Claude Cowork Enterpriseは2026年4月9日にGA(正式版リリース)で、RBAC・SCIM・グループ予算・OpenTelemetryなど6機能を全有料プランに解禁した。
ただAnthropic公式ヘルプは「Coworkのアクティビティは監査ログ・Compliance API・Data Exportsのいずれにも入らない」と明言している。
個人でClaudeを使っていて社内導入を推す側に回るなら、情シスに投げる前にこの非対応領域を握っておかないと話が止まる。
この記事は個人でClaude Proを使っていて、社内導入を提案したい非エンジニアの現場リーダー向け(クラウドのプラン名・SSO/SCIMという単語を聞いたことがあるレベルで読めます)。
2026年4月のGAから6機能を一気に解禁、ガバナンス層の追加ペースとしては相当速い。
Claude Cowork Enterpriseで何が増えたのか、6機能の要点
Anthropic公式ブログ(claude.com/blog/cowork-for-enterprise)は、Cowork向けに6つの管理機能を同時投入したとしています。
- RBAC:機能単位でCowork / Claude Code / Web Searchなどを個別にON/OFF
- SCIM連携:Okta・Entra ID・GoogleなどのIdPグループをClaude側に自動同期
- グループ単位の使用上限:チームごとの月次予算をAdminコンソールで設定
- 利用状況アナリティクス:DAU/WAU/MAU、スキル・コネクタの呼び出し回数をAPIで取得
- OpenTelemetry拡張:ツール呼び出し・ファイルアクセス・人間の承認判断をイベント化
- Per-Tool Connector Controls:MCPコネクタ単位でread可/write不可といった細かい制御
The New Stack(thenewstack.io)はこの発表をこう要約しています。
What's been holding Claude Cowork back from full enterprise rollout wasn't the product — it was the governance layer CIOs need before greenlighting anything at scale.
— The New Stack
CIOがGOを出すためのガバナンス層が揃った、という構図です。
私はここで止まらないのが大事だと考えています。
揃ったのは「前段のガバナンス」であって、「監査証跡」ではない。
ここを分けないと社内説明で詰まります。
Anthropic自身が明言している「Coworkは監査ログに入らない」事実
ここがこの記事の骨格。
Anthropic公式ヘルプの記述を、読み飛ばし禁止レベルでそのまま引用します。
Cowork activity isn't currently captured in audit logs, the Compliance API, or data exports.
— Anthropic公式ヘルプ「Monitor Claude Cowork activity with OpenTelemetry」
support.claude.com/en/articles/14477985
つまり、Enterpriseプランで使える監査ログ(support.claude.com/en/articles/9970975)も、2026年3月30日ローンチのCompliance API(claude.com/blog/claude-platform-compliance-api)も、Data ExportsもCoworkのアクティビティをカバーしない。
これは設定の問題ではなく、製品の構造の問題です。
同じヘルプ記事には、輪をかけて強い注意書きがあります。
OpenTelemetry is not a replacement for audit logging. Cowork activity isn't currently captured in audit logs, the Compliance API, or data exports. OpenTelemetry events don't fill that gap for compliance purposes.
— Anthropic公式ヘルプ「Monitor Claude Cowork activity with OpenTelemetry」
Anthropicがここまで3回繰り返すのは珍しい。
それだけ誤解されやすい論点ということですね。
なぜローカル保存かというと、別のヘルプ記事(support.claude.com/en/articles/13345190)にこう書いてあります。
Cowork stores conversation history locally on your computer, so is not subject to Anthropic's data retention timeframe.
— Anthropic公式ヘルプ「Get started with Claude Cowork」
会話履歴がユーザー端末に保存される作りなので、サーバー側で握っていない=監査の記録を組織が中央から取り出せない。
ここが監査ログ非対応の構造的な根拠です。
監査ログ非対応のCowork会話は、組織として1件も中央集約できません。
OpenTelemetryで取れるもの・取れないもの
OpenTelemetry拡張は、組織の監視基盤に流し込めるイベントストリームとしてかなり厚い。
Anthropic公式ヘルプ(support.claude.com/en/articles/14477985)によれば、以下がデフォルトで取れます。
- ユーザーのプロンプトテキスト本文
- ツール・MCP呼び出しの詳細(サーバー名・ツール名・パラメータ・成否・実行時間)
- 読み取り/変更したファイルパス、MCPアクセス、フォルダスコープ
- 呼び出されたスキル・プラグイン
- 人間の承認判断(approved/rejected/auto-initiated)
- APIリクエストのトークン数・推定コスト・エラー
出力先はSplunk、Datadog、Elasticsearch、Honeycomb、Cribl、Loki、ClickHouse、標準OTel collectorの8系統。
対応プランはTeamとEnterprise、最低クライアントはClaude Desktop 1.1.4173以降と明示されています。
これだけ見ると、むしろ普通の監査ログより情報量は多い。
ただ、ここに罠があります。
同じヘルプ記事はこう釘を刺しています。
OpenTelemetry events don't fill that gap for compliance purposes.
— Anthropic公式ヘルプ「Monitor Claude Cowork activity with OpenTelemetry」
規制対応の観点では「コンプライアンス用のギャップを埋めない」と明言されている。
私はここが一番見落とされやすいと感じています。
OTELは運用メトリクスのストリームであって、改ざん防止された監査の記録ではない。
私はこの2つを同一視すると社内説明で事故ると見ています。
しかもプロンプトテキストがデフォルトで含まれる。
機密情報を扱う環境では、collector側でフィルタリングを組まないと逆に情報漏えい経路になります。
便利と危険が表裏一体。
監査ログ対応を1軸で並べる比較表
6機能の網羅比較はQiita・AQUA・クラスメソッドで出揃っているので、ここでは「監査ログ対応」だけに絞って1表にまとめます。
非対称性を視覚的に掴むのが目的です。
| 機能 | Claude Cowork Enterprise | ChatGPT Enterprise | Gemini Enterprise | M365 Copilot |
|---|---|---|---|---|
| 監査ログ(会話・アクティビティ) | 非対応(Anthropic明言) | 対応 | 対応 | 対応(Purview) |
| Compliance API | Cowork非対応 | 対応 | 対応 | 対応 |
| SCIM | 対応(Enterprise限定) | 対応 | 対応 | M365継承 |
| RBAC | 対応(Enterprise限定) | 対応 | 対応 | M365継承 |
| 代替モニタリング手段 | OpenTelemetry(規制対応ではない) | Compliance Logs Platform | Purview監査ログ | Purview監査ログ |
| 規制対象業務で使うべきか | 「使うな」とAnthropicが明言 | 対応可 | 対応可 | 対応可 |
この表で見ると、RBAC・SCIM・アナリティクスの手前の話ではClaude Cowork Enterpriseは他社と並ぶ。
ただ「会話そのものの監査証跡」だけはポジションが違います。
IntuitionLabs(intuitionlabs.ai)は「ChatGPT EnterpriseはCompliance APIでより成熟した包括的な監査ログを提供」と評価しています。
率直に、この1軸だけは先行しているのがChatGPT Enterprise。
クラスメソッドDevelopersIO(dev.classmethod.jp)は、Claude製品内でも対応状況が割れていると整理しています。
Team Chatはデータエクスポート可、Enterprise Chatは監査ログ・Compliance APIまで対応、Cowork/Claude Codeは全項目非対応。
サーバー側で動かすか手元のPC側で動かすかで、対応する/しないが決まる構造です。
「使うな」とAnthropicが明言している業務は何か
Anthropicのヘルプ「Get started with Claude Cowork」(support.claude.com/en/articles/13345190)には、避けるべき業務が具体的に書いてあります。
Do not enable Cowork for HIPAA, FedRAMP, or FSI regulated workloads.
— Anthropic公式ヘルプ「Get started with Claude Cowork」
HIPAA(米医療情報保護法)、FedRAMP(米政府クラウド認定)、FSI(金融機関規制)の3カテゴリ。
Anthropic自身がここまで名指しで除外対象を挙げているのは強めのシグナル。
これに加えて、英語圏のセキュリティ実務者はSOC 2・PCI-DSS・GDPRも要注意と指摘しています。
Harmonic Security(harmonic.security)はこう書いています。
Cowork should not be deployed for workloads subject to SOX, HIPAA, PCI-DSS, or SOC 2 compliance requirements.
— Harmonic Security「Securing Claude Cowork」
MintMCP(mintmcp.com)は監査ログのギャップを「an architectural limitation, not a configuration issue」と明言。
設定で解消できる問題ではないと切っている。
日本語圏ではクラスメソッドが「規制対象業務にはClaude Codeの活用を検討してほしい」と代替案を提示しています。
一方で「使える」業務も広い。
非規制業界の社内情報共有、議事録の要約、マーケティング資料のドラフト、エンジニアリング補助など。
Lilting.ch(lilting.ch)は、導入を主導しているのがOperations・Marketing・Finance・Legalなど非エンジニア部門だと報告しています。
つまり「規制外の非エンジニア業務」がCoworkの主戦場。
個人Claude Proユーザーが社内推薦するときに押さえる3点
規制対象業務をRBACで切り分けないと、1年単位で社内説明が止まる可能性。
ここまでの引用を、現場リーダーが社内に投げ返すサイズに圧縮するとこうなります。
私は次の3つを順番に渡すのが一番ハマると考えています。
1つ目。
RBAC・SCIM・グループ予算・OpenTelemetryは4月9日のGAで揃った。
ChatGPT Enterpriseと同じレベルの管理基盤に到達している、と言える範囲はここまで。
情シスにはEnterpriseプランの機能一覧(公式ページ claude.com/pricing/enterprise)を見せれば話が速いです。
2つ目。
Coworkの会話履歴は監査ログ・Compliance API・Data Exportsのいずれにも入らない。
これはAnthropic公式ヘルプが明言している事実で、設定ではなく製品構造の話。
OpenTelemetryで代替しようとすると「OpenTelemetryはaudit loggingの代替ではない」とAnthropic自身が釘を刺しています。
3つ目。
規制対象業務には使わせない運用ルールが必要。
HIPAA・FedRAMP・FSIはAnthropic明言の除外対象。
SOC 2・PCI-DSS・GDPRはサードパーティ実務者が警告している範囲。
情シスに渡すときは「全社一律ON」ではなく「規制対象部門はCowork OFF、他部門はON」という構造で設計する必要があります。
ちなみに、AQUAテックブログ(aquallc.jp)は以前の時点で「全メンバーONか全メンバーOFFの二択」と指摘していました。
4月9日のEnterprise RBAC追加で機能単位のON/OFFができるようになっているので、この記述は更新前の状態を反映しています。
引用時は時期に注意。
よくある質問
Q. OpenTelemetryを入れておけば監査ログの代わりになりますか?
なりません。
Anthropic公式ヘルプが「OpenTelemetry is not a replacement for audit logging」「OpenTelemetry events don't fill that gap for compliance purposes」と明言しています。
OpenTelemetryは運用メトリクスのストリームであって、規制対応の改ざん防止された監査の記録ではない。
情シスから監査ログ要求が出てきた場合、OpenTelemetryは代替にならないと最初に伝えるのが安全です。
Q. Claude Cowork Enterpriseは全社導入できますか?
非規制業界かつ非エンジニア業務(議事録要約・マーケ資料作成・社内情報整理など)が中心であれば全社導入の土台は揃っています。
HIPAA・FedRAMP・FSIに該当する業務を扱う部門は、Anthropic自身が「Do not enable Cowork for HIPAA, FedRAMP, or FSI regulated workloads」と明言しているため、RBACで当該部門をオフにする設計が必須です。
Q. ChatGPT EnterpriseやM365 Copilotとの決定的な違いは何ですか?
RBAC・SCIM・アナリティクスは横並びになりました。
決定的に違うのは「会話の監査証跡」。
ChatGPT EnterpriseはCompliance Logs Platform、Gemini Enterprise / M365 CopilotはMicrosoft Purview系で会話単位の監査ログを取れます。
Claude Coworkはここが非対応。
規制下の業務ならChatGPT Enterprise / M365 Copilot / Gemini Enterpriseのほうが現時点では通しやすいという整理になります。
Q. Coworkの会話はどこに保存されていますか?
Anthropic公式ヘルプによると「Cowork stores conversation history locally on your computer, so is not subject to Anthropic's data retention timeframe」とされ、ユーザー端末のローカルに保存されます。
そのため組織側で会話そのものを中央から取得する手段が存在しません。
これが監査ログ非対応の技術的な根拠です。
Q. 規制対象業務ではClaude Codeのほうが良いという指摘があるのはなぜ?
クラスメソッドDevelopersIOが整理しているとおり、Claude Codeも監査ログ・Compliance API非対応です。
ただ、規制対象業務の議論ではEnterprise Chatが唯一フルガバナンス対応であり、ChatとCoworkを使い分けるのが定石になります。
「規制対象はChat、汎用業務はCowork」が現時点の実用的な住み分けです。
このページに出てきた言葉
- Cowork
- Claudeアプリ上でファイルやコードをAIに直接編集させながら作業する機能。会話履歴がユーザー端末に保存される
- Enterprise
- Claudeの法人向け最上位プラン。SSO・SCIM・監査ログなどの管理機能がつく契約形態
- GA
- General Availabilityの略。プレビュー(一部公開のお試し版)から、誰でも正式に使える段階に進んだこと
- RBAC
- Role-Based Access Controlの略。役職ごとに使える機能を分ける権限管理の仕組み
- SCIM
- 社内のID管理システムに社員を追加したら自動でClaude側にアカウントが作られる連携の規格
- IdP
- Identity Providerの略。社員のID・パスワードを一元管理しているシステム(Okta、Microsoft Entra ID、Google Workspaceなど)
- OpenTelemetry(OTEL)
- アプリの動作ログを統一フォーマットで外部の監視ツールに流す規格
- MCP
- Model Context Protocolの略。外部AIに自社データや業務APIを安全に渡すための接続規格
- 監査ログ
- 「いつ・誰が・何をしたか」を改ざんできない形で残す利用記録。規制対応では必須
- Compliance API
- 監査ログや会話履歴を管理者がプログラムから一括取得するAPI。Anthropicは2026年3月30日にリリース
- Data Exports
- 組織内のClaude利用データを管理者がまとめてダウンロードできる機能
- Purview
- Microsoftの法規制対応ダッシュボード。Microsoft 365契約に付属し、GeminiやM365 Copilotの監査ログ管理も担う
- HIPAA / FedRAMP / FSI
- 順に米国の医療情報保護法/米国連邦政府のクラウド認定/金融業界規制。Anthropicが「Coworkで使うな」と名指しした3カテゴリ
- SOC 2 / PCI-DSS / GDPR
- セキュリティ運用基準/クレジットカード業界規格/EUの個人情報保護規則。いずれも監査ログ保存が前提
- collector
- OpenTelemetryの中継サーバー。アプリから送られてきたログを加工してから監視ツールへ転送する
参考リンク
- Anthropic公式ブログ「Cowork for Enterprise」: https://claude.com/blog/cowork-for-enterprise
- Anthropic公式ヘルプ「Monitor Claude Cowork activity with OpenTelemetry」: https://support.claude.com/en/articles/14477985
- Anthropic公式ヘルプ「Get started with Claude Cowork」: https://support.claude.com/en/articles/13345190
- Anthropic公式ヘルプ「Access audit logs」: https://support.claude.com/en/articles/9970975
- Anthropic公式ブログ「Claude platform Compliance API」: https://claude.com/blog/claude-platform-compliance-api
- クラスメソッドDevelopersIO「Claude Enterpriseのデータガバナンス機能」: https://dev.classmethod.jp/articles/claude-enterprise-data-governance/
- MintMCP「Claude Cowork Audit Logging Gap」: https://www.mintmcp.com/blog/claude-cowork-audit-logging-gap
- Harmonic Security「Securing Claude Cowork」: https://www.harmonic.security/resources/securing-claude-cowork-a-security-practitioners-guide
- IntuitionLabs「Enterprise AI Dashboards: ChatGPT and Claude」: https://intuitionlabs.ai/articles/enterprise-ai-dashboards-chatgpt-claude
- AQUAテックブログ「Claude Cowork 企業導入完全ガイド」: https://www.aquallc.jp/claude-cowork-enterprise-guide/
- The New Stack: https://thenewstack.io/anthropic-takes-claude-cowork-out-of-preview-and-straight-into-the-enterprise/
※この記事の内容は執筆時点のものです。AIは進化が速い分野のため、最新の仕様は公式サイトでご確認ください。