概要

シャドーAI(Shadow AI)は、IT・情報セキュリティ部門の審査・承認を受けずに従業員が業務で使用する AI ツールやサービスのこと。従業員の約 40% が業務で非承認の生成 AI ツールを使用しているとされ、多くの企業で組織的な管理の外に広がっている。

主なリスク

  • 機密情報の漏洩: 社内コード・顧客情報・財務データが外部 AI サービスに送信されるリスク(Samsung 機密漏洩事件 2023年が典型例)
  • コンプライアンス違反: GDPR・個人情報保護法・HIPAA などへの抵触
  • 品質・ハルシネーション: 非承認ツールの出力が検証なしに本番環境へ
  • ライセンス問題: AI 生成コードの著作権上の懸念
  • シャドーワークフロー蓄積: 業務フローが IT 管理外の AI に依存し始め、サービス終了時に業務停止リスク

対策アプローチ

  1. AI ゲートウェイ導入: Microsoft Purview、Cloudflare AI Gateway、CASB で利用を可視化・フィルタリング
  2. 承認済みツールカタログ整備: 安全に使える AI ツール一覧を公開し、自然な誘導を促す
  3. エンタープライズ契約: データ学習除外の環境を一括提供
  4. 従業員教育: リスクの理由を理解させる(禁止より理解が効果的)
  5. DLP 強化: AI サービスへのデータ送信を既存ポリシーでカバー

対策の基本姿勢

「使わせない」ではなく「安全に使わせる」。禁止は技術的に困難で競争力を損なうため、AI ガバナンスの枠組みで管理する。

関連ページ

ソース記事