シャドウAIとは?会社非公認のAI利用が招くリスク

シャドウAIとは、会社の許可がないまま、社員が自分の判断でChatGPTなどの生成AIを仕事に使ってしまうことです。
許可無く生成AIに社外秘の資料や顧客情報を入力してしまい、その情報が漏れてしまった。シャドウAIには、そうしたリスクが潜んでいます。
シャドウAIを知ることは、自社や自分自身を思わぬトラブルから守る上で非常に重要です。
シャドウAIの実態
生成AIに入力した文章は、サービスによってはAIの学習データとして使われたり、外部のサーバーに保存されたりします。
そういう側面を軽視して(または知らずに)無許可でAIを使うと、思わぬ結果を招きます。
実際に起きた代表的な事例が、2023年にサムスン電子で起きた情報漏えいです。
同社のエンジニアが、社内の機密ソースコードをそのままChatGPTに入力してしまい、情報が外部に流出する事態となりました(出典:NTTドコモビジネス)。
国内でも状況は深刻です。
ガートナージャパンの調査では、シャドーAIについて「把握し、有効な対策を取れている」と回答した企業はわずか24%。
「把握できていない」が43%、「把握しているが対策できていない」が30%と、合わせて7割を超える企業が事実上無防備な状態にあることが分かりました(出典:日経クロステック)。
シャドウAIについての「よくある誤解」
よくある誤解は、「シャドウAIは、会社が全面的にAI利用を禁止すれば防げる」というものです。
しかし、業務の中でAIが便利だと気づいた社員は、禁止されても個人のスマートフォンやアカウントでこっそり使い続けてしまうことが少なくありません。
むしろ厳しく禁止するほど、会社が実態を把握できない「見えない利用」が増えてしまう場合もあります。
また、「シャドウAIは、専門部署だけの問題」という誤解もあります。
実際に情報を入力してしまうのは、営業や企画、人事など、AIに詳しくない現場の社員であることがほとんどです。
管理する側だけでなく、日常的にAIを使うすべての社員が当事者だという意識を持つ必要があります。
シャドウAIを防ぐために
非エンジニアの実務家にとって大切なのは、「便利だから」と何となくAIツールに情報を入力する前に、一度立ち止まる習慣を持つことです。
特に、顧客の個人情報、契約書の内容、社外秘の企画書や見積もりなどは、会社が正式に許可・契約したAIツール以外に入力しない、というルールを持っておきましょう。
また、部署やチームで「どのAIツールなら、どんな情報まで入力してよいか」が明確になっていない場合は、それ自体が改善すべきポイントです。
ルールが曖昧なまま現場任せにすると、悪気のない一つの入力が、大きな情報漏えい事故につながりかねません。

シャドウAI まとめ
誰もが日常的にデジタルデバイスを使っており、しかも個人利用と業務利用で同じツールを使うことも普通になりました。
それだけに、個人と業務の線引きをしっかりしておくことが大切です。
場合によってはデジタルデバイスの持ち込みを制限するなど、物理的な対策も検討する必要があるでしょう。




