「この1年はAI戦国時代」 メルカリに学ぶ、AIガバナンス策定の勘所：メルカリのAIエージェント活用＆AIガバナンス大解剖（1）

生成AIの業務利用が前提となり、AIを通じてビジネス価値をどう生み出すかが問われている一方で、「シャドーAI」をはじめとするリスクも指摘されている。先行企業はAIのリスクをどう受け止め、対策に乗り出しているのか。本稿では「AI-Native Company」への転換を宣言し、AIをフル活用するメルカリにインタビュー。AI活用・AIガバナンス策定のヒントを探る。

[石川俊明，＠IT]

　企業における生成AIの活用フェーズは、実証実験のフェーズから、業務プロセスや事業に深く組み込む実利用へと本格的に移行している。AI活用が経営課題として位置付けられる今、企業はAI活用推進に伴うリスクと正面から向き合うことも不可避となっている。

　自律的にタスクを実行する「AIエージェント」の活用も進む中、仮にAIエージェントの振る舞いやAIエージェントの活用によるインシデントが発生すれば、深刻な情報漏えいのみならず、ブランドに対する信用失墜やレピュテーションリスクへと直結しかねない。すなわち、現代企業は「AI活用の推進」「AIガバナンスの確立」の両方を同時に進めなければならないというわけだ。

　一方で、「AIリスク」「AIガバナンス」と一言で表しても、その対象や守備範囲は極めて広範かつ複雑だ。では、2026年現在、AI技術をいち早く活用している先行企業は、どのようなマインドセットの下でAI活用の推進とAIガバナンスの確保に取り組んでいるのか。

　そこで本稿では、2025年5月に「AI-Native Company」への転換を社内外に宣言したメルカリの取り組みに迫る。同社の執行役員 CISO（最高情報セキュリティ責任者）である市原尚久氏、執行役員 VP of Security & Privacyのジェイソン・フェルナンデス氏、そしてAIセキュリティチームの赤松宏紀氏に話を聞いた。

トップダウンの「AI-Native」宣言　推進・統制を一体化した組織体制に

――メルカリはAI技術の業務利用をいち早く進めている先行企業として知られていますが、社内におけるAI活用の推進やガバナンス（統制）にどのような体制で取り組んでいるのか、背景的な部分も含めてあらためてお聞かせください。

メルカリ 市原尚久氏

市原氏　2025年5月に、グループCEO（最高経営責任者）の山田から全社員に向けて「私たちは『AIを導入する企業』ではなく『AIを前提に再設計された組織』になる」という強いメッセージが発信され、それを受けて全社から100人規模が集まる「AI Task Force」を立ち上げました。メルカリの規模から考えると極めて大きな割合を占める組織です。

　それと並行する形で「AIセキュリティチーム」を発足させました。AIセキュリティチームのミッションは、従業員に安全・安心なAIの利用環境を提供することです。

フェルナンデス氏　われわれの組織体制の最大の特徴は、2線（管理部門）が外から1線（事業部門）に横やりを入れるのではなく、AI活用を推進する組織である「AI Task Force」の中に内包されている点です。私はこれを車作りに例えているのですが、推進側が車を作っているときに、ピットストップで外から点検するだけの役割では不十分です。一緒に車の設計をしてちゃんとブレーキがかけられるようにする、あるいはコースの周りのガードレールを整備して大事故を防ぐといったように、どう進めるかを一つの組織の中で一緒に検討する役割として入っています。

　2025年10月には体制を強化し、「AIガバナンスチーム」も本格的に立ち上げました。セキュリティ部門で技術的な評価ができても、「このAIの利用は倫理的に大丈夫か」「法務や公共政策、メルカリのブランディングの観点で問題ないか」あるいは「これはそもそも人間がやるべき業務ではないか」といった、哲学的な問いや抽象度の高い議論まではカバーし切れません。そのため、法務や公共政策などのメンバーも集め、多角的な議論ができる体制をTask Force内に組み込んでいます。

赤松氏　現場のセキュリティエンジニアとしても、「危ないから止めに行く」のではなく、「どうやったら使えるようになるか」を第一に考えるマインドセットを持っています。私自身、推進側の定例ミーティングに毎週出席しており、何か新しいことをしたいという考えに寄り添うようにしていて、相談しやすい環境を目指しています。

――AIツールの利用状況や事業におけるAI活用状況についてあらためてお聞かせください。

メルカリ ジェイソン・フェルナンデス氏

フェルナンデス氏　現在、社内のAIツール利用率は100％に到達しています。活用範囲は非常に広く、社内ナレッジ（「Notion AI」）や汎用（はんよう）生成AI（「Gemini」「NotebookLM」）をはじめ、自動化のワークフロー系（「n8n」）や開発系のAIツール（「Cursor」「Devin」「GitHub Copilot」）などを解禁しています。また「Claude Code」「Claude Cowork」のようなAIエージェントも導入しており、開発部門でのAIによるコード生成比率も70％を超えています。

　メルカリアプリのプロダクト機能としても、AI出品サポートや自動違反検知などAIの実装を進めている状況です。

　2025年までは、幅広くさまざまなAIツールを使ってみて何が有効かを探る「実証実験のフェーズ」だったと個人的には思っています。しかし、2026年に入り、ビジネス目的を果たすために一元化し、実質的な生産性の向上をどう生み出すかを考える「集約化のフェーズ」に入ったと感じます。

市原氏　日本の多くの企業では、IT部門が先にツールを決めて契約して「このツールを使ってください」と告知するやり方が主流かもしれませんが、私たちは「広くいろいろと使ってみてください。ただ、セキュリティ側でリスクのチェックはしますよ」という運用をしてきました。従業員から大量の「使いたい」というリクエストが届いたので、この1年間はまさに「AI戦国時代」のような状況でした。セキュリティが不十分なツールは早い段階でNGとしつつ、セキュリティを確保できるツールのみ許容してきました。今はそこからフェーズが進み、最終的に残った2つ、3つのツールへと集約化する時期に来ていると感じます。

――積極的な活用を進めてきて、今後はどのサービスが自社にとって価値のあるサービスかを見極める段階というわけですね。多くの企業がAI活用を進める中、AIリスクの問題も指摘されていますが、どのように受け止められていますか。

フェルナンデス氏　大前提として「『AIを使わない』という選択自体がビジネスリスクである」という経営陣の強い考えがあります。そのため、使わないという選択肢はありません。プロダクトを世に出すのと同じように、何らかのビジネス目的のためにAIを手段として活用しつつ、そこで生じるリスクをどうコントロールするかを考えるのがわれわれの役割です。

市原氏　われわれはAI特有のリスクとして「AIエージェントの暴走」「システム破壊」「機密・認証情報の公開（漏えい）」「セキュリティ無効化」といったものを、現実的なAIリスクとして捉えています。

　実際、社内でもAIから「社内情報を個人のクラウドサーバにアップロードして」と推奨されたり、設定誤りによって権限混同（Confused Deputy Problem）が起きかけたりといったAIヒヤリハット事例も発生しています。

　そこで、AIに関するリスクを「1. AI自体の挙動・製品仕様」「2. AIエージェントの外部接続」「3. 利用者の操作」「4. 外部脅威」という4つの視点に分解して考えるようにしています。特に、1と2は見逃してはいけないと考えています。

――「AIエージェントの外部接続」といえば、MCP（Model Context Protocol）などのプロトコルが該当するかと思います。一般論として、MCPを制限すると、自由に外部のアプリケーションやサービスをAIとつなぎたい開発者からは反発を受けそうな印象もありますが、開発現場との摩擦は起きていないのでしょうか。

メルカリ 赤松宏紀氏

赤松氏　実はメルカリでは、開発者の多くが「MCPを使ってみよう」となる以前の早い段階から、「使っても問題ないMCPはこれです」という許可リストを作成し、安全なものを案内する仕組みを先回りして構築していました。最初から許可リストが存在する環境だったため、後から管理部門が「それはダメですよ」と事業部門側にダメ出しをする形にならず、摩擦が起きにくい構造につながっています。

　もちろん、危なそうなMCPの利用要望が来ることもあり適宜判断をしていますが、「こういうMCPは安全だから使っていいよね」という共通認識がこの1年でだいぶ蓄積されています。MCPだけでなく、外部接続先にもシャドーAIが紛れ込む可能性もあるため、包括的に見る必要がありますね。

国内外のガイドラインを参考に策定　「Secure By Default」を重視

――メルカリのAIガバナンスの全体像と、策定する上で何を参考にしているかをお聞かせください。

フェルナンデス氏　AIガバナンスの全体像については、大きく分けて3つで構築しています。一番上に「AI活用基本ポリシー」、次に「生成AI利用ガイドライン」、最後に「AIセキュリティガイドライン」やその他各種のルール・プレイブックなどを用意しているピラミッド型構造のイメージです。

　策定する上で重視しているのが「Secure By Default（セキュアバイデフォルト）」の考えです。ルールを定めることも大切ですが、ガイドラインを読ませるだけのガバナンスは実効性が薄いため、最初から危険な設定や仕組みにならないためのガードレール構築を徹底しています。また、全従業員一律で最も厳しい設定にすると、エンジニアが使いにくさを感じて抜け道（シャドーAI）を探し始めてしまうため、対象に応じて柔軟な対応を心掛けています。

市原氏　Secure By Defaultの実践は、われわれが推進側と伴走しているからこそ実現できていると考えています。先ほど触れた「MCPサーバの許可リストを事前に提供する」というアプローチも、まさにSecure By Defaultの考え方に基づくものです。

　ビジネスの現場では、プロジェクトの要件や目指すゴールがダイナミックに変化していきます。そのため、常に現場と伴走し、状況の変化に対して「方向性が変わったのであれば、次はこういうガードレールが必要ですね」と一緒に考えていける立ち位置がとても大切です。現場を止めるのではなく、建設的なコミュニケーションを強く意識しています。

フェルナンデス氏　AIガバナンスの策定に当たっては、かなり多岐にわたるフレームワークを参照しています。私自身が大きな指標として見ているのが、Forresterが出している「AEGIS」というフレームワークです。これはAIエージェントの各フェーズで何をすべきかが体系的に示されたもので、Phase 1の「ガバナンスの確立」「インベントリの構築」から、Phase 2、Phase 3へと進んでいくモデルです。メルカリもまさにPhase 2に入り始めたところで、AIのアイデンティティー管理やキルスイッチの導入、異常を検出してエージェントを止める体制の検討を開始する段階です。

　セキュリティ面では「OWASP Top 10 for LLM Applications」「NIST AI Risk Management Framework（NIST AI RMF）」「Google Secure AI Framework（Google SAIF）」などを参考にしつつ、ガバナンス面ではEU（欧州連合）のAI法や、日本のAIセーフティ・インスティテュート（AISI）、AIガバナンス協会のガイダンスも注視しています。メルカリ自身もAIガバナンス協会の取り組みに参画することで国内の動向をしっかりフォローしていく予定です。

　「ゲート」だと道を開くか閉めるかしかできませんが、「ガードレール」なら、現場がうまく走りたいコースを一緒に設計できますよね。レースドライバーが走りたいコースを伴走しながら設計していくのがわれわれのガバナンス策定の根底にある思想です。

「リスクベースで物事を考えるのが大前提」

――まさに推進と統制が一体化しているからこそできるアプローチですね。「AIガバナンスやルールの策定はまだこれから」という組織に向けて、最初の一歩としてのアドバイスはありますか。

フェルナンデス氏　第一歩は「インベントリの可視化から始めること」です。社内でどのようなAIツールがどのような目的で使われ、従業員は何をしようとしているのか、そこにどのようなビジネスリスクがあるのかを把握することが全ての始まりです。そしてもう一つは、止める側ではなく「一緒に推進する側」になること。一緒に車を作るというような気持ちで入っていかないと、現場と同列の目線で影響力を持つことはできません。

市原氏　組織全体でAI利用をスケールさせるためには、ただツールを提供するだけでなく、使ってもらうための推進施策においても現場と伴走することが重要です。メルカリでは最近「AI Agent Day」というイベントを6回ほど開催し、全従業員、特に非エンジニア層に向けてエージェントの活用を促しています。この社内イベントではチームごとに「AIチャンピオン」と呼ばれるサポート役を配置し、困ったときにすぐ相談できる体制を敷きました。ただ「AIを使ってね」と言うだけでなく、ハードルを下げて安全に使える仕組みを一緒に提供することも重要です。

　また情報セキュリティの世界には、いまだに「このセキュリティチェックリストに合格したらOKです」といったプロセスを運用している企業もあります。そういう“チェックリスト”での判定が形骸化しがちでビジネスのニーズに合わせにくい部分があります。われわれは基本的に全て「リスクベース」で物事を考えるべきだという前提を持っています。

　標準フレームワークは外部攻撃者を起点としたものが多いですが、ビジネスにおいては利用者の過信やAIの挙動に起因するリスクも大きいです。だからこそ、チェックリストで一律に判断するのではなく、現場と伴走して「自社の業務環境で利用を想定したときに、具体的にどのようなリスクがあるのか」を解像度高く言語化してみることが何よりも重要です。

赤松氏　現場のセキュリティエンジニアの立場から言うと、セキュリティ部門は時間や数の問題もあり、どうしても「それはダメです」と言ってしまいがちです。しかし、AIエージェントに関しては「使わないという手はない」領域です。だからこそ、ただ止めるのではなく「どこまでなら利用可能にできるのか」をセキュリティ側が現場としっかりすり合わせていく。そうしたマインドセットに変えていくことがポイントです。

---

　メルカリの取り組みからは、AIツールを単に導入するだけでなく、組織の在り方からセキュリティ部門の役割に至るまで、変革が起きていることがうかがえる。特に、ガバナンスを「ブレーキ」や「ゲート」としてではなく、現場が安全に走るための「ガードレール」として再定義し、推進組織と一体となって伴走するアプローチは、多くの企業にとって大きなヒントになるはずだ。

　AIの活用が常態化する今だからこそ、まずは自社の活用状況を可視化し、AIを活用する上での自社のリスクを言語化することから取り組みを始めてみてはいかがだろう。