「シャドーAI」の管理不十分が73％に、セキュリティや法令違反のリスクが増大：製造ITニュース

ガートナージャパンの調査によると、国内企業の75％がユーザー部門の選定による生成AIツールの利用をある程度容認している一方で、73％はシャドーAIを有効に管理できていない実態が明らかになった。

[MONOist]

　ガートナージャパンは2026年6月18日、企業が正式に承認していないAI（人工知能）ツールおよびサービス「シャドーAI」への対応方針について、国内企業の見解を発表した。調査の結果、企業の多くはユーザー部門の選定による生成AIツールの利用をある程度認めている一方、管理や対策が追い付いていない現状が判明した。

　同年2月に実施した日本におけるエンドユーザー調査によると、IT部門が選定した以外の生成AIツールやサービスをユーザー部門が利用することについて、8％が「自由に認めている」、67％が「審査の上、問題なければ認めている」と回答した。

　一方、シャドーAIへの対応状況では、「把握できていない」が43％、「把握しているが、有効な対策を取れていない」が30％に上り、73％の企業が管理できていないことが明らかとなった。なお、「把握し、有効な対策を取れている」と回答したのは24％にとどまる。

国内企業におけるシャドーAIへの対応方針についての見解［クリックで拡大］ 出所：Gartner

　AIの能力進化に伴い、知的財産を含む機密情報や個人情報の流出、データ管理等の法令違反、セキュリティ上の脆弱（ぜいじゃく）性の増大、事故発生時のレピュテーション毀損といったリスクが高まっている。同社は、従来の「IT部門が選定したAIのみ利用を認める」方針を見直し、非現実的な完全な管理から、責任ある活用への移行が必要だと指摘する。

　具体的な対応策として、ユーザー部門とIT部門が役割や責任を分担する分業モデルの確立を推奨。IT部門が一貫管理する「全社標準のAI」、部門ごとに審査や運用を行う「部門ごとのAI」、研修やテストで認定されたユーザーのみに認める「個人利用のAI」の3つに分類し、ルールを設けることが重要だとする。

　このモデルの運用には、採用時の審査と許可、利用中のモニタリング、定期的な棚卸しが必要となる。特に利用中のステップにおけるクラウド通信監視機能を活用した可視化や、仕様変更に伴うリスク変動の把握が重要となる。

≫「製造ITニュース」のバックナンバー