業務に潜む「シャドー AI」の実態と対策-見えない生成AI利用が企業にもたらすリスクとは

生成AIが職場に急速に浸透する中、「シャドーAI（Shadow AI）」という新たな課題が注目されています。これは、従業員が企業に無断でAIツールを業務に利用する現象を指し、セキュリティ、ガバナンス、業務効率に深刻な影響を与える可能性があります。

Software AGの最新ホワイトペーパーによると、調査対象となった米英独の知識労働者6,000名のうち、75％がAIを業務に活用しており、その半数以上が個人で選んだ非公認のツールを使用していることが明らかになりました。

シャドーAIとは？

「シャドーAI」は、社内で正式に承認されていないAIツールや生成AI（GenAI）を、従業員が個人的に導入・使用する行為を指します。

これらのツールは、生産性向上を目的に使われることが多い一方で、企業のIT部門の監視が及ばないため、セキュリティ上のリスクや情報の正確性の問題、組織全体の業務プロセスの分断などを引き起こす要因となっています。

実際、Harmonic Security社の研究者たちは、Microsoft Copilot、OpenAI ChatGPT、Google
Gemini、Anthropic Clause、Perplexityなどの複数の生成AIツールについて、ユーザーから入力された数千件のプロンプトを分析しました。

その結果、これらのツールを利用する従業員の多くは、文章の要約やブログの編集といった比較的単純なタスクを目的としている一方で、約9％のプロンプトに機密情報が含まれていたことがわかりました。

なぜ従業員は無許可のAIを使うのか？

調査では、53%の従業員が「自分の好きなツールを使いたい」と回答しており、企業が提供するツールの選択肢が限定的であることに不満を抱いていることもわかっています。さらに、33%の従業員は「業務に必要なツールが提供されていない」ことを理由に独自ツールを使用しています。

さらに調査では、こうしたツールの利用を禁止された場合でも、およそ半数の従業員が「使い続ける」と回答しています。つまり、利便性がリスクを上回ると感じているのです。

こうした状況は、単なる“規則違反”というよりも、現場とIT部門の間にあるギャップが引き起こす構造的な問題とも言えるでしょう。

なぜ従業員は非公認のAI(シャドーAI)を使うのか？

調査では、知識労働者の多くが以下の理由でシャドーAIを活用していることが示されました

• 時間の節約（83%）

• 業務の効率化（81%）

• 成果を上げやすくするため（71%）

• 昇進につながると考えている（47%）

• AIを使わないことで置いていかれる不安（FOMO）（40%）

画像：Software AG

たまにAIを利用するユーザーは対策が甘い

多くのホワイトカラーが生成AIを利用する事によるリスクに気づいています。

実際調査対象は生成AIを利用する事にるリスクで、以下のようなリスクを認識しています。

• サイバーセキュリティ（72%）
• データガバナンス（70%）
• 不正確な情報（67%）

一方で、AIを利用する前に、EDRなどでセキュリティスキャンを実行するユーザーは27%、データ利用ポリシーを確認するユーザーは29%にとどまり、リスク認識はあっても行動が伴っていない実態が浮き彫りとなっています。

特に注意すべきは「たまに使うAIを使うユーザー層」で、リスクを認識しつつも対策が甘く、業務の整合性を脅かす危険性が高いとされています。

一方、日常的にAIを使うユーザーは、データ利用ポリシーを確認する割合が50%高く、セキュリティスキャンを実行する割合も65%高くなっています。

日本でも利用が進む生成AI

一般財団法人日本情報経済社会推進協会(JIPDEC)と株式会社アイ・ティ・アールは、国内企業1,110社のIT戦略策定または情報セキュリティ施策の従事者を対
象に、2025年1月に共同で実施した『企業IT利活用動向調査2025』で、45%の企業が生成AIを利用。電子メールや資料作成など日常業務の利用では80%超が効果を認識しています。

生成AI利用者の増加の多くは「時々使う」ユーザーによるものとなるでしょう。それによって企業が直面するリスクはさらに悪化する可能性があります。

企業にとって「シャドーAI」の存在はすでに避けられない現実です。今、考えるべきは「次にどうするか」を考える必要があります。

一部参照

https://newscenter.softwareag.com/en/news-stories/thought-leaders-stories/shadow-ai.html