ガートナージャパンは6月18日、開催中のガートナー アプリケーション・イノベーション&ビジネス・ソリューション サミットにおいて、国内企業におけるシャドーAIへの対応方針についての見解を発表した。Gartnerの調査から、国内企業の多くはユーザー部門の選定による生成AIツールの利用を一定程度認めている一方、管理や対策が追い付いていない現状が明らかになった。
Gartnerが2026年2月に実施した日本におけるエンドユーザー調査によると、IT部門が選定した以外の生成AIツール/サービスをユーザー部門が利用することについて、「自由に認めている」企業は8%、「審査の上、問題なければ認めている」企業の割合は67%であった。両者を合わせると、75%の企業が何らかの形でユーザー部門が選定した生成AIの利用を認めていることになる。
一方、シャドーAI(企業が正式に承認していないAIツール/サービス)問題への対応状況については、「シャドーAIを把握できていない」企業が43%、「把握しているが、有効な対策を取れていない」企業が30%に上り、合計すると73%の企業がシャドーAIを有効に管理できていない実態が明らかになった。なお、「把握し、有効な対策を取れている」と回答した企業は24%であった(図表1)。
AIの能力が進化するのに伴い、シャドーAIのリスクも増大している。Gartnerは、シャドーAIの主なリスクとして、知的財産を含む機密情報・個人情報の流出、データ管理等の法令違反、セキュリティ上の脆弱性の増大、そして事故発生時のレピュテーション毀損の4つを挙げている。企業には、単純な禁止や遮断ではなく、利用実態を可視化した上で、評価・承認・統制の仕組みを整備することが求められている。
Gartnerは、対応の方向性として、ユーザー部門とIT部門が役割・責任を分担する「分業モデル」の確立を推奨している。
具体的には、各AIツールの機能範囲を理解した上で、全社標準としてIT部門が一貫管理するAI、部門ごとに必要性に応じて審査・運用するAI、研修やテストにより認定されたユーザーのみ認める個人利用のAIの3つに分類・整理し、組織の実情に応じた運用ルールを設けることが重要である。ただし個人利用のAIは、リテラシーとリスク感覚に優れるユーザーが多い企業のみ、慎重に導入すべきである。
分業モデルを「絵に描いた餅」で終わらせないためには、「採用時の審査・許可」、次に「利用中のモニタリング」、そして「定期的な棚卸し」という3つのステップを運用する必要がある。特に、利用中のステップでのクラウド通信監視機能を活用したAIツール利用の可視化や、仕様変更に伴うリスク変動を把握する定期な棚卸しが重要である。
一方、AIのガバナンスについては、IT部門だけの課題として捉えるのではなく、セキュリティ、法務・コンプライアンス、人事、ユーザー部門などが連携する体制で取り組む必要がある。
[i Magazine・IS magazine]
