先日Zennに公開されたAI SaaSの全工程を体系的に監査して69件の漏れを見つけた話 — 食品表示法準拠からコンテキスト最適化までは、Claude Codeのマルチエージェント体制で開発された飲食店向けAI原価計算SaaS「Genka」の監査記録です。Phase 4(クローズドβ準備)前に全工程を体系的に確認した結果、69件の漏れが発覚。うち12件がP0(即時対応)で、最も深刻だったのは食品表示法が義務づけるアレルゲン情報がPDF出力に一切含まれていなかったという点でした。
この事例を「監査で見つかってよかった」で終わらせると、本質を見失います。なぜ開発段階でこれほどの漏れが生じたのか——その構造に目を向けると、AIアシスト開発固有の失敗パターンが浮かび上がります。
従来の監査が前提にしてきたもの
RD/ED/SD/MF/UT/IT/ST/UATという工程体系は、人間の開発者を前提に設計されています。要件の理解、法的制約の認識、設計時のリスク判断——これらは開発者の暗黙知として工程に組み込まれてきました。
従来の監査は「人が分かって作ったが、詰めが甘かった」ケースを対象にしています。開発者が食品表示法の存在を知らないとか、エージェントが法的文脈を引き継がないとか、そういった前提では設計されていません。
エージェントが生む「義務の無音落下」
マルチエージェント体制によるAI開発には、特有の失敗モードがあります。AIは「実装できること」に引っ張られます。機能仕様の実装は得意ですが、「この機能には法的義務が紐付いている」という文脈を自律的に保持しません。
アレルゲン情報の欠落はその典型です。PDF出力機能は実装された。だが食品表示法の文脈は要件に書かれていなかったか、書かれていてもエージェント間の引き渡しで失われた可能性が高い。「機能の漏れ」ではなく「義務の漏れ」——これがAIアシスト開発の新しい死角です。
記事中で言及される「管理オーバーヘッド50%」という数字も示唆的です。エージェント間の整合を人間が担わなければならない状況は、コンテキストの断絶がシステム的に発生していることを意味します。これは個別のエンジニアリング上の課題ではなく、現状のマルチエージェント開発アーキテクチャ全体が抱える構造的な問題です。
補うべきは、義務の突合チェックだ
従来の監査体系を捨てる必要はありません。工程ごとの成果物確認、優先度付け、P0/P1の分類——これらは今回の69件発見が証明するとおり有効に機能します。
問題は、従来のチェックリストが「法的要件との突合」を独立した確認項目として持っていない点です。人間の開発者は「分かっている前提」で作る。AIエージェントにその前提は成立しません。
実務の対応としては、監査工程に「法的義務が実装の末端まで届いているかの直接確認」を独立して組み込むことが最低ラインになります。「設計書に記載あり」で確認を終えるのではなく、義務の到達を実装レベルで追跡する観点が必要です。AIアシスト開発が広がるほど、この空白が訴訟リスクや行政対応リスクに直結する可能性は高まります。監査体系の問題ではなく、AIアシスト開発に合わせた監査体系のアップデートが、今まさに問われています。
関連記事
- 生成AIの充実はプログラミングスキルを不可欠な要件から除外できるのか?
- Claude APIで自動生成したバイクニュースを毎日X投稿することは、継続可能な運用モデルか?
- LLMのサイバー攻撃能力は防衛技術の進化を上回り続けるのか?
参考文献
コメント