# シャドーAI

> シャドーAIは、ChatGPT 等を業務で無許可利用する行為。禁止しても止まらないため、利用規程と承認済みツール整備で正面から管理することが現実的な対処法です。

- Canonical: https://kuucorp.com/glossary/shadow-ai/
- Publisher: Kuu株式会社 (https://kuucorp.com)

---
## 定義

シャドーAI (Shadow AI) は、**情報システム部門の許可を得ずに、従業員が個人で契約・利用する生成AIツールを業務に持ち込む行為**を指します。シャドーIT の AI 版で、ChatGPT・Gemini・Claude などの個人アカウントで社内情報を入力してしまうケースが代表的です。

## なぜ発生するか

1. 業務で即座に使える生産性ブースターが公開されている
2. 会社公式のAIツール導入が遅い・禁止されている
3. 個人で無料または低額で契約できる
4. 情報漏洩リスクの理解が浸透していない

## 具体的なリスク

- **情報漏洩**: 顧客情報・機密仕様が学習データに使われる可能性
- **著作権・ライセンス違反**: 生成物の権利関係が曖昧なまま社外提出
- **品質の属人化**: プロンプトが個人に依存し、ノウハウが共有されない
- **監査不能**: 誰が何を入力・出力したか追跡できない
- **EU AI Act / ISO 42001 への違反**: ガバナンス要件を満たせない

## 対処の王道

「禁止すれば解決する」は機能しません。以下の3点セットが実務では有効です。

1. **承認済みツールを先に整備**: 使える選択肢を与えるのが最優先
2. **社内規程とガイドラインを策定**: 入力禁止情報・承認フローを明文化
3. **ログ監視と教育**: 使われ方を可視化し、ナレッジ化して横展開

Kuu株式会社の [Agent Governance サービス](https://kuucorp.com/services/ai-ops/) では、シャドーAI対策を含む利用規程整備と承認済みツール選定を支援しています。