BlackFogの調査によると、従業員の49%が、雇用主が承認していない方法でAIを使用していることが明らかになった。これらのユーザーのうち58%は、企業レベルのデータガバナンスやセキュリティを含まない無料版のソフトウェアを使用していた。60%は、プロジェクトを期限内に完了させるために、未承認の製品で「リスクを取る」と回答した。また、63%は、承認された製品が利用できない場合、ITの監視なしにAIツールを使用することは許容されると述べている。
シャドーAIは、AI戦略の有無にかかわらず、企業内に存在する。IBMはシャドーAIを、従業員が組織からの明示的な承認や監視なしに使用する人工知能(AI)アプリケーションやツールと定義している。専任のITセキュリティ部門を持つ大企業にとって、シャドーAIはガバナンスの問題と見なされる可能性がある。IT部門を持たない小規模組織(従業員5〜50人)にとって、シャドーAIはまったく異なるタイプの問題である。従業員は、データセキュリティ、顧客の機密保持、ブランドボイスに関する決定を、すべて密室で行っているのだ。
従業員がAI使用を隠す理由
Slackが調査した1万7000人のオフィスワーカーのうち約48%が、AIを使用したことを上司に伝えることに不安を感じていると回答した。これは、これらの従業員の大半が嘘をついているからではない。むしろ、多くの従業員は、AI使用について上司に伝えると、「ズルをしている」「怠けている」と見なされたり、上司が自分を「能力が低い」と思うのではないかと感じているのだ。調査に回答した従業員の約5人に1人(20%)が、自分を「アンダーグラウンドワーカー」と呼んでいる。これは、定期的にAIに依存しているが、同僚から尋ねられても使用を認めない人々を指す。
今日、多くの従業員がAI使用についてこのように考えるのは論理的である。企業オーナーが、職場でどのようなAIツールの使用が許容されるか、あるいは同様に重要なこととして、どのようなAIツールの使用が許可されていないかを明確に表明していない場合、従業員は通常、雇用主からのそのような情報の欠如によって生じたギャップを埋めるために推測を行う。その結果、チーム全体が協力して働いているにもかかわらず、その半数がチームの他のメンバーの知らないうちにさまざまなAIツールを使用している可能性がある。チームメンバーの誰も、どのデータをどのツールに入力すべきかについて協力しておらず、チームメンバーのAI使用は経営陣によって監視されていない。
シャドーAIが中小企業に実際にもたらすコスト
リスクは、従業員がAIを使用していることではない。リスクは、従業員がガードレールなしでAIを使用していることである。従業員が顧客提案書を無料のChatGPTアカウントに貼り付けて文章を整えると、その顧客のビジネス詳細は、企業オーナーが承認したことのない第三者のサーバーに保存される。経理担当者が財務データをAIツールにアップロードしてレポートを生成すると、そのデータは企業の管理を離れる。Freshworksの調査によると、ITリーダーの86%が、過去1年間に未承認のAIに関連する少なくとも1件のネガティブなインシデントを報告している。約4分の1は、そのようなインシデントを3件以上経験している。
シャドーAIは問題ではない。従業員は、承認の有無にかかわらずAIを使用する。問題は、従業員がルールなしにAIを使用することである。たとえば、従業員が無料版のChatGPTを使用して、(従業員が貼り付けた)顧客提案書の文法を整えた場合、顧客のビジネス情報はすべて、(企業オーナーの承認なしに)第三者のサーバーに保存される。別の例では、経理担当者が企業内のデータを使用してAIツールで企業向けのレポートを作成した場合、そのデータは企業を離れることになる。
FreshworksがITリーダーを対象にAIに関する調査を実施し、以下の結果を得た。
• ITリーダーの86%が、過去1年間に未承認のAI使用に関連する何らかのネガティブな事象を経験している。
• ITリーダーの25%が、過去1年間にこのような事象を3件以上経験している。
中小企業にとって、リスクのカテゴリーは具体的である。第一は顧客の機密保持である。法律事務所の従業員が事件の詳細を未承認のAIツールに貼り付けると、弁護士・依頼者間の秘匿特権を侵害する可能性がある。会計士が税務書類をアップロードすると、米国内国歳入庁(IRS)のデータ取り扱い要件に違反する可能性がある。医療提供者のスタッフが患者情報を入力すると、医療保険の相互運用性と説明責任に関する法律(HIPAA)違反を引き起こす可能性がある。第二はブランドの一貫性である。3人の従業員が3つの異なるAIツールを使用して顧客向けコミュニケーションを作成すると、企業は3つの異なる声で語ることになる。そのいずれもあなたの声ではない。エージェント乱立の問題は、承認されたツールに適用されるのと同じように、シャドーAIにも適用される。ツールが増えれば、調整が減り、リスクが増大する。
第三は重複支出である。従業員がそれぞれ個人的なAIサブスクリプションに料金を支払って仕事をしている場合、企業は事実上、ボリュームディスカウント、セキュリティ機能、ビジネスアカウントに付属する管理制御なしにAI導入に資金を提供していることになる。5人の従業員が個人のChatGPTアカウントに月額20ドルを支払うコストは、使用制御、監査ログ、データ保護を備えた1つのビジネスアカウントと同じである。
中小企業コミュニティには3つの懸念領域がある。
1. 顧客の機密保持 – 機密性の高い顧客情報を扱う企業で働く従業員は、未承認のAI使用を通じて機密情報を共有することで、機密保持契約に容易に違反する可能性がある。例としては以下が挙げられる。
• 法律事務所の従業員が事件情報を未承認のAIツールに貼り付ける = 弁護士・依頼者間の秘匿特権の侵害
• 会計士が税務書類を未承認のAIツールにアップロードする = IRSデータ取り扱い要件の違反
• 医療提供者のスタッフが患者情報を未承認のAIツールに入力する = HIPAA違反通知要件の発動
2. ブランドの一貫性 – 複数の従業員が複数のAIツールを使用すると、顧客に対して一貫性のないコミュニケーションが生まれる。顧客は「あなたの」企業からメッセージを受け取るが、実際にはどこから来ているかわからない。これによりブランディングの管理が困難になる。AIツールの数が増えれば、調整が減り、リスクが高まる。エージェント乱立の問題は、シャドーAIにおいてはより分散化され、リスクが高いため、はるかに深刻なレベルにある。
3. 重複支出 – 各従業員が業務タスクを実行するために個別のAIサブスクリプションプランを購入すると、不必要な費用が発生する。各従業員が独自のプランを持っている場合、企業は一括価格、エンタープライズレベルのセキュリティ機能、管理機能を失う。
シャドーAIを明るみに出す方法
シャドーAIはなくならない。最善の解決策は、従業員が未承認のツールを使い続けることを受け入れながら、代替ソリューションを提供することである。従業員は、ルールを回避する新しい方法を見つける(そして得られた利益を失う)か、承認された代替手段を利用するかのいずれかである。
フェーズ1:AI監査を実施する
スタッフの各メンバーに(罰則なしで)、業務にどのAIツールを使用しているかを尋ねる。これを調査問題ではなく、業務調査の問題として位置づける。目的は、ツールがどこで使用されているか、どのようなデータがそれらのツールに出入りしているか、それらのツールを使用してどのような作業が行われているかを確認することである。このような監査を実施する企業リーダーは、使用されているツールの数や、従業員がそれらを適用している多くの型破りな方法に驚くことが多い。
フェーズ2:AIに関する1ページのポリシーを策定する
AIに関するポリシーは、4つの具体的な質問に対処する必要がある。
職場でどのAIツールの使用が許可されているか。
どのタイプのデータをAIツールに入力してよいか、または入力してはいけないか。
AIが生成したコンテンツを顧客に配布する前に誰がレビューするか。
企業はAIによって生成されたエラーをどのように処理するか。
これら4つの質問に対処するAIポリシーを作成することで、使用に関する明確性が提供される(つまり、シャドーAIの慣行につながるグレーゾーンが排除される)。ヒューマン・イン・ザ・ループが、AIによって作成されたコンテンツを他者と共有する前にレビューする必要があるのと同様に、AIが作成したコンテンツが企業の外に出る前に、誰かがレビューする必要がある。
フェーズ3:承認されたツールを提供する
企業使用のために1つまたは2つのAIベースのシステムを選択する。適切なデータ保護措置を備えた、これらのシステムのビジネスレベルのアカウントを取得する。確立されたガイドライン内でこれらのシステムを効果的に使用する方法についてスタッフを教育する。従業員が自分にとってうまく機能する企業承認のシステムにアクセスできるようになれば、従業員が非公式の代替手段を探すインセンティブはなくなる。
フェーズ4:AI利用に関する正常性と可視性を確立する
マッキンゼーの2026年AI信頼調査によると、信頼ベースのインフラストラクチャの構築に投資する組織は、AIイニシアチブの拡大においてより大きな成功を収め、規制上のハードルに直面することが少ない。同様に、中小企業がAIに関連する信頼ベースのインフラストラクチャの構築(例:自社のAI使用に関する透明性の提供)に焦点を当てると、従業員間のAI使用に関するオープンなコミュニケーションをサポートする文化が育まれる。
これが中小企業にとってより重要な理由
米国商工会議所は、中小企業の58%が現在何らかの形の生成AIを利用していると報告している。その割合は増加し続けている。問題は、スタッフがAIを利用するかどうかではなく、スタッフが可視的に、管理可能で、保護された状態でAIを利用するかどうかである。500人の企業はデータ侵害インシデントに耐え、おそらくそこから回復できるかもしれない。AI関連活動からのデータ侵害により顧客の信頼を失った15人の企業は、2度目の機会を得られない可能性がある。
「シャドー」AIをうまく管理する企業は、「シャドー」AIを脅威ではなくシグナルと見なす。独立してAIツールを見つけ、そのツールを自分の仕事に役立てる方法を決定する従業員は、イニシアチブを示している。従業員はワークフローの空白を特定し、その空白を埋める。企業オーナーとしてのあなたの仕事は、これらの従業員のイニシアチブを取り、生産性の利益を維持しながら企業を保護するフレームワークを作成することである。AI支出が測定可能なROIを提供する場所を決定することは、スタッフがAIを利用している場所を決定することから始まる。
「シャドー」AIは、スタッフによるAI利用を測定することを妨げるため、その利用を基に構築を始めることができない。
競争優位性は、「シャドー」AIを共有リソースに変える中小企業に属する。チームが利用するツールと自動化するタスクを理解すれば、その知識を拡大できる。新入社員へのトレーニングをより迅速に提供し、部門間で成功を再現し、AI支出によって生み出される実際のROIを測定できる。この情報がなければ、スタッフの半数が知らないツールを利用している可能性があるため、これらの機会は存在しない。
監査を実施する。ポリシーを作成する。リソースを提供する。従業員が職場でAIについて快適に話せるようにする。影は、それを照らせば消える。
