欧州の警察組織さえ防げなかったシャドーIT　管理不全が招いた信頼の崩壊：大規模なシャドーITのやらかし事例

欧州刑事警察機構（Europol）が、規制当局の監視を逃れる形で「シャドーIT」を長年運用していたことが判明した。ペタバイト規模の機密データには無実の市民の情報も含まれ、深刻なセキュリティ上の欠陥とガバナンスの欠如が露呈。欧州議会は信頼失墜を重く見て、組織の権限拡大を一時停止すべきとの声を強めている。

≫ 2026年05月12日 05時00分公開

[Bill Goodwin，Computer Weekly]

　欧州議会議員（MEP）は、欧州刑事警察機構（Europol）の権限を拡大する計画を一時停止するよう求めた。これは、同機構が適切なセキュリティやデータ保護措置を講じないまま、膨大なデータを含むシャドーITシステムを運用していたことが明らかになったためだ。

　Computer Weekly、Correctiv、およびSolomonによる共同調査の結果、欧州刑事警察機構が重大なプライバシーおよびセキュリティ上の欠陥があるにもかかわらず、当局の監視を受けずに数年にわたり運用されていたネットワーク上に、ペタバイト規模の犯罪関連データを保存していたことが判明した。

　同機構の「シャドー」データベースは、電話記録や身分証明書、銀行情報、地理位置情報データといった膨大な機密データの分析に使用されていた。そこには、犯罪の疑いがない個人のデータも含まれていた。また、インターネット上のオープンソース情報を分析するための「Pressure Cooker」として知られるシャドーシステムも存在したが、これには適切な管理体制が欠如していた。

　欧州データ保護監督官（EDPS）が数年にわたり監視を続けていたが、2026年時点でも一部の重大な欠陥は解消されないままだった。

議会による監視の要求

「シャドーIT」に関連する編集部お薦め記事

　欧州議会の左翼グループに所属するドイツのオズレム・アレヴ・デミレル議員は、欧州刑事警察機構の権限を拡大する計画を一時停止するよう求める声明を出した。デミレル氏は声明で、「今回のデータ保護を巡るスキャンダルは、あらゆる法的基準に違反し、関係者の基本的人権を無視しており、監視メカニズムを無意味なものにしている」と記している。

　ドイツのビルギット・シッペル議員は、無実の人々のデータが、誰がアクセスし、誰が内容を変更したかという追跡可能な記録なしに保存・分析されていた事実は、証拠の信頼性と法の支配を損なうものだという見解を今回の調査に示した。

　「権限拡大の議論を始める前に、真の議会による監視、介入権限を持つ独立した監督、そしてこれまで隠蔽されてきた事項についての完全な開示と透明性が必要だ」とシッペル氏は付け加えた。

英内務省に回答を促す声

　英国では、保守党のデビッド・デイビス下院議員がX（旧Twitter）への投稿で、英国市民のデータの保存について内務省に回答を求めた。

　デイビス氏は、「内務省は、完全に無実な英国市民の個人データが同機構のシステムに保存されているかどうか、保存されているのであればその理由、そしてなぜ英国政府がそれを許可しているのかを明らかにしなければならない」と述べている。

証拠の信頼性への影響

　欧州議会の市民的自由・司法・内務委員会（LIBE）が開催した会合で、シッペル氏は、一連の事実が欧州刑事警察機構への信頼を損なう可能性があると述べた。

　「欧州の機関が何の管理もなく並行してデータシステムを運用していたという事実そのものが、データ保護だけでなく、機関の運営方法についても懸念を抱かせる。これは機関の信頼性や証拠の信ぴょう性にさえ影響を及ぼしかねない」とシッペル氏は語っている。

　EDPSのヴォイチェフ・ヴィエヴィオロウスキー氏はLIBEの会合で、今回の調査は新たな論点や告発を起こしており、EDPSとして確実に見守っていくと述べた。同氏は、2020年の同機構に対する訓告や2022年のデータ削除命令といったEDPSの執行決定の一部が、今回の調査で特定されたプラットフォームの使用に関連していたことを認めた。

　ヴィエヴィオロウスキー氏は、欧州の各機関を監督するために、より幅広い制裁手段が必要だという。同氏には、訓告という「ソフトな対応」と、データの処理停止命令という「ハードな対応」を出す権限がある。しかし、処理停止は「欧州の安全保証にとって極めて危険なものになる可能性がある」とし、その中間の対応策がないと付け加えた。

　現在、欧州刑事警察機構の権限拡大についての議論が進んでいるが、同氏は監視体制を強化せずに規模を拡大することは誤りだと示唆した。

　ベルギーの緑の党所属のサスキア・ブリクモント議員は声明で、今回の調査結果について欧州委員会およびLIBE委員会との議論を優先させると述べた。「同機構と欧州委員会には詳細な説明が急務だ。しかし、今回も調査ジャーナリストの仕事によって問題が発覚したことは、不信感を募らせるばかりだ」

5社に1社が被害？　気付かないうちに広がる「シャドーAI」5つの兆候とは
従業員の個人的なAIツール利用「シャドーAI」がまん延し、深刻な情報漏えいを引き起こし始めている。一見正常な通信に紛れ込む未承認ツールの不審な挙動を示す、5つのサインとはどのようなものか。
ぐるなびが“脱VPN”で運用費40％削減　シャドーITのリスクをどう排除した？
社外からの安全なアクセス経路の確保において、既存のVPN構成では管理者の負荷やセキュリティ上の懸念がある。ぐるなびはいかにして「脱VPN」を果たし、費用削減に成功したのか。
5社に1社がデータ漏えいを経験　シャドーAIを「特赦」で解決する新発想とは
従業員の5割以上が無断で生成AIを使う「シャドーAI」が、深刻な情報漏えいやコンプライアンス違反を招いている。禁止するだけでは解決しないこの難題に、情シスはどう立ち向かうべきか。
「利便性」に敗北する情シスのルール　47％が手を染める“シャドーIT”の正体は
kubellストレージは、中小企業の実務者647人を対象にした「ファイル管理とセキュリティに関する意識調査」を発表した。その結果、シャドーITやPPAPの使用が続いている実態が明らかになった。企業が取るべき対策は？
“シャドーAIはある”前提で考える、現実的なAI利用統制の判断軸
承認を経ずに使われる「シャドーAI」は、一律禁止すべきか、それとも許容すべきか。情シスに判断が集中する構造そのものが、AI活用と統制を難しくしている。本稿では「使われる前提」で線を引くための考え方を整理する。
生産性向上のためなら「シャドーIT」は放置してもいいのか　リスクを分析
多くのセキュリティ担当者を悩ませている「シャドーIT」。生産性向上のために、ツールの自由な使い方をあえて許可するという考えもある。果たしてそれは安全なのか。
世界で「IT部門に不信感」が57％　シャドーITが招く日本企業の“思考停止”
従業員の過半数がIT部門を信頼していない――。TeamViewerの調査で、使いにくいITツールが「シャドーIT」の温床となり、収益減や若手の離職を招いていることが分かった。「デジタルフリクション」の深刻な実態とは。

TechTargetジャパントップセキュリティ