シャドーAIとは、会社が把握しないまま従業員が個人アカウントや無料版の生成AIを業務に使う状態です。いま動かなければ、半年後には顧客情報を含むプロンプト、根拠不明の提案書、監査で説明できない判断ログが部署ごとに散在します。結論は、禁止の掲示ではなく「見つける、分類する、公式の使い道へ移す、教える」を同時に始めることです。まず利用実態を認め、業務改善の力を管理できる場所へ戻す必要があります。
シャドーAIの実態
事業会社で起きているシャドーAIは、派手なAI活用ではなく日々の小さな時短から広がります。典型は3つです。1つ目は、営業担当が議事録や見積メールを個人契約のAIに貼り付ける利用。2つ目は、管理部門が規程、契約書、稟議文のたたき台を無料ツールで作る利用。3つ目は、情シスや企画部門がコード、SQL、社内FAQを外部サービスで確認する利用です。従業員220名の医療機器商社A社では、社内アンケートで「月1回以上AIを使う」人が38%、そのうち会社が承認した環境だけを使う人は半数以下でした。1件あたり数千字の入力でも、月80件なら顧客名、価格、症例に近い情報が継続的に外へ出る可能性があります。本人は「要約だけ」「匿名化したつもり」と考えがちですが、取引先名、型番、地域名がそろうだけで推測できる情報は増えます。
なぜ禁止だけでは止まらないのか
全面禁止はわかりやすく、金融、医療、研究開発など機密性が特に高い領域では当面の正解になる場合もあります。ただ、多くの現場では禁止だけでは利用が地下化します。理由は単純で、従業員は不正をしたいのではなく、資料作成を30分短縮したい、上司に出す文章を整えたい、IT部門に依頼する前にエラーの意味を知りたいからです。A社でも、禁止通達後に社内検索ログからAI関連サイトへのアクセスは減りましたが、個人スマホ利用の自己申告は17%残りました。忙しい40代のコンプラ担当・情シス課長が見るべきなのは、意識の低さではなく動機構造です。公式ツールが遅い、申請が重い、使ってよい例がない。この3点を放置すると、現場は「少しだけなら」と判断し続けます。禁止文だけを強めるほど相談しにくくなり、結果として早期発見の機会も減ります。
統制策の4階層
統制は、検知、棚卸し、公式化、教育の4階層で設計します。検知では、プロキシログ、SaaS利用ログ、ブラウザ拡張、経費精算を組み合わせ、AI関連ドメインと個人課金の兆候を月次で確認します。棚卸しでは、部署別に「入力している情報」「成果物の用途」「代替できる公式手段」を15分ヒアリングで集め、赤黄緑に分類します。公式化では、Claudeなど承認済み環境を用意し、入力禁止情報、保存ルール、レビュー責任者を明文化します。教育では、1回の座学で終えず、営業メール、議事録、契約レビュー補助など職種別の演習に落とし込みます。A社の試算では、初期設計20時間、ヒアリング30時間、研修準備15時間で、全社方針より先に高頻度部署から着手できました。重要なのは、監視と罰則だけでなく、許可された使い方を同じ文書に書くことです。
6ヶ月で立ち上げる現実的なロードマップ
1ヶ月目は、現状を責めずに把握します。匿名アンケート10問、ログ確認、部門長ヒアリングで、利用率、入力情報、困りごとを可視化します。2ヶ月目は、利用を「禁止」「条件付き可」「推奨」の3区分に分け、例外申請の窓口を1つにします。3ヶ月目は、Claudeを公式ツールとして小さく展開し、営業、管理、情シスの各10名でプロンプト例とレビュー手順を検証します。4ヶ月目は、規程、チェックリスト、教育資料を更新し、5ヶ月目に全社研修を実施します。6ヶ月目は、KPIを「承認済み環境の利用者数」「未承認AIアクセスの減少率」「高リスク入力の報告件数」に絞って定例化します。大切なのは、初月から完璧な規程を作らず、利用実態を見ながら統制を厚くすることです。月次30分のレビュー会でも、例外判断の蓄積が次のルール改定に役立ちます。
シャドーAI対策は、セキュリティ部門だけの監視強化では定着しません。コアネストは、ITコンサルとして検知・棚卸し・規程設計を支援し、Claude研修で現場が安全に使える型まで伴走します。社内説明、管理職向けQ&A、プロンプト例の整備まで一体で進めることで、統制を形骸化させにくくします。まずは自社の未承認AI利用がどこに潜むか、無料診断(/diagnosis)で確認してみてください。
