「AI が自分の代わりに 24 時間動いて、メールを送ったり手続きを進めたりしてくれる、と聞いたんですが。正直、便利そうという気持ちと、勝手に変なことをされたら怖いという気持ちが半々で」——自律型の AI エージェントが業務に入り始めたいま、経営者や IT 担当者からこうした率直な不安をよく聞きます。これまでの AI は、こちらが質問して答えをもらう「相談相手」でした。ところが新しい世代のエージェントは、こちらの指示のもとで自分から複数のステップを実行し、メール送信のような外向きの行動まで取ります。賢くなったぶん、任せる範囲を間違えると被害も具体的になる。期待と不安が同居するのは、当然のことです。
その代表格が、2026 年 5 月の Google I/O 2026 で発表された Gemini Spark です。クラウド上の仮想マシンで 24 時間稼働し、利用者の指示のもとでタスクを自律的に進めるパーソナル AI エージェントで、Gmail やドキュメントを横断して複数ステップの作業をこなします。Google は安全のための仕組みもあわせて用意していますが、それで企業側の統制責任がなくなるわけではありません。むしろ、誰にどこまで任せ、どの行動には人の承認を挟むかという線引きは、これまで以上に各社が自分で設計する必要があります。本記事では、自律エージェントを安全に業務へ入れるために、企業側に残る統制をどう設計するかを、受託の立場から整理します。
Google が用意した安全装置と、その限界
まず、Gemini Spark の法人版にどんな安全装置が組み込まれているかを正確に押さえます。ここを知らないと、過剰に怖がるか、逆に油断しすぎるかのどちらかに振れてしまいます。
主な仕組みは三つあります。一つは、使い捨ての仮想マシンです。タスクごとに毎回まっさらな隔離環境を立ち上げ、終われば破棄するため、別のセッションのデータが混ざらないようになっています。二つ目は、データ損失防止(DLP)と専用ゲートウェイです。エージェントの通信はすべて専用の関門を通り、そこで情報漏えいを防ぐポリシーが適用され、利用者の認証情報はエージェントに直接渡らない形で守られます。三つ目は、高リスク操作の確認ステップです。メールの送信や高額の支出といった、取り返しのつきにくい行動の前には、利用者への確認を挟みます。加えて、エージェントは利用者がアクセスできる範囲のデータしか取得せず、本人が見られないメールやドキュメントには触れません。
これらは、よく考えられた安全装置です。ただし、ここに落とし穴があります。Google が守ってくれるのは「エージェントの足回り」であって、「誰が何を任されているか」という業務側の前提までは守ってくれない、ということです。たとえば、エージェントは「利用者がアクセスできる範囲」しか触らない——裏を返せば、その利用者の権限が広すぎれば、エージェントの触れる範囲もそのまま広くなる。共有設定がルーズなドライブを使っていれば、エージェントもそのルーズな範囲を前提に動きます。安全装置は前提条件を健全に保ってはくれません。そこは企業側の宿題です。
企業側に残る、四つの統制ポイント
では、安全装置の外側で、企業は何を設計すべきか。受託で統制を組むときに必ず手当てするのは、次の四点です。
一つ目は、権限の棚卸しです。エージェントは利用者の権限で動くのだから、まずその利用者一人ひとりの権限が業務に対して過剰でないかを点検する必要があります。「念のため」で広く付与された権限ほど、自律エージェントの時代には危険になります。これは Google Workspace セキュリティ設定チェックリストの記事 で扱った最小権限の考え方が、そのまま効いてくる場面です。
二つ目は、共有設定の前提を整えること。エージェントが扱うドライブやスプレッドシートの共有範囲が「リンクを知っている全員」のままなら、いくらエージェント側が堅牢でも、土台が緩い。エージェントを入れる前に、扱わせる対象データの共有範囲を業務に必要な分まで絞る作業が要ります。
三つ目は、高リスク操作の承認フローを業務に合わせて決めること。Google の確認ステップは技術的な安全弁ですが、「自社にとって何が高リスクか」は会社ごとに違います。取引先への一斉送信、見積りの自動返信、外部への情報提供——どこに人の承認を挟むかを、自社の業務に即して言語化しておく必要があります。
四つ目は、記録と監査です。どのエージェントが・誰の権限で・何を実行したかを後から追える状態にしておくこと。何かあったときに「いつ・何が・なぜ起きたか」を説明できなければ、取引先や監査に対して責任を果たせません。エージェントの動きをどう統制下に置くかという全体像は、Google Workspace AI コントロールセンターの記事 や、AI 議事録のガバナンスを扱った AI ノートテイカーの記事 の延長線上にあります。
弊社の事例: 「とりあえず全社で使わせたい」を押しとどめたとき
具体例を挙げます。ある販売系の中堅企業(社名は伏せます)から、「自律エージェントが便利そうなので、全社員にすぐ使わせたい。何か準備は要るか」という相談を受けました。経営層の関心が高く、勢いとしては明日にでも全社展開、という温度感でした。
私たちがまずお願いしたのは、展開を少しだけ待って、足元を確認することでした。実際に Workspace の設定を確認すると、過去の経緯で多くの社員に広い権限が付いたままで、部署をまたいだ顧客データのスプレッドシートが「リンクを知っている全員」で共有されていました。この状態で自律エージェントを全社に配れば、各人のエージェントが、本来その人が日常的には触らないはずの広い範囲まで前提にして動きかねません。Google の安全装置は使い捨て VM やゲートウェイで足回りこそ守ってくれますが、「そもそも一人ひとりに与えている権限が広すぎる」という土台の緩さは、安全装置の外側の問題です。
そこで、全社展開の前に、まず権限の棚卸しと共有範囲の是正を行い、何を高リスク操作として人の承認を挟むか(取引先への一斉送信や対外的な情報提供など)を業務に即して決め、エージェントの実行記録を残して追える形を整えました。そのうえで、影響の小さい部署から段階的に使い始めてもらいました。経営層は「すぐ全社で」という当初の希望からは少し遅れたものの、結果として「便利だが、何が起きているか説明できない」状態を避けられた。自律エージェントの導入で本当に難しいのは、エージェントを動かすことではなく、それが動いてよい前提を企業側で整えることだと、この案件は教えてくれました。
「便利そう」で全社に配る前に
自律エージェントの導入で損をしないために、最初に一つだけ意識してほしいことがあります。それは、エージェントの賢さや安全装置よりも、自社の権限と共有設定という「土台」が先だ、ということです。土台が緩いまま賢いエージェントを配れば、緩さがそのまま増幅されます。逆に、権限の棚卸しと共有範囲の是正、高リスク操作の承認フロー、実行記録の整備——この四つを先に済ませておけば、自律エージェントは安心して任せられる戦力になります。
自律エージェントを業務に入れたいが何から手をつければよいか分からない、全社展開の前に権限と共有設定の足元を点検しておきたい、何が起きたか後から説明できる統制を整えておきたい——そうしたお悩みがあれば、グリームハブのお問い合わせからご相談ください。現在の権限・共有設定を棚卸しし、どこを是正すれば自律エージェントを安全に任せられるかを可視化したうえで、承認フローと監査の仕組みまで含めて、安心して使える形をご一緒に設計します。
