シャドーAI

読み: しゃどーえーあい / English: Shadow AI

SHORT DEFINITION

情報システム部門の許可を得ずに従業員が業務で利用する生成AIツール。便利さゆえに急拡大し、情報漏洩・コンプライアンス違反の主要リスク源。

定義

シャドーAI (Shadow AI) は、情報システム部門の許可を得ずに、従業員が個人で契約・利用する生成AIツールを業務に持ち込む行為を指します。シャドーIT の AI 版で、ChatGPT・Gemini・Claude などの個人アカウントで社内情報を入力してしまうケースが代表的です。

なぜ発生するか

  1. 業務で即座に使える生産性ブースターが公開されている
  2. 会社公式のAIツール導入が遅い・禁止されている
  3. 個人で無料または低額で契約できる
  4. 情報漏洩リスクの理解が浸透していない

具体的なリスク

  • 情報漏洩: 顧客情報・機密仕様が学習データに使われる可能性
  • 著作権・ライセンス違反: 生成物の権利関係が曖昧なまま社外提出
  • 品質の属人化: プロンプトが個人に依存し、ノウハウが共有されない
  • 監査不能: 誰が何を入力・出力したか追跡できない
  • EU AI Act / ISO 42001 への違反: ガバナンス要件を満たせない

対処の王道

「禁止すれば解決する」は機能しません。以下の3点セットが実務では有効です。

  1. 承認済みツールを先に整備: 使える選択肢を与えるのが最優先
  2. 社内規程とガイドラインを策定: 入力禁止情報・承認フローを明文化
  3. ログ監視と教育: 使われ方を可視化し、ナレッジ化して横展開

Kuu株式会社の Agent Governance サービス では、シャドーAI対策を含む利用規程整備と承認済みツール選定を支援しています。

関連用語

エージェントガバナンス組織内で稼働するAIエージェントを設計・管理・評価・改善するための体系的な仕組み。複数エージェントの品質・コスト・リスクを統制する経営機能。AI-BCPAIサービスの障害・モデル変更・ベンダー撤退に備えた事業継続計画。従来のBCPを AI 前提業務向けに拡張したもの。EU AI Act欧州連合が制定したAIに関する包括的規制法。リスクレベル別に禁止事項・義務・罰則を定め、2026年以降段階的に施行。日本企業もEU向け事業で該当する。AIレッドチーミングAIエージェント・生成AIに対して敵対的な視点から脆弱性・誤動作・安全性逸脱を体系的にテストする手法。

この用語に言及している記事

スタートアップのAI体制構築——人材・ツール・プロセスを3ヶ月で整える実践手順Google Workspace × Gemini Enterpriseで始めるエージェントガバナンス——中小企業の実践ガイド
← 用語集へ戻る