管理職の4割がシャドーAIに機密情報入力、禁止では防げぬ業務効率化のニーズ

企業や組織のIT部門が把握・承認していない生成AI（ジェネレーティブAI）ツールを従業員が業務で無断利用する「シャドーAI」による問題が拡大している。

学習支援事業などを手掛けるGRASグループ（東京都港区）の調査によると、会社に報告せず個人の生成AIアカウントを利用した人のうち、23.1％が「顧客リストや売上実績」「契約書などの重要書類」といった機密性の高い情報を入力していたことが明らかになった。

調査からは、単なる「現場のモラルの問題」では片付けられない、管理職層における生成AI活用ニーズの強さも浮き彫りになった。

シャドーAIユーザーを役職別に分析すると、機密情報を入力している割合は一般社員クラスが18.8％だったのに対し、課長・部長クラスの中堅管理職は37.5％と、一般社員クラスを大きく上回った。

会社が導入した公認AIを利用している層の実態も調査した。その結果、公認AIを利用している管理職の40.5％が、機密情報をAIに入力していた。公認・非公認問わず約4割が機密情報を入力していることから、管理職にとって、機密データをAIで処理して業務効率化したいというニーズが強いことがうかがえる。

同社は「安全に機密情報を扱える公認AIを整備せずに、ルールで機密情報の入力を禁止するだけでは、根本的なニーズは消えない。結果として、効率化を求める管理職がシャドーAIを使い、機密情報が流出することにつながる」とコメントしている。

また「非公認のAIツールにデータを入れても、それが直ちに外部へ漏えいするわけではない」と考えるビジネスパーソンは少なくない。

しかし、シャドーAIのリスクは情報漏えいにとどまらず、取引先とのNDA違反や個人情報保護法違反などのコンプライアンス違反につながりかねない。

総務省が示した「ChatGPT等の生成AIの業務利用に関する申合せ」（2023年5月8日）では、無料版のChatGPTのようなサービスを「約款型外部サービス」と定義し「セキュリティ要件を満たすことが困難であることから、原則として機密情報を取り扱うことはできない」と明言している。さらに、組織の承認を得ずに利用する「シャドーIT」は、管理を困難にし、情報漏えいなどのリスクを高めるとしている。

同社は「万が一、シャドーAIに機密情報を入力したことが発覚した場合、企業としてのガバナンスが問われ、取引停止などの致命的なダメージを負うことになりかねない」と指摘した。

調査は4月にインターネットで実施。生成AIを業務で利用している会社員478人（シャドーAI利用者251人、公認AIのみ利用者227人）を対象とした。