管理職の4割が「シャドーAI」に機密情報を入力——危険と知りながら使い続ける、その構造的な理由

「禁止すれば解決する」という前提が崩れている

企業がAIツールの利用ルールを整備しようとしているまさにその間に、現場では別の動きが静かに広がっている。会社が把握も承認もしていないAIツール——いわゆる「シャドーAI」——に、機密情報を入力している管理職が4割に上ることが、GRASグループの調査で明らかになった。

注目すべきは、この行動が「ルールを知らない」から起きているのではない点だ。「危険と分かっていても使う」という実態は、リテラシーの問題ではなく、現場のニーズとガバナンスの設計の間に生じた構造的なズレを示している。

何が起きているか——シャドーAIとは何か

「シャドーAI」とは、企業のIT部門や経営層が関知していない状態で従業員が業務に使うAIツールを指す。かつて「シャドーIT」（会社非公認のクラウドサービスや個人デバイスの業務利用）として問題視されてきた現象のAI版と理解すると分かりやすい。

GRASグループの調査によると、管理職層の約4割が、こうした会社非承認のAIツールに機密情報を入力した経験を持つ。さらに調査からは、管理職層において特定のニーズが高まっている実態も浮かび上がっている。業務の効率化や意思決定の補助といった用途が想定されるが、それを会社公認の手段では満たせていないという状況が、シャドーAI利用の背景にある。

誰に影響するか——管理職と、その下で働く組織全体

直接的に影響を受けるのは、AIツールの業務利用に関するポリシーを策定・運用している企業のIT部門や情報セキュリティ担当者だ。しかし問題はそこにとどまらない。

機密情報をシャドーAIに入力するのが「管理職の4割」であるという点は、組織として特に重い意味を持つ。管理職は一般に、人事情報・顧客データ・経営計画など、より機密性の高い情報へのアクセス権を持つ立場にある。平均的な従業員よりも扱う情報の影響範囲が広いため、情報漏洩が発生した場合のリスクも相応に大きくなる。

また、管理職がシャドーAIを使っている組織では、部下もそれを黙認あるいは追随しやすい。トップダウンで広がるリスク行動という側面も無視できない。

日本で使う場合の意味——「承認待ち」が現場の生産性と衝突する

日本企業では、新しいツールの業務利用にあたって情報システム部門や法務・コンプライアンス部門の承認を経るプロセスが一般的だ。このプロセス自体はリスク管理として合理的だが、生成AIのように進化のスピードが速く、現場での有用性がすぐに体感できるツールとは相性が悪い面がある。

「申請してから承認が下りるまでの間に、競合他社はすでに使っている」という感覚が現場に生まれやすく、それがシャドーAI利用の温床になる。今回の調査で「危険と分かっていても使う」という声が上がっていることは、この圧力の強さを裏付けている。承認プロセスを持つ日本企業ほど、このギャップが顕在化しやすいともいえる。

様子見すべき点——「禁止」でも「放任」でもない第三の対応が問われる

シャドーAI問題への対応として、企業が取りがちな両極端がある。一方は「業務でのAI利用を全面禁止する」、もう一方は「個人の判断に委ねる」だ。しかし今回の調査が示す実態は、禁止しても利用は止まらないという現実であり、放任すれば機密情報の流出リスクが高まるという構造だ。

有効な対策として考えられるのは、承認済みのAIツールを迅速に整備し、現場のニーズを公式ルートで満たせる環境を作ることだ。ただし、どのツールを選定するか、どのデータを入力してよいかの基準をどう設けるか、運用コストをどう確保するかなど、実装上の課題は多い。調査が「管理職層で高まるニーズ」を指摘している以上、その具体的な内容を把握しないまま対策だけを打っても、シャドーAIの利用は形を変えて継続するだろう。

まとめ——問われているのは、ルールの厳しさではなく設計の質

「危険と知りながら使う」という管理職4割の行動は、モラルの問題として切り捨てられない。それは、現場のニーズに対して企業のガバナンス設計が追いついていないことのシグナルだ。

冒頭に置いた問い——「禁止すれば解決するか」——への答えは、この調査がはっきり示している。禁止は機能しない。重要なのは、ルールを厳しくすることではなく、現場が「公式ルートを使えば足りる」と感じられる環境を設計できるかどうかだ。その設計の質こそが、今後の企業のAIガバナンスを分ける分岐点になる。

本記事は公開情報をもとに、NEWGATA編集部で確認のうえ掲載しています。