Claude Coworkは監査できる?Audit Logs・Compliance API・Data Exportsの限界
「Claude Coworkで業務を自動化したいが、監査対応は大丈夫か」――情シスやコンプライアンス担当者にとって、AIエージェントの導入障壁で最も重いのはこの問いです。
結論から言えば、2026年3月時点でClaude CoworkのアクティビティはAnthropicのAudit Logs・Compliance API・Data Exportsの対象外です。Anthropicの公式ドキュメントでもこの点は明示されています。つまり、Coworkが何をしたかの監査証跡を、Anthropic側のログだけで完結させることはできません。この記事では、この監査ギャップの実態を整理し、企業がどう補完すべきかの設計判断を解説します。
本記事のポイント
- Claude CoworkのアクティビティはAudit Logs・Compliance API・Data Exportsの対象外であり、Cowork内の操作履歴だけでは監査証跡として不十分な場合がある
- 接続先のSaaS側(Google Workspace、Salesforceなど)の監査ログにはCowork経由の操作が記録されるため、そちらを監査の主軸にする設計が現実的である
- Coworkを業務導入する際は「何をCoworkに任せてよいか」を監査要件から逆算して決める必要がある
Claude Coworkの監査ログはどこまで取れるか
Anthropicが提供する監査関連の仕組みは、主に次の3つです。Audit Logs、Compliance API、Data Exports。それぞれがカバーする範囲とCoworkとの関係を整理します。
Audit Logs
Audit Logsは、Anthropicのコンソール上での管理操作(ユーザーの追加・削除、APIキーの作成・失効、組織設定の変更など)を記録する仕組みです。主に「誰が管理コンソールで何を操作したか」を追跡するためのログであり、Claude Coworkのチャット内容やファイル操作、プラグイン実行は記録対象に含まれません。
Compliance API
Compliance APIは、Claude.aiのチャット履歴を外部のコンプライアンスツール(Smarshなど)にエクスポートするためのAPIです。Team・Enterpriseプランで利用可能ですが、Coworkのアクティビティは対象外です。つまり、通常のClaudeとの会話はCompliance APIで取得できますが、Coworkがバックグラウンドで実行した操作やプラグイン経由のアクションは含まれません。
Data Exports
Data Exportsは、組織のClaude利用データを一括エクスポートする機能です。こちらもCoworkのアクティビティは対象外です。エクスポートされるのはClaude.aiの会話データが中心であり、Coworkの操作ログは含まれません。
なぜCoworkが監査対象外なのか
Claude Coworkは2025年後半にリリースされた比較的新しい機能であり、従来のClaude.aiとは動作モデルが異なります。Coworkは会話の応答だけでなく、ファイルの読み書き、外部SaaSへのAPI呼び出し、スケジュールタスクの実行など、自律的なアクションを行います。
この「自律的なアクション」は、従来のチャットログとは性質が異なるため、既存のAudit Logs・Compliance API・Data Exportsのデータモデルにそのまま載せることが難しいと考えられます。Anthropicは今後この領域を拡張する可能性がありますが、2026年3月時点ではCoworkのアクティビティを網羅的に取得する公式の仕組みは提供されていません。
接続先SaaSの監査ログで補完する
Cowork側のログが不十分であっても、Coworkが操作する先のSaaSには監査ログがあります。この「接続先の監査ログ」を主軸にする設計が、現時点で最も現実的な補完策です。
Google Workspaceの場合
CoworkがGmail、Google Drive、Google Calendarを操作した場合、その操作はGoogle Workspace側の監査ログに記録されます。Coworkが使用するOAuth認証のアプリケーション名で操作をフィルタできるため、「Cowork経由の操作」と「人間が直接行った操作」を区別することが可能です。
Salesforce / HubSpotの場合
CoworkがSalesforceやHubSpotにデータを書き込む場合、CRM側の操作ログに記録されます。Salesforceであればセットアップ監査証跡とフィールド履歴管理、HubSpotであればアクティビティログで追跡できます。Coworkが使用するAPI接続の識別情報で操作を絞り込めます。
補完設計のポイント
接続先SaaSの監査ログに依存する場合、次のことを事前に整理しておく必要があります。Coworkが接続するSaaSの一覧、各SaaSの監査ログ保持期間、Cowork経由の操作を識別するためのフィルタ条件、監査ログを定期的に確認する運用フロー。これらを導入前にドキュメント化しておくことで、監査対応の属人化を防げます。
監査要件から逆算するCowork導入の判断フロー
Coworkを業務に導入するかどうかは、機能の便利さだけで判断すべきではありません。自社の監査・コンプライアンス要件から逆算して、「何をCoworkに任せてよいか」を決める必要があります。
監査要件が緩い業務から始める
社内向けの情報整理、リサーチ、下書き作成など、監査証跡が厳密に求められない業務からCoworkを導入するのが安全です。提案書の下書き作成や営業リストの整理は、最終的に人間がレビューして成果物を確定するため、Coworkの操作自体を厳密に監査する必要性が低い業務です。
外部への送信・書き込みを伴う業務は慎重に
Coworkが直接メールを送信する、CRMにデータを書き込む、共有ドライブにファイルを公開するといった「外部に影響を与える操作」は、監査証跡の要件が高くなります。これらの業務にCoworkを使う場合は、接続先SaaS側の監査ログで追跡できることを確認したうえで導入すべきです。
金融・医療・法務など規制業種での判断
金融機関の取引記録、医療機関の患者データ、法律事務所の依頼者情報など、業規制で監査証跡が義務付けられている領域では、現時点でのCoworkの監査ギャップは導入障壁になります。Anthropicが監査機能を拡張するまでは、法務領域でのCowork利用は限定的な範囲にとどめるのが安全です。
よくある質問
Coworkのチャット履歴自体は保存されますか?
Cowork内のチャット履歴はClaude.aiの画面上で確認できます。ただし、これはユーザーインターフェース上の表示であり、Audit LogsやCompliance APIから構造化データとして取得できるものではありません。手動でのスクリーンショットや、ブラウザ上でのコピーは可能ですが、監査証跡としての網羅性・改ざん耐性は担保されません。
Anthropicは今後Coworkの監査機能を追加する予定ですか?
2026年3月時点で、Anthropicは具体的なロードマップを公開していません。Enterprise向けの機能拡張は継続的に行われているため、将来的にCoworkアクティビティがAudit Logsやompliance APIの対象に加わる可能性はありますが、現時点では未定です。
Coworkの操作を自社で独自にログ収集する方法はありますか?
Coworkが接続先SaaSのAPIを叩く際に、API Gatewayやプロキシ層を挟んでリクエストをログに残す方法は技術的には可能です。ただし、Coworkのプラグインアーキテクチャによってはプロキシ層の挿入が困難な場合もあり、汎用的なソリューションにはなりにくいのが現状です。
Claude CodeとCoworkで監査面の違いはありますか?
Claude CodeとCoworkの違いは多岐にわたりますが、監査の観点では、Claude Codeはローカル環境で動作するため操作ログがローカルに残りやすい一方、Coworkはクラウド上で自律的に動作するため操作の追跡がCoworkのログ基盤に依存します。いずれもAnthropicのAudit Logsの対象外である点は共通です。
関連ページと関連記事
Claude CoworkとClaude Codeの使い分けについては比較記事で整理しています。Coworkの営業実務での活用については営業リスト作成の自動化をご覧ください。Google Workspace側の監査ログの見方はDrive監査ログの解説が参考になります。
AIエージェントの導入設計でお困りですか?
Claude Coworkの導入にあたり、監査・コンプライアンス面での設計判断を支援しています。どの業務にCoworkを適用すべきか、監査証跡の補完をどう設計するかを含めてご相談ください。