AIの今を知り、使い方を学べる「Aibrary(アイブラリー)」- ニュース・コラム・活用ヒントがそろう知識の棚
> 掲載希望の企業のみなさまへ

会社に内緒でAIを使う人が急増中

会社に内緒でAIを使う人が急増中

「ちょっとだけなら大丈夫」と、会社が許可していないAIツールを業務で使ったことはありませんか。調査によれば、企業で働く人の40〜65%が、IT部門の承認なしにAIを業務利用しています。
このような行為は「シャドーAI」と呼ばれ、情報漏洩や法律違反のリスクをひそかに生み出しています。気づかないうちに会社と自分自身を危険にさらしているかもしれません。

【出典元】Shadow AI risks deepen as 31% of users get no employer training | Help Net Security

目次

65%の従業員が会社に内緒でAIを使う

「会社はAI禁止だけど、誰も見ていないから大丈夫」——そう思って使っている人は、あなただけではありません。

複数の調査によれば、企業で働く人の40〜65%が、IT部門や会社から正式に承認されていないAIツールを業務で使用しています。さらに半数以上が、顧客情報や社内の機密データをそのAIに入力したことがあると回答しています。

MITの調査では、90%以上の企業の従業員が業務に個人のAIアカウントを使っている一方、公式なAIツールを提供している企業はわずか40%にとどまっています。つまり「使いたいのに公式ツールがないから、個人のアカウントで代用している」というケースが大半を占めているのです。

このような、会社が承認していないAIの業務利用は「シャドーAI」と呼ばれています。かつて問題になった「シャドーIT(会社非公認のITツール利用)」のAI版として、生成AIの普及とともに急速に広がっています。

情報漏洩から法律違反まで起きるリスク

シャドーAIが問題なのは、単なるルール違反に留まらず、実際に深刻な被害につながりうるからです。主なリスクを見てみましょう。

情報漏洩
無料や個人向けのAIサービスに入力したデータは、サービスの学習データとして利用されたり、サーバーに保存されたりする場合があります。
顧客名・取引情報・社内の財務データなどを入力すれば、それが外部に流出するリスクがあります。実際に海外では、従業員がChatGPTに機密コードを貼り付けたことで情報が流出した事例が報告されています。

個人情報保護法・GDPRへの抵触
顧客や取引先の個人情報を未承認のAIに入力することは、個人情報保護法やEUのGDPR(一般データ保護規則)に抵触する可能性があります。企業が罰則を受けるだけでなく、担当した個人も責任を問われるケースがあります。

誤情報の拡散
生成AIは「ハルシネーション」と呼ばれる誤情報を出力することがあります。AIの回答を確認せずに業務で使えば、誤った情報を顧客や社外に提供してしまう恐れがあります。

2026年の新たな脅威:シャドーオペレーション
さらに2026年には、シャドーAIが「シャドーオペレーション」へと進化しつつあります。従業員が会社の許可なく独自のAIエージェント(自律的に動くAI)を作り、企業データを自動処理させるケースが増えています。

IT部門の目が届かない場所で重大なデータ処理が行われるリスクが新たな問題として浮上しており、専門家は「データ漏洩よりも業務混乱のリスクが大きい」と警鐘を鳴らしています。

なぜなくならないのか、企業側の問題も

シャドーAIが広がる背景には、従業員側の問題だけでなく、企業側の課題もあります。

最大の原因は「公式ツールの不足」です。AIを業務に使いたい従業員は増えているのに、会社が認めるAIツールを整備している企業はわずか40%です。使いたいのに使える環境がなければ、個人のアカウントで代用するのは自然な流れといえます。

また、ガバナンス(管理体制)の遅れも深刻です。AIの利用ルールや指針を整備している組織はわずか37%にとどまり、63%は何のルールもない状態で運用されています。「何がOKで何がNGか」が明確でなければ、従業員は自己判断で動くしかありません。

Lenovoが6,000人を対象に実施した調査では、AIのトレーニングをまったく受けていない従業員が31%に上ることも明らかになっています。リスクを知らないまま使えば、悪意がなくても情報漏洩は起きます。AIリテラシー教育が追いついていない現状が、シャドーAIを生む土壌になっています。

個人と企業ができる現実的な対策

シャドーAIを完全になくすことは難しいですが、リスクを大幅に減らすことはできます。

個人でできること

  • 業務データ(顧客名・売上・社外秘情報)は、会社が承認したAI以外に入力しない
  • 承認済みのAIでも、入力前に「外に出てはいけない情報ではないか」を確認する
  • AIの出力はそのまま使わず、事実確認をしてから業務に反映する

企業でできること

  • 公式なAIツールを整備し、従業員がシャドーAIに頼らずに済む環境をつくる
  • 「何に使ってよいか・いけないか」を明確にしたガイドラインを策定する
  • 定期的なAIリテラシー研修を実施する
  • 使用されているAIツールを可視化する管理ツールを導入する

Gartnerは「2030年までに40%以上の企業がシャドーAIに起因するセキュリティ・コンプライアンスインシデントを経験する」と予測しています。AIガバナンスへの投資額は2026年に約4.9億ドルに達し、2030年には10億ドルを超える見通しです。対策のコストより、インシデントへの対応コストの方がはるかに大きくなる可能性があります。

まとめ

シャドーAIは「悪意ある行為」ではなく、多くの場合「便利だから使っている」という無自覚な行動から生まれます。だからこそ、個人も企業も気づかないうちにリスクを抱えているのです。

AIが当たり前の業務ツールになるほど、「会社がルールを作る前に従業員が使い始める」という状況は避けられません。大切なのは禁止することではなく、安全に使える環境と知識を整えることです。

まず自分の会社のAIガイドラインが存在するかどうかを確認し、なければ上司や情報システム部門に相談することが、シャドーAIリスクを減らす最初の一歩です。

関連記事