「AIで議事録を作ったら、さくさくできた。さすがAIは違うな」
ある機械部品メーカーの営業部長が、そんなことをのんきに話していた。それを廊下で耳にした情報システム部のセキュリティ担当者は、耳を疑った。どうやら自分の個人アカウントの生成AIを使っているらしい。上司に報告したところ「これはまずい」という話になり、調査を始めた。
すると次々と実態が明らかになってきた。営業部では会議の議事録をAIに支援させていた。それだけではない。ビジネスメールから営業日報まで生成AIに書かせている。そんな社員が、かなりいるという。
社長に報告すると、「何が問題なんだ? どんどん新しいテクノロジーを使えばいいじゃないか」と言われてしまった。
この会社だけの話ではない。シャドーAIは今、日本企業の中で静かに、しかし確実に広がっている。そこで今回は、シャドーAIとは何か、どこまでがOKでどこからNGなのか、そして企業はどう対処すべきかについて解説する。経営者や管理職の方は、ぜひ最後まで読んでもらいたい。
シャドーAIとは何か
シャドーAIとは、会社が公式に許可していないAIツールを、従業員が個人の判断で業務に使うことだ。
具体的には、会社の承認なしに個人アカウントのChatGPT、Gemini、Claudeなどに、会議の音声データや議事録のメモ、機密情報を含む文書などを入力して活用するケースが典型だ。
かつて「シャドーIT」と呼ばれた問題があった。これは、従業員が個人デバイスやクラウドサービスを無断で業務利用することだ。このAI版なのだが、扱うデータの性質を考えると、はるかに深刻な問題を含んでいる。
なぜ広がるのか? 理由は単純だ。生成AIは”便利すぎる”からである。
議事録の作成、メール文案の下書き、資料の要約、報告書の作成――これらは生成AIを使えば劇的に時短できる。「検索エンジンを使うのと変わらない感覚」という声があるほど、個人の中でのハードルは低い。しかし企業の情報セキュリティの観点からは、まったく次元が違う話なのだ。
次ページが続きます:
【管理職のほうが意識低い!?】
