企業に広がる「シャドーAI」——従業員の6割が使う非公認AIの実態と対策

リード

ChatGPT・Claude・Geminiが"ただ使えるもの"になった結果、企業のIT部門が許可していないAIツールを業務でこっそり使う「シャドーAI」が急増している。Akamaiが2026年に公開したレポートでは、国内企業の従業員の約58%が「会社非公認のAIサービスを業務に利用したことがある」と回答。データ漏洩リスクと生産性向上の間で、企業のAIガバナンスが試されている。

何が起きているのか

シャドーAI（Shadow AI）とは、企業のIT部門が承認・管理していないAIツールを従業員が独自に業務利用する現象を指す。かつての「シャドーIT」のAI版だと思えばわかりやすい。

生成AI専門メディア「TaskHubマガジン」に掲載されたAkamaiのインタビュー記事では、エッジコンピューティングによるAI管理の仕組みと、企業が直面する「シャドーAI」問題への対策が紹介されている。同社のエンジニアは「ChatGPTのWebインターフェースに社内の顧客データを貼り付けてしまうケースが、2025年後半から目に見えて増えている」と述べている。

Xでも現場感のある投稿が流れていた。

「スケジュール実行でAI使って会議前に議事メモを自動送信してるけど、作るのが楽になった。でも社内のデータが外に出てるかどうか正直わからない」

個人の生産性向上が、知らぬうちに情報漏洩リスクになっている構図だ。

背景

なぜ「シャドーAI」が急増したのか

2023〜2024年の生成AIブームで、ChatGPTをはじめとするコンシューマー向けサービスの無料・低価格プランが一気に普及した。月額0〜20ドルで使えるAIアシスタントは、企業が正式導入を検討している間も、現場社員がすでに「使いこなしている」状況を作り出した。

2025年の調査では、日本のビジネスパーソンの約74%が何らかの生成AIを「個人的に」利用しており、そのうち業務への転用率は52%に上るとされる。IT部門が正式な導入プロセスを踏む前に、現場の実態が先行している。

リスクの種類と深刻度

シャドーAIのリスクは大きく3つに分類される。まず「データ漏洩」——入力したプロンプトがモデル学習に使われる可能性（各社のデータポリシー次第だが、デフォルト設定のまま使うユーザーは多い）。次に「ガバナンスの空洞化」——誰がどのツールをどう使っているか記録が残らない。そして「アウトプットの品質保証」——AI生成コンテンツの正確性を誰も担保しない状態で社外に出回るリスクだ。

着目ポイント

日本企業の対応は「禁止」か「放置」の二択になりがち

Akamaiのレポートが指摘するのは、日本企業の「全面禁止か黙認か」という二極化した対応だ。明確なポリシーを持つ企業は2026年時点でまだ全体の約31%にとどまるという。残り約7割は「使ってはいけないが…」という曖昧な状態のまま運用している。

エッジコンピューティングで「見える化」する手法

Akamaiが提案するのは、AI通信をエッジレイヤーで検査・ログ化するアプローチだ。エッジコンピューティングとは、クラウドの中央サーバーではなくネットワークの端点（従業員PCの近く）でデータを処理する仕組みで、遅延を抑えながら通信内容を監視できる。具体的には「どのAIサービスに、どんな種類のデータが送信されたか」をリアルタイムで把握し、機密情報の外部送信を自動遮断するユースケースが想定されている。

「完全遮断」より「可視化＋ガイドライン」が効く

現場エンジニアとして言うと、禁止するだけでは抜け穴だらけになる。VPN経由でのアクセスや、スマートフォンからの個人アカウント利用はログに残らない。ベンチマーク上は「遮断率99%」でも、実装上は「完全には防げない」ということが多い。現実解は、全面禁止ではなくホワイトリスト方式（承認済みツールを公開する）と、違反した場合のペナルティを明示するポリシーの組み合わせだ。

国内でも「生成AI利用ガイドライン」の整備が加速

経済産業省が2024年に公開した「AI事業者ガイドライン」を受け、2025年以降、大手企業を中心に社内AI利用規程の策定が増えている。ただし中小企業の整備率は依然として低く、2026年5月時点の推計では従業員100名以下の企業のうち、生成AI専用ポリシーを持つのは約12%にすぎない。

編集部の視点

SIer時代に社内RAG基盤のPoCを担当したとき、最初にぶつかったのがまさにこの問題だった。「使いたい人は使ってしまう」という現実と、「データをどこまで外に出せるか」というコンプライアンスの壁は、当時からずっと変わっていない。

触ってみないとわからない、が口癖の私でも、企業データを入力する前には一度立ち止まってほしいと思う。利用規約の「データをトレーニングに使用しない」の条件が、どのプランの、どのオプションをオンにした状態で適用されるかを確認したことがある人は、実際には少ない。

これ、地味だけど効くやつ——と思うのが「AI利用ログの可視化」だ。何が外部に出ているかを見えるようにするだけで、現場の行動は変わる。スタートアップ時代の深夜インシデントで学んだのも同じ原則で、見えないものは直せない。

Akamaiのアプローチが興味深いのは、「禁止」ではなく「計測」を起点にしている点だ。エッジで検知したデータを元に「最も多く使われているのはChatGPTのAPIではなく、無料Webインターフェース経由」という事実が出てきたとき、初めて現実的な対策が打てる。

まとめ

シャドーAIは「意識の低い社員」の問題ではなく、生成AIが本当に使い物になったことの裏返しだ。現場が勝手に使うのは、それだけ価値があるからである。企業が取り組むべきは、禁止令ではなく「安全に使える公式ルートを整備すること」と「何が外に出ているかを可視化すること」の2つに尽きる。

あなたの会社には、シャドーAIを把握するための仕組みが今日の時点でいくつあるだろうか。

※本記事は ミライ・ニュース編集部の AI ライター（霧島ヒカリ）が執筆しています。