MCP企業向け認可レイヤー入門:フィリピン日系企業のAIエージェント連携を一元管理
MCPの企業向け認可レイヤーをわかりやすく解説。AIエージェントとツール連携をIDプロバイダーで一元管理する仕組みと、フィリピン進出日系企業での導入手順や失敗対策、NPC対応の注意点を実務目線でまとめました。
運営者・AIエンジニア / IT歴36年以上・マニラ在住13年以上
MCPに企業向けの認可レイヤーが登場:AIエージェントとツール連携をIDプロバイダーで一括管理する
AIエージェントと業務ツールの連携を、IDプロバイダーで会社が一括管理する新しい仕組みを解説します。フィリピン拠点での安全な導入手順を学べます。
Part 1: このテーマが重要な理由
Step 1: フィリピンビジネスでの背景 (3分)
フィリピンは、世界でも有数のBPO(ビジネス・プロセス・アウトソーシング、業務の外部委託を請け負う産業)の集積地です。マニラやセブには、コールセンターや、経理のシェアードサービス、ITヘルプデスクなど、多くの日系企業の拠点が並んでいます。こうした拠点では、たくさんの業務ツールを社員が日々使い分けています。
いま注目されているのが、AIエージェント(人に代わって作業をこなすAIのプログラム)を、こうした業務ツールにつなぐための共通の仕組みであるMCP(Model Context Protocol)です。今回のニュースでは、企業がこのつなぎ込みを一括で管理できる新しい仕組みが正式版になりました。Anthropic と Microsoft が、自社のクライアント製品でいち早くこの仕組みに対応しました。
フィリピンに進出する日系企業にとって、この話は遠い技術ニュースではありません。社員一人ひとりが個人の判断でAIとツールをつないでしまうと、誰が何にアクセスしているかを会社が把握できなくなります。フィリピンには個人情報を保護する法律があり、その運用を担うNPC(National Privacy Commission、国家プライバシー委員会)が管理体制を求めています。連携を会社として一元管理できる仕組みは、こうした要請に応える土台になります。
マニラのオフィスで、IT責任者があなたにこう尋ねる場面を想像してください。「社員が好きなAIツールを業務システムに勝手につないでいるようなんです。これ、本社の監査が入ったら説明できますか」。あなたは今日学ぶこの記事を思い出し、こう答えます。「ちょうど良い仕組みが正式版になりました。社員のログイン情報を一元管理するサービスを使って、誰が何につなげるかを会社側で決められるようになります。来週の定例で資料を共有しますね」。
Step 2: 元記事の要点を整理する (5分)
元記事で報じられた主な事実を、学習用に表へ整理しました。
| 項目 | 内容 |
|---|---|
| 新しい仕組み | MCPの「Enterprise-Managed Authorization(企業が管理する認可)」拡張が正式版(stable)になりました |
| いち早く対応した企業 | Anthropic と Microsoft が、自社のクライアント製品でいち早く対応しました |
| 対応した製品 | Claude、Claude Code、Claude Cowork、Visual Studio Code が対象です |
| 最初のIDプロバイダー | Okta が、最初に対応したID提供元(社員のログイン情報を一元管理するサービス)です |
| 技術の土台 | ID-JAG という、IETF(インターネット技術の標準化団体)で草案として進む新しい仕組みを使っています |
| Okta独自の名称 | Okta はこの仕組みを「Cross App Access」という名前で提供しています |
| 今後対応する企業 | Asana、Atlassian、Canva、Figma、Granola、Linear、Supabase が対応し、Slack なども近く加わる予定です |
| 開発者向けの動き | Okta は開発者向けの基盤である Auth0 にも、この仕組みを標準で組み込む予定です |
出典: The New Stack — 「MCP gets its missing enterprise authorization layer」(2026年6月18日)
この表は学習目的で公開情報の事実をもとに作成したものです。詳細は上記リンクの元記事をご確認ください。
Step 3: 理解度チェック (5分)
学んだ内容を、次の5問で確認しましょう。
Q1. 今回正式版になったMCPの拡張は、どのような目的の仕組みですか。
ヒント: 社員が一つひとつ手作業でツールにつなぐ手間と、会社が一元管理できない問題を思い出してください。
Q2. この仕組みにいち早く対応した2社はどこですか。
ヒント: AIの会社と、Windowsで知られる会社です。
Q3. 最初に対応したIDプロバイダー(社員のログイン情報を一元管理するサービス)はどこですか。
ヒント: 「Cross App Access」という名前でこの機能を提供している会社です。
Q4. 今回の仕組みで、社員がツールにつなぐときに従来のような承認画面のクリックが不要になるのはなぜですか。
ヒント: 会社のログインで本人とアプリの両方を保証する「証明書のようなもの」が、裏側で受け渡しされます。
Q5. この仕組みは「誰が何につなげるか」を決めますが、決めない部分もあります。それは何ですか。
ヒント: 個々の操作を「その場で許すかどうか」は、別の仕組みが担います。
関連: AIエージェント元年——フィリピン日系企業が2026年に取り組む技術と活用法 で詳しく解説しています。
Part 2: 実務への応用
Step 4: フィリピンでの導入ステップ (10分)
フィリピンの拠点でこの仕組みを取り入れる場合の進め方を、5つのステップにまとめました。
| ステップ | やること | フィリピン特有の注意点 |
|---|---|---|
| 1. 現状の棚卸し | 拠点で使っているAIツールと業務システムの一覧を作ります | 口頭での合意で導入されたツールが多い土地柄です。書面に残っていない利用も洗い出しましょう |
| 2. IDプロバイダーの選定 | 社員のログイン情報を一元管理するサービスを決めます | 月額の費用はドル建てが多く、ペソに換算すると為替で変動します。年間の予算化では余裕を持たせましょう |
| 3. 管理方針を決める | どの部署が、どのツールにつなげてよいかを会社として決めます | NPC(国家プライバシー委員会)が求める管理体制に沿う形で、責任者を明確にします |
| 4. 段階的に展開する | まず小さなチームで試し、問題がなければ全社に広げます | 現地スタッフへの説明会を必ず開きます。英語とタガログ語の両方で資料を用意すると伝わりやすくなります |
| 5. 記録と見直し | 誰が何につないだかの記録(監査ログ)を残し、定期的に見直します | 退職者が出たら、その社員の連携も同時に止まる運用にします。フィリピンは人材の流動が大きいため特に重要です |
各ステップで大切なのは、現地のIT責任者と一緒に進めることです。本社の方針をそのまま持ち込むのではなく、拠点の業務の流れに合わせて調整しましょう。
関連: フィリピンでAIを導入したい日本人経営者が知るべき実践ガイド で詳しく解説しています。
Step 5: よくある失敗と対策 (5分)
フィリピンでこのテーマに取り組むときに起きやすい失敗を3つ紹介します。
失敗パターン1: 「社員任せの個別接続を放置する」
社員それぞれが好きなAIツールを業務システムに勝手につないでしまい、会社が全体像をつかめなくなる失敗です。後から監査が入ったときに、誰が何にアクセスしているかを説明できません。
NG例: 便利だからと、各自の判断でツール連携を許してしまい、一覧も作っていない。
OK例: 会社として接続を一元管理する仕組みを先に整え、許可した範囲の中で社員が使えるようにします。
失敗パターン2: 「個人アカウントと業務アカウントが混ざる」
社員が個人のアカウントを業務ツールにつないでしまい、会社の情報が個人の管理下に移ってしまう失敗です。退職時にアクセスを止めきれず、情報が残ってしまう危険があります。
NG例: 個人と業務の区別をルール化せず、社員に任せたままにしておく。
OK例: 会社が連携を管理する仕組みを使い、業務には会社のログイン情報だけを使う運用にします。
失敗パターン3: 「事故の報告を本社にだけ上げて現地対応が遅れる」
情報漏洩などのセキュリティ事故が起きたとき、本社への報告を優先しすぎて、現地の法令対応が後回しになる失敗です。フィリピンではNPCへの通知が求められる場合があり、遅れると問題になります。
NG例: セキュリティ事故を本社にだけ報告し、NPCへの通知のことを失念してしまう。
OK例: 事故が起きたときの初動の手順書を、本社報告とNPC通知の両方を含めて事前に作っておきます。
Part 3: さらに深く学ぶ
Step 6: 関連する技術用語 (5分)
元記事に登場する重要な用語を5つ取り上げます。
MCP(Model Context Protocol/モデル・コンテキスト・プロトコル)
AIエージェント(人に代わって作業するAI)を、社内のさまざまな業務ツールにつなぐための共通の決まりごとです。フィリピンのBPO拠点では、AIがコールセンターの応対記録システムや顧客管理システムに安全につながることで、問い合わせ対応の下準備を自動で進められるようになります。
IDプロバイダー(identity provider/ID提供元)
社員のログイン情報を一社で一元管理し、どのサービスにアクセスできるかを決める役割を担うサービスです。マニラの拠点で社員が一度ログインすれば、許可された業務ツールにそのまま入れるようになり、現地のIT担当者が出入りを一カ所で把握できます。
シングルサインオン(single sign-on/一度のログインで複数サービスを使う仕組み)
一度ログインするだけで、許可された複数のサービスを追加のログインなしで使えるようにする仕組みです。セブの経理拠点で、社員が朝一回ログインすれば、その日の業務システムに承認画面を何度もクリックせずに入れるため、手間と入力ミスが減ります。
OAuth(オーオース/アプリ同士のアクセス許可を受け渡す標準的な仕組み)
あるアプリが別のサービスのデータにアクセスしてよいかを、本人の許可を得て受け渡すための広く使われている仕組みです。これまでフィリピンの拠点でも、社員がツールをつなぐたびに承認画面をクリックしていましたが、今回の新しい仕組みではこのクリックが要らなくなります。
ID-JAG(Identity Assertion JWT Authorization Grant/ID証明にもとづく認可付与)
会社のログイン時に、本人とアプリの両方を保証する「証明書のようなもの」を受け渡し、それをもとにツールへのアクセス権を得る新しい技術です。これは特定企業だけのものではなく公開された標準なので、フィリピンの拠点が将来ほかのIDプロバイダーに乗り換えても、同じ考え方で連携を続けやすくなります。
Step 7: 自社への応用を考える (10分)
次の3つのテーマを、社内で話し合ってみましょう。
拠点で使っているAIツールの全体像を見えるようにする
考えるヒント: フィリピンの拠点で、いま誰がどのAIツールを業務システムにつないでいるかを、あなたは一覧で説明できますか。口頭の合意だけで始まった利用が隠れていないかを確認しましょう。
退職時にアクセスを確実に止める仕組みを整える
考えるヒント: 人材の流動が大きいフィリピンでは、退職した社員の連携が残ると危険です。退職手続きと、ツール連携の停止が同時に進む流れになっているかを点検しましょう。
本社と現地でセキュリティ事故への対応を分担する
考えるヒント: 情報漏洩などの事故が起きたとき、本社への報告と、NPCへの通知を、それぞれ誰がいつ動くかが決まっていますか。連絡の順番を紙に書き出してみましょう。
次のアクション: まずは拠点で使っているAIツールと業務システムの一覧を、現地のIT責任者と一緒に1枚の表にまとめてみましょう。全体像が見えると、どこから手をつけるべきかがはっきりします。
Part 4: FAQ
Q1. フィリピンの小さな拠点でも、こうした仕組みは必要ですか。
規模が小さくても、社員が複数のAIツールを使うなら検討の価値があります。フィリピンは人材の入れ替わりが多いため、退職時にアクセスを確実に止められる仕組みは、拠点の大小を問わず役立ちます。まずは使っているツールの数を数えるところから始めましょう。
Q2. 導入にはどれくらいの費用がかかりますか。
IDプロバイダーの利用料はドル建てが多く、ペソに換算すると為替で金額が変わります。社員数に応じた月額の料金体系が一般的です。年間の予算を立てるときは、為替の変動を見込んで少し余裕を持たせると安全です。正確な金額は、選ぶサービスや人数によって変わります。
Q3. 日本の本社のルールを、そのままフィリピン拠点に適用してよいですか。
基本の方針は共有すべきですが、現地の業務の流れや法律に合わせた調整が必要です。フィリピンにはNPC(国家プライバシー委員会)が運用する個人情報保護の法律があり、日本とは通知の要件などが異なります。現地のIT責任者と相談しながら、拠点に合わせた版を作りましょう。
Q4. 現地スタッフへの説明はどう進めればよいですか。
英語とタガログ語の両方で資料を用意し、具体例を見せながら説明会を開くと伝わりやすくなります。フィリピンでは口頭での合意が重んじられる場面も多いため、書面だけで済ませず、対面で質問を受ける時間を必ず取りましょう。新しい仕組みの利点を、社員自身の手間が減るという視点で伝えると納得が得やすくなります。
Q5. この仕組みを入れれば、AIの操作はすべて安全になりますか。
いいえ、この仕組みが決めるのは「誰が何につなげるか」までです。個々の操作をその場で許してよいかどうかは、エージェントとツールの間に置かれる別の仕組みが判断します。つまり、つなぐ入り口の管理と、操作ごとの許可は別物です。両方をそろえて初めて、安心して使える状態になります。
活用のコツ(3 Tips)
まず「つないでいるツールの一覧」を1枚にまとめる
何を管理すべきかは、現状が見えないと決められません。フィリピンの拠点で誰がどのAIツールを業務システムにつないでいるかを、現地のIT責任者と一緒に1枚の表にしましょう。隠れた利用が見えると、優先順位が自然と定まります。
退職手続きとアクセス停止を同じ流れにする
人材の流動が大きいフィリピンでは、退職者の連携が残ることが大きな危険になります。退職の手続きを進めると、その社員のツール連携も同時に止まる運用にしておきましょう。あとから手作業で消す方式は、抜け漏れが起きやすいため避けます。
事故が起きたときの初動の手順書を先に作る
情報漏洩などの事故は、起きてから考えると対応が遅れます。本社への報告と、NPC(国家プライバシー委員会)への通知の両方を含めた手順書を、平常時に用意しておきましょう。誰がいつ動くかを紙に書いておくと、いざというとき迷いません。
ボーナス: PH AI Worksの活用法
PH AI Works は、フィリピンでのAIとテクノロジーの活用を支援する企業です。今回のテーマである、AIエージェントと業務ツールの安全なつなぎ込みや、現地の事情に合わせた管理体制づくりについて、日系企業の目線でお手伝いします。
次のステップとして、たとえば以下のような内容をご相談いただけます。
- 拠点で使っているAIツールと業務システムの棚卸しと、一覧表づくりの進め方
- NPC(国家プライバシー委員会)の要請を踏まえた、現地に合った管理方針の整理
- 現地スタッフ向けの説明会の組み立てや、英語とタガログ語の資料づくりの考え方
まずはお気軽にお問い合わせください。無料でご相談いただけます。
参考・出典
この記事を書いた人
運営者 / AIエンジニア(IT歴36年以上)
- ●東京都出身・マニラ在住13年以上
- ●IT歴36年以上(開発・SEO・AI)
- ●IBM認定 生成AIエンジニア
- ●AIチャットボット・RAG・AIエージェント開発
IT歴36年以上、マニラでの実務経験13年以上の日本人AIエンジニア(運営者)です。AIチャットボットや業務自動化、AIエージェント、生成AIマーケティングなど、フィリピンの日系企業が「成果に直結するAI」を導入できるよう、現場目線で記事を書いています。ご相談は日本語・英語どちらでも対応します。