はじめに

生成AIは、メール作成、議事録要約、調査、表計算、コード補助まで、日常業務に入り込みました。便利さが先に広がる一方で、会社が認めていないAIサービスを従業員が個人判断で使う「シャドーAI」が、情報漏えいとガバナンスの新しい盲点になっています。

問題の本質は、従業員が怠慢だからではありません。会社が使いやすい承認済みツール、入力してよい情報の基準、相談できる窓口を用意できていないため、現場が個人アカウントに流れていく構造があります。本稿では、国内外の調査と公的ガイドラインを基に、中小企業でも実行できるシャドーAI対策を整理します。

シャドーAIが広がる背景と経営リスク

現場の効率化欲求と会社側の準備不足

AI利用は、すでに一部の先進企業だけの話ではありません。Gallupの2026年4月公表調査では、米国の雇用者の半数が仕事でAIを年数回以上使い、13％が毎日、28％が週数回以上使っているとされます。MicrosoftとLinkedInの2024年調査でも、知識労働者の75％が仕事でAIを使い、そのAI利用者の78％が自分で選んだツールを職場に持ち込んでいると報告されました。

この数字が示すのは、従業員が会社の方針を待たずに動くほど、生成AIの便益が明確になったという事実です。資料のたたき台を作る、長いメールを要約する、Excel関数を確認する、商談メモから次回アクションを抽出する。こうした使い道は、小規模な会社ほど効果が出やすい領域です。

一方で、会社側の整備は追いついていません。IPAが2024年に公表した国内調査では、業務でAIを利用または許可している企業は16.2％で、許可予定を含めても22.5％でした。AIセキュリティ上の脅威を感じる回答は平均60.4％、セキュリティ対策が重要だとする回答は生成AI利用者で75.0％に上りますが、生成AI利用時の規則や体制が整備されている企業は20％未満にとどまっています。

つまり、多くの会社は「危ない」と感じながら、使ってよい場面と使ってはいけない場面を現場に説明できていません。この空白が、個人アカウント、無料AI、ブラウザ拡張、未審査SaaSへ業務情報が流れる入口になります。

情報漏えいだけではない連鎖リスク

シャドーAIの典型的な危険は、顧客名簿、見積書、契約書、ソースコード、人事評価、未公表の経営資料を外部サービスに入力してしまうことです。入力した内容が学習に使われるか、保存されるか、誰が閲覧できるか、削除できるかは、サービスや契約プランによって異なります。従業員が個人利用規約のまま業務情報を入れれば、会社はその条件を管理できません。

実際、2023年にはSamsungで従業員が生成AIに機密情報を入力した問題が報じられました。報道によれば、同社は生成AIツールに送信されたデータが外部サーバーに保存され、回収や削除が難しい点を懸念していました。これは大企業だけの特殊事例ではなく、設計図、顧客対応履歴、営業戦略を扱う中小企業にも同じ構造があります。

影響は漏えいに限られません。AIが出した不正確な回答を確認せず顧客に送る、著作権上のリスクがある文章や画像を広告に使う、個人情報を含むデータを目的外で処理する、社内の権限を超えた資料をAIに読ませる。いずれも法務、信用、営業、採用に波及します。

IBMの2025年「Cost of a Data Breach Report」に関する発表では、AIモデルまたはAIアプリケーションの侵害を経験した組織が13％、そのうち97％が適切なAIアクセス制御を欠いていたとされます。さらに、侵害組織の5社に1社がシャドーAIに起因する侵害を報告し、高水準のシャドーAI利用がある組織は、低水準または利用なしの組織より平均67万ドル高い侵害コストを観測しています。

この数字は、シャドーAIが単なる利用規程違反ではなく、経営コストに直結するリスクであることを示しています。特に中小企業では、1件の漏えいが取引停止、補償、採用難、金融機関からの信用低下につながりやすく、復旧に割ける人員も限られます。

中小企業が直面する三つの落とし穴

個人アカウント経由の機密流出

最初の落とし穴は、従業員が自分のアカウントでAIサービスにログインし、業務データを入力することです。Netskopeの2025年レポートは、SaaS型生成AIの利用が企業内で急速に伸び、調査対象の組織の89％が少なくとも1つのSaaS型生成AIアプリを利用していると報告しました。同社は1,550を超える生成AI SaaSアプリを追跡しており、平均組織では月8.2GBのデータがSaaS型生成AIアプリへアップロードされています。

問題は、利用アプリの数ではなく、その中身です。Netskopeは、アップロードされるデータに知的財産、規制対象データ、ソースコード、秘密情報が含まれると説明しています。中小企業でも、営業リスト、原価表、提案書、店舗別売上、求人応募者情報、未発表の新商品資料は十分に機密です。

個人アカウント利用では、会社のSSO、退職時のアカウント停止、ログ監査、DLP、保持期間の設定が効きません。従業員が善意で使っていても、利用履歴が個人環境に残り、端末紛失やアカウント乗っ取り時に会社が把握できない状態になります。

この点は、SaaS選定の実務に落とし込む必要があります。安い、話題、使いやすいだけで決めるのではなく、業務データが学習に使われない契約か、管理者がログを確認できるか、SSOや多要素認証に対応するか、データ保持と削除の設定が可能かを確認します。OpenAIやMicrosoftの企業向け資料は、業務データを標準で基盤モデル学習に使わないこと、アクセス制御や監査に関する管理機能を説明しています。承認済みツールを選ぶ際は、こうした契約上の保護を比較軸に置くべきです。

出力の誤用と個人情報の問題

二つ目の落とし穴は、AIの出力を「もっともらしい正解」として扱うことです。生成AIは、文章を自然に整える能力が高い反面、根拠の弱い内容や存在しない引用を混ぜることがあります。社外文書、採用判断、医療や金融に近い助言、契約条件の確認に使う場合、出力の誤りは直接的な責任問題になります。

個人情報の扱いも見逃せません。個人情報保護委員会は、生成AIサービスの普及を踏まえ、個人情報を含むプロンプト入力について注意喚起を公表しています。個人データを含むプロンプトが応答以外の目的で取り扱われる場合、本人同意なしの第三者提供や目的外利用の問題が生じる可能性があります。

企業実務では、ここを「個人情報は入れない」とだけ書いても十分ではありません。顧客名、住所、電話番号、メールアドレス、健康情報、応募履歴、社員番号、評価コメント、顔写真、録音データなど、現場が判断できる粒度で入力禁止情報を列挙する必要があります。さらに、匿名化すればよい情報と、匿名化しても再識別リスクがある情報を分けて説明します。

AI出力を社外に出す場合は、人間の確認者を決めます。確認項目は、事実、数字、出典、個人情報、著作権、顧客との契約条件、差別的表現、会社の公式見解との整合性です。すべてを法務が見る体制は現実的ではないため、営業、開発、人事、広報など部門ごとにチェック責任者を置く設計が向いています。

AIエージェント時代の権限過多

三つ目の落とし穴は、AIが文章を返すだけでなく、実際に操作する時代の権限管理です。AIエージェントは、メール送信、チケット作成、コード修正、CRM更新、社内文書検索、決済申請など、複数のシステムを横断して動けます。便利な一方で、誤った指示やプロンプトインジェクションにより、意図しない操作や過剰な情報取得が起きます。

Gartnerは2026年4月、AIエージェントの増殖を管理する6ステップを示し、禁止や制限だけでは長期的な解決にならず、承認済みツールが使えない従業員はより大きなリスクを持つシャドーAIへ回る可能性があると指摘しました。同社は、エージェントの中央在庫、権限、ライフサイクル、情報ガバナンス、継続的監視、責任ある利用文化を挙げています。

CiscoのAI Readiness Indexも、強いAIには強い監督が必要だとし、適切なガードレールとライブ監視でエージェントの行動を制御できる組織は24％にとどまるとしています。AIが社内データを読み、業務アクションを実行するほど、従来の「人のアカウントを管理する」発想だけでは足りません。

OWASPのLLM Top 10 for 2025では、プロンプトインジェクションが主要リスクとして整理されています。外部Webページ、メール、PDF、応募書類、チャット履歴などに紛れた指示が、AIの振る舞いを変える可能性があります。対策は、モデルへの注意書きだけではなく、出力形式の検証、入力と出力のフィルタリング、最小権限、高リスク操作の人間承認、外部コンテンツの分離、攻撃シミュレーションを組み合わせる必要があります。

今日から設計するシャドーAI対策

利用禁止より先に必要な棚卸し

中小企業が最初に行うべきことは、全面禁止ではなく棚卸しです。部署ごとに、誰が、どのAIツールを、どの業務で、どのデータと一緒に使っているかを確認します。目的は摘発ではなく、現場で本当に価値が出ている使い方と、直ちに止めるべき危険な使い方を分けることです。

棚卸しは、アンケート、端末ログ、ブラウザ履歴、プロキシログ、経費精算、SaaS利用申請の確認を組み合わせます。小規模企業では、最初から高価なCASBを入れなくても、主要な生成AIドメインへのアクセス状況、個人メールへの大容量添付、未承認拡張機能の利用から見始められます。

ポイントは、利用実態を責めない聞き方にすることです。「処分のためではなく、承認済み環境を用意するため」と明示し、使っているAI、便利だった業務、困っている制約、入力したことがある情報の種類を尋ねます。これにより、現場の業務改善ニーズとリスクの両方を把握できます。

棚卸し結果は、低リスク、中リスク、高リスクに分類します。低リスクは公開情報の要約、一般的な文章の言い換え、社内研修用の例文作成です。中リスクは社内資料の要約、顧客対応文案、コード補助です。高リスクは個人情報、契約書、未公開財務、認証情報、ソースコード、顧客固有データ、機密会議録の入力です。

承認済みツールと入力禁止情報の線引き

棚卸し後は、承認済みツールを少数に絞ります。候補は、Microsoft 365、Google Workspace、ChatGPT BusinessまたはEnterprise、社内向けLLM基盤、業界特化SaaSなどです。選定では、価格だけでなく、学習利用の有無、データ保持期間、管理者ログ、SSO、多要素認証、権限連携、DLP、監査証跡、国内外のデータ保存場所、契約上の責任分界を確認します。

現場にとって重要なのは、承認済みツールが未承認ツールより使いやすいことです。申請に数週間かかる、ログインが面倒、性能が低い、部門固有の用途に対応しない状態では、シャドーAIは残ります。SaaSとDXの実務では、セキュリティは利用体験とセットで設計しなければ定着しません。

規程は、長い禁止リストではなく、業務別の早見表にします。たとえば「公開情報の調査補助は可」「社内資料の要約は承認済みツールのみ可」「顧客名を含む問い合わせ履歴は匿名化しても管理者承認が必要」「個人情報、契約書全文、認証情報、未公開財務、ソースコードは原則入力禁止」といった形です。

例外申請も必要です。開発部門がコード補助を使いたい、人事が応募書類の整理に使いたい、営業が顧客別提案を生成したい。こうした高付加価値の用途を一律に止めると、競争力を落とします。例外申請では、利用目的、対象データ、ツール、保持設定、確認者、出力の使い道、終了時のデータ削除を記録します。

ログ、DLP、権限管理の最小構成

技術対策は、いきなり大規模なAIセキュリティ基盤を導入する必要はありません。最小構成は、ID管理、承認済みツール、DLP、ログ確認、端末管理です。まず、業務利用するAIは会社アカウントでSSOに統一し、退職者や異動者のアクセスを即時停止できるようにします。

次に、DLPで入力禁止情報を検知します。マイナンバー、クレジットカード番号、メールアドレス、電話番号、APIキーらしき文字列、顧客番号、ソースコードの断片、機密ラベル付きファイルなどを対象にします。完全検知は難しいため、最初は警告表示や上長承認から始め、繰り返し違反や高リスク情報ではブロックします。

Ciscoの2025年Cybersecurity Readiness Indexでは、AI関連のセキュリティインシデントを過去12カ月に経験した組織が86％に上り、従業員が生成AIツールにどのような要求をしているか把握していない組織は60％でした。この「何を入力しているか分からない」状態が、シャドーAIの最大の弱点です。

ログの見方も決めます。個人を常時監視するのではなく、業務上必要な範囲で、アクセス先、アップロード量、禁止情報検知、管理者操作、外部連携、異常なAPI利用を確認します。監査の目的、保存期間、閲覧権限を就業規則や情報セキュリティ規程に明記すれば、従業員の納得感も高まります。

AIエージェントを使う場合は、専用アカウントと最小権限が必須です。人間の管理者権限を共有せず、読み取りだけ、下書きだけ、承認依頼だけなど、操作範囲を絞ります。請求、送金、契約締結、顧客への自動送信、人事評価の反映、コードの本番反映は、人間の承認を挟むべき高リスク操作です。

管理職を起点にした教育と事故対応

教育は、年1回の動画視聴だけでは不十分です。MicrosoftとLinkedInの調査では、AI利用者のうち会社からAIトレーニングを受けた人は39％にとどまりました。Gallupも、AI導入を成果につなげるには管理職の支援が重要だと示しています。現場の使い方を決めるのは、最終的にはマネージャーです。

研修では、抽象的な倫理論よりも、日常業務の判断例を扱います。顧客メールを要約してよいか、会議録を入れてよいか、採用候補者の比較に使ってよいか、営業提案の数字をAIに作らせてよいか、AIが書いたコードをそのまま使ってよいか。正解だけでなく、どこで相談すべきかを示します。

また、事故対応の導線を先に作ることが重要です。従業員が「入力してしまった」と気づいたとき、叱責を恐れて黙る状態が最悪です。報告窓口、初動チェック、対象データ、入力先サービス、入力日時、アカウント、共有範囲、削除依頼、顧客通知要否、個人情報保護委員会への報告要否を整理したテンプレートを用意します。

事故対応は、情報システム部門だけでは完結しません。法務、総務、人事、広報、営業責任者、経営者が関わります。中小企業では専任者がいない場合も多いため、外部のセキュリティ会社、弁護士、保険会社、取引先への連絡順序を事前に決めておくと、初動の遅れを防げます。

注意点・展望

よくある間違いは、「無料AIを禁止すれば終わり」と考えることです。禁止だけでは、現場の生産性ニーズは消えません。むしろ、従業員は自宅端末、個人スマホ、別アカウント、ローカルLLM、ブラウザ拡張へ移ります。Gartnerが指摘する通り、使える承認済み環境と統制のバランスがなければ、より見えにくいシャドーAIを生みます。

もう一つの間違いは、生成AIを通常のSaaSと同じ審査だけで済ませることです。AIは入力データを処理し、出力を生成し、場合によっては社内システムを操作します。NISTの生成AI向けAI RMFプロファイルや、経済産業省のAI事業者ガイドライン第1.2版が示すように、ライフサイクル全体でリスクを把握し、利用者、提供者、開発者の責任を分けて考える必要があります。

今後は、チャット型AIよりも、業務アプリに組み込まれたAI機能とAIエージェントが焦点になります。従業員が「AIを使っている」と意識しなくても、CRM、会計、採用、問い合わせ管理、開発ツールの中でAIが動くようになります。だからこそ、ツール名の禁止リストではなく、データ分類、権限、ログ、承認フローを中心にした統制へ移る必要があります。

まとめ

シャドーAIは、従業員の個別違反ではなく、現場の効率化ニーズと会社の統制不足が重なって起きる経営課題です。個人アカウント、未承認SaaS、機密情報の入力、出力の誤用、AIエージェントの権限過多が重なると、情報漏えいだけでなく信用、法務、営業、採用に影響します。

中小企業が取るべき第一歩は、利用実態の棚卸し、承認済みツールの整備、入力禁止情報の明文化、DLPとログの最小構成、管理職を起点にした教育です。AIを止めるのではなく、見える場所で安全に使えるようにすることが、DXとリスク管理を両立させる現実的な道筋です。

参考資料:

• Rising AI Adoption Spurs Workforce Changes
• Cloud and Threat Report: Shadow AI and Agentic AI 2025
• IBM Report: 13% Of Organizations Reported Breaches Of AI Models Or Applications
• Cisco AI Readiness Index
• 2025 Cisco Cybersecurity Readiness Index
• AI利用時の脅威、リスク調査報告書を公開
• 生成AIサービスの利用に関する注意喚起等について
• AI事業者ガイドライン
• Artificial Intelligence Risk Management Framework: Generative Artificial Intelligence Profile
• LLM01:2025 Prompt Injection
• Microsoft and LinkedIn release the 2024 Work Trend Index on the state of AI at work
• Enterprise data protection in Microsoft 365 Copilot and Microsoft 365 Copilot Chat
• Enterprise privacy at OpenAI
• Gartner Identifies Six Steps to Manage AI Agent Sprawl
• Samsung bans use of generative AI tools like ChatGPT after April internal data leak