シャドウAIとは何か ― 大企業で起きている「許可されていない」AI利用の全貌

「うちの会社は生成AIを禁止しているから大丈夫」――そう考えているCISOや情報システム部長こそ、最も危うい。Microsoftの調査では、AIを業務で使う従業員の78%が自分でツールを持ち込んでいる^[1]。Gartnerは2030年までに企業の40%以上が「許可されていないAI利用」に起因する情報漏えい・コンプライアンス違反を経験すると予測し^[2]、IBMの年次レポートは2025年時点でデータ侵害の20%がシャドウAIを含むと報告する^[3]。本稿は、経営層・CISO・法務が押さえるべき「シャドウAI」の定義・実態・検知・打ち手を、一次ソースに基づいて整理する。

定義：Shadow IT と Shadow AI の違い

Gartnerは従来のシャドウITを「IT組織の所有・管理の外にあるITデバイス、ソフトウェア、サービス」と定義してきた^[4]。シャドウAI（Shadow AI）はその派生概念でありながら、質的に異なる。業界分析によれば、シャドウITは「ITの統制外で起きる技術導入」であるのに対し、シャドウAIは「統制外で行われる意思決定・コンテンツ生成・データ解釈」である^[5]。導入障壁も決定的に違う。シャドウITは未承認SaaSの契約やソフトウェアのインストールを伴うが、シャドウAIはブラウザでWebを開き、プロンプトに貼り付けるだけで成立する^[5]。ブラウザ拡張機能、SaaSに後付けされた「AIアシスタント」、議事録文字起こしツール経由の利用など、検知しづらい経路が多層に存在する点も相違点である。Gartnerは2025年11月時点で、69%の組織が「従業員が禁止された公開GenAIを使っている疑い・証拠がある」と回答したと報告している^[2]。

実態：数字で見るシャドウAI

実データは、経営層の感覚を大きく上回るスピードでAI持ち込みが進んでいることを示す。Microsoft / LinkedInの「Work Trend Index 2024」では、ナレッジワーカーの75%がすでに業務で生成AIを使い、そのうち78%が自分で用意した「BYOAI（Bring Your Own AI）」だった^[1]。Cyberhavenが約300万人の従業員の挙動を分析した調査では、2023年3月から2024年3月の1年間で、AIツールに投入された企業データの量が485%増加し、投入データに占める機密データの割合は10.7%から27.4%へ拡大した^[6]。同社データではChatGPT利用の73.8%が個人アカウント経由であり、法人契約の統制が効かない領域が主戦場となっていることが示唆される^[6]。Netskopeの2025年レポートでは、94%の組織が生成AIアプリを利用し、組織あたりの平均利用アプリ数は9.6に達した^[7]。同社は、ChatGPTに投稿される機密データで最も多いのがソースコードであり、従業員1万人あたり月183件のソースコード投稿インシデントが観測されていると報告している^[7]。Zscalerの分析では2024年2月〜12月の1年弱でAI/MLトランザクションが前年比36倍（+3,464%）に急増し、Palo Alto Networksも7,051組織のトラフィックを分析して生成AI通信量が890%増、1社あたり平均66個の生成AIアプリが使われ、うち10%が高リスクに分類されると公表している^[8][9]。IBMの『Cost of a Data Breach 2025』では、シャドウAIが関与する侵害は平均被害額が標準的な侵害より約67万ドル高く、AI侵害を受けた組織の97%が適切なAIアクセス制御を欠いていた^[3]。

典型的な発生パターン

実態を集約すると、シャドウAIは大きく4つの経路で入り込む。第一に「個人アカウント経由のWeb版チャットボット」。営業がChatGPTに顧客名・提案内容を貼り付けて要約させる、法務が契約書をそのまま投げて論点抽出させるといった典型で、CyberhavenのデータでもChatGPT利用の7割強が個人アカウントだった^[6]。第二に「開発者向けコーディング支援」。GitHub CopilotやCursor、その他のAIコーディング支援ツールを個人の判断で有効化し、社内リポジトリのコードを補完プロンプトとして送信してしまうパターンで、Netskopeの観測でも投入機密データの第1位はソースコードである^[7]。第三に「無料SaaSに埋め込まれたAI機能」。議事録文字起こし、会議サマリ、メール補助、翻訳、図解生成など、後から「AI機能」が付加された既存ツール経由の漏えいで、利用者自身が生成AIを使っている自覚に乏しい。第四に「ブラウザ拡張機能・モバイルアプリ」。Palo Alto Networksは平均66個のGenAIアプリのうち10%が高リスクだと指摘しており^[9]、審査されていない拡張機能がブラウザ上のすべての閲覧・入力を読み取る構造的リスクがある。いずれもインストール権限や契約が不要で、個人の裁量で発生する点が共通する。

実被害事例

最もよく引用されるのはSamsungのケースである。2023年3月、半導体部門の技術者が設備の不具合コードをChatGPTに貼り付けて修正を依頼したのを皮切りに、わずか1カ月弱で少なくとも3件の機密情報入力が確認された――半導体データベースのソースコード、不良検出コードの最適化依頼、社内会議の議事録生成である^[10][11]。Samsungは当初、プロンプト長を1,024バイトに制限する緊急措置で対応したが、2023年5月1日に社内デバイス・ネットワーク上での生成AI利用を全面禁止とした^[10]。同時期、AppleはChatGPTおよびGitHub Copilotの業務利用を制限、Amazonは従業員に対し機密情報の投入禁止を周知し社内製ツールへの切替を推奨、Goldman SachsやVerizonも業務端末での利用制限に踏み切った^[12]。日本国内でもIPAは2024年7月、「AI利用時の脅威、リスク調査報告書」で、国内組織の多くが生成AIに伴う脅威を認識しつつも具体的な規程整備・対策優先度づけが未整備であると指摘している^[13]。事件そのものの深刻さ以上に、単一のコピー&ペーストで機密が「学習データ側」へ移転し得るという、従来型の情報漏えいとは異なる不可逆性が経営リスクの核心である。

検知アプローチ

シャドウAIの検知は「100%の発見」を目的とせず、層をなす複数手段の組み合わせで近似するのが実務的である。第一層はネットワーク・プロキシログ／SWG（Secure Web Gateway）。URLカテゴリや既知のAIドメイン一覧で粗く可視化でき、Palo Alto NetworksやZscalerはカテゴリ単位で生成AI通信を識別する機能を備える^[8][14]。第二層はCASB（Cloud Access Security Broker）で、未承認SaaSアプリの利用状況を「誰が・どのアプリを・どの頻度で」単位で把握する。第三層はDLP（Data Loss Prevention）で、送信内容そのものを検査してソースコード・PII・特定キーワードを含むプロンプトをブロック／マスクする。Microsoft PurviewやZscaler DLPは、ラベルベースの制御やインライン検査でChatGPT・Copilot・Gemini等への送信を統制できる^[14]。第四層はエンドポイント（EDR／ブラウザ拡張検出）。SaaSに埋め込まれたAI機能やブラウザ拡張経由の利用はネットワーク層で見えにくいため、端末側での可視化が必要になる。加えて、定性面ではアンケートや1on1での実態聴取が有効で、MicrosoftのWork Trend Indexが示す通り、利用者の52%が「重要タスクでAIを使ったことを開示しない」と答えており^[1]、技術計測だけではバイアスが残る。

チェックリスト

• 過去90日間のプロキシ／SWGログから、主要AIドメイン（chatgpt.com、claude.ai、gemini.google.com、perplexity.ai等）への通信を棚卸しし、部門別・個人別の利用量を定量化する。
• DLPで「ソースコード」「顧客氏名・連絡先」「契約文言」「財務未公表数値」の4カテゴリを生成AI送信時のブロック／警告対象として明示設定する。
• 全社員向けに「個人アカウントでの業務データ投入禁止」「法人契約AIへの誘導」「ブラウザ拡張機能の社内審査フロー」を1枚の利用規程として配布する。
• ブラウザ拡張機能のインベントリを取得し、AI系拡張を「許可・条件付き許可・禁止」の3区分で管理する。
• 経営会議・取締役会に「シャドウAI利用状況」を四半期KPIとして報告し、AI利用規程の遵守率・インシデント件数・是正率を継続トラッキングする。

打ち手

優先順位は明確である。第一に「出口の統制」――法人契約のエンタープライズAI（学習に使われない契約条件のChatGPT Enterprise、Copilot、Geminiなど）を正規ルートとして用意し、そこへ誘導する。禁止だけでは持ち込みが増えるというMicrosoftの78%という数字^[1]が示す通り、代替手段の提供が必須である。第二に「入口の統制」――DLP／CASBで機密データの送信を検査し、ソースコードと顧客PIIを最優先の保護対象としてインライン制御する^[7][14]。第三に「規程・教育」――利用規程を配布し、Samsung事例を含むケーススタディで「1回のコピー&ペーストが不可逆な漏えいになる」ことを経営層から現場まで共有する^[10]。第四に「ガバナンスの棚卸し」――IPAのガイドライン^[13]やGartnerのAI TRiSM枠組みを参照し、AI利用台帳・承認フロー・インシデント対応手順を既存のセキュリティ体制に組み込む。

禁止は抜け道を生む。代替と可視化だけが統制になる。

Omamori AI の結論

1. 事実: シャドウAIは「少数の例外」ではなく、すでにAI利用者の78%がBYOAI、94%の組織が生成AIを使用、ChatGPT利用の73.8%が個人アカウントという規模の構造的現象である^[1][6][7]。IBMは2025年のデータ侵害の20%がシャドウAIを含み、平均被害額は標準侵害より67万ドル高いと報告している^[3]。
2. 判断軸: 「禁止できるか」ではなく「可視化できているか」「正規ルートを提供できているか」で判断する。禁止一辺倒の企業ほど個人アカウント利用に追いやられ、検知不能領域が拡大する。
3. 打ち手: (a) エンタープライズ契約AIの正規提供、(b) DLP／CASBによる出口検査（ソースコード・PII優先）、(c) 利用規程とSamsung級事例での教育、(d) 取締役会KPIとしての四半期報告――この4点を同時並行で進める。

経営者視点で考えるべきこと

シャドウAIは単なる情報システム部の課題ではなく、取締役の善管注意義務の射程に入る論点である。日本の会社法上、取締役は内部統制システム構築義務（会社法362条4項6号）を負い、機密情報・個人情報の流出は善管注意義務違反として株主代表訴訟・開示義務違反リスクに連動する。Gartnerは2030年までに企業の40%がシャドウAI起因のインシデントを経験すると予測し^[2]、IBMは平均上乗せコストを67万ドルと定量化した^[3]。つまり「把握していなかった」は、もはや免責の根拠にならない段階にある。一方で、AI利用の完全禁止は競争力上の機会損失でもある。MicrosoftのWork Trend Indexやスタンフォード大学の『AI Index 2025』が示す通り、生成AIは業務生産性と業界横断の事業価値に寄与している^[1][15]。経営に求められるのは「禁止か放任か」の二者択一ではなく、正規ルートの提供、可視化、規程・教育、定期報告というガバナンスの4点セットを取締役会レベルのアジェンダに組み込み、シャドウAIの発生率と影響度を継続的に下げる仕組みをつくることである。

参考文献・出典

1. Microsoft & LinkedIn, “2024 Work Trend Index Annual Report: AI at Work Is Here. Now Comes the Hard Part” (2024年5月) https://www.microsoft.com/en-us/worklab/work-trend-index/ai-at-work-is-here-now-comes-the-hard-part
2. Gartner, “Gartner Identifies Critical GenAI Blind Spots That CIOs Must Urgently Address” (2025年11月19日) https://www.gartner.com/en/newsroom/press-releases/2025-11-19-gartner-identifies-critical-genai-blind-spots-that-cios-must-urgently-address0
3. IBM, “Cost of a Data Breach Report 2025” (2025年7月) https://www.ibm.com/reports/data-breach
4. Gartner Information Technology Glossary, “Shadow IT” https://www.gartner.com/en/information-technology/glossary/shadow
5. Knostic, “Detect and Control: Shadow AI in the Enterprise” https://www.knostic.ai/blog/shadow-ai
6. Cyberhaven Labs, “Shadow AI: How Employees Are Leading the Charge in AI Adoption and Putting Company Data at Risk” (2024年) https://www.cyberhaven.com/blog/shadow-ai-how-employees-are-leading-the-charge-in-ai-adoption-and-putting-company-data-at-risk
7. Netskope Threat Labs, “Cloud and Threat Report: AI Apps in the Enterprise 2024” / “Generative AI 2025” https://www.netskope.com/resources/cloud-and-threat-reports/cloud-and-threat-report-ai-apps-in-the-enterprise-2024
8. Zscaler ThreatLabz, “2025 AI Security Report” (2025年3月) https://www.zscaler.com/blogs/security-research/threatlabz-ai-security-report-key-findings
9. Palo Alto Networks, “The State of Generative AI 2025” https://www.paloaltonetworks.com/resources/research/state-of-genai-2025
10. Bloomberg / SamMobile / Dark Reading報道, “Samsung Engineers Feed Sensitive Data to ChatGPT” (2023年4-5月) https://www.darkreading.com/vulnerabilities-threats/samsung-engineers-sensitive-data-chatgpt-warnings-ai-use-workplace
11. AI Incident Database, “Incident 768: ChatGPT Implicated in Samsung Data Leak of Source Code and Meeting Notes” https://incidentdatabase.ai/cite/768/
12. Fortune, “Employees are banned from using ChatGPT at these companies” (2023年5月19日) https://fortune.com/2023/05/19/chatgpt-banned-workplace-apple-goldman-risk-privacy/
13. IPA 独立行政法人情報処理推進機構, “AI利用時の脅威、リスク調査報告書” / “テキスト生成AIの導入・運用ガイドライン” (2024年7月) https://www.ipa.go.jp/pressrelease/2024/press20240704.html
14. Zscaler, “Securing GenAI and Microsoft Copilot with Zscaler Data Security” https://www.zscaler.com/blogs/product-insights/securing-gen-ai-and-microsoft-copilot-how-zscaler-data-protection-keeps
15. Stanford HAI, “The 2025 AI Index Report” https://hai.stanford.edu/ai-index/2025-ai-index-report