善意の「使いやすさ」が招くリスク——シャドーAIと情報漏洩の現実

こんにちは、Kei750です。

GWが明けたのに、再び週末に連休がきますね。

エンジンをかけなおしたのに、本調子になるまでまだまだ時間がかかりそうです。

ん？立ち上がりが遅すぎるって？
はい、おっしゃるとおりです。

スロースターターのくせに低出力なのが取り柄です。

それはそうと、ベランダの紫陽花の蕾がだんだんふくらんできました。

毎年きれいな花を咲かせてくれるので、今年も楽しみです。

それでは本日の話題にいってみましょう。

「ちょっとだけ使ってみよう」が積み重なると

最近、情報セキュリティに関するニュースが続いています。
みなさんの職場でも、AIツールや各種アプリをプライベートで使い始めている方がいるのではないでしょうか。

そのようなツールなどを「シャドーAI」というそうなのですが、ご存じでしょうか。

会社のIT部門が正式に承認していないAIツールを、従業員が個人の判断で業務に使うことを指します。

これが今、企業のセキュリティ担当者にとって頭の痛い問題になっています。

直近では、国内でも情報漏洩に関わる事案が相次ぎました。

西日本シティ銀行では、職員がBeRealというSNSアプリで執務室内を撮影したところ、顧客氏名や営業目標が映り込んだ動画が約1年半後にSNSで拡散しました。

また、バイク用品店「２りんかん」では不正アクセスにより最大約345万件の会員情報が漏洩した可能性があると発表されています。

内容は悪意のあるハッキングから、うっかりミスまで様々ですが、いずれも「情報管理」の難しさを改めて示しています。

悪意はない。ただ、便利だから使っている

シャドーAIが広がる最大の理由は「悪意がない」ことです。

IBMの調査によると、企業従業員による生成AIの利用率は2023年から2024年にかけて74%から96%に急増しており、そのうち38%が雇用主の許可なく機密情報をAIツールに入力した経験があると回答しています。

「分厚い報告書を素早くまとめたい」「メールの文章をきれいにしたい」——ChatGPTやClaudeは、こうした日常業務に驚くほど役立ちます。

会社の公式ツールの承認待ちに何カ月もかかる間、目の前には無料でブラウザだけで30秒で使えるツールがある。

現場の気持ちとしては、検索エンジンを使うのと大差ない感覚なのだと思います。

問題は、その「気軽さ」の中に機密データが紛れ込んでしまうことです。

若手社員が未公表の決算資料を貼り付けてまとめさせたり、人事担当者が給与データを入力して通知文書を作らせたりする。

本人には悪気が全くない。しかし企業としては、管理外の場所に機密情報が渡るリスクを負うことになります。

シャドーAIがシャドーITより怖い理由

以前から「シャドーIT」という問題がありました。会社が許可していないクラウドストレージやチャットツールを従業員が勝手に使うことです。

シャドーAIはその「AI版」ですが、リスクの質が根本的に違います。

シャドーITでは、データが「保管」される場所が問題でした。
社外のストレージに重要機密が保管されていると思うと、かなり大きな問題だとは思います。

しかしシャドーAIでは、入力した内容がAIの学習データとして「再利用」される可能性があるところが輪をかけて厄介なところです。

自社の営業戦略や顧客リストが、将来まったく無関係な第三者への回答に反映されてしまうかもしれない。

情報の漏洩先が見えにくく、気づいたときには取り返しがつかないケースもあります。

BeRealの事案で印象的だったのは、「24時間で消えるはずの投稿」が1年半後に拡散したことです。

短時間で消えるSNSだから大丈夫、という感覚が油断につながりました。

誰かが画面録画で保存していれば、いつでも公開できる状態になっているわけです。

AIツールへのデータ入力も同様で、「どこに行ったか分からない情報」は、後から取り戻すことが難しい点で共通しています。

「全面禁止」より「明確なルール」が効く

では、企業はどう対応すればよいのでしょうか。

「AI禁止」の全社通達を出せば解決するかというと、そうではありません。

禁止はシャドーAIをさらに地下に潜らせるだけで、実態の把握がより難しくなります。

何より便利で速いですから。

現実的な対応として効果的なのは、「入力してよい情報・してはいけない情報」を明文化したシンプルなルール作りです。

たとえば「機密情報を含む業務には社内承認済みのツールを使い、それ以外の一般業務では外部ツールも可」というように、機密性を判断軸にした二層構造のルールです。

曖昧な禁止より、明確な線引きのほうが現場には伝わりやすく、善意のミスを防ぎやすくなります。

また、ルール策定の段階から従業員を巻き込むことも大切です。

「守れと言われたルール」より「自分たちで作ったルール」のほうが、日常的に意識されやすいものです。

従業員が「ルールの回避者」ではなく「解決策の担い手」になれる環境を、経営層が意識して整える必要があります。

「現場に対して、改善しろ！作業を速くしろ！」といったところであれはダメ、コレもダメではなかなか進みませんよね。

私が以前勤めていた会社はかなり厳しかったです

スマートフォンを持ち込む際にはカメラにシールが貼られました。

剥がすと、剥がしたことがわかるようにシールに跡が残るやつです。

それでも悪意を持ってやろうとすれば、情報漏洩させることは可能でしたが、かなりの抑止力にはなっていたと思います。

業務で必要な人には、カメラ機能なしのガラケーも配布されていました。
未だに売っているようですので、需要はあるようですね。

また、PCのカメラなんかは、IT部門によって機能をロックされており、使うことが出来なくされていました。

もちろんUSBポートもマウスみたいなもの以外は使えないようにロックされていました。

メールは社外宛の場合にはスキャンされていて、機密情報なんかを添付するとアラート画面が出て偉い人から呼び出し、顛末書の提出をさせられました。

更には工場に出入りする際には金属探知機を通る必要があるといった厳重さでした。

もちろん、不便さもありましたが、昨今の情報ダダ漏れの状況を見ていると、会社にとっても従業員にとっても自分を守るために必要なことなのかもしれないと思います。

（議事録とかで、ホワイトボードを写真に撮りたいなぁと思ったことは何度もありましたけどね）

まとめ：利便性とリスク管理の両立を目指して

シャドーAIの問題は、ツールが悪いのではなく、ガバナンスが追いついていないことにあります。

世界のAIガバナンスポリシーを持つ企業はいまだ37%にとどまるというデータもあります。日本も例外ではなく、多くの企業でガイドラインの整備が急務となっています。

BeRealの動画が示したように、「すでに起きてしまった漏洩」は今さら防げません。

大事なのは、今後新たに起きる漏洩を減らすための仕組みを、今作ることです。
便利なAIツールを活かしながら、情報管理の意識を組織全体で高めていく——その取り組みが、企業の信頼を守ることにつながります。

投資の世界でも「リスクを取らないこともリスク」とよく言われますが、AIツールについても同様です。

使わないことで業務効率を犠牲にするのも損失ですし、無管理で使い続けることもリスクです。
適切なルールのもとで賢く活用する——それがこれからの時代に求められるスタンスではないでしょうか。

それでは今日のところはこのあたりで。
最後まで読んでいただき、ありがとうございます。
ではまた。