「来週の出張に必要な候補を調べ、承認が下りたら予約まで進めておく」——そんな指示だけで、AIが複数のシステムをまたいで作業する。エージェント型AIの利用が、そうした現実味を帯び始めています。導入を計画・検討する企業も広がっています[1]。ところが現場で展開を進めるほど、つまずく原因はモデルの賢さではないことが見えてきました。問われているのは「そのエージェントは誰で、どこまでの権限を持ち、何をしたのか」を統制できるか、という一点です。
「賢いエージェント」より先に問われる“統治”
高性能なモデルを選べば、自律エージェントはとりあえず動きます。しかし、組織で安全にスケールさせられるかどうかは、まったく別の問題です。2026年の調査や予測は、その分岐点が「統治(ガバナンス)」にあることを示しています。
自律化の号砲と、広がる統治の空白
エージェント型AIの普及は、もはや実験段階を抜けつつあります。あるコンサルティング会社が24カ国・6業種の3,235名のリーダーに行った調査では、4分の3近くが2年以内にエージェント型AIを導入する計画だと回答しました。にもかかわらず、成熟したエージェント統治のモデルを持つ企業は、そのうち約21%にとどまります[1]。IT基盤の運用領域でも、2029年までに7割の企業が取り入れ、2025年の5%未満から急拡大すると見込まれています[2]。導入の速度に対して、誰がどの権限で動かすのかを管理する仕組みは、まだ追いついていません。
失敗は“賢さ不足”ではなく“統制不足”で起きる
普及の一方で、つまずきの予測も具体的になってきました。ある調査会社は、2027年までに40%の企業が、本番運用で表面化したガバナンスの欠如を理由に、自律型AIエージェントを格下げ・廃止すると予測しています[3]。注目すべきは、その原因が性能不足ではなく統制不足だとされている点です。賢いエージェントを作ることと、それを安全に任せ続けることは、別の課題なのです。
エージェントに“社員と同じID・権限・監査”を与える
では、ここでいう統制とは具体的に何を指すのでしょうか。2026年の主要な調査や、企業向けAI基盤の発表を見渡すと、共通して浮かび上がる答えがあります。人間の社員に社員証と職務権限と勤務記録があるように、エージェントにも身元・最小権限・監査証跡を与える、という発想です。
ツール呼び出し単位で「誰が・何を・許されるか」を問う
象徴的なのが、企業向けのエージェント接続基盤をめぐる動きです。ある大手データ基盤企業は、エージェントと社内システムをつなぐ“ゲートウェイ”を、ツール呼び出しの一つひとつで身元・ポリシー・監査を強制する仕組みとして取り込みました。誰がそのアクションを要求し、どんな権限を持ち、その操作が許されるのかを毎回確認し、最小権限に絞り込む——「テーブルを誰がクエリできるか」ではなく「エージェントが何を見て、どのシステムに触れ、何を起こせるか」を統治する段階に入ったといえます[4]。さらに、書き込みや送信を伴う高リスクな実行系のエージェントでは、各アクションへの明示的な人間の承認と監査証跡を組み込む設計が求められます[3]。
“統治されたデータ”の上でしか動かさない
もう一つの潮流が、エージェントを動かす土台そのものを限定する考え方です。隔離された場所へデータを持ち出すのではなく、自社の統制されたデータの上でモデルを直接動かす——いわゆる「統治されたAI」への需要が高まっていると説明されています[5]。可観測性と監査を備えた環境でしか動かさない、という前提を先に置く考え方です。隔離されたシステムよりも、統治されたデータの上で動くAIを求める企業側のニーズが、その背景にあるとされます。
一様な統制は逆効果——自律度で線を引く
ただし、統制は強めれば強めるほど良い、という単純な話ではありません。むしろ画一的な締め付けが、別の失敗を招くと警告されています。統制の“掛け方”そのものに設計が要るのです。
「全ロックダウンか全信頼か」の二択が失敗を生む
多くの企業は、エージェントの統治を「完全に縛るか、全面的に信頼するか」の二択で捉えがちです。しかし調査会社は、アクセス範囲も行動可否も自律度も異なるエージェントに一様な統治を当てると、展開の停滞やロールバック、新たなセキュリティ・コンプライアンス上の露出を招くと指摘します[3]。すべてを同じルールで縛れば、低リスクの便利な使い方まで止まり、それでいて高リスクの抜け道は塞ぎきれません。
観察・助言・承認付き実行・完全自律で線を引く
現実的な解は、エージェントを一括りにせず、自律度で分類することです。情報を「観察」するだけのもの、人に「助言」するもの、人の「承認付きで実行」するもの、そして「完全に自律」して動くもの——この段階ごとに、与える権限と監査の強度を変えます[3]。閲覧専用のエージェントに重い承認フローは要りませんが、送金や契約に触れるエージェントには厳格な承認と記録が要ります。自律エージェントをどこで止め、いつ人間に判断を戻すかを設計する考え方と合わせ、リスクに応じて統制の濃淡をつけることが、止めずに任せるための鍵になります。
企業が今からできる“統制された自律化”の設計
こうした動向は、特別な大企業だけの話ではありません。自社でエージェントを試し始めた組織が、最初の一歩として設計に組み込むべき要点へと落とし込めます。
何を入れ、何に触れ、何を記録するかを先に決める
着手すべきは、ツール選定よりも前の「線引き」です。エージェントに渡してよいデータと渡してはいけないデータ、触れてよいシステムと触れてはいけないシステムを定義し、それを技術的に強制します。入力内容の制御・権限管理・ログ取得を備えた社内向けのAI基盤に集約すれば、現場の自由な利用を「お願い」ではなく仕組みで統制できます。誰が・どのデータを・どの目的で扱ったかを残せる環境が、自律化の前提になります。
監査証跡を“後付け”にしない
もう一つの要点は、監査を初期設計に組み込むことです。本番で問題が起きてから「何が起きたのか分からない」では、格下げや廃止という結末に近づくだけです。誰が・いつ・どの権限で・何をしたのかを最初から記録しておけば、障害の原因究明も、規制への対応も、再発防止も回り始めます。監査証跡は自律化のブレーキではなく、自律化を続けるための土台だと捉えるべきです。
さいごに
2026年の主要な調査や企業向けAI基盤の発表から見える答えは、どこか逆説的でした。エージェントを“信頼して任せる”ためにこそ、“信頼しない前提”——身元・最小権限・常時監査——で設計する、というものです。自律性が上がるほど、最後に効いてくるのは性能ではなく統治の質になります。これから社内でAIエージェントを広げるなら、賢さを競う前に、誰が・どの権限で・何をしたかを統制できる土台を整えること。それが、最初に取り組むべき投資先になるはずです。
出典
- [1] From Ambition to Activation: Organizations Stand at the Untapped Edge of AI’s Potential, Reveals Deloitte Survey – Deloitte
- [2] Gartner® Report: Predicts 2026 — AI Agents Will Transform IT Infrastructure and Operations – Gartner / PagerDuty
- [3] Gartner Says Applying Uniform Governance Across AI Agents Will Lead to Enterprise AI Agent Failure – Gartner
- [4] Snowflake to Acquire Natoma to Bring Governed Agentic Access to the Enterprise / Snowflake to acquire MCP-focused Natoma to boost governance for AI agents – Snowflake / InfoWorld
- [5] Snowflake and Anthropic Accelerate Enterprise AI Adoption Driven by Rising Demand for Governed AI – Snowflake
この記事を書いた人
