GXO
生成AI利用ルール

ChatGPT Workを導入する前に|接続先・実行権限・承認・停止の100点診断

9分で読める

QUICK CHECK

本文を読みながら、自社で進めるべきか、相談前に何を整理するかを確認できます。

5分で自社の状況を診断する

GXO COLUMN

AI・人工知能

結論:チャット利用規程だけでは、業務を実行するAIを統制できない

OpenAIは2026年7月9日、複数のアプリ、ファイル、Web、デスクトップを横断して作業する「ChatGPT Work」を発表しました。複雑な仕事を小さな手順へ分け、数時間継続し、Scheduled Tasksで定期・イベント起点の処理も行えると説明しています。

従来の「機密情報を入力しない」という利用ルールだけでは足りません。接続したメール、Slack、Microsoft Teams、Google Drive、SharePoint、CRM、ローカルファイル、ブラウザへAIが到達し、Computer Useでクリック、入力、ファイル移動まで行えるからです。

この記事は、ChatGPTを全社導入している、または営業、経理、企画、情シスでChatGPT Workを試したい経営者、事業責任者、兼任情シス向けです。

AI ASSESSMENT

PoC の前に「そもそも使えるか」を30分で見極めませんか?

対象業務、データ、権限、ログ、運用責任を確認し、PoC前に失敗要因と本番化条件を整理します。

30分壁打ちを予約

公式発表で確認できる機能と、企業側に残る判断

横にスクロールして確認できます

公表された機能できること企業側で決めること
Plugins社内アプリや業務データを参照接続を許すシステム、データ、利用者
Scheduled Tasks定期・イベント起点で処理実行条件、時間帯、回数、失敗時の扱い
Computer UsePC上でクリック、入力、ファイル操作変更・送信・削除を許す範囲
管理者制御接続先、ネットワーク、行動を管理部門別の権限と例外承認
Compliance API会話・行動を組織的に可視化保存期間、監査者、異常検知、証拠保全
Auto-review重要な行動をモデルで事前確認AI確認で足りない高影響操作の人承認

管理機能が存在しても、自社の業務権限、正本データ、承認者、停止責任者は自動的には決まりません。

導入時に起きる6つの判断ミス

  1. チャットの延長として全員へ開放する。 読取だけの利用者にも更新・送信の経路が生まれます。
  2. 接続できるアプリをすべて接続する。 顧客、契約、給与、経営資料の信頼境界が一つになります。
  3. Scheduled Tasksを便利な自動化とだけ捉える。 担当者不在時にも古い条件で処理が続きます。
  4. Auto-reviewがあれば人の承認は不要と考える。 契約、公開、送金、削除の責任は企業に残ります。
  5. 会話ログだけを監査証跡にする。 実行者、接続先、変更前後、承認、結果を追えません。
  6. 利用上限を費用対策だけに使う。 回数・時間・対象件数は暴走範囲の制限でもあります。

FREE DOWNLOAD

AI導入チェックリスト(PoC 失敗要因 10項目)

情シス部門が PoC 前に押さえるべき失敗要因を10項目に整理した無料チェックリスト。

GXO式「ChatGPT Work導入5ゲート100点」

横にスクロールして確認できます

ゲート配点満点の証拠レッドフラグ
業務・データ境界20対象業務、正本、機密区分、禁止データが一覧化「まず全社で試す」だけ
ID・接続先20利用者、plugin、端末、network、local fileを分離個人アカウントと会社データを混在
実行権限・承認25read/draft/update/send/delete別に許可と承認下書きと送信が同じ権限
ログ・費用・品質20入力、参照元、行動、変更前後、承認、費用、結果を記録完了通知しか残らない
停止・復旧15task停止、plugin遮断、session取消、差戻し、代替手順を訓練作成者しか止められない

合計点に関係なく本番利用を止める条件

  • 顧客への送信、契約確定、支払、採用判断、データ削除を人の承認なしで実行できる
  • AIがどのファイル・アプリ・Web情報を根拠にしたか追跡できない
  • 部門異動・退職後もScheduled Taskやplugin接続が残る
  • 誤更新後に変更前の状態へ戻せない
  • 個人向けアカウントや管理外端末から会社の機密データへ到達できる

該当する業務は、参照と下書きに限定してから再設計します。

仮想記入例:営業会議資料の週次更新

横にスクロールして確認できます

ゲート得点不足
業務・データ境界14/20失注理由の自由記述に個人情報が混在
ID・接続先12/20CRMと個人Google Driveを同時接続
実行権限・承認13/25資料更新後にそのまま共有可能
ログ・費用・品質10/20参照レコードと差分を保存しない
停止・復旧6/15作成者の休暇中に停止できない
合計55/100自動共有を止め、下書き運用へ戻す

CRMは読取専用、資料は専用フォルダだけに限定します。毎週の更新は下書きまでとし、営業責任者が差分と参照日時を確認して共有します。停止権限は情シスと業務責任者の二者に付与します。

最小AI業務台帳

横にスクロールして確認できます

項目記録例
業務/Owner週次営業レビュー/営業企画部長
Trigger毎週月曜7時、手動再実行可
ConnectionCRM読取、Slack読取、共有Drive限定書込
Action集計、下書き、差分表示。外部送信は禁止
Approval営業企画が内容確認、部長が共有承認
Evidence参照ID、時刻、出力版、変更差分、承認者
Limit1回500件、60分、週1回、費用上限
Stop/Recoverytask停止、plugin遮断、前版復元、手作業代替

導入・契約前に確認する12問

  1. プラン、地域、管理者機能、利用上限の対象範囲は何か
  2. Web、mobile、desktopで利用できる機能差は何か
  3. pluginごとに読取・作成・更新・送信を分けられるか
  4. local fileと社内networkへの到達範囲を制限できるか
  5. Scheduled Taskの所有者、一覧、停止、異動時移管は可能か
  6. 高影響操作を必ず人承認へ送れるか
  7. Auto-reviewの対象、判定結果、限界を説明できるか
  8. Compliance APIで行動と変更前後を取得できるか
  9. データ保持、学習利用、削除、越境移転の契約条件は何か
  10. 利用量と費用をgroup・個人・業務別に制限できるか
  11. plugin障害・モデル変更後の回帰試験はどう行うか
  12. session取消、接続遮断、誤更新の復旧に何分かかるか

30日で安全に試す順序

  • 1週目:1業務を選び、データ、接続先、行動、承認、停止を台帳化
  • 2週目:読取と下書きだけで、正確性、時間、費用、例外を測定
  • 3週目:管理者ログ、利用上限、接続遮断、誤更新復元を試験
  • 4週目:人承認を含む限定本番と手作業を比較し、拡大・修正・停止を決定

GXOのAI導入可否アセスメントでは、対象業務、接続先、権限、効果、費用を発注前に整理します。plugin、Computer Use、秘密情報、ログを含む技術統制は生成AIセキュリティ、本番移行の判断はPoC本番化診断へ接続します。

FAQ

管理者機能があるEnterpriseなら安全ですか

管理機能は統制の手段です。どの業務を誰の権限で実行し、どこを人が承認するかは自社で決め、試験する必要があります。

最初に自動化しやすい業務は何ですか

参照元が明確で、出力が下書きで、人が確認でき、失敗しても戻せる社内資料作成から始めます。

Auto-reviewと人承認を両方使うべきですか

機密送信、契約、支払、削除、外部公開など影響が大きい操作は、AIによる確認だけでなく責任者の承認を残します。

出典・確認日

機能、提供プラン、利用上限、管理者制御、価格は変更される可能性があります。本記事の配点と仮想例はGXO独自であり、OpenAIの評価・保証ではありません。

ISSUE HUB

セキュリティリスクを減らしたいの全体像を見る

関連する中カテゴリ・小カテゴリ・記事を横断し、課題の整理、優先順位、解決策をまとめて確認できます。

課題別ハブを見る

CATEGORY CLUSTER

同じ課題で読む

この記事の親カテゴリと近い小カテゴリをたどると、課題の全体像から具体的な解決策まで順に確認できます。

関連 HUB

この記事は以下の業種・悩み hub にも掲載されています。同じテーマの実務ナレッジと支援サービスをまとめてご覧いただけます。

お気軽にご相談ください

AI・DXに関するご質問やお見積もりなど

無料相談する

CONTACT

まずは 無料相談 から始めませんか。

サービスについてのご相談・ご質問などお気軽にお問い合わせください。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK