どうも おかしん です。
OpenAI、Anthropic、Google DeepMind、Microsoft AIなどの幹部らが、合成DNA/RNA注文のスクリーニング義務化を求める公開書簡に署名した、というニュースが出ました。
同じタイミングで、Anthropicは「AIがAI自身の開発を加速している」ことを踏まえた文書で、検証可能な協調的スローダウンや一時停止の選択肢を整えるべきだ、という趣旨の主張も出しています。
この2つは別の話です。共同書簡はAI開発停止を求める文書ではありませんし、Anthropicの文書も単独で「当社は止まります」と宣言しているものではありません。
ただ、情シスやセキュリティ担当の目線で見ると、かなり大事な共通点があります。
AIリスクを「危険か安全か」の抽象論で見るのではなく、現実にどこで検知し、承認し、記録し、止められるかという統制点で見る必要があるということです。
この記事では、生物兵器リスクそのものの技術解説はしません。危険な手順、配列、実験条件、回避方法にも触れません。代わりに、今回のニュースを企業のAIガバナンス、AIエージェント運用、SaaS管理にどう読み替えるかを整理します。
今回のニュースを一言でいうと
2026年6月に公開された In Support of Mandatory Nucleic Acid Synthesis Screening and Recordkeeping は、合成核酸の注文や合成装置について、注文内容のスクリーニング、顧客確認、記録保管を義務化するよう立法者に求める公開書簡です。
Foundation for American Innovationの説明では、同団体の研究者らがこの公開書簡の共同主催者であると説明されています。2026年6月6日時点で、署名者にはAI企業の幹部、DNA合成事業者、生命科学研究者、国家安全保障や政策の専門家などが含まれています。
ここで注意したいのは、署名者の肩書と所属が並んでいても、それが必ずしも所属組織としての公式な賛同を意味するわけではない、という点です。この記事でも、各社の正式な共同声明としてではなく、肩書付きで署名した個人・関係者を含む公開書簡として扱います。
共同書簡の主張をかなり絞って言うと、次のようになります。
- 合成DNA/RNAをオンラインで注文できることは、研究や医療に大きな価値をもたらしてきた
- 一方で、合成核酸の供給網は、以前からバイオセキュリティ上の統制点として認識されてきた
- AIの進歩により、専門知識の壁が下がる可能性がある
- だから、注文内容のスクリーニング、顧客の正当性確認、記録保管を義務化すべきだ
つまりこれは、AIモデルそのものを止める話ではありません。AIが悪用される可能性がある領域で、物理世界に影響が出る手前の供給網に統制点を置く話です。
共同書簡が求めているのはAI停止ではなく合成核酸の統制
合成核酸スクリーニングは、今回いきなり出てきた論点ではありません。
米国では、2024年の OSTP Framework for Nucleic Acid Synthesis Screening でも、合成核酸の注文スクリーニング、顧客の正当性確認、記録保管、サイバーセキュリティ/情報セキュリティなどが扱われています。このFrameworkは、連邦政府の生命科学研究資金を受ける調達に関する条件として、一定のスクリーニングを行うProvider/Manufacturerから調達することを求める方向性を示していました。
ただし、この点は現行制度の説明として読むと危険です。2025年5月5日の Executive Order 14292 は、2024年のFrameworkを90日以内に改訂または置換するよう求めています。この記事では、2024年時点で合成核酸スクリーニングがどのような統制点として整理されていたかを示す背景資料として扱います。
また、S.3741として提出された Biosecurity Modernization and Innovation Act of 2026 は、2026年1月29日に米国上院へ提出され、Commerce, Science, and Transportation委員会に付託されたものとしてGovInfoに記録されています。成立済みの法律ではありません。この記事では、法的助言ではなく、AI時代の統制点を考えるための政策的背景として扱います。
この文脈で見ると、共同書簡は「AIが怖いからAIを止めよう」ではなく、「AIの進歩で既存の統制点の重要度が上がったので、そこを法的に揃えよう」という主張に近いです。
ここが、企業のAI利用にもかなり参考になります。
社内でAIを使うときも、モデルの賢さだけを見ていると話が空中戦になります。実際には、AIがどのデータへアクセスし、どの権限で動き、どの外部サービスへ接続し、どの操作を実行し、どのログが残るのかを見なければいけません。
AIリスクの話は、モデル単体ではなく、モデルが現実に影響する前後の接点で見た方が実務に落ちます。
なぜAnthropicのスローダウン提案と同じ文脈で読むのか
Anthropicの When AI builds itself は、共同書簡とは別の文書です。
この文書では、AIがAI開発を加速しているというAnthropic自身の観測が説明されています。たとえばAnthropicは、自社エンジニアが2021年から2025年の平均と比べて、四半期あたり平均8倍のコードを出荷している、としています。これは同社の内部データに基づく主張であり、測定方法や企業側の利害も考慮して読む必要があります。
そのうえでAnthropicは、フロンティアAI開発について、社会構造やalignment研究が追いつくために、検証可能な形でスローダウンまたは一時停止できる選択肢がある方が望ましい、という趣旨の主張をしています。
この種の不安は、今回突然出てきたものではありません。イーロン・マスクもかなり早い時期から、AIが人間の制御を超える可能性や、事後対応では遅いというリスクを繰り返し指摘してきました。たとえば2015年には Future of Life InstituteのAI安全研究に関する公開書簡 に署名しており、2017年のNational Governors Associationでの発言 でも、AI規制は反応的に始めるのでは遅いという趣旨の警告をしています。
ただし、本稿で大事なのは、マスクの見立てが正しかったかどうかを評価することではありません。抽象的な「制御不能なAI」への不安を、どの訓練、どの権限、どの外部接続、どのログ、どの停止条件で扱えるのかに分解することです。
重要なのは、Anthropicが単独停止を現実的な解決策として強く置いているわけではないことです。同社は、単独で止まっても他の開発者が先行するだけなら安全性は高まらない可能性がある、と書いています。意味のあるスローダウンや一時停止には、複数のフロンティアラボ、複数国、同じ条件、検証可能性が必要だという整理です。
生物兵器リスクの共同書簡とAnthropic文書は、対象がまったく違います。
しかし、どちらも「速すぎるAIに対して、どこで止められるのか」を問うています。
前者は、合成核酸の注文という比較的具体的な統制点を見ています。後者は、フロンティアAI開発の訓練実行や停止条件を、どう検証可能にするかを見ています。
この差は大きいです。合成核酸の注文は、事業者、注文、顧客確認、記録保管という接点が見えやすい。一方で、フロンティアAIの訓練実行は、計算資源や研究開発の実態をどう検知・検証するかが難しい。
だからこそ、企業のAI利用でも「どの統制点は見えるのか」「どの統制点はまだ見えていないのか」を分けて考える必要があります。
AIリスクを「統制点」で見る
この記事でいう統制点とは、AIが何かを実行する前後で、人間やシステムが検知、承認、制限、記録、停止できる接点のことです。
ざっくり整理すると、次のようになります。
| リスク領域 | 介入できる統制点 | 企業内での読み替え |
|---|---|---|
| バイオセキュリティ | 合成核酸の注文、顧客確認、記録保管 | 外部サービスへの注文、発注、API実行を誰が承認するか |
| フロンティアAI開発 | 訓練実行、計算資源、停止条件、第三者検証 | 高リスクなAI利用をどの条件で止めるか |
| AIエージェント | ID、権限、外部API、支払い、コード実行 | 人間ではない業務主体に何を許すか |
| SaaS AI | データ入力、コネクタ、保持、学習利用、監査ログ | どのデータをどのサービスへ載せるか |
| セキュリティ運用 | 検知、トリアージ、修復、例外処理 | 自動化してよい操作と人間承認を残す操作を分ける |
この見方は、ゼロトラストの基本思想とも相性がよいです。ゼロトラストは「全部信じない」という標語ではなく、守るデータ、業務主体、アクセス文脈、管理策、例外、ログを継続的に設計する考え方です。
AIにも同じことが起きています。
この話を少しSFっぽく言えば、「スカイネットが怖い」という感覚にも近いです。ただし、その比喩を「AIが意思を持つか」の話だけで終わらせると、実務では扱いにくくなります。
弊社ブログの 社内SlackのAI Chatbotが特定の人にしか返事をしなくなりスカイネット爆誕5秒前 でも、タイトルはかなりネタ寄りですが、実際に見ているのはSlackの権限、Azure Blob Storageの参照、アプリログ、コード修正です。AIが暴走したかどうかではなく、どこで状態を確認し、どのログで説明し、どの実装を直せるかを見る。今回の記事でいう統制点も、かなり地味ですがそこにあります。
人間の社員、業務委託、SaaS、APIキー、OAuthアプリ、AIエージェント、MCPサーバー、RAGのデータソース。これらが同じ業務プロセスの中で動くなら、統制点も横断して設計しなければいけません。
この話は、弊社ブログの AIエージェントが決済する時代のIDと権限制御 でも扱った論点に近いです。AIが決済や発注のような外部影響のある操作へ進むなら、「誰として動くのか」「いくらまで使えるのか」「誰が承認するのか」「どのログが残るのか」を先に決める必要があります。
企業のAI利用で確認したい統制点
情シスやセキュリティ担当が今回のニュースから持ち帰るなら、最初にやるべきことは「AIを止めるかどうか」を決めることではないと思います。
まず、自社でAIがどこに入り始めているかを棚卸しする方が現実的です。
確認したいのは、たとえば次のような項目です。
| 確認項目 | 何を見るか | なぜ必要か |
|---|---|---|
| 利用サービス | ChatGPT、Claude、Microsoft 365 Copilot、SaaS組み込みAI、独自AIエージェントなど | どの契約、どの管理画面、どのログを見るべきかが変わるため |
| データ分類 | 個人情報、顧客情報、契約情報、ソースコード、社内ナレッジ | 入れてよいデータと、別の承認が必要なデータを分けるため |
| 業務主体 | 社員、管理者、委託先、AIエージェント、NHI | 誰の責任で操作されたのかを説明するため |
| 権限 | 読み取り、書き込み、送信、発注、支払い、削除 | 高影響操作に人間承認や上限を置くため |
| 外部接続 | API、MCP、OAuthアプリ、SaaSコネクタ、Webブラウザ操作 | AIの出力が外部システムへ流れる場所を把握するため |
| 記録 | プロンプト、実行ログ、承認ログ、変更履歴、支払い履歴 | 後から説明、監査、再発防止ができるようにするため |
| 停止条件 | 予算超過、誤操作、異常検知、インシデント、契約変更 | 何が起きたら止めるかを事前に決めるため |
この棚卸しは、AIだけの特別な作業ではありません。SaaS管理、ID管理、データガバナンス、委託先管理、購買管理の延長です。
弊社ブログの AIに個人情報を入れてはいけない、で思考停止していないか でも、AI利用を単純な禁止/許可ではなく、サービス、契約、用途、データ分類、得られる効果、受け入れるリスクの妥協ラインとして整理しています。今回の話も同じです。
「AIが危ないから禁止」だけでは、現場は別の正規でないルートを探します。逆に「便利だから自由に使ってよい」だけでは、どのデータがどこへ行き、どの操作が誰の責任で実行されたのかを説明できなくなります。
統制は、業務を止めるためではなく、安全に進む道を用意するために置くものです。
防御側を速くする視点も必要
もう一つ、今回のニュースで見落としたくないのは、防御側を速くする視点です。
防御側の取り組みとして、Anthropicは Project Glasswing で、重要ソフトウェアの脆弱性発見と防御側の適応について説明しています。
もちろん、これはAnthropic自身の発信です。効果や安全性をそのまま鵜呑みにする話ではありません。
ただ、AIリスク対応を「止める」だけで考えると、防御側の速度が置き去りになります。攻撃側や悪用側の能力が上がるなら、防御側も検知、評価、修復、教育、監査を速くしなければいけません。
企業のAI利用でも同じです。AI利用を一律に遅くするのではなく、高リスクな操作には承認や上限を置き、低リスクで効果の大きい作業には正規ルートを用意する。そうしないと、現場は便利な非公式ルートへ流れます。
これは、Anthropicが発表したゼロトラスト「Zero Trust for AI agents」解説 で扱った、AIエージェントを新しい業務主体として扱う話にもつながります。AIエージェントを使うなら、止める設計だけでなく、安全に使える経路を作る設計が必要です。
この話を過度に単純化しないための注意点
今回の共同書簡は、AI企業の幹部、バイオテクノロジー関係者、研究者、政策関係者が同じ方向を向いたように見えるため、かなり強いメッセージに見えます。
しかし、企業ブログとしては、いくつかの注意点を残しておきたいです。
1つ目は、規制を求める企業側にも利害があることです。
これは「だから主張が間違っている」という意味ではありません。むしろ、強い技術を持つ企業がリスク低減策を提案すること自体は重要です。ただし、規制は市場構造、競争、コスト負担にも影響します。誰にとって負担が大きく、誰にとって参入障壁になるのかは、別途見なければいけません。
2つ目は、スクリーニングや記録保管が万能ではないことです。
共同書簡が求める対策は、統制点として分かりやすい一方で、すべてのリスクを消すものではありません。対象範囲、実装品質、例外、国際的な供給網、プライバシー、研究者や小規模事業者への負担など、現実の運用課題が残ります。
3つ目は、AI開発のスローダウンも、言うほど簡単ではないことです。
Anthropic自身も、意味のあるスローダウンや一時停止には、複数のラボ、複数国、共通条件、検証可能性が必要だと書いています。企業利用に置き換えても同じで、「AI利用禁止」と書くだけでは止まりません。どのSaaSで、どのログで、どのネットワークで、どの支払いで、どの権限で止めるのかまで決める必要があります。
4つ目は、日本企業がこの米国の議論をそのまま法務判断へ持ち込まないことです。
この記事は米国法の解説ではありません。日本企業にとっての示唆は、法案の条文そのものよりも、AI時代のリスクを供給網、ID、権限、ログ、承認、停止条件へ分解する考え方にあります。
AIリスクを経営判断として扱うなら、技術部門だけで完結しません。何を許可し、何を禁止し、どこに人間判断を残し、どこまでのリスクを受け入れるかは、経営と専門部門が一緒に決める必要があります。このあたりは、弊社ブログの 情シス・情報セキュリティはどう経営と対話すればいいのか でも整理しています。
まとめ
今回のAIバイオセキュリティの共同書簡は、単に「AIが危ない」というニュースではありません。
私が重要だと思うのは、リスクの入口がかなり具体的に示されていることです。合成核酸の注文、顧客確認、記録保管。ここには、現実に管理できる接点があります。
一方で、Anthropicが触れているフロンティアAI開発のスローダウンは、検証可能性が難しい領域です。誰が止まったのか、どの条件で止まったのか、裏で進んでいないことをどう確認するのか。こちらは、統制点そのものを作る難しさが前面に出ます。
企業のAI利用は、その中間にあります。
AIエージェント、SaaS AI、社内ナレッジ検索、コード生成、自動化、外部API連携。これらはすでに現場へ入っています。だからこそ、情シスやセキュリティ担当が最初に見るべきなのは「AIを使うか、使わないか」だけではありません。
まず見るべきなのは、どこで検知できるか、どこで承認できるか、どこで記録できるか、どこで止められるかです。
AIは速くなっています。だからこそ、統制も速く、説明可能で、現場が使える形にしておく必要があります。
禁止するだけでは足りません。自由に使わせるだけでも足りません。
安全に進む道を用意すること。今回のニュースから、企業のAIガバナンスに持ち帰るべき論点はそこだと思います。
