営業代行チームのAI連携で事故らないAPIキー管理：最小ルール5つ

営業代行でAI活用が進むと、CRM・スプレッドシート・チャット・要約ツールなどを「つなぐ」機会が増えます。そのとき急に重要になるのが、APIキー（トークン）の扱いです。ここが雑だと、技術力より先に信用事故が起きます。

この記事では、小規模（数名〜十数名）でもすぐ回せるAPIキー管理の最小ルールだけに絞って整理します。大げさなセキュリティ体制ではなく、「やるべき順番」と「やってはいけない」を明確にします。

結論：APIキー管理は「保管場所」より“棚卸しと失効”が命

APIキーの事故は、だいたい次のどれかです。

• 誰が作ったか分からないキーが残り続ける
• 退職・担当変更後もキーが生きている
• 権限が強すぎるキーを、あちこちに貼り付けている
• 漏えい時に「止め方」が分からない

つまり、いつでも「一覧」「責任者」「止め方」が分かる状態にするのが最優先です。

最小ルール5つ（これだけは必須）

ルール1：APIキーは「台帳」に登録してから使う

台帳はスプレッドシートで十分です。必須カラムは以下。

• サービス名（例：CRM、要約、メール送信など）
• 用途（どの自動化で使っているか）
• 責任者（担当者Aなど）
• 作成日／更新日
• 権限（読み取りだけ／送信OKなど）
• 失効方法（どこで無効化するか）

※キー文字列そのものは、台帳に直接書かない運用でもOKです（後述）。

ルール2：権限は最小化（できれば読み取り／スコープ限定）

「とりあえず全部OK」は、後から必ず痛みます。特に営業代行は、対外送信や顧客データ更新が絡むので、書き込み権限は慎重に。

• 読み取りだけで成立するなら読み取り
• 対象を特定のプロジェクト／ワークスペースに限定
• 送信系（メール・チャット投稿）は承認フローを別で設ける

ルール3：保管先を1つに固定（個人PC・チャット貼り付け禁止）

小規模でありがちな事故は「DMに貼った」「メモ帳に残した」「過去ログに埋まった」です。おすすめは次のどちらか。

• パスワードマネージャ（共有Vault）
• サーバ側の環境変数（.env等）＋アクセス権を限定

どちらにせよ「見れる人」を絞るのが目的です。

ルール4：棚卸しを月1でやる（“不要キー”を残さない）

棚卸しは最強の安全策です。月1で10分、以下だけ確認します。

• 台帳にないキーが使われていないか
• 使っていない自動化が残っていないか
• 責任者が不明なキーがないか
• 権限が過剰になっていないか

ルール5：漏えい時の“初動”を決める（迷わず止める）

「漏れたかも」と思ったときは、技術的に正しい対応より先に、被害を止めることが優先です。初動のテンプレはこれです。

• 該当キーを無効化（失効）
• 同用途のキーを新規発行（必要なら）
• 影響範囲をメモ（どの自動化・どのデータに触れるか）
• 対外影響がある場合は、案件責任者が一次連絡を判断

よくある質問：AIに貼り付けてもいい？

原則NGです。APIキーは「本人確認そのもの」なので、入力してしまうと回収できません。AIに相談するなら、キーを伏せた状態で「運用ルール」「権限設計」「棚卸しのフォーマット」などに限定するのが安全です。

まとめ

• APIキーは台帳で管理し、責任者と失効方法を必ず紐づける
• 権限は最小化、保管先は1つに固定、チャット貼り付け禁止
• 月1棚卸し＋漏えい初動のテンプレで、事故確率を下げる