「シャドーAI」が社内に蔓延、従業員による未許可のAI利用をどう管理するか

背景

生成AIの急速な普及に伴い、従業員が会社の許可を得ずに、業務で個人のAIアカウントや未承認のAIツールを利用する「シャドーAI（Shadow AI）」や「BYOAI（Bring Your Own AI）」という問題が深刻化しています。業務効率化や創造的なタスクのためにAIを使いたいという現場のニーズに対し、企業の公式な導入スピードが追いついていないことが主な原因です。従業員は悪気なく、顧客データや会議の議事録、ソースコードなどを無料のオンラインAIツールに入力してしまい、企業のガバナンスが効かない場所で機密情報が処理される事態が常態化しています。特に、生成AIサービスの多くが「入力データを学習に利用する」規約を持っているため、一度入力された機密情報が将来的に他社への回答として出力される「学習汚染」のリスクも懸念されています。

実態

シャドーAIの実態は、IT部門が想定している以上に広がっています。例えば、営業担当者が提案書作成のためにChatGPTの個人アカウントに顧客情報を入力したり、エンジニアがコード生成のためにGitHub Copilotの個人版を利用したり、広報担当者が画像生成AIで著作権リスクのある画像を生成したりするケースです。また、ブラウザの拡張機能として提供されるAIツールや、PDF要約サービス、AI搭載の翻訳サイトなど、一見するとAIとは気づきにくいツールを経由してデータが外部送信されることもあります。これらのサービスの多くは、入力データを学習データとして再利用する規約になっていることがあり、一度入力された機密情報が、将来的に他社への回答として出力される「学習汚染」のリスクを孕んでいます。さらに、未承認のAIツールが生成した誤情報（ハルシネーション）をそのまま業務に使用し、誤った意思決定や顧客トラブルにつながるリスクも無視できません。調査によれば、従業員の70%以上が何らかの形で業務にAIツールを使用しているにも関わらず、企業が把握している利用実態は30%程度に留まっているという報告もあります。

影響と対策

シャドーAIによる影響は、情報漏えいだけでなく、著作権侵害、GDPRなどの法規制違反、AI生成物の品質保証責任など多岐にわたります。対策として「全面禁止」を掲げる企業もありますが、抜け穴を使われるだけで実効性が低いのが現実です。現実的な対策は「可視化」と「安全な代替手段の提供」です。まず、FortiGateやCheck PointのCASB（Cloud Access Security Broker）機能を活用し、社内ネットワークからどのAIサービスへのアクセスがあるかをログ分析で特定します。その上で、リスクの高いサービスへのアクセスをブロックしつつ、企業版ChatGPT（ChatGPT Enterprise）やMicrosoft Copilotなど、データ保護が保証された「公式なAI環境」を従業員に提供します。また、DLP（情報漏えい防止）ポリシーを更新し、AIサービスへの機密データ（マイナンバー、クレジットカード番号、社外秘マーク付き文書など）のアップロードを検知・ブロックする設定を行います。さらに、「どのようなデータならAIに入力して良いか」という具体的なガイドラインを策定し、従業員教育を徹底することも不可欠です。

まとめ

AIの利用を止めることは、業務効率の低下を招くため現実的ではありません。「使わせない」のではなく「安全に使わせる」環境整備が急務です。シャドーAIを公式な管理下に置くことで、リスクをコントロールしながらAIの恩恵を享受できます。PSIでは、CASBによるAI利用状況の可視化、DLPによるデータ保護、そして安全なAI利用環境の構築支援を通じて、企業のAIガバナンス確立をご支援いたします。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp