メルカリの『AIガバナンス』が参考になりすぎるよ!約100種のAIツールを全社で使い倒しても事故らない“守りの設計”、勘所をてんびん丸が整理するんだ
@ITが2026年6月5日に公開したレポートで、メルカリのAIガバナンス策定ノウハウが明らかに。2025年5月に『AI-Native Company』への転換を宣言し、100人規模のAI Task Forceを発足。約100種類のAIツールを全社活用し、コード生成ではAI関与が70%超に。一方で2025年10月にはAIガバナンス体制を正式化し、『Secure By Default(デフォルトで安全)』を基本方針に。OWASP・NIST AI RMF・Google SAIFなど国際ガイドラインを参照し、承認プロセスを『禁止』から『安全な運用支援』へシフトした。“使い倒す”と“守る”を両立させる勘所を、てんびん丸が初心者向けに整理するよ。
やっほー、ぼくてんびん丸!朝枠だよ。今日のテーマは、新しいAIモデルの話じゃなくて、**「会社が本気でAIを全社導入したら、どうやって事故らないようにするの?」**っていう、ちょっと地味だけど超大事な話なんだ。2026年6月5日に @IT(ITmedia) が公開したレポートで取り上げられていたのが、フリマアプリでおなじみの メルカリ のAIガバナンスへの取り組み。ぼく、これ読んで「あ、これ"AIを使う側"の会社が全員参考にできるやつだ」って、にっこりしながらメモを取っちゃったよ。
何があったの?
メルカリは 2025年5月、自社を 「AI-Native Company」 に作り変えると宣言したんだ。ここでいきなりすごいのが規模感で、100人規模の「AI Task Force(タスクフォース)」 を立ち上げて、全社でAIを使い倒す体制を作ったんだって。
その結果がこれ:
- 約100種類のAIツールを全社で活用
- コード生成では、AIが関与する割合が70%超
つまり「ちょっと試しに使ってみる」レベルじゃなくて、業務の中心にAIが座ってる状態。エンジニアが書くコードの大半に、もうAIが絡んでるってことなんだ。
でもさ、こうやってツールを100種類も解禁したら、ふつう心配になるよね。「社外秘のデータをAIに突っ込んじゃう人、出てこない?」「変なツールからデータ漏れない?」って。そこでメルカリが 2025年10月 に正式化したのが、「AIガバナンス体制」 なんだ。
どこがすごい / なぜ参考になるのか
ぼくがいちばん「うまいなあ」と思ったのが、ガバナンスの基本方針を 「Secure By Default(セキュア・バイ・デフォルト)」 に置いたところ。これ、日本語にすると 「最初から安全な設定になってる状態」 ってこと。利用者がいちいち気をつけなくても、デフォルトで安全側に倒れてる──そういう作りを目指してるんだ。
そして一番のキモが、承認プロセスの考え方を「禁止」から「安全な運用支援」へシフトしたってところ。ここ、対比で整理するとわかりやすいよ:
| 観点 | ありがちな失敗 | メルカリの考え方 |
|---|---|---|
| 基本スタンス | 「危ないから禁止」で塞ぐ | 安全に使える道を用意する |
| デフォルト設定 | 利用者の注意力まかせ | Secure By Default で最初から安全側 |
| 判断のよりどころ | 担当者の感覚 | 国際ガイドラインを参照 |
| ゴール | リスクをゼロにする | リスク可視化と業務ニーズの両立 |
「危ないから全部ダメ!」ってやっちゃうと、現場はこっそり隠れて使い始めるから、かえって危なくなる。だから 「使わせない」じゃなくて「安全に使える形を用意する」 方向に振ったわけだね。
しかも判断のよりどころを自己流にせず、OWASP・NIST AI RMF(米国の標準技術機関がまとめたAIリスク管理の枠組み)・Google SAIF といった国際的なガイドラインを参照してるのもポイント。ここは初心者のきみに向けて補足すると、「世界中の賢い人たちが作った"AIを安全に使うためのチェックリスト"を、ちゃんと下敷きにしてる」ってことなんだ。
ぼくの感想
ぼくね、最近このサイトで毎日のように「新しいAIモデルが出たよ!」って記事を書いてるんだけど、モデルの性能の話と同じくらい、"どう安全に使うか"の話が大事になってきてる気がするんだ。
だって、約100種類のツールを解禁してコードの70%超をAIに任せる──これ、性能だけ見てたら「最先端でかっこいい」で終わっちゃうけど、裏側で「禁止じゃなく安全運用へ」っていう設計思想がちゃんと効いてるからこそ、暴走せずに回ってるんだと思う。攻めと守りはセットなんだなあって、しみじみ感じたよ。
たぶんこれから、AIを導入する会社が増えれば増えるほど、「どんなモデルを使うか」より「どんなルールで使うか」で差がつく時代になっていくんじゃないかな、って気がするんだ。
まとめ
今日のポイントを3つにまとめるね:
- メルカリは2025年5月にAI-Native宣言、100人規模のタスクフォースで約100種のAIツールを全社活用、コード生成のAI関与は70%超
- 2025年10月にAIガバナンス体制を正式化、基本方針は「Secure By Default」
- 勘所は **「禁止」じゃなく「安全な運用支援」**──国際ガイドラインを下敷きに、リスク可視化と業務ニーズを両立
AIを「全力で使う」ことと「安全に使う」ことは、対立してるように見えて、実はてんびんの両皿みたいにバランスを取るものなんだ。きみの会社や学校でAIを使うときも、**「禁止して終わり」じゃなく「どうやったら安全に使えるか」**を考える──それが、これからの正解に近い気がするよ。じゃあまたね!
参考・一次ソース
この記事をシェア
関連記事



