である。

禁止事項	なぜ禁止するか	許可する場合の条件
1. 顧客・取引先への自動送信	誤送信、機密情報流出、ブランド毀損が起きやすい	AIは下書きまで。送信は人間承認
2. ファイル・レコードの削除	復旧不能、証跡喪失、業務停止につながる	削除候補の提示まで。削除は管理者承認
3. 決裁・承認・契約変更	権限逸脱、収益悪化、契約トラブルにつながる	判断補助まで。承認操作は人間のみ
4. 支払い・請求・返金処理	金銭被害が直接発生する	確認リスト作成まで。実行は経理承認
5. 個人情報・機密情報の外部送信	情報漏えい、規約違反、顧客信頼低下につながる	マスキング、送信先制限、承認ログが必須
6. 人事評価・採用合否の自動判断	説明責任、公平性、法務リスクが大きい	評価材料の整理まで。最終判断は人間
7. APIキー・認証情報・秘密情報の読み取りや出力	アカウント乗っ取り、横展開の起点になる	秘密情報は参照不可。検出時は即時停止
8. 未承認SaaS・Webhook・MCPサーバーへの接続	データ流出、責任分界不明、監査不能になる	接続先台帳、契約確認、権限審査が必須
9. 大量実行・無制限リトライ	課金増、API制限、誤処理の大量発生につながる	件数上限、時間上限、失敗時停止を設定
10. ログなし実行	事故時に原因、責任、影響範囲を追えない	プロンプト、参照データ、実行結果、承認者を記録

ここで重要なのは、「全部禁止して終わり」にしないことである。現場で使えないルールは守られない。禁止事項は、段階解禁の条件とセットで設計する。

禁止ではなく「段階解禁」にする

AIエージェントの利用ルールは、白か黒かで決めると失敗しやすい。実務では、操作ごとに4段階で解禁する。

レベル	AIに許可すること	例
Level 0	禁止	削除、決裁、支払い、外部送信は不可
Level 1	候補提示のみ	メール文案、削除候補、対応方針、見積案を作る
Level 2	人間承認後に実行	承認者が確認したメールだけ送信する
Level 3	低リスク操作のみ自動実行	社内チケット起票、タグ付け、既読分類、下書き保存

たとえば営業メールなら、いきなり自動送信させない。最初は下書き作成までにする。次に、既存顧客への定型フォローだけ人間承認後に送信する。最後に、影響範囲が小さい社内通知だけ自動化する。

この段階設計があると、AI導入は止まらない。むしろ、現場・管理部門・経営が同じ基準で「どこまで任せるか」を判断できるようになる。

部署別に決めるべき禁止事項

全社共通ルールだけでは粗すぎる。AIエージェントが実際に使われる部署ごとに、禁止事項を具体化する。

営業

営業部門では、AIに商談準備、議事録整理、提案書ドラフト、CRM入力補助を任せやすい。一方で、顧客接点と契約条件に関わる操作は慎重に扱う。

禁止事項	解禁できる範囲
見積金額の確定	見積案、過去事例、注意点の提示まで
値引き承認	値引き条件の整理まで
顧客への自動送信	下書き作成まで
CRMの商談金額・確度の自動変更	変更候補の提示まで
競合情報や機密情報の外部共有	要約や分類まで

カスタマーサポート

CSでは、問い合わせ分類、回答案作成、ナレッジ検索、チケット起票が有効である。しかし、謝罪、返金、契約変更、解約処理は人間判断が必要になる。

禁止事項	解禁できる範囲
返金・補償の確定	過去対応例の提示まで
契約変更・解約処理	必要情報の整理まで
クレームへの自動返信	回答案の作成まで
個人情報を含むログの外部送信	マスキング後の要約まで

経理・管理部門

経理・管理部門では、請求書チェック、仕訳候補、支払予定の整理が有効である。一方で、金銭移動と証跡変更は原則禁止にする。

禁止事項	解禁できる範囲
振込・支払い実行	支払予定表、差異検知まで
請求書の削除・修正	修正候補の提示まで
取引先口座情報の変更	変更申請の検知まで
税務・会計判断の断定	確認観点の整理まで

人事

人事領域では、求人票作成、面接メモ整理、研修計画、社内FAQが使いやすい。一方で、人の評価や処遇に関わる自動判断は避ける。

禁止事項	解禁できる範囲
採用合否の自動判断	面接メモの整理、質問案の作成まで
人事評価・昇給判断	評価材料の整理まで
懲戒・配置転換の判断	論点整理まで
センシティブ情報の要約共有	権限者向けの限定表示のみ

情シス・開発

情シス・開発では、ログ調査、問い合わせ一次対応、仕様書作成、コードレビュー補助が有効である。ただし、本番環境や権限管理に直結する操作は厳しく制限する。

禁止事項	解禁できる範囲
本番DBの更新・削除	SQL案、影響範囲の整理まで
権限付与・管理者化	申請作成まで
秘密情報の読み取り・出力	検出とマスキングまで
CI/CDやデプロイの自動実行	手順作成、差分確認まで
外部MCPサーバーの自由追加	承認済み接続先のみ

社内規程に入れる文言例

AIエージェント利用ルールは、抽象的な心得ではなく、現場が判断できる文言にする。

基本文言

AIエージェントは、会社が承認した業務目的、データ範囲、接続先、操作範囲に限定して利用する。顧客・取引先への送信、ファイルまたは業務データの削除、契約・決裁・支払い・返金・人事評価に関わる操作は、会社が明示的に許可した場合を除き、AIエージェントによる自動実行を禁止する。

外部送信

AIエージェントが生成した文面を社外へ送信する場合、送信前に担当者が内容、宛先、添付ファイル、個人情報、機密情報、契約条件を確認しなければならない。AIエージェントによる社外自動送信は、承認フロー、送信ログ、上限件数、停止条件が設定された場合に限る。

削除・更新

AIエージェントによる業務データ、ファイル、チケット、CRMレコード、会計データ、顧客情報の削除または不可逆な更新は禁止する。AIエージェントは削除候補または修正候補の提示にとどめ、実行は権限を持つ人間が行う。

ログと停止

AIエージェントの実行には、入力、参照データ、呼び出したツール、出力、実行結果、承認者、エラー、停止理由を記録する。ログを残せない業務、または異常時に停止できない業務では、AIエージェントを本番利用してはならない。

RFPに入れるべき要件

AIエージェント開発、生成AI導入、MCP連携、RAG構築を外注する場合、RFPに禁止事項を入れないと、見積もりから権限設計や監査ログが抜けやすい。以下の要件は、発注前に入れておきたい。

要件	RFPに書くべき内容
禁止操作の定義	送信、削除、決裁、支払い、返金、契約変更、人事判断、本番DB更新を原則禁止操作として定義する
段階解禁	下書き、候補提示、承認後実行、自動実行を操作ごとに分ける
人間承認	高影響操作では承認者、承認画面、承認ログを設計する
最小権限	AIエージェント、MCPサーバー、API連携は読み取り・作成・更新・削除・送信を分ける
接続先管理	連携SaaS、Webhook、MCPサーバー、外部APIを台帳化し、未承認接続を禁止する
監査ログ	プロンプト、参照データ、ツール呼び出し、出力、承認者、実行結果を保存する
上限設定	件数、頻度、再試行、金額、対象範囲、時間帯の上限を設定する
停止条件	異常出力、外部送信検知、秘密情報検知、大量実行、権限エラー時の停止条件を定義する
例外承認	例外的に自動実行を許可する条件、承認者、有効期限、見直し周期を定義する
テスト	プロンプト注入、誤送信、過剰権限、ログ欠落、停止失敗のテストを行う

この要件を入れるだけで、ベンダー提案の質は大きく変わる。単なる「AIチャットの導入」ではなく、業務システムとしてのAIエージェント設計を比較できるようになる。

30日で作るAIエージェント禁止事項リスト

中小・中堅企業が最初から完璧なAIガバナンスを作る必要はない。まずは30日で、現場が使える禁止事項リストを作る。

期間	やること	成果物
1週目	AI利用状況と接続先を棚卸しする	AIエージェント台帳、SaaS連携台帳
2週目	部署別の高リスク操作を洗い出す	営業、CS、経理、人事、情シス別の禁止候補
3週目	禁止、候補提示、承認後実行、自動実行に分類する	段階解禁表、承認条件
4週目	規程、RFP、運用チェックリストに落とす	社内ルール、発注要件、監査ログ項目

最初の成果物は、分厚い規程ではなくてよい。A4数枚の「AIにやらせないことリスト」と「例外承認の条件」があれば、現場の判断は大きく揃う。

GXOが支援できること

GXO株式会社では、AIエージェント導入を単なるツール選定ではなく、業務設計、権限設計、RFP設計、運用設計として支援する。

特に、次のような相談は商談化しやすい。

• ChatGPT、Microsoft 365 Copilot、Gemini、Claudeなどの社内利用ルールを整えたい
• AIエージェントにSaaSや社内DBを接続する前に、禁止事項を決めたい
• MCPサーバーや外部API連携の権限設計を見直したい
• AI導入ベンダーへ出すRFPに、権限、ログ、承認、停止条件を入れたい
• 既存のAI活用がシャドーAIになっていないか棚卸ししたい
• 営業、CS、経理、人事、情シスごとのAI利用ルールを作りたい

AI導入で重要なのは、AIを怖がって止めることではない。危険な操作を先に止め、任せてよい業務を明確にすることである。

→ AIエージェント導入前の禁止事項を相談する

→ FDE+ ReadyでAI導入前の業務・権限設計を相談する

まとめ

AIエージェントの価値は、自律実行にある。しかし、何でも自律実行させることが正解ではない。

中小・中堅企業が最初に決めるべきなのは、次の4つである。

• AIに任せてよい操作
• AIに候補提示まで任せる操作
• 人間承認後なら実行してよい操作
• AIに絶対に任せない操作

送信、削除、決裁、支払い、返金、契約変更、人事判断、本番DB更新、秘密情報出力、未承認接続は、最初から明示的に禁止または承認制にする。

禁止事項があるから、AI導入が遅れるのではない。禁止事項があるから、AIを業務に入れられる。

関連記事

• AIエージェント時代のゼロトラスト｜ユーザーではなくエージェントが最弱リンクになる
• AIエージェントの権限管理が新市場に｜Arcade.dev資金調達から見るMCP/A2A時代の発注要件
• AIエージェント導入はPoCから業務実装へ｜最初の1業務を選ぶ7つの基準
• Microsoft 365 CopilotのSearchLeak報道から考える｜社内AI導入前に確認すべき権限棚卸し
• AIエージェント導入チェックリスト14項目｜MCP・ツール呼び出し時代の業務設計

参考資料

• OWASP GenAI Security Project, LLM Top 10 for 2025

https://genai.owasp.org/llm-top-10/

• OWASP GenAI Security Project, LLM06:2025 Excessive Agency

https://genai.owasp.org/llmrisk/llm062025-excessive-agency/

• NIST, AI Risk Management Framework

https://www.nist.gov/itl/ai-risk-management-framework