データガバナンス

概要 シャドーAI（Shadow AI）は、IT・情報セキュリティ部門の審査・承認を受けずに従業員が業務で使用する AI ツールやサービスのこと。従業員の約 40% が業務で非承認の生成 AI ツールを使用しているとされ、多くの企業で組織的な管理の外に広がっている。 主なリスク 機密情報の漏洩: 社内コード・顧客情報・財務データが外部 AI サービスに送信されるリスク（Samsung 機密漏洩事件 2023年が典型例） コンプライアンス違反: GDPR・個人情報保護法・HIPAA などへの抵触 品質・ハルシネーション: 非承認ツールの出力が検証なしに本番環境へ ライセンス問題: AI 生成コードの著作権上の懸念 シャドーワークフロー蓄積: 業務フローが IT 管理外の AI に依存し始め、サービス終了時に業務停止リスク 対策アプローチ AI ゲートウェイ導入: Microsoft Purview、Cloudflare AI Gateway、CASB で利用を可視化・フィルタリング 承認済みツールカタログ整備: 安全に使える AI ツール一覧を公開し、自然な誘導を促す エンタープライズ契約: データ学習除外の環境を一括提供 従業員教育: リスクの理由を理解させる（禁止より理解が効果的） DLP 強化: AI サービスへのデータ送信を既存ポリシーでカバー 対策の基本姿勢 「使わせない」ではなく「安全に使わせる」。禁止は技術的に困難で競争力を損なうため、AI ガバナンスの枠組みで管理する。 関連ページ バイブコーディング Infisical ソース記事 シャドーAIがもたらす見えないリスク — 2026-04-15 バイブコーディングの怖い話 — 2026-04-15

生成 AI ツールの急速な普及により、IT 部門の承認を経ずに従業員が独自に AI を活用する「シャドー AI」が企業セキュリティの新たな盲点として注目されている。本記事では、シャドー AI が引き起こすリスクと、その対策について整理する。 シャドー AI とは 「シャドー IT」は以前からある概念だが、生成 AI の登場でその問題は一段と深刻になった。**シャドー AI（Shadow AI）**とは、IT 部門や情報セキュリティ部門の審査・承認を受けずに、従業員が業務で使用する AI ツールやサービスのことを指す。 ChatGPT・Gemini・Claude・Copilot などの生成 AI サービスは、個人アカウントで無料または低コストで利用できる。利便性が高いため、IT 部門の手続きを待たずに「とりあえず使ってみる」ケースが後を絶たない。 調査によれば、従業員の約 40% が業務で非承認の生成 AI ツールを使用しているとされており、多くの企業でシャドー AI が組織的な管理の外に広がっている。 シャドー AI が生む具体的なリスク 1. 機密情報・個人情報の漏洩 最も深刻なリスクは、社内の機密情報が AI サービス側に送信されることによるデータ漏洩だ。 実例: Samsung の機密漏洩事件（2023年） Samsung の半導体部門の社員が、ChatGPT に機密のソースコードを貼り付けてデバッグを依頼したり、社内会議の音声を要約させたりした結果、社内機密が外部サーバーに送信されたインシデントが発生した。この件が発覚した後、Samsung は社内での ChatGPT 利用を一時禁止している。 社員が AI に入力する情報として問題になりやすいのは: ソースコード・設計仕様書 顧客情報・個人情報（氏名、メールアドレス、契約情報など） 財務データ・未公開の経営情報 社内メール・会議議事録 多くの商用 AI サービスは、無料プランやデフォルト設定では入力データをモデルの学習・改善に利用する場合がある。エンタープライズ契約や特定のオプト設定が必要だが、シャドー利用ではそのような設定は行われていない。 2. コンプライアンス・規制違反 個人情報保護法（GDPR、日本の個人情報保護法）や業界固有の規制（医療分野の HIPAA、金融分野の各種規制）では、個人情報の取り扱いに厳しい要件がある。IT 部門の審査を通じて利用規約・データ処理契約を確認せずに AI ツールを使用すると、意図せず法令違反を犯す可能性がある。 3. AI の出力に対する品質・責任管理の欠如 生成 AI はハルシネーション（事実と異なる情報の生成）を起こす。IT 部門・品質管理部門が把握していないツールを使って作成された成果物がそのままリリースや提案書に使われると、品質問題に発展しうる。 ...