従業員の無断利用が招く「シャドーAI」で発生し得る“とんでもない”4つのリスクとは：「シャドーAI」のリスクと対策【前編】

業務に欠かせなくなりつつある生成AIツールだが、従業員が許可なしに利用する場合、企業に重大なリスクをもたらす恐れがある。損失を防ぐために知っておきたい4つのリスクとは何か。

[Grant Hatchimonji，TechTarget]

　人工知能（AI）ベンダーOpenAIの「ChatGPT」やMicrosoftの「Microsoft Copilot」、Googleの「Gemini」など、画像やテキストを自動生成する「生成AI」ツールは、ビジネスの至るところで活躍している。これらのツールは便利な一方で、従業員がIT部門の許可なしに使う「シャドーAI」は、企業にさまざまなリスクをもたらす恐れがある。シャドーAIがはらむ“4つのリスク”を考える。

そもそもなぜシャドーAIは生まれるのか

併せて読みたいお薦め記事

AIとセキュリティ

• 「生成AI」活用で見落としがちな盲点とは？　今すぐ始めるセキュリティ対策
• AI時代にセキュリティの負担は増すばかり……優先すべき脅威は？

　そもそもシャドーAIはなぜ発生しやすいと考えられるのか。理由は主に2つある。1つ目は、生成AIツールがWebサイトやアプリケーションとして一般ユーザーにとって手に入れやすいことだ。近年は生成AI機能を組み込んだデバイスやアプリケーションも登場し、自分から入手しなくても生成AIを利用できるようになっている。2つ目は、「企業が業務の非効率をなかなか解決しようとしない」と従業員が感じていることだ。その場合、従業員が“勝手に”生成AIツールを用いて、自ら業務の効率化に取り組む可能性がある。

　企業が生成AIツールの利用に関するルールを十分に定めず、IT部門の監視が不十分な場合、シャドーITの温床になりかねない。セキュリティベンダーCybSafeが2024年3〜4月に約7000人の労働者を対象として実施した調査では、雇用者の許可なく生成AIツールに機密情報を入力していると答えた回答者は38％だった。

　シャドーAIは情報漏えい以外にも、コンプライアンス（法令順守）違反やサービス品質低下など、さまざまなリスクをもたらす可能性がある。CybSafeの調査では、回答者の52%が「安全なAI技術の利用に関する研修を一度も受けたことがない」と答えた。企業は生成AIツールの利用拡大を見込んで、従業員向けトレーニングといったシャドーAI対策をいち早く講じなければならない。

シャドーAIがもたらす4つのリスク

　シャドーAIは、以下の4つのリスクを企業にもたらす可能性がある。どのようなものか、詳しく見てみよう。

リスク1．機能上のリスク

　まず、生成AIツールそのものによるリスクがある。生成AIツールが、誤った設定や不具合によって適切に動作しない場合、出力される情報の精度が低下し、誤解を招く回答を出す恐れがある。生成AIツールの基になっているAIモデルの学習した内容が、時間とともに現実とずれてしまい、判断精度が低下する現象も発生し得る。その場合、古くて誤った結果を出力しかねない。

リスク2．業務上のリスク

　生成AIツールの誤った利用によって、サイバー攻撃を受けるリスクが増えたり、業務や財務上の判断を誤ったりする可能性がある。エンドユーザーが医療情報やビジネス戦略に関するデータを生成AIツールに入力すると、AIモデルはその情報を「機密」とは認識せず、情報が第三者に漏えいするといった具合だ。機密データの流出は、法的リスクはもちろん、顧客の信頼や競争力を失う結果にもつながり得る。

リスク3．コンプライアンスのリスク

　シャドーAIは、コンプライアンス違反につながる恐れがある。これによって、罰金や訴訟リスクが発生する場合もあるので注意が必要だ。シャドーAIで従業員が作成したコンテンツが著作権を侵害するケースも存在する。企業は生成AIに関する法律や規制を詳細に把握し、コンプライアンスを守るための対策が欠かせない。

リスク4．リソースのリスク

　人材や資金といったリソースに、シャドーAIは損害を与えることがある点にも気を付けなければならない。生成AIツールをうまく利用すれば、業務の効率化やコスト削減が期待できる。しかしシャドーAIだと、かえって逆効果になってしまうリスクがある。各自がばらばらに生成AIを使うことで情報が十分に共有されず、作業の重複が生じれば、業務効率を低下させることになるためだ。シャドーAIによって機密情報が流出したり、コンプライアンス違反があったりしたら、金銭的な損失も生じかねない。

---

　中編は、シャドーAIの対策を紹介する。