お問い合わせ
AI NOTE — 175

GWS 複数AIツール監査ポリシー補完設計

PUBLISHED2026.06.20
READ13 分
CATEGORYAI

2026年5月4日にリリースされたGoogle Workspace のAI コントロールセンター(AI control center)は、Gemini に関するアクセス制御設定と利用状況レポートを管理コンソール上に集約した機能です。一方、組織内でChatGPT Business(旧 Team、OpenAI)やClaude for Work(Anthropic)も並行展開している場合、これらサードパーティ製AIツールの利用ログはAI コントロールセンターの管理対象外のため、補完的な監査ポリシーを別途設計する必要があります。

この記事を読んだほうが良い人

  • Google Workspace Enterprise Standard / Enterprise Plus を管理しており、AI コントロールセンターの初期設定を終えた情シス担当者
  • GeminiだけでなくChatGPT BusinessやClaude for Workも組織展開しており、ツール横断の監査体制の設計に悩んでいる方
  • AI コントロールセンター設定後に複数ツールの利用ログを分離管理しようとしたが、GWS管理コンソールだけでは限界があると気づいた方
  • 情シスが「どのツールを誰が使えるか」をOU(組織部門)別に文書化し、月次の監査サイクルとして定着させたい方

AI コントロールセンターの基本的な4モジュール構成と設計判断軸については、設計判断の解説記事で整理しています。本記事では「複数のAIツールを並行運用している場合に、監査ポリシーをどう補完設計するか」に絞ります。

AI コントロールセンターが「できること」と「できないこと」

補完ポリシーの設計を始める前に、AI コントロールセンターの監査・ログ面での能力範囲を整理します。制約を正確に把握することが、補完ポリシー設計の出発点です。

以下の表は、複数AIツール並行運用の観点で特に重要な機能範囲をまとめたものです。

観点 AI コントロールセンターで対応可能 対応不可(補完が必要)
利用ログの参照 Gemini の利用状況レポートをOU別・ユーザー別で確認できる ChatGPT Business / Claude for Work 等サードパーティ製AIの利用ログは取得不可
OU単位のアクセス制御 Gemini 機能をOU単位で有効・無効にできる サードパーティ製AIのOU別制御はGWS管理コンソールから直接はできない
BigQuery への監査ログ出力 Gemini の監査ログをBigQuery Exportに含めることができる(2025年8月〜) ChatGPT Business / Claude for Work の利用ログはGWSの監査ログ基盤に流れない
データ保護との連携 DLPルール・信頼ルール・データ分類ラベルとGemini利用を連携できる サードパーティ製AIへのデータ流出はGWS側のDLPでは検知しにくい
OAuth接続状態の確認 管理コンソールのAPIの制御セクションで、サードパーティ製AIがユーザーのGoogleアカウントにOAuth接続していることを確認できる OAuth接続後の実際の利用内容(どのデータにアクセスしたか、何を生成したか)はGWS側では確認できない
クロスツール統合レポート 対応なし ツールをまたいだ利用状況の統合ビューはGWS管理コンソール内に存在しない

「対応不可」の列が今回の設計課題の中心です。AI コントロールセンターはあくまでGemini関連設定の集約ハブとして設計されており、ChatGPT BusinessやClaude for Workはそれぞれ自社の管理コンソールでしかログにアクセスできない構造になっています。

表中のOAuth接続状態の欄は、見落としやすいポイントです。GWS管理コンソールのAPIの制御セクションでは、ChatGPT BusinessやClaude for WorkがユーザーのGoogleアカウントにOAuth(Open Authorization:認可の標準プロトコル)経由で接続しているかどうかを確認できます。しかし確認できるのは「接続の有無」であり、「接続後に何のデータが使われたか」という利用内容にはGWS側ではアクセスできません。OAuth接続の監査と利用ログの監査は別の作業として設計する必要があります。

サードパーティAIツールの利用ログが分散する理由

サードパーティ製AIサービスのログがGWS管理コンソールに流れてこない理由は、アーキテクチャ上の差異にあります。

Gemini for Workspace は、Googleが提供するサービスであり、GWSの監査ログ基盤と直接統合されています。2025年8月から対象エディションではGeminiの監査ログをBigQuery Exportに含めることも可能になっています(Enterprise Standard / Enterprise Plus を含む複数エディションが対象。Google Workspace Updates Blogの公式発表より)。

一方、ChatGPT Business やClaude for Work は、それぞれOpenAIおよびAnthropicが独自に提供するサービスです。Google Workspace のデータに接続する際はOAuthによるアクセス許可が必要ですが、接続後の利用ログはあくまで各社の管理コンソール上に記録されます。GWS管理コンソールのレポート機能からChatGPTやClaudeの利用履歴を検索することはできません。

この構造上の差異から、特に2点に注意が必要です。1点目は、OAuth接続を許可した時点でGWS側の制御が完了したと思い込むケースです。接続許可はツールの入口管理であり、以降の利用状況管理は各ベンダーの管理コンソールに委ねられます。2点目は、ユーザーがブラウザから直接ウェブサービスにログインする場合です。このケースではGWS側にはOAuth接続の記録すら残らないため、GWSの視点からは完全に見えない利用になります。

AI コントロールセンターを設定したにもかかわらず、Gemini以外のAI利用が監査の死角に入り続けるパターンはこの構造から生まれます。複数ツールを展開する組織では、この前提を関係者間で共有することが監査設計の第一歩です。

補完監査ポリシーの3層設計

複数AIツール並行運用時の監査体制は、以下の3層で構成するのが現実的です。各層の担当者と確認サイクルを明文化しておくことで、担当者が変わっても引き継げる体制になります。

第1層:GWS Audit Logs(Gemini対象)

管理コンソールのレポート機能でGeminiの利用状況を確認し、必要に応じてBigQuery Exportを活用して詳細分析を行います。月次棚卸しの観点では、OU別の有効・無効設定が承認済み状態を維持しているかの確認が中心です。設定ドリフト(意図しない設定変化)の検出については月次棚卸しの手順記事で詳しく解説しています。

この層で月次に確認すべき主な観点は次の通りです。

  • OU別のGemini機能の有効・無効設定が、直近の承認記録と一致しているか
  • 新規追加されたOUや組織変更があった場合に、デフォルトのGemini設定が意図通りになっているか
  • BigQuery Exportが正常に動作しており、ジョブエラーが発生していないか
  • 管理コンソールのアラートセンターにGemini関連の異常が記録されていないか

この層で把握できるのはGemini関連の利用状況のみですが、組織内でもっとも統制が効きやすいのもこの層です。

第2層:各AIサービスのネイティブ管理コンソール

ChatGPT Business やClaude for Work は、それぞれ独自の管理コンソールを提供しています。情シスまたはツールを管轄する担当者が管理者権限を保有し、月次で利用レポートを取得するフローを設計します。

ベンダーのネイティブ管理コンソールで月次に確認すべき主な事項は次の通りです。

  • 管理者権限の保有者リストに情シス担当者が含まれているか
  • 月次の利用レポートを取得し、アクティブユーザー数がライセンス数の範囲内か
  • メンバー一覧をGWSのユーザーリストと照合し、退職者や異動者のアカウントが残存していないか
  • APIキーや連携設定に意図しない変更がないか

この層で重要になるのは、管理者権限の所在を情シスが把握していることです。現場部門が主導でツールを導入した場合、管理コンソールが現場担当者のみに開かれているケースがあります。この状態では情シスが監査しようとしても必要なログに到達できません。ツール導入時点で管理者権限の情シス共有フローを決めておくことが先決です。

第3層:OU別AI承認マトリクスとの突き合わせ

各ツールのログを単体で確認するだけでなく、「誰がどのAIツールを使うことを承認されているか」という承認ベースラインとログを突き合わせます。この突き合わせにより、未承認ツールの利用や想定外のユーザーによる利用を検出できます。

突き合わせの結果は3通りに分類されます。

  • 承認内利用: マトリクスの承認状況とログが一致している。記録のみ行い次月へ
  • 承認外利用: マトリクスにないユーザーやOUからの利用を検出した場合は、利用停止または正式な承認フローを開始する
  • マトリクス未登録ツール: ログには出てくるが、マトリクスに載っていないツール。シャドーAIとして扱い、ツールの承認可否を改めて判断する

OU別AI承認マトリクスで管理範囲を可視化する

複数のAIツールを並行運用する組織では、OU別の承認状況をマトリクス形式で一覧化することが監査設計の土台になります。縦軸にOU、横軸にAIツールを並べ、各交点に承認状況を記録します。

以下は概念的な構成例です。実際の承認状況やセキュリティ要件に合わせて内容を変更してください。

OU Gemini for Workspace ChatGPT Business Claude for Work
/全社(デフォルト) 有効(基本機能) 禁止 禁止
/開発部 有効(全機能) 承認済み 承認済み
/管理部 有効(基本機能) 申請ベース 禁止
/経営企画 有効(全機能) 承認済み 申請ベース
/役員 有効(全機能) 承認済み 承認済み

このマトリクスの目的は、ログと突き合わせたときに「この利用は承認範囲内か」を即座に判断できる状態を作ることです。情シスが独自に設定するのではなく、部門長・役員と合意形成した上で承認フローを通して確定させます。

マトリクス内の「申請ベース」は、「使いたい場合は情シスへ申請し、案件単位・期間限定で承認する」という運用を指します。承認時には利用目的・利用期間・入力するデータの種類を申請書に記載させ、情シスが承認した記録をマトリクスとは別に保存します。期限が来たら利用権限を失効させるフローも決めておくと、承認の形骸化を防げます。

マトリクス作成の出発点は、現在組織で使われているAIツールの棚卸しです。情シスが把握していないツールも含めて、部門長へのヒアリングや予算ベースの確認(経費申請に含まれるサブスクリプション)で実態を把握します。このヒアリング自体が、シャドーAIの発見に繋がることが多いです。

マトリクスは四半期ごとに見直し、新規ツールの追加や組織変更に合わせて更新します。「現在使われているツールが全部リストに載っているか」の確認も重要で、現場が独自に契約したAIサービスがマトリクスに載っていなければ、そのツールは実質的に監査の死角です。

Gemini / ChatGPT / Claude の利用ログを月次で統合する方法

月次のGemini設定確認フローに、サードパーティ製AIツールの確認項目を追加します。ポイントは「作業タイミングを月次スケジュールに組み込む」ことで、担当者が変わっても継続できる運用を目指します。

参考として、月次の確認サイクルの流れを示します。

  • 月初1〜3営業日: 各AIサービスの管理コンソール担当者に月次レポートの提出を依頼する
  • 月初5〜7営業日(期限目安): 全ツールの月次レポートが揃う期限を設ける。提出が遅れた場合のリマインダー送付先も決めておく
  • 期限後3営業日以内: 収集したレポートをOU別AI承認マトリクスと突き合わせ、未承認利用の有無を確認する
  • 確認後: 未承認利用が見つかった場合は対応(利用停止・承認フロー開始)を完了させ、対応記録を残す
  • 月末: 対応完了を記録し、マトリクスの更新要否を確認して翌月の準備をする

各AIツールの利用レポートを収集する

ChatGPT Business やClaude for Work の管理コンソール担当者(情シスまたは現場部門の担当者)から月次レポートを受け取るフローを設計します。受け取り方法は問いませんが、「誰が・いつ・どのデータを情シスに提供するか」を決めておくことが先決です。ツールごとに担当者が異なる場合は、収集期限と提出先を統一するだけで運用負荷が大きく下がります。

OU別AI承認マトリクスとログを突き合わせる

収集した各ツールの利用データを承認マトリクスと照合します。マトリクスに記録されていないユーザーやOUでの利用が見つかった場合は、ツールの管理コンソールで利用を停止するか、正式な承認フローを開始します。

シャドーAIの自然発生を確認する

月次レポートに載らない形で現場が独自に新しいAIサービスを使い始めるケースがあります。技術的に完全に防ぐことは難しいですが、まずは「新しいAIツールを使う前に情シスに申請する」というプロセスを社内ルールとして明文化することから始めます。高度な検知を目指す場合は、CASB(Cloud Access Security Broker:クラウドサービスへのアクセスを可視化・制御するセキュリティツール)などが選択肢になりますが、導入コストと効果を慎重に見極めてから判断してください。

運用上の注意点

ベンダー管理コンソールの機能は継続的に変わる

ChatGPT Business やClaude for Work の管理機能は現在も進化中です。設計前に各ベンダーの公式ヘルプで現時点の仕様を確認し、半年に一度は機能の棚卸しと監査ポリシーのアップデートを行ってください。変更を見落とさないために、各ベンダーの公式リリースノートの確認をカレンダーに定期イベントとして組み込む方法が継続させやすいです。

「承認済み」と「設定済み」を混同しない

承認マトリクスを整備した後も、管理コンソールのAPIの制御セクションでサードパーティツールのOAuth接続状態との照合を定期的に行ってください。承認マトリクスが最新でも、OAuth接続状態が別で変わっている場合があります。特に発生しやすいのは、ツールの利用を停止したがOAuth接続の削除を忘れたケースです。停止手続きのフローにOAuth接続の削除ステップを明示的に含めることで、このズレを防ぎやすくなります。

個人アカウント経由の利用が最大の盲点になる

承認マトリクスとOAuth管理を整備しても、メンバーが個人のOpenAIアカウントやAnthropicアカウントでAIツールを使い、業務データを入力するケースは技術的に防ぎきれません。ブラウザ経由でウェブサービスに直接ログインされると、GWS側には一切の痕跡が残らないためです。

情報セキュリティポリシーへの明記と全社向け教育が現実的なアプローチです。研修内容には「個人アカウントのAIツールへ業務データを入力することを禁止する」という明示的な記述を入れ、なぜリスクがあるか(データが外部サービスの学習に利用される可能性・情報漏洩リスクなど)の説明も添えます。ルールとして周知するだけでなく、「業務でAIを使いたい場合はこちらから申請できる」という正規の申請窓口を同時に案内することが、個人アカウント利用の抑制に繋がります。

ツールが増えるほど管理コストも増える

3層設計は新しいAIツールが1本追加されるたびに、第2層の管理先が増えます。新ツールの導入にはベンダー審査・承認マトリクスの更新・月次作業の追加というコストが発生します。このコスト感を経営層と現場に事前に伝えておくことが、無秩序なツール増殖を防ぐ牽制になります。

目安として、ツール1本追加ごとに月次の確認作業が30〜60分程度増えます。3本並行管理なら月1〜3時間程度、5本に増えると月2〜5時間程度が確認・突き合わせに費やされる計算です(組織規模・ツールの管理コンソールの充実度によって変わります)。この数字を示すことで、「気軽にAIサービスを増やすことの見えないコスト」を経営層や現場部門に共有しやすくなります。

まとめ

AI コントロールセンターはGemini管理の集約ハブとして機能しますが、ChatGPT BusinessやClaude for Workなどのサードパーティ製AIツールはその管理対象外です。複数ツール並行運用時の監査ポリシーは、この制約を前提に3層で補完設計します。

  • 第1層: GWSの監査ログでGemini利用状況を把握し、BigQuery Exportで長期分析も可能にする
  • 第2層: 各AIサービスの管理コンソール担当者を明確にして月次レポートを収集する
  • 第3層: OU別AI承認マトリクスをベースラインとして維持し、ログと突き合わせて未承認利用を検出する

最初に着手するとしたら、OU別AI承認マトリクスの作成が取り組みやすいです。現在組織で使われているAIツールを一覧化し、OUごとの承認状況を確認するだけでも、監査の死角がどこにあるかが見えてきます。ツールが2〜3種類のうちに仕組みを整えておくと、今後ツールが増えても対応できる監査体制の土台になります。

コーポレートITのご相談はお気軽に

この記事で書いたような業務改善・自動化の設計から実装まで、DRASENASではコーポレートITの現場に寄り添った支援を行っています。 「まず相談だけ」でも大歓迎です。DRASENAS 公式サイトからお気軽にどうぞ。

CONTACT

御社の IT 部門、ここにあります。

「ITのことはあまりわからない」── そのような状態からで、まったく問題ございません。まずはお気軽にご相談ください。

無料相談を予約する → サービス詳細を見る
一社ずつ、一から。