まさか会社に隠れてAI使ってない?
——会社に隠れてAI使ってませんか?
とんでもない勢いでAIが進化している一方で、AIツールを自由に使えない会社も少なくありません。
そんな中で問題視されているのが「Shadow AI(影のAI労働力)」です。これは企業が正式に承認・管理していないAIツールを社員が勝手に業務利用することを指します。
このShadow AIがいま注目されている背景には、生成AIの爆発的な普及があります。OpenAIのChatGPTが2022年末に公開されて以来、生成AIは史上最速レベルで職場に浸透し、社員が業務効率化のために個人的にAIを使い始めるケースが急増しました。
その結果、企業の想定を超える勢いでShadow AIが拡大しています。
実際、ある分析によれば2023年3月から2024年3月の1年間で、社員が仕事でAIツールに入力する社内データの量は485%も増加。その90%以上が企業非公式の個人アカウント経由(=Shadow AI)で行われていたんです。
多くの企業では正式なルール整備やIT部門の対応が追いつかないまま、社員主導でAI活用が進んでおり、「Shadow AI」という問題として認識され、海外では2023年から2024年にかけて急速に議論が高まっています。
Shadow AIにはどんなリスクが付きまとうのか?
現実にShadow AIが引き起こした問題事例も表面化しています。
たとえば2023年、大手企業サムスンでは、半導体部門の社員が社内の機密ソースコードや会議の議事録をChatGPTに入力してしまい、社外秘情報の流出を招く事件が発生しました。
このケースでは、社員がプログラムの不具合修正や会議内容の要約作成にChatGPTを使用する中で、社内データがそのまま外部AIに渡ってしまったのです。その結果、サムスンは直ちにChatGPTなど生成AIの社内使用禁止を打ち出しました。
また米国でも、大手銀行のJPモルガン・チェースやAmazonが社員によるChatGPT利用を禁止・制限する措置を早々に取っています。これは社員が機密の金融データや顧客情報をうっかりAIに入力し、情報漏えいにつながることを恐れたためです。
では、Shadow AIが企業にもたらす主なリスクは何でしょうか。大きく3つに整理すると以下の通りです。
社外のAIサービスに社内データを入力すると、そのデータがサービス提供者のサーバに保存・学習利用される可能性があります。AIツールは財務記録・予算・戦略計画といった機密情報からソースコードや知的財産まで大量のデータを収集・解析するため、従来にない規模で企業の機密が流出する可能性があるのです。
②コンプライアンス違反(法務・規制リスク)
許可なく社内情報を外部AIに提供することは、契約違反や法令違反を招く恐れがあります。たとえば顧客との秘密保持契約(NDA)で守るべき情報や個人データをAIに入力すれば、第三者提供と見なされ契約違反や個人情報保護法違反になる可能性もあります。
③企業イメージ損失(レピュテーションリスク)
情報漏えいやコンプライアンス違反が起これば、企業の信用失墜は避けられません。顧客の秘密データがAI経由で流出したとなれば取引先からの信頼は揺らぎ、株主や世間への説明責任も発生します。実際、許可されないAI利用が蔓延していると知れ渡るだけでも「この会社は情報管理が甘いのではないか」という印象を与えかねません。
Shadow AIは単なる仮想上の懸念ではなく、実際に企業データが流出しうる現実的な脅威だと言えるでしょう。
日本のビジネスシーンでの影響と解決策
では、日本企業に目を向けると、Shadow AIの状況と課題はどうでしょうか?
実は日本企業の多くは、米国以上に慎重な対応を取っています。社内でのChatGPTなど生成AIの業務利用を禁止する企業は2023年時点で全体の約7割にも上り、その過半数は「この禁止措置を長期的・恒久的に続ける予定」と回答しています。
これは情報漏えいや知的財産流出、誤情報拡散への懸念が強いためで、日本企業特有の「リスクを完全に排除するまで新技術は使わない」という慎重な文化が表れた形と言えるでしょう。
AI人材の不足や社内承認プロセスの長さも影響し、正式採用に時間がかかる間に社員が個人的に試してしまうケースもあるでしょう。実際、国内調査でも81%のIT部門担当者が「社員による安全でないアプリ利用が自社のセキュリティ脅威になる」と懸念しており、多くの企業がShadow AIの芽を摘むべく利用禁止に踏み切っているのが現状です。
一方で「禁止するだけでは得られるはずの生成AIの恩恵まで失いかねない」という指摘も。日本企業の回答者の54%は生成AIが生産効率を高めると認識し、効率化や生産性向上への期待も決して小さくありません。
そこで重要になるのが、技術的対策と文化的対策の両面からShadow AI問題に向き合うことです。以下、具体的な解決策を整理します。
社員のAI利用状況を「見える化」し、管理する仕組みを導入することが急務。他にはアクセス制御の強化も有効です。
大企業の中には、外部に頼らず自社専用の生成AIプラットフォームを開発・提供する動きもあります。前述のサムスンも情報流出事件後、社内向けAIチャットボットの開発に着手しました。
自社専用ならデータが外部に出ない利点があり、リスク低減につながります。リソースが限られる場合でも、OpenAIの企業向けサービスのように「学習にデータを使わないオプトアウト設定」が可能な有料版を採用するのも1つの手です。
社員が安心して使える公式なAI利用環境を用意し、影で個人アカウントを使う必要がない状況を作ることが重要です。
文化的対策
技術的な措置と並行して、社内の意識改革・教育も不可欠です。
まず経営層・IT部門は、生成AI活用に関する明確なガイドラインを策定・周知すべきでしょう。「こうしてはダメ」の一辺倒ではなく「どの範囲ならOKか」を具体的に示すことが大切です。
加えて社員教育にも力を入れましょう。単に規則を守らせるだけでなく、なぜルールが必要なのかを一人ひとりが深く理解し、納得させることが重要です。
社員自身がShadow AIのリスクを理解し「自分ごと」として注意を払うようになります。
Shadow AIは“隠れた脅威”であると同時に“次の成長機会”でもあります。
企業に無断でAIを使われるのはリスク満載です。しかしそれを恐れるあまり、有用なAIツールまですべて禁止してしまえば、イノベーションの芽を摘み、競争力を削ぐ結果にもなりかねません。
大切なのは全面禁止ではなくガイドラインによる上手な共存です。
適切な管理の下で社員の創意工夫を後押しすれば、Shadow AIはもはや恐れる対象ではなく、企業変革を加速する原動力となるはず。
今後、今よりも業務でAI活用すること自体が当たり前になり、いずれ「Shadow AI」という言葉すら使われなくなる未来が来るかもしれません。
だからこそ今、企業は先んじて健全なAI利活用の仕組みを整え、自社の成長機会へとつなげていくことが求められているのです。
★Amazon①
著者:ライフハッカー・ジャパン編集部 Image: Getty Images Source: DIGDAY, PR Newswire, Cyber Security Dive, Bloomberg, The Guardian, IT Leaders, Fast Company, Security Magazine
関連記事:
米国株は来年末までに20%上昇へ、AI期待がけん引-エバコア予測
新しいトヨタ アクア登場──GQ新着カー
消費期限偽装でミニストップ社長が会見
