Gartner、国内企業の「シャドーAI」対応における新たな指針を発表

ビジネスおよびテクノロジのインサイトを提供するガートナージャパン株式会社 (以下Gartner) は、開催中のガートナー アプリケーション・イノベーション & ビジネス・ソリューション サミットにおいて、国内企業におけるシャドーAIへの対応方針についての見解を発表しました。Gartnerの調査から、国内企業の多くはユーザー部門の選定による生成AIツールの利用を一定程度認めている一方、管理や対策が追い付いていない現状が明らかになりました。

Gartnerが2026年2月に実施した日本におけるエンドユーザー調査によると、IT部門が選定した以外の生成AIツール／サービスをユーザー部門が利用することについて、「自由に認めている」企業は8%、「審査の上、問題なければ認めている」企業の割合は67%でした。両者を合わせると、75%の企業が何らかの形でユーザー部門が選定した生成AIの利用を認めていることになります。

一方、シャドーAI (企業が正式に承認していないAIツール／サービス) 問題への対応状況については、「シャドーAIを把握できていない」企業が43%、「把握しているが、有効な対策を取れていない」企業が30%に上り、合計すると73%の企業がシャドーAIを有効に管理できていない実態が明らかになりました。なお、「把握し、有効な対策を取れている」と回答した企業は24%でした (図1参照)。

調査結果について、ディレクター アナリストの林 宏典は次のように述べています。「企業は従来の『IT部門が選定したAIのみ利用を認める』方針を見直す段階に来ています。AIツールの選択肢が急速に広がる中、ユーザー部門の活用意欲に水を差すことなく、かつすべてのツールをIT部門だけで完全管理することは困難なため、非現実的な『完全な管理』から『責任ある活用』への移行が必要です」

AIの能力が進化するのに伴い、シャドーAIのリスクも増大しています。Gartnerは、シャドーAIの主なリスクとして、知的財産を含む機密情報・個人情報の流出、データ管理等の法令違反、セキュリティ上の脆弱性の増大、そして事故発生時のレピュテーション毀損の4つを挙げています。企業には、単純な禁止や遮断ではなく、利用実態を可視化した上で、評価・承認・統制の仕組みを整備することが求められています。

Gartnerは、対応の方向性として、ユーザー部門とIT部門が役割・責任を分担する「分業モデル」の確立を推奨しています。具体的には、各AIツールの機能範囲を理解した上で、全社標準としてIT部門が一貫管理するAI、部門ごとに必要性に応じて審査・運用するAI、研修やテストにより認定されたユーザーのみ認める個人利用のAIの3つに分類・整理し、組織の実情に応じた運用ルールを設けることが重要です。ただし個人利用のAIは、リテラシーとリスク感覚に優れるユーザーが多い企業のみ、慎重に導入すべきです。

分業モデルを「絵に描いた餅」で終わらせないためには、「採用時の審査・許可」、次に「利用中のモニタリング」、そして「定期的な棚卸し」という3つのステップを運用する必要があります。特に、利用中のステップでのクラウド通信監視機能を活用したAIツール利用の可視化や、仕様変更に伴うリスク変動を把握する定期な棚卸しが重要です。

一方、AIのガバナンスについては、IT部門だけの課題として捉えるのではなく、セキュリティ、法務・コンプライアンス、人事、ユーザー部門などが連携する体制で取り組む必要があります。

林は次のように述べています。「AIによるトランスフォーメーションを加速する上で、IT部門は主導権をユーザー部門に移譲していく必要があります。『分業モデルの確立』とそれを支える『教育と認定による責任ある実践者の育成』はその必須条件です」