- 世界の従業員の52%が、会社に無断でAIツールを使っている(日本は47.5%)
- 無断利用者の20%超は、ログイン情報やパスワードまでAIに入力していた
- 経営層の65%は「ルールは明確」と考えるが、従業員で同意したのは43%だけ
- 日本の経営層の84.6%が「AI利用を把握できている」と誤解している
- 対策の鍵は「禁止」ではなく、安全なAI環境の提供と可視化ツールの導入
あなたの会社の同僚は、いま隠れてAIを使っているかもしれません。しかも、お客様の情報や自分のパスワードごと。Oktaの最新調査で、その実態が数字で明らかになりました。なぜ社員は隠れて使うのか、企業は何を守ればいいのか。中学生でもわかる言葉で、やさしく整理します。
そもそも「シャドーAI」とは何か
シャドーAIとは、会社が許可していないAIツールを、社員が自分の判断で仕事に使うことです。
「シャドー(影)」という名前の通り、会社の管理者から見えないところで使われます。
たとえば、ChatGPTのような生成AI(人間みたいに文章を作れるAI)に、仕事のメールを下書きさせる。お客様のリストを貼り付けて整理させる。こうした使い方が、許可なく広がっているのです。
便利だから使う。それ自体は悪いことではありません。問題は、会社が把握できていない点にあります。どんな情報が、どこへ流れているのか。誰も見えていないのです。
Okta調査で判明した衝撃の数字
今回のもとになったのは、アイデンティティ管理大手のOktaが2026年3月に行った調査です。
調査名は「AI Agents at Work 2026」。米国・英国・日本など7カ国で、経営幹部292人と従業員492人に聞きました。
結果は、想像以上でした。世界の従業員の52%が、会社の許可なくAIツールを使っていたのです。約2人に1人という計算になります。
国別では米国が67%で最多。日本も47.5%と、決して低くありません。
社員がAIに渡している情報トップ5
では、無断でAIを使う人は、どんな情報を入力しているのでしょうか。調査が示した内訳がこちらです。
- 社内メッセージやメール:54%
- 人事に関する情報:45%
- 契約書など機密性の高い社内文書:39%
- 銀行口座や支払いの情報:28%
- ログイン情報やパスワード:20%超
半数以上が、社内のやり取りをそのままAIに渡していました。
さらに深刻なのが最後の項目です。5人に1人以上が、IDやパスワードをAIに入力していたのです。
これは、家の合鍵を見ず知らずの相手に預けるようなもの。一度漏れれば、被害は会社全体に広がりかねません。
経営層と従業員の「見えている/見えていない」ギャップ
この調査が面白いのは、立場による認識の差をあぶり出した点です。
「自社のAI利用ルールは明確だ」と答えた経営層は65%。ところが、従業員で同じように感じていたのは43%だけでした。
上の人は「伝わっている」と思い、現場は「よくわからない」と感じている。このズレが、隠れ利用を生む温床になります。
ルールが曖昧だと、社員はこう考えます。「ダメとは書いていないし、便利だから使おう」と。こうしてシャドーAIは静かに増えていくのです。
日本のデータはもっと深刻だった
日本に絞ると、ギャップはさらに大きくなります。
「AI利用ルールは明確」と答えた割合は、日本の経営層が54%なのに対し、従業員はわずか22%。これは調査7カ国の中で最も低い数字でした。
もっと驚くのは、こんなデータです。日本の経営層の84.6%が「社内のAI利用を把握できている」と考えていました。
しかし現実には、約半数の社員が無断でAIを使っています。「見えているつもり」と「実態」が、大きくかけ離れているのです。
セキュリティ面でも油断できません。日本の経営幹部の65.4%が、過去1年でAI関連のインシデント(事故)やヒヤリハットを経験したと答えています。
なぜ社員はシャドーAIを使ってしまうのか
「ルール違反なのに、なぜ?」と思うかもしれません。理由はシンプルです。
ある営業担当者を想像してみてください。提案書を今日中に10件仕上げないといけない。会社の承認ツールは動きが遅く、AIは使えない。そんなとき、手元のスマホでChatGPTを開けば、30分の作業が5分で終わります。
つまり、「仕事を早く終わらせたい」という善意が、シャドーAIを生んでいるのです。
悪気がある人は、ほとんどいません。だからこそ、頭ごなしに禁止しても効果は薄いのです。禁止すればするほど、利用は「より深い影」へ潜ってしまいます。
企業はどう守る? 対策とツールを比較
では、企業はどう向き合えばよいのでしょうか。専門家がすすめるのは、禁止ではなく「安全な道を用意する」考え方です。
基本となる対策は次の5つです。
- 会社公認の安全なAIツールを用意する
- 「何を入力してよいか」のルールを具体的に決める
- 社員への教育を続ける
- 利用状況を見える化する仕組みを入れる
- 情報漏れを検知する監視体制をつくる
こうした「見える化」と「検知」を助けるのが、各社のセキュリティ製品です。代表的な2つを比べてみましょう。
Okta for AI Agentsは、今回の調査を出したOktaの製品です。2026年4月30日から提供が始まりました。「Shadow AI Agent Discovery」という機能で、社内に隠れているAIエージェントを見つけ出します。AIを「人と同じように管理する」のが特徴です。
一方、Microsoft Purviewは、情報漏れそのものを防ぐことが得意です。社員がパソコン上で機密情報をコピーしてAIに貼り付けようとした瞬間を、検知して止められます(Endpoint DLPという機能)。
ざっくり言えば、Oktaは「誰が・どのAIを使っているか」を見える化する入口の守り。Purviewは「機密データが外へ出ないか」を見張る出口の守り。役割が違うので、組み合わせて使う企業も増えています。
よくある質問(FAQ)
Q1. シャドーAIは法律違反ですか?
利用そのものが直ちに違法になるわけではありません。ただし、お客様の個人情報や機密情報を無断で外部AIに渡すと、個人情報保護法や会社の守秘義務に触れる可能性があります。
Q2. うちは小さな会社だから関係ない?
いいえ。むしろ中小企業のほうが、ルール作りや監視が後回しになりがちです。社員数が少なくても、1件の情報漏れが経営に響くリスクは同じです。
Q3. AIを全面禁止すれば安全では?
残念ながら逆効果になりがちです。禁止すると、社員は私物スマホなど会社の目の届かない場所で使い始めます。安全な代替手段を用意するほうが現実的です。
Q4. 個人として気をつけることは?
パスワードや顧客名、契約金額など「他人には見せない情報」をAIに入力しないことです。迷ったら入れない。これが一番シンプルな自衛策です。
まとめ
今回のポイントを振り返ります。
- 世界の従業員の52%、日本でも47.5%が無断でAIを使っている
- 20%超はパスワードまでAIに入力しており、漏えいリスクが高い
- 経営層は「把握できている」と誤解しがちで、日本は特にギャップが大きい
- 禁止より「安全なAI環境の提供」と「可視化」が効果的
- OktaやMicrosoftの製品は、入口と出口で役割を分けて守る
まずは自分の会社のAI利用ルールを確認し、「どこまで入力してよいか」を同僚と話し合うことから始めてみましょう。
参考文献
- シャドーAIに「ログイン情報」を渡している割合は? Oktaの実態調査で判明(ITmedia エンタープライズ)
- 従業員の52%は未承認のAIツールを利用、Oktaグローバル調査(ScanNetSecurity)
- Okta、シャドーAIエージェントのリスクを可視化・軽減する新機能を発表(Okta)
- シャドウAIへのデータリークを防ぐ(Microsoft Purview)
- Businesses at Work 2026: Closing the identity gap in the age of AI(Okta)
こんな時代だから遊んで学びたい
AIを学ぶオンラインサロン「AIフレンズ」では、生成AIを楽しく、どこよりも優しく学べる環境をご用意しております。
毎週開催されるオンラインセッションでは、リアルタイムで学び合える機会を提供しています。 さらに、月に一度のオフラインイベントでは、メンバー同士が直接交流し、アイデアや知識を深めることができます。
「AIフレンズ」の仲間とともに、新しい価値を創造し、可能性を広げてみませんか?
一緒に学び、成長しながら、生成AIを使いこなす力を身につけましょう!
