Claude Coworkは監査できる?Audit Logs・Compliance API・Data Exportsの限界
「Claude Coworkで業務を自動化したいが、監査対応は大丈夫か」――情シスやコンプライアンス担当者にとって、AIエージェントの導入障壁で最も重いのはこの問いです。
結論から言えば、2026年3月時点でClaude CoworkのアクティビティはAnthropicのAudit Logs・Compliance API・Data Exportsの対象外です。Anthropicの公式ドキュメントでもこの点は明示されています。つまり、Coworkが何をしたかの監査証跡を、Anthropic側のログだけで完結させることはできません。この記事では、この監査ギャップの実態を整理し、企業がどう補完すべきかの設計判断を解説します。
本記事のポイント
- Claude CoworkのアクティビティはAudit Logs・Compliance API・Data Exportsの対象外であり、Cowork内の操作履歴だけでは監査証跡として不十分な場合がある
- 接続先のSaaS側(Google Workspace、Salesforceなど)の監査ログにはCowork経由の操作が記録されるため、そちらを監査の主軸にする設計が現実的である
- Coworkを業務導入する際は「何をCoworkに任せてよいか」を監査要件から逆算して決める必要がある
この記事で扱うテーマ
このページで答える質問
- Claude Coworkは監査できるのか?
- Audit Logs・Compliance API・Data Exportsの限界は何?
- 接続先SaaS側の監査ログにCowork操作は残る?
- Coworkを業務導入する際の監査設計はどう考える?
Claude Coworkの監査ログはどこまで取れるか
Anthropicが提供する監査関連の仕組みは、主に次の3つです。Audit Logs、Compliance API、Data Exports。それぞれがカバーする範囲とCoworkとの関係を整理します。
Audit Logs
Audit Logsは、Anthropicのコンソール上での管理操作(ユーザーの追加・削除、APIキーの作成・失効、組織設定の変更など)を記録する仕組みです。主に「誰が管理コンソールで何を操作したか」を追跡するためのログであり、Claude Coworkのチャット内容やファイル操作、プラグイン実行は記録対象に含まれません。
Compliance API
Compliance APIは、Claude.aiのチャット履歴を外部のコンプライアンスツール(Smarshなど)にエクスポートするためのAPIです。Team・Enterpriseプランで利用可能ですが、Coworkのアクティビティは対象外です。つまり、通常のClaudeとの会話はCompliance APIで取得できますが、Coworkがバックグラウンドで実行した操作やプラグイン経由のアクションは含まれません。
Data Exports
Data Exportsは、組織のClaude利用データを一括エクスポートする機能です。こちらもCoworkのアクティビティは対象外です。エクスポートされるのはClaude.aiの会話データが中心であり、Coworkの操作ログは含まれません。
なぜCoworkが監査対象外なのか
Claude Coworkは2025年後半にリリースされた比較的新しい機能であり、従来のClaude.aiとは動作モデルが異なります。Coworkは会話の応答だけでなく、ファイルの読み書き、外部SaaSへのAPI呼び出し、スケジュールタスクの実行など、自律的なアクションを行います。
この「自律的なアクション」は、従来のチャットログとは性質が異なるため、既存のAudit Logs・Compliance API・Data Exportsのデータモデルにそのまま載せることが難しいと考えられます。Anthropicは今後この領域を拡張する可能性がありますが、2026年3月時点ではCoworkのアクティビティを網羅的に取得する公式の仕組みは提供されていません。
接続先SaaSの監査ログで補完する
Cowork側のログが不十分であっても、Coworkが操作する先のSaaSには監査ログがあります。この「接続先の監査ログ」を主軸にする設計が、現時点で最も現実的な補完策です。
Google Workspaceの場合
CoworkがGmail、Google Drive、Google Calendarを操作した場合、その操作はGoogle Workspace側の監査ログに記録されます。Coworkが使用するOAuth認証のアプリケーション名で操作をフィルタできるため、「Cowork経由の操作」と「人間が直接行った操作」を区別することが可能です。
Salesforce / HubSpotの場合
CoworkがSalesforceやHubSpotにデータを書き込む場合、CRM側の操作ログに記録されます。Salesforceであればセットアップ監査証跡とフィールド履歴管理、HubSpotであればアクティビティログで追跡できます。Coworkが使用するAPI接続の識別情報で操作を絞り込めます。
補完設計のポイント
接続先SaaSの監査ログに依存する場合、次のことを事前に整理しておく必要があります。Coworkが接続するSaaSの一覧、各SaaSの監査ログ保持期間、Cowork経由の操作を識別するためのフィルタ条件、監査ログを定期的に確認する運用フロー。これらを導入前にドキュメント化しておくことで、監査対応の属人化を防げます。
監査要件から逆算するCowork導入の判断フロー
Coworkを業務に導入するかどうかは、機能の便利さだけで判断すべきではありません。自社の監査・コンプライアンス要件から逆算して、「何をCoworkに任せてよいか」を決める必要があります。
監査要件が緩い業務から始める
社内向けの情報整理、リサーチ、下書き作成など、監査証跡が厳密に求められない業務からCoworkを導入するのが安全です。提案書の下書き作成や営業リストの整理は、最終的に人間がレビューして成果物を確定するため、Coworkの操作自体を厳密に監査する必要性が低い業務です。
外部への送信・書き込みを伴う業務は慎重に
Coworkが直接メールを送信する、CRMにデータを書き込む、共有ドライブにファイルを公開するといった「外部に影響を与える操作」は、監査証跡の要件が高くなります。これらの業務にCoworkを使う場合は、接続先SaaS側の監査ログで追跡できることを確認したうえで導入すべきです。
金融・医療・法務など規制業種での判断
金融機関の取引記録、医療機関の患者データ、法律事務所の依頼者情報など、業規制で監査証跡が義務付けられている領域では、現時点でのCoworkの監査ギャップは導入障壁になります。Anthropicが監査機能を拡張するまでは、法務領域でのCowork利用は限定的な範囲にとどめるのが安全です。
監査観点ごとの補完先を先に決める
実務では「Coworkが使えるかどうか」より先に、「監査で何を説明しなければならないか」を観点ごとに分解する方が判断しやすくなります。ひとつのログ基盤ですべてを取ろうとすると行き詰まりやすいため、管理操作、実行操作、接続先更新、承認記録の4つに分けて、どこを正本にするかを決めるのが現実的です。
| 監査観点 | 主に見る場所 | 補完の考え方 |
|---|---|---|
| 管理操作 | Anthropic Audit Logs | 管理者権限の変更、設定変更、キー発行などはAnthropic側を正本にする |
| Coworkの会話・実行状況 | Cowork画面、運用記録 | 構造化ログとして取れない前提で、重要案件はスクリーンショットや申請番号で補完する |
| 外部SaaSの更新 | Google Workspace、Salesforce、HubSpotなど接続先の監査ログ | 「誰が何を更新したか」は接続先を正本にし、Cowork利用であることを識別できる条件を残す |
| 承認・業務責任 | 申請フォーム、承認記録、運用台帳 | AIの実行可否や最終責任者は別系統で残し、ログ不足を手続きで補う |
この切り分けをしておくと、「Cowork単体では監査できないから全面禁止」という極端な結論を避けやすくなります。逆に、どの観点をどこで補完するかを決めないまま導入すると、監査や事故調査のたびにログの所在を探し回ることになります。
よくある質問
Coworkのチャット履歴自体は保存されますか?
Cowork内のチャット履歴はClaude.aiの画面上で確認できます。ただし、これはユーザーインターフェース上の表示であり、Audit LogsやCompliance APIから構造化データとして取得できるものではありません。手動でのスクリーンショットや、ブラウザ上でのコピーは可能ですが、監査証跡としての網羅性・改ざん耐性は担保されません。
Anthropicは今後Coworkの監査機能を追加する予定ですか?
2026年3月時点で、Anthropicは具体的なロードマップを公開していません。Enterprise向けの機能拡張は継続的に行われているため、将来的にCoworkアクティビティがAudit Logsやompliance APIの対象に加わる可能性はありますが、現時点では未定です。
Coworkの操作を自社で独自にログ収集する方法はありますか?
Coworkが接続先SaaSのAPIを叩く際に、API Gatewayやプロキシ層を挟んでリクエストをログに残す方法は技術的には可能です。ただし、Coworkのプラグインアーキテクチャによってはプロキシ層の挿入が困難な場合もあり、汎用的なソリューションにはなりにくいのが現状です。
Claude CodeとCoworkで監査面の違いはありますか?
Claude CodeとCoworkの違いは多岐にわたりますが、監査の観点では、Claude Codeはローカル環境で動作するため操作ログがローカルに残りやすい一方、Coworkはクラウド上で自律的に動作するため操作の追跡がCoworkのログ基盤に依存します。いずれもAnthropicのAudit Logsの対象外である点は共通です。
