AIエージェントの自律実行は暴走を止められるか 承認と途中確認で手綱を握る運用
AIに任せる仕事を少し増やせると、調べ物や下書きは楽になります。
大事なのは、送信や削除の前に人が止められる形にしておくことです。
自社ならどこで承認を挟むか、気になりませんか?
生成AIの出力をそのまま使えないと感じるのは、決して珍しいことではありません。
文章の言い回し、根拠、前提条件、社内ルールとのズレを人が確認してから使うのが、いまの実務では自然です。
ただ、AIエージェントの利用が広がると、確認すべき対象は文章の品質だけでは済まなくなります。
問題は「そのまま使えるか」から「そのまま実行してよいか」へ移ります。
AIエージェントは、承認と停止条件を先に決めて使う
完全な暴走防止を約束する仕組みはありません。だからこそ、権限を小さくし、外部影響のある操作だけ人間承認で止める設計が現実的です。
生成AIの出力問題は自律実行で何に変わるか
通常の生成AIなら、出てきた文章を人が読み、直してからメールや資料に使えます。
AIエージェントでは、ブラウザを開く、外部サービスを操作する、ファイルを更新する、送信前の下書きを作るなど、出力の先に行動がつながる場面が出てきます。
OpenAIはChatGPT agentについて、ユーザーが中断、引き継ぎ、停止でき、重要な操作の前には許可を求めると説明しています。
同時に、エージェントはまだ初期段階であり、ミスをする可能性があることも明記しています。
出典: OpenAI公式「Introducing ChatGPT agent」(英語)
つまり、AIエージェントを使う会社が見るべきなのは、AIが賢いかどうかだけではありません。
どこまで任せ、どこで止め、誰が確認するかを先に決めることが、実務上の安全策になります。
AIに任せる業務範囲の考え方は、AIエージェントに任せられる業務と人が残す仕事の線引きでも整理しています。
今回はさらに一歩進めて、承認と途中確認の置き場所に絞って見ていきます。
「暴走」の正体は、AIの意思ではなく「任せすぎ」。権限が広すぎる、接続先が多すぎる、承認点が少なすぎる、という設計の問題です。
― OWASP「LLM06 Excessive Agency」が整理する過剰な権限・自律性のリスク暴走の正体はAIの意思ではなく任せすぎ
「AIが暴走する」と聞くと、AIが勝手な意思を持つように見えます。
実務で起きやすい問題はもっと地味で、権限が広すぎる、接続先が多すぎる、承認点が少なすぎるという設計の問題です。
OWASPはExcessive Agencyを、LLMシステムに過剰な機能、権限、自律性を与えたときのリスクとして整理しています。
対策として、機能と権限の最小化、人間承認、ログ、監視、レート制限などが示されています。
出典: OWASP「LLM06: Excessive Agency」(英語)
もう一つの注意点が、外部情報を読むときのPrompt Injectionです。
Webページやファイルの中に、AIへの悪意ある指示が紛れ込むと、本来の依頼と違う行動へ誘導される可能性があります。
注意AIの回答を直すだけでは足りない
AIエージェントでは、誤った文章よりも誤った操作のほうが被害が大きくなります。外部送信、削除、支払い、権限変更は、最初から自動実行の外に置くのが安全です。
任せ方を4つに分ける
| 任せ方 | 主な例 | 確認方法 |
|---|---|---|
| 出力だけ | 要約 比較表 | 人が読む |
| 下書き | メール案 投稿案 | 人が直す |
| 承認後実行 | 送信 更新 | 実行前承認 |
| 自動実行 | 低リスク通知 集計 | ログ確認 |
この表を作ると、AIに任せる仕事と人が承認する仕事を同じ画面で説明しやすくなります。

承認を挟む業務と任せてよい業務
承認を増やしすぎると、AIを使う意味が薄れます。
逆に承認を減らしすぎると、小さなミスが外部影響のある事故に変わります。
中小企業では、まず次のように分けると判断しやすくなります。
外部に出る、金銭が動く、個人情報を扱う、元に戻しにくい操作は、AIの判断だけで進めないほうが安全です。
人間承認を入れる基準
| 業務 | リスク | 扱い |
|---|---|---|
| 社内要約 | 低い | 自動生成 抜き取り確認 |
| 社内通知 | 中くらい | ログを残す |
| 顧客連絡 | 高い | 送信前承認 |
| 契約・支払い | 高い | 原則手動 |
| 削除・権限変更 | 高い | 原則手動 |
承認を増やすほど安全になるのではなく、影響が大きい操作だけを止めることが重要です。

接続アプリの権限を細かく見る考え方は、ChatGPT接続アプリ権限が細分化したときの社内ルールでも扱っています。
読み取りだけ、下書きまで、実行までを分けるだけで、かなり事故を減らせます。
実務承認は「全部見る」ではなく「止める場所を決める」
社内メモまで承認すると使われません。外部送信や削除の直前だけ止めると、スピードと安全性の両方を保ちやすくなります。
中小企業が先に決める運用ルール
Microsoft Copilot Studioのデータポリシーでは、エージェントが接続するデータやサービスを管理し、コネクタやツールを制限する考え方が示されています。
中小企業でも、つないでよいサービス、つないではいけないサービスを分けるだけで、社内ルールはかなり具体化します。
出典: Microsoft Learn「Configure data policies for agents」(英語)
国内の考え方としては、総務省・経済産業省のAI事業者ガイドライン第1.2版が参考になります。
AIガバナンス、リスクベース、モニタリング、評価、継続的改善を扱っており、一度決めて終わりではない運用の重要性が見えてきます。
出典: 総務省・経済産業省「AI事業者ガイドライン(第1.2版)」
- AIが見てよいデータと、入力禁止情報を分ける
- 外部送信、削除、支払い、権限変更は承認必須にする
- 誰のアカウントで実行されるかを決める
- ログを見る担当者と確認頻度を決める
- 止める条件と手動に戻す手順を残す
社内データをAIへ渡す範囲は、生成AIを社内データに学習させない設定の考え方とも重なります。
便利な連携ほど、入力禁止情報と共有先を先に決めることが大切です。
今日決めるチェックリスト
AIエージェントの導入は、最初から大きな規程を作らなくても進められます。
まずは1業務だけ選び、承認と停止条件を1枚にまとめるところから始めるのが現実的です。
- 任せる業務は1つに絞れているか
- AIの役割は出力、下書き、実行のどれか
- 外部送信の直前で人が止められるか
- 顧客情報や個人情報を扱う場合のルールがあるか
- 削除、支払い、権限変更をAI単独でできないか
- ログを誰が確認するか決まっているか
- 異常時に止める担当者が決まっているか
- 手動運用へ戻す手順が残っているか
小さく始めるほど、停止条件と戻し方を先に決めておく効果が大きくなります。

ツール選びに進む前の判断軸は、ChatGPT・Copilot・Claudeを業務別にどう使い分けるかでも整理しています。
どのAIを使うかより、どのデータを見せ、どの操作を止めるかを先に決めるほうが、導入後の迷いは少なくなります。
警告「人が最後に見るから大丈夫」は危ない
人が見る前にAIが送信、削除、権限変更を実行できるなら、確認は機能していません。確認は実行の後ではなく、実行の前に置く必要があります。
生成AIを社員が使うルールをまだ作っていない場合は、生成AIを社員が勝手に使う前に決める最低ラインから整えると始めやすくなります。
禁止事項だけで縛るのではなく、使ってよい範囲を先に言葉にすることが、現場の迷いを減らします。
よくある質問
QAIエージェントの自律実行は中小企業でも使うべきですか?
AAIエージェントは、いきなり自動実行まで任せる必要はありません。まずは社内メモ、要約、下書き、通知など、失敗しても戻せる業務から始めるのが現実的です。
Q生成AIの出力をそのまま使えないのはプロンプトが悪いからですか?
A生成AIの出力が使いにくい理由は、プロンプトだけではありません。目的、前提情報、参照元、確認基準、実行権限が曖昧な場合も、業務では使いにくくなります。
Qどの業務は人間承認を必須にすべきですか?
A人間承認を必須にすべき業務は、顧客連絡、契約、支払い、削除、権限変更、個人情報や機密情報を含む操作です。元に戻しにくい操作ほど、AI単独で実行させない設計にします。
Q承認を多くすれば安全になりますか?
A承認を多くするだけでは運用が重くなります。低リスク作業はログ確認にし、外部送信、金銭、削除、権限変更の直前だけ止めるほうが続けやすい設計です。
QAIが勝手に外部サイトを操作するリスクはありますか?
AAIが外部サイトを操作するリスクは、ブラウザ操作や外部ツール連携を許す場合にあります。接続先、権限、承認、ログ、停止手順を決めずに使うと、想定外の操作につながる可能性があります。
QどのAIツールを選べば安全ですか?
A安全性はツール名だけでは決まりません。接続できるデータ、権限制御、承認機能、ログ、管理者設定、停止方法を確認し、自社の業務に合う範囲だけ使うことが大切です。