国内企業の73%が管理できない「シャドーAI」 Gartnerが示す現実的対策:「完全な管理」から「責任ある活用」へ
Gartnerによると、国内企業の75%が、ユーザー部門による未承認の生成AIツール利用を、一定条件下または自由に認めていることが分かった。同社はシャドーAIの対策として「分業モデル」の確立を薦める。
生成AIの業務利用が広がる中、企業が正式に承認していないAIツールやサービス、いわゆる「シャドーAI」への対応が新たな課題になっている。Gartnerの調査によると、国内企業の75%が、ユーザー部門による未承認の生成AIツール利用を一定条件下、または自由に認めていることが分かった。一方で、73%の企業はシャドーAIを十分に管理できていないという。
本稿では、Gartnerの調査結果を基に、国内企業が直面するシャドーAIの実態と、企業が取るべき対策を整理する。
Gartnerがお薦めするシャドーAI対策は?
Gartnerが2026年2月に日本で実施したエンドユーザー調査によると、IT部門が選定した以外の生成AIツールやサービスをユーザー部門が利用することについて、「自由に認めている」と回答した企業は8%だった。
さらに、「審査の上、問題なければ認めている」と回答した企業は67%に上った。両者を合わせると、国内企業の75%が何らかの形で、ユーザー部門が選定した生成AIツールの利用を認めていることになる。
背景には、生成AIツールの選択肢が急速に広がっていることがある。業務部門ごとに使いたいツールや用途が異なり、IT部門が全てを事前に選定し、統制する従来型の管理モデルでは対応が難しくなっている。
一方で、利用を認める動きが広がるほど、管理の難度は高まる。
73%の企業が「シャドーAIを十分に管理できていない」
Gartnerの調査からは、企業が正式に承認していないAIツールやサービス「シャドーAI」への対応状況も明らかになった。
「シャドーAIを把握できていない」と回答した企業は43%、「把握しているが、有効な対策を取れていない」と回答した企業は30%だった。合計すると、73%の企業がシャドーAIを有効に管理できていないことになる。
一方、「把握し、有効な対策を取れている」と回答した企業は24%にとどまった。多くの企業が生成AIの利用を一定程度認めながらも、その実態把握やリスク管理は追い付いていない状況だ。
Gartnerのディレクター アナリストである林 宏典氏は、企業は従来の「IT部門が選定したAIのみ利用を認める」方針を見直す段階に来ていると指摘する。ユーザー部門の活用意欲を抑え込まず、かつ全てのツールをIT部門だけで完全に管理することも難しい。林氏は、非現実的な「完全な管理」から「責任ある活用」へ移行する必要があるとしている。
シャドーAIがもたらす4つのリスク
シャドーAIの利用が広がると、企業はどのようなリスクに直面するのか。Gartnerは主なリスクとして、以下の4つを挙げている。
- 知的財産を含む機密情報や個人情報の流出
- データ管理などに関する法令違反
- セキュリティ上の脆弱性の増大
- 事故発生時のレピュテーション毀損
生成AIは、文章作成や要約、調査、分析、コード生成など、さまざまな業務で活用できる。その一方で、入力した情報が外部サービスに送信されたり、利用規約やデータ保護の条件を十分に確認しないまま業務データを扱ったりするリスクがある。
特に、知的財産や顧客情報、個人情報を含むデータを未承認のAIツールに入力した場合、情報漏えいや法令違反につながる恐れがある。問題が発生した場合、企業として「誰が、何の目的で、どのAIツールを使っていたのか」を説明できなければ、社会的信用の低下にもつながる。
そのため、Gartnerは単純な禁止や遮断ではなく、利用実態を可視化した上で、評価、承認、統制の仕組みを整備することが重要だとしている。
IT部門だけで抱え込まない「分業モデル」が必要
Gartnerが推奨するのは、ユーザー部門とIT部門が役割と責任を分担する「分業モデル」の確立だ。具体的には、AIツールを次の3つに分類し、それぞれに応じた管理ルールを設ける。
- 全社標準としてIT部門が一貫して管理するAI
- 部門ごとの必要性に応じて審査、運用するAI
- 研修やテストによって認定されたユーザーのみ利用を認める個人利用のAI
全社標準のAIは、セキュリティや契約、データ管理の観点からIT部門が中心となって統制する。一方で、部門特有の業務に使うAIについては、ユーザー部門の業務知識を生かしながら、必要性やリスクを審査して運用する。
さらに、個人利用のAIについては、一定のリテラシーとリスク感覚を持つユーザーに限定して認める考え方だ。ただしGartnerは、こうした個人利用のAIは、リテラシーとリスク感覚に優れるユーザーが多い企業のみ、慎重に導入すべきだとしている。
「採用時の審査」「利用中の監視」「定期的な棚卸し」を回す
分業モデルを実効性のある仕組みにするには、運用プロセスの整備が欠かせない。Gartnerは、次の3つのステップを挙げている。
- 採用時の審査、許可
- 利用中のモニタリング
- 定期的な棚卸し
まず、新たなAIツールを採用する段階で、機能や利用範囲、データの取り扱い、契約条件、セキュリティ要件などを確認する必要がある。業務に有用だからといって、無条件に利用を認めるのではなく、リスクを評価した上で許可する仕組みが必要だ。
次に重要なのが、利用中のモニタリングだ。Gartnerは、クラウド通信監視機能などを活用して、AIツールの利用状況を可視化することを挙げている。どの部門がどのAIツールを使っているのか、承認済みの範囲を超えた利用がないかを把握することが求められる。
さらに、AIツールは機能や仕様が頻繁に変わる。導入時には問題がなかったとしても、後からデータの扱い方や連携機能が変わり、リスクが高まる可能性がある。そのため、定期的な棚卸しによって、利用中のAIツールのリスク変動を確認する必要がある。
AIガバナンスは、IT部門だけの課題ではない
シャドーAIへの対応は、IT部門だけで完結する課題ではない。Gartnerは、AIガバナンスについて、セキュリティ部門、法務・コンプライアンス部門、人事部門、ユーザー部門などが連携する体制で取り組む必要があるとしている。
例えば、セキュリティ部門は技術的なリスク評価や監視を担う。法務・コンプライアンス部門は、契約条件や法令対応、個人情報保護の観点を確認する。人事部門は、従業員教育や利用ルールの浸透を支える。ユーザー部門は、業務上の必要性や利用実態を説明し、責任ある利用を実践する。
生成AIの活用を進める上で、IT部門が全てを管理するモデルには限界がある。むしろ、ユーザー部門に一定の裁量を移譲しながら、組織全体でリスクを管理する体制が必要になる。
林氏は、AIによるトランスフォーメーションを加速する上で、IT部門は主導権をユーザー部門に移譲していく必要があると述べている。その上で、「分業モデルの確立」と、それを支える「教育と認定による責任ある実践者の育成」が必須条件だと指摘している。
シャドーAIは、単に「禁止すべき危険なもの」ではなく、現場のAI活用意欲が先行していることの表れでもある。企業に問われているのは、利用を止めることではなく、利用実態を把握し、責任ある形で業務に組み込むことだ。生成AIの活用が広がるほど、IT部門には「管理者」としてだけでなく、ユーザー部門の自律的なAI活用を支える設計者としての役割が求められる。
Copyright © ITmedia, Inc. All Rights Reserved.