エージェントが会社を学習し始めた — 「何を知っているか」を証明する監査レイヤー

どんな問題か

エージェントが「ツール」だった頃は単純だった。呼べば答え、終われば忘れた。Claude Tagはその前提を壊す。Slackに常駐し、権限を与えられたチャネルを学習し、文脈を時間をかけて蓄積し、自ら割り込みもする。便利だ。だがセキュリティ担当の立場で見ると、新しい問いが一度に生まれる。このエージェントは今、正確に何を知っているのか。その知識はどの会話から来たのか。法務チャネルで学んだ内容がエンジニアリングチャネルの回答へ漏れないか。従業員が退職したとき、その人が残した機微な発言をエージェントのメモリからどう消すのか。管理者はチャネル単位で権限を切れる。しかし、すでに学習された記憶を覗き、出所を追跡し、選択的に回収することは、いまどの製品もまともに提供していない。

なぜ今か

タイミングが揃った。Gartnerは2026年までにエンタープライズアプリの40%がタスク特化型エージェントを搭載するとし、60%超の組織が今後2年以内の導入を計画している。購買がこれから起きるということだ。同時にGartnerは、エージェントプロジェクトの40%超が2027年までに中止の危機にあると警告し、その核心はガバナンスの空白である。自律エージェントのガバナンスが成熟した組織は21%しかない。常駐型エージェントがSlack・Notion・Salesforceへ広がるほど、「このエージェントが何を知るかを証明せよ」というセキュリティチームの要求は購買条件になる。既存のガードレールツールはエージェントの出力を検証するが、時間をかけて蓄積したメモリ自体は追跡しない。その席が空いている。

どう作れるか

メモリの系譜(lineage)を第一級のオブジェクトとして扱う。エージェントがどのメッセージ・文書・チャネルから何を学習したか、すべての吸収イベントを出所とともに記録し、管理者が自然言語で問い合わせられるようにする(「このエージェントは役員報酬を知っているか、知っているならどこから?」)。中核機能は三つ。第一にメモリインベントリ — エージェントが保持する知識を人間が読める形で展開する。第二に範囲検証 — 法務チャネルの記憶がエンジニアリングの回答に漏れないかをリアルタイムで漏洩検知。第三に選択的回収 — 特定の出所・期間・人物から来た記憶を選んで削除し、その削除を証明する(退職者データ、GDPR削除権)。Claude TagやMoEngageのMerlinのような常駐エージェントの上に、MCPコネクタで載る横断レイヤーとして設計する。

成功の条件

これは「あると良い」機能ではなく、コンプライアンス通過の条件にしなければならない。そのためには、SOC2・ISO 27001・国内ISMS監査項目に直接マッピングされるレポートを最初から出力する必要がある。営業はセキュリティチームとCISOへ向け、価値提案は「導入スピード」だ — 監査可能性が証明されれば、止まっていたエージェント導入の決裁が解ける。リスクは二つ。エージェントプラットフォームがこの機能を内製化すれば市場は消えるため、複数プラットフォームを横断する中立な監査標準というポジションを素早く押さえる必要がある。そしてメモリ追跡そのものが新たな機微データの保管庫になるため、自社のデータガバナンスが顧客より厳格でなければ信頼を得られない。