「会社のPCでChatGPTに議事録を貼り付けて要約させた」——これ、あなたもやっていないだろうか。
会社の許可なく個人の生成AIを業務に使う行為は「シャドーAI」と呼ばれ、2026年に入って急速に問題化している。GRASグループの調査では、シャドーAI利用者の約23%が顧客リストや契約書などの機密情報をAIに入力していた。
さらに衝撃的なのは、一般社員よりも管理職の方がリスク意識が低いという調査結果だ。課長・部長クラスの37.5%が機密情報を入力しており、一般社員の18.8%の約2倍にのぼる。
この記事では、シャドーAIの実態から、なぜ管理職ほど危険なのか、個人としてできる対策、そして企業が取るべきアクションまでを整理する。
広がる「シャドーAI」 一般社員より管理職のほうが意識が低い調査結果も 企業がすべき対策とは?
— 横山信弘(経営コラムニスト) (@nyattx) May 8, 2026
シャドーAIとは?「シャドーIT」のAI版
定義:会社の許可なく業務に個人AIを使うこと
シャドーAIとは、企業が正式に導入・承認していない生成AIツール(ChatGPT、Claude、Geminiなど)を、従業員が個人アカウントで業務に使用する行為を指す。
「シャドーIT」(会社の許可なく個人のツールやサービスを業務に使うこと)のAI版であり、概念自体は新しくない。しかし、生成AIの場合は入力したデータがモデルの学習に使われる可能性がある点で、従来のシャドーITよりもリスクが大きい。
なぜ広がっているのか
シャドーAIが広がる背景には悪意はない。「便利だから」だ。
会議の議事録を要約する、メールの下書きを作る、レポートの構成を考える——これらの作業がAIで劇的に効率化できることを、多くの従業員がすでに知っている。しかし、会社の承認プロセスがわかりにくい、そもそもAI利用のルールが存在しない、法人向けプランの導入が遅れている——こうした環境では、従業員が「個人で勝手に使う」方が合理的に見えてしまう。
本人にとっては、検索エンジンを使うのと変わらない感覚なのだ。
衝撃の調査データ:管理職ほど危険
データ①:機密情報を入力する管理職は一般社員の2倍
GRASグループの調査によると、シャドーAIで機密情報(顧客リスト、契約書、社内資料など)を入力している割合は以下の通り。
- 一般社員:18.8%
- 課長・部長クラス:37.5%
管理職の方がリスク意識が低い理由として考えられるのは、管理職ほど扱う情報の機密度が高く、かつ「自分の判断で使える」という裁量があるため、自己判断でAIに機密情報を入力してしまうケースが多いことだ。
データ②:社内ガイドラインの不在
SHIFT AIの調査では、さらに深刻な現状が浮かび上がっている。
- 社内のAI利用ガイドラインを「わからない」と答えた社員:39.8%
- 明確なルールが周知されている企業:わずか11.8%
- シャドーAIの経験がある社員:9.5%
約4割の社員がそもそもルールの有無すら把握していない。ルールがあっても知らない、ルールがないから自己判断——どちらの場合もシャドーAIが発生する土壌が整っている。
データ③:若手はAI利用を申告しない
若手社会人の59%が、生成AIを使って作成した成果物を提出する際に「AIを使ったことを伝えていない」と回答している。これはシャドーAIとは少し異なる問題だが、「AIの利用を隠す」という行動パターンが職場全体に浸透しつつあることを示している。
シャドーAIの4つのリスク
リスク①:情報漏洩
無料版のChatGPTをはじめとする消費者向けAIサービスでは、入力データがモデルの改善(学習)に使用される可能性がある。顧客リスト、契約書、財務データ、人事情報などを入力した場合、その内容が第三者に漏洩するリスクがゼロではない。
API版や法人向けプランでは通常「学習に使用しない」ポリシーが明確だが、個人の無料アカウントではその保証がない。
リスク②:法的リスク
入力した情報に個人情報が含まれていた場合、個人情報保護法に抵触する可能性がある。また、取引先とのNDA(秘密保持契約)に違反するケースも考えられる。
重要なのは、実際に情報が漏洩していなくても、NDA違反が発覚した時点で取引停止などの致命的なダメージを受ける可能性があることだ。
リスク③:コンプライアンス違反
金融、医療、法律など規制業界では、顧客データの取り扱いについて厳格なルールが定められている。シャドーAIでの情報入力は、業界規制への違反として監査指摘の対象になりうる。
リスク④:品質管理の問題
AIが生成した内容を無断で業務成果物として提出した場合、その品質(正確性、著作権、バイアス)に対する責任の所在が曖昧になる。AIの出力に誤りがあった場合、誰が責任を取るのかというガバナンスの問題が発生する。
あなたは大丈夫?シャドーAIセルフチェック
以下の行動に1つでも心当たりがあれば、シャドーAIのリスクにさらされている可能性がある。
- 個人のChatGPTアカウントで会議の議事録を要約している
- 社内メールの文面をAIで下書きしている
- 顧客リストや売上データをAIに貼り付けて分析している
- 社内の戦略資料や企画書の内容をAIに入力している
- 取引先の情報をAIに入力してメールの返信を作成している
- AIを使って作った資料を、AIを使ったことを伝えずに提出している
上記の行動すべてが即座に問題になるわけではないが、会社が正式に導入・承認したAIサービスで行っているかどうかが分岐点だ。個人の無料アカウントで行っている場合は、シャドーAIに該当する。
個人としてできる5つの対策
①まず自社のAI利用ガイドラインを確認する
約4割の社員がガイドラインの有無すら知らないのが現状だ。まず情シス部門や人事部門に確認する。ガイドラインが存在しなければ、それ自体が重要な情報——「ルールがない」ことを上司に報告し、策定を提案することが最初のアクションになる。
②法人向けプランを会社に提案する
ChatGPT Team/Enterprise、Claude for Business、Microsoft Copilotなど、法人向けプランでは「入力データを学習に使用しない」ポリシーが明確に定められている。個人の無料アカウントを使い続けるリスクと、法人プランのコストを比較する資料を作成して上司に提案する。
③機密情報は絶対に入力しない
どのAIサービスを使う場合でも、以下の情報は入力しない。
- 個人情報(顧客名、住所、電話番号、メールアドレス)
- 契約書・NDA関連の内容
- 財務データ(売上、利益、予算)
- 人事情報(評価、給与、異動計画)
- 未公開の製品・サービス情報
④匿名化・抽象化してから入力する
AIの活用自体をやめるのではなく、入力データを匿名化・抽象化するのが現実的な対策だ。「A社との契約書のレビュー」ではなく「SaaS企業間のNDAのレビューポイントを教えて」のように、固有名詞を除去した形で質問する。
⑤AIの出力は必ず検証する
AIが生成した内容をそのまま業務成果物として提出するのではなく、必ず自分の目で検証・編集した上で提出する。AIは下書きツールであり、最終判断は人間が行うという原則を徹底する。
企業が取るべき3つのアクション
①「禁止」ではなく「安全な環境」を提供する
AIの利用を全面禁止にしても、従業員のニーズは消えない。結果として、よりバレにくい方法でこっそり使う人が増えるだけだ。
正しいアプローチは、法人向けAIアカウントを用意し、「安全に使える環境」を提供することだ。ChatGPT Team、Claude for Business、Microsoft Copilotなど、法人向けプランではデータの取り扱いポリシーが明確に定められている。
②ガイドラインを社員と一緒に作る
トップダウンで「やるな」「こう使え」と押し付けるのではなく、現場の社員と一緒にルールを作る。実際にAIをどう使っているか、どんな場面で便利だと感じているか、どんなリスクを感じているか——現場の声を反映したガイドラインは、遵守率が格段に高くなる。
③定期的な研修とアップデート
AI技術は日進月歩で進化しており、半年前のガイドラインが陳腐化していることも珍しくない。四半期に1回程度のペースでガイドラインを見直し、新しいリスクや活用方法について研修を実施する。
まとめ:次にやるべき3つのこと
シャドーAIは「悪い社員が悪いことをしている」問題ではない。便利なツールを使いたいという自然な欲求と、企業の対応の遅れが生み出した構造的な問題だ。
① 今日やること:セルフチェックリストを確認し、自分がシャドーAIに該当する行動をしていないか振り返る。特に機密情報の入力は即座にやめる。
② 今週中にやること:自社のAI利用ガイドラインの有無を確認する。ガイドラインがなければ、上司に策定を提案する。法人向けAIプランの導入を検討する資料を用意するのも有効だ。
③ 組織として取り組むこと:AI利用のガイドラインを策定し、法人向けプランを導入する。禁止ではなく「安全に使える環境」を整えることが、シャドーAIの根本解決になる。ルール策定には現場社員を巻き込み、定期的にアップデートする仕組みを作る。
