Anthropicは2026年4月24日、NECとの戦略的協業を発表した。発表によると、NECはClaudeを世界のNECグループ社員約3万人に提供し、Anthropic初の日本拠点グローバルパートナーとして、金融、製造、地方自治体向けの安全な業界特化AI製品を共同開発する。発表内では、Claude Codeを使うAIネイティブなエンジニアリング組織の構築も示されている。
この流れは、中堅企業にもすぐ波及する。開発会社、情シス、社内DXチームがAIでコードを書くことは珍しくなくなる。一方で、AI生成コードは「早く作れる」反面、レビュー、テスト、引き継ぎが弱いと、動くが誰も直せないシステムを生む。
この問題はバイブコーディング危機で連載化している。本記事では、Claude Codeの企業展開を題材に、発注者・開発責任者が決めるべき開発体制へ落とす。
結論:AIが書いたコードでも、責任はAIに移らない
企業開発で最初に決めるべきことは、AIツールの利用可否ではない。次の責任分界である。
| 論点 | 決めること |
|---|---|
| レビュー責任 | AI生成コードを誰が確認し、承認するか |
| テスト責任 | どのテストを必須にし、誰が結果を見るか |
| セキュリティ責任 | 脆弱性、秘密情報、ライセンス混入をどう検査するか |
| 引き継ぎ責任 | 設計意図、依存関係、運用手順を誰が残すか |
| 発注責任 | 外注先がAIを使う場合、契約と検収で何を確認するか |
AIが実装を補助しても、納品物の品質責任は開発体制側に残る。発注者は、AI利用を禁止するよりも、AI利用を前提にしたレビューと検収を要件に入れるべきである。
FREE CONSULTATION
この記事の内容について、専門家に相談できます
AI・DX・セキュリティに関するご質問やお見積もりなど、お気軽にお問い合わせください。
AI生成コードで起きやすい4つの事故
1. 動くが設計意図が残っていない
AIに指示を重ねると、局所的には動くコードができる。しかし、なぜその構成にしたのか、どの業務ルールを反映したのかが残らないと、保守時に詰まる。
2. テストが薄いまま速度だけ上がる
実装速度が上がると、テスト設計が追いつかない。特に業務システムでは、正常系よりも例外、権限、締め処理、取消、再実行のテストが重要である。
3. OSSライセンスと依存関係を見落とす
AIが提示したライブラリを深く確認せずに採用すると、保守されていない依存、ライセンス不一致、脆弱性を持ち込む可能性がある。DevSecOpsの検査を開発フローに組み込むべきである。
4. 外注先のAI利用が見えない
開発会社がAIを使っているかどうかより、AI利用時の品質管理を説明できるかが重要である。開発会社選びの実務チェックでは、実績だけでなくレビュー体制と検収条件を見る必要がある。
企業でClaude Codeを使う前のチェックリスト
| # | チェック項目 | 実務上の確認 |
|---|---|---|
| 1 | AI利用ルール | どのリポジトリで使えるか |
| 2 | 入力禁止情報 | 秘密鍵、顧客情報、未公開仕様を入れない |
| 3 | レビュー必須範囲 | AI生成部分も人間がレビューする |
| 4 | テスト要件 | 単体、結合、権限、異常系を定義する |
| 5 | SAST/依存関係検査 | 脆弱性とライセンスを自動確認する |
| 6 | 設計メモ | AIに出した重要な前提を記録する |
| 7 | 引き継ぎ資料 | 運用手順と障害対応を残す |
| 8 | 検収条件 | 「動く」だけでなく品質証跡を見る |
このチェックを見積段階で入れると、安い見積と高い見積の差が見える。AI開発の費用を読む場合は、システム開発の見積書を読む技術とあわせて、レビュー・テスト・セキュリティ費が抜けていないか確認したい。
FREE DOWNLOAD
AI導入チェックリスト(PoC 失敗要因 10項目)
情シス部門が PoC 前に押さえるべき失敗要因を10項目に整理した無料チェックリスト。
発注者がRFPに入れるべき文言
AI利用を完全に禁止するのではなく、次のように統制条件を入れるほうが現実的である。
| 項目 | RFPに入れる内容 |
|---|---|
| AI利用の申告 | 開発工程で利用するAIツールと用途を提示する |
| 入力制限 | 顧客情報、秘密情報、認証情報をAIに入力しない |
| 品質保証 | AI生成コードも通常コードと同じレビュー対象にする |
| セキュリティ | 依存関係、ライセンス、脆弱性検査の結果を提出する |
| 引き継ぎ | 設計意図、主要判断、運用手順をドキュメント化する |
この条件を入れておけば、AIを使う開発会社を排除せず、品質だけを比較できる。開発スピードを得ながら、保守不能リスクを下げられる。
よくある質問
Q1. AI生成コードは使わないほうが安全ですか
一律に禁止する必要はない。問題はAIを使うことではなく、レビュー、テスト、セキュリティ検査、引き継ぎがないまま本番に入れることである。
Q2. 外注先にAI利用を申告させるべきですか
申告させるべきである。ただし、利用有無だけで評価するのではなく、入力禁止情報、レビュー体制、検査結果、保守資料を確認することが重要である。
Q3. 小規模な社内ツールでも必要ですか
顧客情報、売上、契約、権限に関わるなら必要である。小規模ツールほど属人化しやすく、AIで作った本人が退職すると直せなくなる。
参考情報
-
Anthropic「Anthropic and NEC collaborate to build Japan’s largest AI engineering workforce」:https://www.anthropic.com/news/anthropic-nec
-
GXO「バイブコーディング危機」:/feature/vibe-coding-crisis
AI開発体制を、レビューと検収まで設計しませんか
GXOでは、AI生成コードを前提にした開発体制、レビュー、テスト、DevSecOps、外注先の検収条件を整理します。Claude CodeやGitHub Copilotを使う前提の開発相談にも対応します。
※ 現在の開発フローや外注契約がある場合は、その前提で整理します。