エージェント型AIガバナンスとは？ 2026年に向けた企業向け解説

エージェンティックAIガバナンスとは、自律型AIシステムが許容可能なリスクの範囲内で目標を追求できるようにするための、方針、統制、監督メカニズムの集合です。従来のAIガバナンスがモデル出力の品質と公平性に重点を置くのに対し、エージェンティックAIガバナンスは、そうしたシステムが世界で何を行うか、すなわち、どのツールを呼び出すか、どのデータにアクセスするか、そしてその意思決定がどのような結果を生むかに焦点を当てます。

多くの組織はこの3年間、AIの前世代を想定したガバナンスプログラムの構築に取り組んできました。すなわち、ラベルを付ける分類器、予測を行うモデル、テキストを生成するチャットボットです。これらのプログラムは、AIシステムが出力を生成し、人間がそれを評価し、人間が次に何をすべきかを判断する、という前提のもとに設計されていました。エージェンティックAIはその前提を覆します。エージェンティックAIシステムは、高レベルの目標を受け取り、それをサブタスクに分解し、各ステップを達成するためのツールを選択して呼び出し、中間結果を評価し、アプローチを調整します。多くの場合、各段階での人間の関与は最小限のまま、数十件もの意思決定をまたいでこれを実行します。

この変化はもはや仮説ではありません。2025年11月に公表されたMcKinseyの2025年版AIの現状レポートは、現在23%の組織が企業内のどこかでエージェンティックAIの展開を拡大しており、さらに39%が積極的に試行していることを明らかにしました。[1] 2025年末までに、エージェンティック機能は研究デモからSalesforce、Microsoft Copilot、ServiceNow、SAP、その他多数のエンタープライズプラットフォームへと移行しました。企業にとっての問いは、AIエージェントを導入するかどうかではなく、何か問題が起きる前にガバナンスを整備しているかどうかです。

本稿の目的は、企業リーダー—経営幹部、取締役会メンバー、GRCおよびAIリーダー—に対し、エージェンティックAIガバナンスの明確で実務的な定義を示すことです。すなわち、それが何か、組織がすでに実践している可能性のあるAIガバナンスと何が異なるのか、なぜ今重要なのか、どのようなフレームワークがそれに対応しつつあるのか、そしてどこから着手すべきかを整理します。より深い、フレームワーク主導の実装ガイドについては、EnzaiのエージェンティックAIガバナンス：企業向け決定版ガイドをご参照ください。

AIエージェントとは何か？

先に進む前に、「AIエージェント」という用語を正確に定義しておくことが有用です。マーケティング資料ではこの名称が広く使われており、その結果、ガバナンスの観点で実際に何が変わるのかが見えにくくなっています。

本稿では、AIエージェントとは次の4要素を組み合わせたシステムを指します。

1. 基盤モデル（通常は大規模言語モデル）—推論能力を提供するもの

2. 目的 — 明示的（ユーザーによる指示）または暗黙的（上位目標から分解されたもの）

3. ツール — エージェントが情報収集やアクション実行のために呼び出せるAPI、データベース、コード実行環境、その他のシステム

4. 実行ループ — エージェントが計画し、行動し、その結果を観察し、反復する仕組み

質問に回答するチャットボットは、この意味でのエージェントではありません—出力は生成しますが、行動は起こしません。メール要約のためにLLMを呼び出すワークフローもエージェントではありません—自律的な意思決定ループを持たないためです。エージェントとは、「この採用中ポジションに最適な候補者を見つけよ」という指示を与えられたとき、どのデータベースを照会するか、どの候補者を絞り込むか、誰に何を伝えるか、いつ人間にエスカレーションするかを独自に判断できるシステムです。その自律性こそがエージェントを価値あるものにしています。同時に、それがガバナンスを難しくしているのです。

エージェンティックAIガバナンスはAIガバナンスとどう異なるか

エージェンティックAIガバナンスについて最も重要なのは、それが単なる「従来型の延長」ではないという点です。3つの構造的な違いが、従来のフレームワークでは想定されていなかった形でガバナンスの構図を変えます。

主たるリスクは出力から行動へと移る。 従来のAIガバナンスは、モデルが何を述べるか、つまり出力が正確か、公平か、有害なコンテンツを含まないかを懸念します。エージェンティックAIガバナンスは、エージェントが何をするか、そしてその行動の多くが不可逆であることを懸念します。誤分類された画像は再ラベル付けできます。誤った宛先に送信されたメール、削除されたデータベースレコード、誤って実行された金融取引は、単純には元に戻せません。

単一の意思決定が多段階の連鎖になる。 1つの高レベル指示が、どのデータベースを照会するか、どの基準を重視するか、次にどのアクションを取るか、といった数十件の中間意思決定を引き起こす可能性があります。単一意思決定システム向けに設計されたガバナンスフレームワークは、この累積的な複雑性に対応しにくいのです。入力と出力しか記録しない監査証跡では、それらを生み出した推論が欠落します。

静的なツールアクセスが動的なツール呼び出しになる。 現代のエージェントアーキテクチャでは、設計時や評価時には想定されていなかった可能性のあるツール—API、データベース、Webサービス—を、実行時に発見し呼び出せるようになっています。月曜日のシステム能力は金曜日には大きく異なるかもしれません。これは、リスク評価、適合性評価、コンプライアンスにとって、常に変化する対象を生み出します。

これらの違いは相乗的に拡大します。以下の並列表は、このガバナンスの変化を具体化しています。

この表の各行は、既存のガバナンス実務を修正なしでエージェントに適用した場合に不足が生じる箇所を示しています。現在最も迅速に動いている企業は、AIガバナンスプログラムを捨てているのではなく、この表が求める追加の規律を加えて拡張しているのです。

なぜ今エージェンティックAIガバナンスが重要なのか

エージェンティックAIガバナンスを将来の懸念から、直ちに取り組むべき企業優先事項へと押し上げた要因は3つあります。

第1は導入規模です。 エージェンティックAI機能は、現在ほとんどの企業がすでに使用しているプラットフォームに組み込まれています。Microsoft、Salesforce、ServiceNow、SAP、その他多数が、過去18か月の間に自社のエンタープライズ製品へエージェント機能を搭載しました。McKinseyによれば、23%の組織が少なくとも1つの機能領域でエージェンティックAIを拡大しており、さらに39%が試行しています。[1] 多くの企業内で既に稼働しているエージェンティックシステムは、必ずしも承認済みでも可視化されてもいません。SaaSプラットフォームの埋め込み機能である場合もあれば、個々のチームによるシャドーAI導入である場合もあります。

第2は規制の到来です。 EU AI法のAIシステム定義は、第3条第1項において、明示的に「さまざまなレベルの自律性」と、物理的または仮想的環境に「影響を及ぼす」出力を想定しており、エージェンティックシステムを無理なく包含します。第9条から第15条までの高リスク義務一式は2026年8月に発効し、Digital Omnibus提案により付属書IIIの一部期限が2027年12月まで延長される可能性があります。[2] 規制上の適用範囲はすでにエージェンティックAIを含んでおり、運用上の義務が企業にとって無視できないタイムラインで到来しています。（詳細については、EnzaiのEU AI法がエージェンティックAIにどのように適用されるかの分析およびEU AI法エンタープライズコンプライアンスガイドをご覧ください。）

第3は、エージェント固有のリスクフレームワークの成熟です。 2025年12月、OWASP GenAI Security Projectはエージェンティック・アプリケーション向けTop 10 2026を公開しました。これは、100名を超える研究者と実務家の知見をもとに作成された、自律型AIシステムが直面する最重要セキュリティリスクの査読付きカタログです。[3] その後数か月のうちに、複数のベンダーが、これらのリスクに明示的に対応づけられた実行時ツールを出荷しました。リスクは定義され、順位付けされ、対処手段も整いました。「まだ何をガバナンスすべきか分からない」という猶予は、終わっています。

Palo Alto Networksは、その2026年サイバーセキュリティ予測において、当面の実務上の懸念を端的に示しました。自律型エージェントは現在「2026年最大の内部脅威」であり、先進的なAIセキュリティ戦略を有すると分類される組織はわずか6%です。[4] 導入ペースとガバナンス成熟度のギャップは拡大しており、エージェンティックAIはそのギャップの最前線にあります。

エージェンティックAI特有のリスク

エージェンティックAIガバナンスという抽象概念を実務に落とし込む有用な方法は、それが対処すべき具体的なリスクを見ることです。OWASP Top 10 for Agentic Applications 2026は、公開されている中で最も厳密な整理です。10のリスクは、明確なグルーピングに分かれます。

エージェントの目的へのリスク — 最も頻繁に挙げられるリスクであるAgent Goal Hijacking（ASI01）は、攻撃者が、タスクの一部としてエージェントが処理する注入済み入力—メール、文書、Webページ—によって、エージェントの目的を改ざんする場合に発生します。エージェントは指示とデータを確実に区別できないため、たった1つの悪意ある入力でも、正規のツールとアクセス権を用いて有害な行動を実行するよう、エージェントの向きを変えてしまう可能性があります。[3] 関連項目：Memory Poisoning（ASI06）。攻撃者がエージェントの保存済みコンテキストを汚染し、将来の意思決定に影響を与えるケースです。

エージェントの行動へのリスク — Tool Misuse（ASI02）は第2位のリスクで、エージェントが正当なツールを不正な目的で使用することを指します。Identity and Privilege Abuse（ASI03）は、タスクに必要な範囲を超える認証情報でエージェントが動作するケースを扱います。Unexpected Code Execution（ASI05）は、想定外の範囲でコードを生成または呼び出すエージェントに対処します。

エージェントの環境へのリスク — Agentic Supply Chain Vulnerabilities（ASI04）は、実行時にエージェントが依存する第三者のツール、モデル、サービスを対象とします。Insecure Inter-Agent Communication（ASI07）は、1つの侵害されたエージェントが他を汚染または強制し得るマルチエージェントシステムに対処します。

より広範なシステムへのリスク — Cascading Failures（ASI08）は、1つのエージェントの誤りが依存システムの連鎖を通じて伝播する状況を指します。Human-Agent Trust Exploitation（ASI09）は、エージェントの推奨に対するユーザーの信頼を悪用するソーシャルエンジニアリング攻撃を対象とします。Rogue Agents（ASI10）は、棚卸しと検出の問題、すなわち、いかなる公認ガバナンスプログラムの範囲外で稼働するエージェントを扱います。

これら10のリスクは網羅的ではありませんが、ベンチマークとしては有用です。各項目に対して説得力のある答えを持たないエージェンティックAIガバナンスプログラムは、業界の形成しつつある合意から見て不完全です。

優れたエージェンティックAIガバナンスの姿

エージェンティックAIを統治する完全なフレームワークは、本解説の範囲を超えます。主要フレームワーク（OWASP、EU AI法、NIST AI RMF、Treasury Financial Services AI RMF）全体で一貫して現れる5つのガバナンス次元があり、本格的なエージェンティックAIガバナンスプログラムはそのすべてに対応する必要があります。

1. 自律性分類 — すべてのエージェントに同じレベルのガバナンスは不要です。補助型（すべての行動を人間が承認）から完全自律型（終わりのないタスク遂行）まで、運用自律性のレベルで各エージェントを分類します。

2. 行動制約 — 許可リスト方式を用いて、各エージェントが許可される行動を定義します。ツール、API、データ、影響閾値（例：最大取引額）はすべてガバナンス対象です。

3. エスカレーションロジック — 信頼度閾値、影響閾値、異常検知、ドメイン境界、失敗条件など、エージェントが制御を人間へ戻さなければならない条件を定義します。

4. 追跡可能性 — 入力と出力だけでなく、完全な推論連鎖、あらゆるツール呼び出し、すべての中間判断を記録します。EU AI法第12条のログ要件はこれを前提としています。

5. 継続的監視 — パフォーマンス、挙動、コンプライアンス、公平性、セキュリティのすべてをライブで追跡しなければなりません。能力が導入間で変化し得るシステムでは、ある時点での評価だけでは不十分です。

これら各次元には、それぞれ実装の深さがあります。実務向けプレイブック—EU AI法にマッピングした5層ガバナンスアーキテクチャ、多利害関係者の責任問題、エージェント障害へのインシデント対応を含む—については、EnzaiのエージェンティックAIガバナンス：企業向け決定版ガイドをご覧ください。

5つの次元はまた、基盤能力として、静的モデルとは別にあらゆるエージェンティックシステムを可視化するAIインベントリを前提とします。それがなければ、ガバナンスプログラムには適用範囲がありません。EnzaiのガバナンスのためのAIシステムインベントリの構築方法に関するガイドでは、エージェンティックシステム向けのインベントリ固有要件を解説しています。

よくある誤解

エージェンティックAIガバナンスの企業導入を遅らせている考え方がいくつかあります。いずれも誤りであり、それぞれ明確に正しておく価値があります。

「エージェンティック・ガバナンスは新たな規制を待てばよい。」 それはできません。EU AI法の既存の定義はすでにエージェンティックシステムを包含しており、2026年8月の高リスク義務が適用されます。「エージェンティック専用」の規制を待つ組織は、すでに施行済みの規制の下で非準拠となるでしょう。

「既存のAIガバナンスでエージェンティックAIは十分にカバーされている。」 それは完全には当てはまりません。上の比較表が示すように、従来のAIガバナンスは、行動を取るシステムではなく、出力を生成するシステムを前提として設計されています。既存プログラムには、インベントリの新しい項目、新しいリスク区分、新しい運用統制などの拡張が必要であり、それによってエージェンティックシステムを十分に統治できます。

「エージェンティックAIは、真剣にガバナンスするには新しすぎる。」 そんなことはありません。2025年12月までに、OWASPは査読付きのトップ10リスクカタログを公開していました。2026年第2四半期までに、複数のベンダーが、それらのリスクに明示的にマッピングされた実行時ツールを出荷していました。[3] フレームワークとツールは存在します。制約はフレームワークの有無ではなく、企業側の導入成熟度です。

「ポリシーだけで十分だ。」 執行のないポリシーは、願望にすぎません。エージェントは機械速度で動作し、1秒あたり数十件の行動を起こし得ます。手作業によるポリシー審査では追いつきません。エージェンティックガバナンスは、文書としてWikiに置かれるものではなく、実行時ガードレール、許可リストの強制、自動エスカレーショントリガーといったインフラストラクチャとして実装される必要があります。

「これはセキュリティ問題であって、ガバナンス問題ではない。」 それは両方です。認証、認可、入力検証、監視といったセキュリティの規律は不可欠ですが、それらはガバナンスとは別の問いに答えます。すなわち、誰が説明責任を負うのか、リスクはどのように分類されるのか、どのフレームワークが適用されるのか、どのような証跡が規制当局を満足させるのか、という問いです。エージェンティックAIには、その両方が協調して必要です。

FAQ

エージェンティックAIガバナンスとは何ですか？ エージェンティックAIガバナンスとは、自律型AIシステムが許容可能なリスクの範囲内で目標を追求できるようにするための、方針、統制、監督メカニズムの集合です。モデルが何を言うかだけでなく、エージェントが何をするか—すなわち、その行動と結果—に焦点を当てる点で、従来のAIガバナンスとは異なります。

AIエージェントとは何ですか？ AIエージェントとは、基盤モデル（推論用）、目的、呼び出し可能なツール群（API、データベース、コード実行）、そして計画・実行・結果観察・反復を行う実行ループを組み合わせたシステムです。定義上の特徴は、単なる出力生成ではなく、自律的に行動を起こすことにあります。

エージェンティックAIガバナンスはAIガバナンスと同じですか？ いいえ。エージェンティックAIガバナンスは、AIガバナンスの専門的な拡張です。従来のAIガバナンスがモデル出力（正確性、バイアス、公平性、コンテンツ）に焦点を当てるのに対し、エージェンティックAIガバナンスはさらに、自律的な行動、複数段階の推論、動的なツール呼び出し、そして多くのエージェント行動が不可逆であることにも対応しなければなりません。

EU AI法はAIエージェントを対象としますか？ はい。EU AI法の第3条第1項におけるAIシステムの定義は、明示的に「さまざまなレベルの自律性」と、物理的または仮想的環境に「影響を及ぼす」出力を想定しており、エージェンティックシステムを包含します。エージェンティックシステムが付属書IIIの高リスク区分に該当する場合、第9条から第15条までの義務が全面的に適用され、2026年8月の期限はDigital Omnibus提案による延長の可能性があります。

OWASP Top 10 for Agentic Applicationsとは何ですか？ これは、2025年12月にOWASP GenAI Security Projectが公開した、自律型AIシステムが直面する10の最重要セキュリティリスクの査読付きカタログです。リストには、Agent Goal Hijacking、Tool Misuse、Identity and Privilege Abuse、Agentic Supply Chain Vulnerabilities、Unexpected Code Execution、Memory Poisoning、Insecure Inter-Agent Communication、Cascading Failures、Human-Agent Trust Exploitation、Rogue Agentsが含まれます。[3]

ISO 42001はAIエージェントにどのように適用されますか？ AIマネジメントシステムの国際規格であるISO/IEC 42001は、他のAIシステムと同様にエージェンティックAIにも適用されます。リスク評価、人間による監督、継続的監視に関する要件は、いずれも直接的に関連します。認証取得を目指す組織は、AIマネジメントシステムが従来のAIアプリケーションだけでなく、自律型エージェントの導入も明示的にカバーしていることを確認すべきです。

AIエージェントをガバナンスする最初のステップは何ですか？ 静的モデルとは別にエージェンティックシステムを可視化するAIインベントリを構築することです。どのエージェントが存在し、何を行う権限があり、誰が所有しているのかを正確に把握できなければ、次のガバナンスステップには進めません。

エージェンティックAIと生成AIの違いは何ですか？ 生成AIはコンテンツ（テキスト、画像、音声）を生成します。エージェンティックAIは世界で行動します。多くのエージェンティックシステムは生成AIモデルの上に構築されていますが、ガバナンス上の変化は、基盤となる生成アーキテクチャではなく、その上に重ねられた行動能力から生じます。

次のステップ

エージェンティックAIガバナンスの取り組みが初期段階にある組織にとって、優先事項は可視性の確立です。すなわち、エージェンティックシステムを個別に可視化するAIインベントリと、それぞれの自律性分類です。より進んでいる組織にとっては、実装作業が中心になります。すなわち、各エージェントの自律性レベルに合った許可リスト制約、実行時ガードレール、エスカレーションロジックの実装です。

Enzaiの完全な実装プレイブックは、エージェンティックAIガバナンス：企業向け決定版ガイドにあります。ここでは、5層のガバナンスフレームワーク、複数ステークホルダーの責任分担、インシデント対応、そして要件がEU AI法、ISO 42001、NIST AI RMFにどのように対応するかを解説しています。

EnzaiのプラットフォームがエージェンティックAIガバナンスをどのように支援するか—インテイク時の自律性分類、本番環境でのアクションの許可リスト化、あらゆる推論ステップの監査証跡、エージェンティック資産全体にわたる継続的監視—をご覧になりたい場合は、デモを予約してください。

Enzaiは、組織が抽象的なポリシーから運用上の監督へ移行するのを支援するために構築された、リーディング企業向けAIガバナンスプラットフォームです。AIリスク管理プラットフォームは、エージェンティックAIガバナンスを管理し、包括的なAIインベントリを維持し、EU AI法への準拠を確保するために必要な専門インフラを提供します。複雑なワークフローを自動化することで、Enzaiは企業が自信を持ってAI導入を拡大しながら、ISO 42001やNISTのようなグローバル基準との整合性を維持できるようにします。

参考文献

1. McKinsey & Company, 「2025年のAIの現状：エージェント、イノベーション、変革」、2025年11月。

2. 欧州議会および理事会の規則（EU）2024/1689、第3条第1項、第9～15条、第113～114条。欧州連合官報、2024年8月。欧州委員会によるAIに関するDigital Omnibus提案（2025年11月）は、三者協議の交渉を条件として、付属書IIIの期限を改正する可能性があります。

3. OWASP GenAI Security Project、「OWASP Top 10 for Agentic Applications 2026」、2025年12月10日公開。

4. Palo Alto Networks、「2026年サイバーセキュリティ予測」および「AIエージェントは2026年最大の内部脅威」（The Registerによる報道）、2026年1月。