はじめに
「Claude Code便利らしいからウチも使えるようにできない?」
社内でAI活用の号令が出て、情シスにこういう依頼が降ってくるという相談が最近増えてきました。
ご相談の際に詳しくお話をお伺いすると、展開方法より先に別の問題が見つかることが多いです。 社員がすでに個人アカウントで使っている、APIキーの入ったフォルダをそのまま読ませている、そもそも誰が使っているのか誰も把握していない、といった具合です。
Claude Code はファイルを読んでコマンドまで実行するツールのため、チャット型の生成AIとはリスクの質が違います。「とりあえず配ってから考える」ではリスクを抱えたままの運用になってしまいます。
この記事では、企業導入をご支援してきた経験を元に、配る前に決めておきたいことを8つにまとめました。導入を検討している情シス担当者・CTO・管理部門の方の参考にしてもらえると幸いです。
先にチェックリスト
- 契約プランとデータの扱いを確認したか
- アカウントの入口(SSO・個人アカウント)を決めたか
- 入れてよいデータの線引きをしたか
- 設定を「お願い」ではなく「強制」にできる形にしたか
- 配布方法(手動 / MDM)を決めたか
- ログ・証跡をどう残すか決めたか
- ルール文書と例外承認の流れを作ったか
- 定着の担当者と教育の場を決めたか
最初から8つ全部を完璧にする必要はありません。ただ「どれを後回しにしたか」を自覚した上で配ると、何かあったときの立て直しがだいぶ楽になります。
1. 地味ですが、まず契約から
モダンなツールを配る話なのに契約からかと思われるかもしれませんが、ここを個人向けプランの延長で進めてしまうと後で全部やり直しになります。
法人利用なら Team か Enterprise です。選ぶ基準は人数ではなく統制要件で、SCIMによるアカウントの自動連携や監査ログ、コンプライアンス系の管理機能が必要になった時点で Enterprise が視野に入ります。(SSO自体は Team でも使えます) どの機能がどちらのプランに含まれるかは変わることがあるので、契約時に最新の提供条件を確認してください。
迷うなら Team で小さく始めて、要件が固まってから引き上げるのがおすすめです。私がご支援している案件でもこの順番を取ることが多いです。
「入力したデータが学習に使われるのでは」というのは稟議で最初に聞かれる質問ですが、法人プラン・API経由の利用では学習に使われない扱いが基本です。ただし、ここは規約と管理画面の設定を必ず自分の目で確認してください。
なお Amazon Bedrock など主要クラウド経由の提供もあるので、すでにAWS等の統制基盤がある会社ならその中で完結させる手もあります。提供形態は変化が速い領域なので、こちらも契約時に最新情報を見てください。
2. 配る前に「どの窓が開いているか」を見る
配布の設計より先に、いま誰が使っているかを調べることをおすすめします。
会社が配る前から社員が個人アカウントで使っているケースは珍しくありません。利用実態の調査をお手伝いすると、管理側の想定より多くの利用者が見つかることがほとんどです。鍵をかける前に、どの窓が開いているかを見て回るイメージです。
やることは3つです。
- 会社ドメインのアカウントに集約し、個人アカウントでの業務利用をルールで明確に禁止する
- SSOが使えるプランなら、Entra ID などのIdP経由に認証経路を一本化する
- 退職・異動時にアカウントが確実に止まる導線(SCIMやオフボーディング手順)を確認する
3つ目は忘れられがちですが、退職者のアカウントが生きている状態は監査で一番説明に困ります。
ちなみに、先に調べた個人アカウント利用の実態は、経営に統制の必要性を説明する材料としてそのまま使えます。「これだけ野良利用があります」という数字は、どんな説明資料より雄弁です。
3. 線引きは「3秒で判断できる表」に
Claude Code はローカルのファイルを読みます。端末に置いてあるものは何でも入力になり得るという前提で、入れてよいデータの線引きが必要です。
ここで気合いを入れて分厚い規程を作りたくなりますが、実際のユーザーには読まれません。現場が一目で判断できる一覧で十分です。
- 絶対ダメ: 顧客の個人情報、取引先から預かったデータ、APIキーやパスワード
- 条件付きOK: 社内のコードや文書(法人プラン契約の範囲で)
- 迷ったら: ◯◯さんに聞く
実は一番効くのが最後の「迷ったら」の行き先です。ここを書いておくと、判断がグレーなケースが勝手に運用されずに相談として上がってくるようになります。(後述の例外承認にもつながります)
4. ルールは善意、設定は強制(managed settings)
ガイドラインは善意で守られるもので、設定は強制されるものです。統制設計では、この区別が肝になります。
Claude Code には管理者側で設定を強制する仕組み(managed settings)があり、ユーザーやプロジェクト側の設定では上書きできません。会社として禁止したい操作や接続先は、ルールに書くだけでなくここで縛ります。
なお managed settings の適用方法は2通りあります。全社で統一の設定にするなら Claude の管理画面から一括で適用するのが手軽です。一部のデバイスにだけ適用したい・部署ごとに設定を変えたいという場合は、MDMからの配布が向いています。
「便利に使ってもらうための推奨設定の配布」と「事故を防ぐための強制設定」は役割が違うので、分けて設計してください。推奨設定だけ配って統制した気になっているケースを時々見かけますが、それは各自の善意頼みという意味でガイドラインだけの状態と同じです。
5. 配布方法は「全員が同じ状態になるか」で決める
パイロットの数人なら手順書ベースの手動セットアップで足ります。全社に配るなら Intune や Jamf などのMDMに載せて、本体のインストールから強制設定ファイル(managed settings)の配置までをセットで自動化するのがおすすめです。
判断のものさしはひとつだけです。「社員全員に手順書どおりの作業をしてもらって、全員が同じ状態になると信じられるか」。信じられないならMDMです。
エンジニア以外の部門にも配る計画があるなら、なおさら「インストールしたらすぐ使える」状態で配る設計にしておくことをおすすめします。(セットアップの問い合わせ対応は、想像しているよりずっと時間を使います)
6. ログは「これだけは説明できる」ラインを決める
導入して1〜2ヶ月すると、経営か監査から必ず「誰がどれくらい使っているの?」と聞かれます。そのときに管理画面を開いて答えられればよい、くらいのラインをまず決めておきましょう。最初から立派なログ基盤を作る必要はありません。
具体的には、誰が・いつ・どのプロジェクトで・どんな操作(コマンド実行や外部接続)をしたか。ここまで説明できれば大半の場面はしのげます。モデル別・ツール別(Chat / Cowork / Code)の利用量を見たい場合は、管理画面からログをエクスポートして集計できます。監査要件が強い会社だけ、監査ログやテレメトリ(OpenTelemetry対応)でどこまで記録できるかを導入前に確認しておくとよいです。
あとは、ログを取っていることを利用者に伝えておくのも忘れずに。それ自体が抑止として機能します。
7. 例外の出口がないルールは破られます
利用ガイドラインは、すでに生成AIの利用ルールがあるならその改訂で足ります。新しい文書を一から作るより、Claude Code 特有の論点(ファイルアクセス・コマンド実行・外部接続)を追記する方が、書くのも読むのも早いです。
それより大事なのが例外承認の流れです。「原則禁止だけど業務上必要」というケースは必ず出てきます。例外の出口がないルールの行き着く先は、破られるか、業務が止まるかの二択です。
申請と承認はSlackのワークフロー程度の軽いもので構いません。ここを作らずに配ると、「これって使っていいんですか?」が全部情シスに直撃するようになります。
8. 締めるだけだと、使われなくなります
配って終わりにしないための最後のピースが定着です。
初回の説明会でやるべきことは1つで、機能紹介より先に「何を入れてはいけないか」を伝えることです。あとは社内の一次相談窓口を1人決めて、月1回30分でもいいので使い方やユースケースを共有する場を回す。パイロット段階ならこの程度でも回ります。
統制だけ固めて放置すると、そのうち使われなくなって、導入自体が失敗扱いになります。個人的には、これが一番もったいないパターンだと思っています。統制と定着はセットで設計してしまうのが、結局いちばんの近道です。
追記:ここまで統制を強める話ばかり書きましたが、締め付けたいわけではなく、「安全に使い倒せる状態を最短で作る」のが目的です。そのための土台づくりだと捉えてもらえると幸いです。
ISMSを運用している会社は、話が早いです
ISMS(ISO/IEC 27001)を回している会社なら、新しい規格や文書体系は要りません。既存の枠組みに載せるだけです。
- リスクアセスメントに「生成AIツールの利用」を情報資産・リスクとして追加する
- 3で決めた線引きを、既存の情報分類ルールと揃える
- 6のログを、内部監査で見せられる形にしておく
既存のISMSの語彙に翻訳して載せると、審査でも運用でも説明がしやすくなります。
おわりに
8項目を挙げましたが、パイロット段階なら 1・2・3・7 だけで始められます。4・5・6・8 は全社展開までに固める、という2段階が現実的です。
自社の場合はどこから手を付けるべきか整理したいという方は、生成AI・Claude Codeの社内統制支援のページをご覧ください。現状の利用状況と環境をお伺いして、優先順位の整理からご提案しています。