結論:チャット利用規程だけでは、業務を実行するAIを統制できない
OpenAIは2026年7月9日、複数のアプリ、ファイル、Web、デスクトップを横断して作業する「ChatGPT Work」を発表しました。複雑な仕事を小さな手順へ分け、数時間継続し、Scheduled Tasksで定期・イベント起点の処理も行えると説明しています。
従来の「機密情報を入力しない」という利用ルールだけでは足りません。接続したメール、Slack、Microsoft Teams、Google Drive、SharePoint、CRM、ローカルファイル、ブラウザへAIが到達し、Computer Useでクリック、入力、ファイル移動まで行えるからです。
この記事は、ChatGPTを全社導入している、または営業、経理、企画、情シスでChatGPT Workを試したい経営者、事業責任者、兼任情シス向けです。
AI ASSESSMENT
PoC の前に「そもそも使えるか」を30分で見極めませんか?
対象業務、データ、権限、ログ、運用責任を確認し、PoC前に失敗要因と本番化条件を整理します。
公式発表で確認できる機能と、企業側に残る判断
横にスクロールして確認できます
| 公表された機能 | できること | 企業側で決めること |
|---|---|---|
| Plugins | 社内アプリや業務データを参照 | 接続を許すシステム、データ、利用者 |
| Scheduled Tasks | 定期・イベント起点で処理 | 実行条件、時間帯、回数、失敗時の扱い |
| Computer Use | PC上でクリック、入力、ファイル操作 | 変更・送信・削除を許す範囲 |
| 管理者制御 | 接続先、ネットワーク、行動を管理 | 部門別の権限と例外承認 |
| Compliance API | 会話・行動を組織的に可視化 | 保存期間、監査者、異常検知、証拠保全 |
| Auto-review | 重要な行動をモデルで事前確認 | AI確認で足りない高影響操作の人承認 |
管理機能が存在しても、自社の業務権限、正本データ、承認者、停止責任者は自動的には決まりません。
導入時に起きる6つの判断ミス
- チャットの延長として全員へ開放する。 読取だけの利用者にも更新・送信の経路が生まれます。
- 接続できるアプリをすべて接続する。 顧客、契約、給与、経営資料の信頼境界が一つになります。
- Scheduled Tasksを便利な自動化とだけ捉える。 担当者不在時にも古い条件で処理が続きます。
- Auto-reviewがあれば人の承認は不要と考える。 契約、公開、送金、削除の責任は企業に残ります。
- 会話ログだけを監査証跡にする。 実行者、接続先、変更前後、承認、結果を追えません。
- 利用上限を費用対策だけに使う。 回数・時間・対象件数は暴走範囲の制限でもあります。
FREE DOWNLOAD
AI導入チェックリスト(PoC 失敗要因 10項目)
情シス部門が PoC 前に押さえるべき失敗要因を10項目に整理した無料チェックリスト。
GXO式「ChatGPT Work導入5ゲート100点」
横にスクロールして確認できます
| ゲート | 配点 | 満点の証拠 | レッドフラグ |
|---|---|---|---|
| 業務・データ境界 | 20 | 対象業務、正本、機密区分、禁止データが一覧化 | 「まず全社で試す」だけ |
| ID・接続先 | 20 | 利用者、plugin、端末、network、local fileを分離 | 個人アカウントと会社データを混在 |
| 実行権限・承認 | 25 | read/draft/update/send/delete別に許可と承認 | 下書きと送信が同じ権限 |
| ログ・費用・品質 | 20 | 入力、参照元、行動、変更前後、承認、費用、結果を記録 | 完了通知しか残らない |
| 停止・復旧 | 15 | task停止、plugin遮断、session取消、差戻し、代替手順を訓練 | 作成者しか止められない |
合計点に関係なく本番利用を止める条件
- 顧客への送信、契約確定、支払、採用判断、データ削除を人の承認なしで実行できる
- AIがどのファイル・アプリ・Web情報を根拠にしたか追跡できない
- 部門異動・退職後もScheduled Taskやplugin接続が残る
- 誤更新後に変更前の状態へ戻せない
- 個人向けアカウントや管理外端末から会社の機密データへ到達できる
該当する業務は、参照と下書きに限定してから再設計します。
仮想記入例:営業会議資料の週次更新
横にスクロールして確認できます
| ゲート | 得点 | 不足 |
|---|---|---|
| 業務・データ境界 | 14/20 | 失注理由の自由記述に個人情報が混在 |
| ID・接続先 | 12/20 | CRMと個人Google Driveを同時接続 |
| 実行権限・承認 | 13/25 | 資料更新後にそのまま共有可能 |
| ログ・費用・品質 | 10/20 | 参照レコードと差分を保存しない |
| 停止・復旧 | 6/15 | 作成者の休暇中に停止できない |
| 合計 | 55/100 | 自動共有を止め、下書き運用へ戻す |
CRMは読取専用、資料は専用フォルダだけに限定します。毎週の更新は下書きまでとし、営業責任者が差分と参照日時を確認して共有します。停止権限は情シスと業務責任者の二者に付与します。
最小AI業務台帳
横にスクロールして確認できます
| 項目 | 記録例 |
|---|---|
| 業務/Owner | 週次営業レビュー/営業企画部長 |
| Trigger | 毎週月曜7時、手動再実行可 |
| Connection | CRM読取、Slack読取、共有Drive限定書込 |
| Action | 集計、下書き、差分表示。外部送信は禁止 |
| Approval | 営業企画が内容確認、部長が共有承認 |
| Evidence | 参照ID、時刻、出力版、変更差分、承認者 |
| Limit | 1回500件、60分、週1回、費用上限 |
| Stop/Recovery | task停止、plugin遮断、前版復元、手作業代替 |
導入・契約前に確認する12問
- プラン、地域、管理者機能、利用上限の対象範囲は何か
- Web、mobile、desktopで利用できる機能差は何か
- pluginごとに読取・作成・更新・送信を分けられるか
- local fileと社内networkへの到達範囲を制限できるか
- Scheduled Taskの所有者、一覧、停止、異動時移管は可能か
- 高影響操作を必ず人承認へ送れるか
- Auto-reviewの対象、判定結果、限界を説明できるか
- Compliance APIで行動と変更前後を取得できるか
- データ保持、学習利用、削除、越境移転の契約条件は何か
- 利用量と費用をgroup・個人・業務別に制限できるか
- plugin障害・モデル変更後の回帰試験はどう行うか
- session取消、接続遮断、誤更新の復旧に何分かかるか
30日で安全に試す順序
- 1週目:1業務を選び、データ、接続先、行動、承認、停止を台帳化
- 2週目:読取と下書きだけで、正確性、時間、費用、例外を測定
- 3週目:管理者ログ、利用上限、接続遮断、誤更新復元を試験
- 4週目:人承認を含む限定本番と手作業を比較し、拡大・修正・停止を決定
GXOのAI導入可否アセスメントでは、対象業務、接続先、権限、効果、費用を発注前に整理します。plugin、Computer Use、秘密情報、ログを含む技術統制は生成AIセキュリティ、本番移行の判断はPoC本番化診断へ接続します。
FAQ
管理者機能があるEnterpriseなら安全ですか
管理機能は統制の手段です。どの業務を誰の権限で実行し、どこを人が承認するかは自社で決め、試験する必要があります。
最初に自動化しやすい業務は何ですか
参照元が明確で、出力が下書きで、人が確認でき、失敗しても戻せる社内資料作成から始めます。
Auto-reviewと人承認を両方使うべきですか
機密送信、契約、支払、削除、外部公開など影響が大きい操作は、AIによる確認だけでなく責任者の承認を残します。
出典・確認日
- OpenAI「ChatGPT is now a partner for your most ambitious work」(2026年7月9日発表、2026年7月14日確認)
- MCP Gatewayの認証・権限・停止100点監査
機能、提供プラン、利用上限、管理者制御、価格は変更される可能性があります。本記事の配点と仮想例はGXO独自であり、OpenAIの評価・保証ではありません。







