セキュリティ部の『No』が効かなくなった — AI 推進圧力下の CISO 権威失墜
「セキュリティ部が止めたって、結局現場は使ってる」――この一文は、2026 年の多くの日本企業 CISO に共通する実感だろう。AI 関連のリスクを正式に評価し、特定ベンダー導入の保留を勧告しても、半年後には「現場部門が業務効率を理由に独自導入した」という報告が上がってくる。CISO の『No』が、組織の意思決定として機能しない状態である。本稿は、この現象を一過性の運用問題ではなく、AI 推進圧力下で構造化された組織病理として扱う。
権限は拡大、裁量は縮小 — 二重構造の矛盾
注目すべきは、CISO の正式権限がむしろ拡大している点である。Vantedge Search の 2026 年 CISO 役割調査によれば、成熟組織における CISO は「諮問役」から「ローンチ停止・ベンダー否決・リスク例外承認の権限を持つビジネス統制責任者」へと移行した [1]。取締役会が CISO を直接招集するケースも増えている。
しかし、同調査は同時に深刻な矛盾を示している。52% の CISO が「自らのスコープがもはや管理可能でない」と回答している [1]。形式的な権限拡大の裏で、対応領域・関与すべき意思決定・期待される対応速度が同時に膨張し、結果として現場の個別案件への影響力が希釈されている。AI 推進案件はその最たる例で、各部門が並行して動かす数十件の AI 検討を、一つの CISO 組織が個別審査する物理的余裕はない。
シャドウ AI の規模感 — Gartner の予測
Gartner の 2022 年調査では、41% の従業員が IT 部門の可視性外でテクノロジーを取得・改変・作成していると報告された。Gartner は同調査で、この比率が 2027 年までに 75% に達すると予測している [2]。Infosecurity Magazine の編集調査も、シャドウ AI が「CISO にとって次の最大のガバナンス課題」になっていることを認めている [3]。
シャドウ AI が広がる構造はシンプルである。AI ツールの導入コストが個人クレジットカード決裁の範囲(月額数百〜数千円)に収まり、しかも業務効率の即時改善が体感できる。「導入を申請する → 待つ → 否決される」と「黙って使う → 結果を出す → 評価される」を比較したとき、現場の合理的判断は後者になる。
CISO が『No』を出せても、組織が『No』を実行できない
MIT の AI ガバナンス失敗レポートを HRbrain.ai がまとめたメタ分析は、興味深い知見を示している。組織の AI ガバナンスが機能しない最大の理由は、ポリシーの不足ではなく、「ポリシーを実装する権限が現場に渡されていない」ことだという [4]。CISO がガイドラインを発出しても、各部門長がそれを業務プロセスに組み込む権限を持たない、または組み込むインセンティブを持たない場合、ガイドラインは存在しないのと等しい。
CSO Online の 2026 年論考は、この問題を「CISO は薄く広がりすぎている(stretched thin)」と表現する [5]。スコープ拡張のスピードに対し、権限・予算・組織アラインメントが追いつかない。結果として、CISO の発する『No』は「正式権限の行使」と「現場の実装」の間で空転する。
なぜ AI 推進圧力下で特に顕在化するのか
AI 推進というナラティブは、組織の意思決定における「重力」を変える。経営層が「AI で生産性を上げる」「AI で競争力を確保する」と公言した瞬間、各部門の起案者は「AI を使わない選択」を正当化することを暗黙的に求められなくなる。逆に、セキュリティ部の『No』は「AI 活用への抵抗」「ビジネス遅延の原因」というフレームで再定義される。
これは構造的な圧力であり、個別 CISO の手腕では対処できない。CSO Online は、この事態に対する答えとして「CISO 個人の能力強化ではなく、エンタープライズリスクの再定義」を提案する [5]。すなわち、AI 関連の意思決定責任を CISO 単独に委ねるのではなく、AI を採用した結果として生じるビジネスリスク全体を経営層が引き取る仕組みへの移行である。
編集部の見立て — 『No』を構造化する 3 つの再設計
- 『No』の前にゲートを置く。CISO が個別案件で No を発する段階より前に、AI 採用検討の標準ゲート(データ分類・ベンダー監査・リスク評価)を業務プロセスに組み込む。CISO は通過判断の関門ではなく、ゲート設計の責任者になる。
- 『No』の責任を経営に上げる。CISO が『No』を出した案件を経営層が覆す場合、覆した経営層が当該案件のリスクを明示的に引き受ける書面化プロセスを設ける。MIT レポートが示唆する「実装権限と責任の連動」の制度化である [4]。
- 『Yes』の道筋を CISO 側から提供する。CISO が『No』だけを発する組織では、現場は CISO を迂回する。代替案の提示・推奨ベンダーリスト・社内承認済み AI ツールカタログを CISO 主導で整備する。
『No』の権威失墜は、CISO 個人の発信力や交渉力の問題ではない。組織が AI を推進する以上、セキュリティ統制の機能配置を見直さない限り、同じ構造が再生産され続ける。守りの仕事は、止める力ではなく、設計する力で測られる時代に入った。
参考文献
- [1] Vantedge Search, “CISO Role in 2026: Why Cybersecurity Is Moving to the Boardroom” (2026). vantedgesearch.com
- [2] Gartner, “Shadow IT Adoption Forecast 2022-2027” (引用元: CSO Online — Shadow IT is increasing)
- [3] Infosecurity Magazine, “Why Shadow AI Is the Next Big Governance Challenge for CISOs” (2026). infosecurity-magazine.com
- [4] HRbrain.ai (MIT report summary), “MIT Report: Why AI Governance Fails” (2026). hrbrain.ai
- [5] CSO Online, “With CISOs stretched thin, re-envisioning enterprise risk may be the only fix” (2026). csoonline.com
本稿は Omamori AI 編集部による独自論考である。複数組織の運用観察と公開された調査・報告書に基づく一般的な構造論評であり、特定企業の運用を指すものではない。
