「シャドーIT」とは、企業(情報システム部門など)が把握・許可していない個人のデバイスやクラウドサービスを、従業員が業務で無断使用している状態を指します。私用のスマートフォンでの業務連絡や、未承認のファイル共有サービスへのデータ保存などが代表例です。
そして昨今、ビジネスの現場で新たに急増しているのが「シャドーAI」です。これはシャドーITから派生した言葉で、会社に無断でChatGPT等の生成AIツールや、AI拡張機能を業務利用することを意味します。
■ 発生の背景と潜むリスク
従業員の多くは「業務を効率化したい」「より良いアウトプットを出したい」という善意から無断利用してしまいます。しかし、顧客の個人情報や社外秘データを未承認のサービス・AIに入力してしまうと、重大な情報漏えいや、AIの学習データへの意図せぬ取り込み、著作権侵害といった甚大なセキュリティリスクに直結します。
■ 企業に求められる対策
シャドーITやシャドーAIを防ぐには、単に「禁止」するだけでは不十分です。セキュリティ要件を満たした公式ツール(法人向けAIなど)を導入して安全な環境を整備するとともに、明確な社内ガイドラインの策定、従業員への継続的なリテラシー教育をセットで行うことが重要です。
参考記事
・AIの社内教育は「誰」がやるべき?【AI推進室・CoE】の立ち上げ事例
