「隠れAI」7割超|社員1011名調査が暴く日本企業の矛盾

公開日:

会社非公認のAIを使う隠れAI現象

SHARE

伊東雄歩
監修者 伊東 雄歩

株式会社ウォーカー CEO。東北大学卒。MENSA会員、JDLA認定講師、健全AI教育協会理事。生成AI×教育・学習科学を専門とし、2億円超のシステム開発プロジェクトを統括。

taolis.net X note Voicy YouTube
  • 株式会社アクトの白書で、現場社員の73.1%が会社非公認のAIを使う「隠れAI」の実態が判明
  • 調査対象は経営層505名・一般社員506名の計1,011名(2026年4月実施)
  • 現場社員の約9割が「恐怖心」を抱きながら使っている矛盾が明らかに
  • 経営層83.4%・一般社員84.5%が「技術的な安全装置」を求めている
  • 2025年9月施行のAI新法もあり、ガバナンス整備は待ったなしの状況

「うちは生成AIの業務利用は禁止です」と言われている職場で、こっそりChatGPTを使ってメールの下書きをした経験はありませんか。実はその行動、いまや日本の現場社員の73.1%が日常的にやっていることが、2026年5月12日に公開された最新調査で判明しました。

「隠れAI」7割超の衝撃|白書の中身

調査の概要

セキュリティ事業を手がける株式会社アクトが、2026年5月12日に『生成AI導入のジレンマ白書 2026』を公開しました。

調査は2026年4月15日〜16日に実施されています。

対象は従業員100〜999名の中堅企業で生成AIを使っている層、計1,011名です。

内訳は経営層505名と一般社員506名。会社の意思決定を担う側と、現場で手を動かす側を同じ規模でぶつけることで「ズレ」を浮き彫りにする設計になっています。

隠れAIの正体

白書の最大の発見は、現場社員の73.1%が会社非公認のAIツールを業務で使っているという数字です。

会社が「ChatGPTは情報漏洩リスクがあるから禁止」と決めても、現場は無視して使っている。これが「隠れAI(シャドーAI)」と呼ばれる現象です。

つまり10人の同僚がいれば、そのうち7人は会社にバレないようにAIを使って仕事をしているわけです。これはもう「一部の人」の話ではありません。

9割が「怖い」と感じている

さらに興味深いのは、こっそり使っている当の現場社員の約9割が「恐怖心」を抱きながら使っているという事実です。

「これ、入力していい情報なのかな」「もし会社にバレたら処分されるかな」と不安を感じながらも、業務効率のために手が止まらない。それくらいAIが手放せない存在になっているという裏返しでもあります。

なぜ「隠れて使う」のか|現場社員の本音

禁止の理由が現場に響かない

多くの会社は「機密情報が漏れるから」という理由でAIを禁止します。

しかし現場社員からすると、目の前に「議事録を10分でまとめてくれる便利な道具」がある状況です。机に並んでいる電卓を使うなと言われるくらい不自然に感じる人もいます。

禁止理由が抽象的なリスクの話で、便益は今日明日の仕事の話。天秤は完全に「使う」に傾いてしまうのです。

ガイドラインがないという問題

白書では「経営層は未整備を理由に足踏みする」と指摘されています。

「どう使えば安全か」のガイドラインがないと、現場は判断基準を失います。すると「自分の頭で判断して、たぶん大丈夫」という自己流ルールで使い始めるのです。

これが一番危険なパターンで、悪意のない人が善意で機密情報を入力してしまう温床になります。

同僚もやっているという同調圧力

7割超が使っていれば、もはや「やっていない人が少数派」です。

新入社員が先輩から「みんなChatGPT使ってるよ、効率いいから」と引き継がれれば、それが社内の暗黙ルールになります。会社の公式ルールより、現場の慣行のほうが強くなってしまうわけです。

経営層 vs 現場|AIガバナンスの3つのジレンマ

白書はこのねじれを「3つのジレンマ」として整理しています。

① 管理のパラドックス

経営層は「ルールが固まるまで様子を見たい」と慎重姿勢を取ります。

しかしルール整備を待っている間に、現場では7割超が独自に使い始めてしまう。「管理しようとして待てば待つほど、管理できない領域が広がる」という皮肉な構造です。

② セキュリティの死角

経営層が最も懸念するのは「機密データの漏洩」です。

ところが現場社員も同じくらい「これ漏れたらまずいかも」と感じています。不安は両者にあるのに、対話のチャネルがない。結果、リスクは増え続けても誰も声を上げないという死角が生まれます。

③ 技術的解決への渇望

最も希望が見える数字は、経営層の83.4%・一般社員の84.5%が「技術的な安全装置があれば活用を加速したい」と答えていることです。

立場が違っても、向かいたい方向は同じ。「人の判断ではなく、システムで守ってほしい」という願いは経営も現場も一致しています。

シャドーAIで実際に起きるリスク|サムスン事件から学ぶ

2023年のサムスン電子事件

シャドーAIの危険性が世界に知れ渡ったのが、2023年4月に発覚した韓国サムスン電子の事件です。

半導体エンジニアが業務効率化のためChatGPTに社内データベースのソースコードや欠陥検出アルゴリズムを貼り付けました。さらに別のエンジニアは社内会議の議事録をChatGPTで要約させていました。

これらの行為は20日以内に3回も発生。社外秘のはずの情報がOpenAIのサーバーに渡ってしまったのです。

サムスンの対応

サムスンは事件発覚から1か月以内に、社内デバイスでの生成AIツールを全面禁止しました。

同時に自社専用のAIシステム開発を発表。「外部AIに頼らず、社内で完結する仕組みを作る」という方向に舵を切ったのです。

日本企業も他人事ではない

「日本の会社は機密管理が厳しいから大丈夫」と思っていませんか。

むしろ7割超が「隠れて使っている」現状は、サムスンの事件が日本のどこかで毎日小さく発生していると見るべきです。たまたま大事件になっていないだけ、というのが冷静な見立てになります。

競合・比較|AIセキュリティ製品の選択肢

アクトが今回発表した「Prompt Security for Employees」を含め、シャドーAI対策の選択肢を整理します。

Prompt Security for Employees(アクト)

白書と同時に発表された新ソリューションです。

2つの特徴があります。

1つめがリアルタイム・データ保護。社員がChatGPTに機密情報を貼り付けた瞬間、自動でマスキング(伏字化)する機能です。

2つめがシャドーAIの可視化。「いつ、誰が、どのAIで、何を入力したか」をログとして見える化します。

従来のDLP・CASB系製品

従来型のDLP(情報漏洩防止)やCASB(クラウドアクセスセキュリティ)は、主にファイル送信を監視する設計でした。

しかしChatGPTのようなチャット型AIでは、コピー&ペーストでテキストが渡されます。「ファイル添付ではないから検知できない」という致命的な穴があったのです。

そのため、専用のAIセキュリティ製品が必要になってきました。

ブラウザ拡張・エンドポイント型

世界的に注目されているのが、ブラウザ拡張やエンドポイントエージェントで防御する方式です。

1万種類以上のGenAIアプリを自動検出してリストアップし、ChatGPT・Copilot・Claudeなど主要サービスを横断的にカバーする製品が登場しています。

「特定のAIだけ禁止」ではなく、「どのAIを使っても情報は守る」というアプローチが主流になりつつあります。

日本市場への影響|AI新法時代の対応策

2025年9月施行のAI新法

日本では2025年9月に「AI新法」が施行されています。

この法律により、企業のAIガバナンス体制構築は努力義務から実質的な必須事項へと位置づけが変わりました。「うちは様子見」が許される時間は急速に短くなっているのです。

中堅企業こそ危ない

今回の調査対象は従業員100〜999名の中堅企業。実はここがシャドーAIの最危険ゾーンです。

大企業は情報システム部門が強く、IT統制が効きやすい。小規模企業は逆に経営者が全社員を把握しやすい。

中堅企業は「現場の自由度が高いのに、ガバナンスは追いついていない」という構造になりがちで、まさに7割超が隠れて使う土壌が整っています。

明日から取り組める3ステップ

専門家のソリューションを導入する前に、自社でできる対応もあります。

1つめが実態把握。「うちの会社でも7割超が隠れて使っているかもしれない」という前提で社員にヒアリングする。匿名アンケートでも構いません。

2つめがガイドラインの明文化。「禁止」ではなく「ここまでなら使って良い」を具体的に示します。これだけで現場の不安はかなり減ります。

3つめが研修と相談窓口。「分からないことを聞ける場所」があるだけで、自己流の危険な使い方は減っていきます。

よくある質問(FAQ)

Q1. シャドーAIと隠れAIは同じ意味ですか?

はい、基本的に同じ意味で使われます。海外では「Shadow AI」、日本語では「隠れAI」「闇AI」とも呼ばれます。会社の公式承認なしに使われるAIツール全般を指します。

Q2. ChatGPTに入力した情報は本当に漏れるのですか?

無料版や個人プランの場合、入力内容がAIの学習に使われる可能性があります。法人プラン(ChatGPT EnterpriseやTeam)であれば原則学習されない設定になっていますが、社員が個人アカウントで使っていたら同じ守りは効きません。

Q3. 自社が「シャドーAIだらけ」か、どう確認できますか?

匿名アンケートが最も早い方法です。「過去1か月でAIツールを業務で使ったか」「会社の承認を取ったか」の2問だけで実態が見えます。アクト調査と同様、7割超が出るケースは珍しくありません。

Q4. 全面禁止は有効ですか?

サムスンが採った方法ですが、現場の生産性は確実に下がります。今回の白書でも8割超が「技術的な安全装置で使いたい」と答えており、禁止より「安全に使える仕組み作り」のほうが現実的です。

Q5. 中小企業でも対策は必要ですか?

必要です。むしろ中堅企業(100〜999名規模)がシャドーAIの最危険ゾーンと指摘されています。AI新法の施行もあり、規模に関わらずガイドライン整備は待ったなしです。

まとめ

今回の白書から見えるポイントを整理します。

  • 日本の中堅企業の現場社員73.1%が会社非公認のAIを業務で使っている
  • そのうち約9割は「怖い」と感じながら使っているという矛盾がある
  • 経営層83.4%・一般社員84.5%が「技術的な安全装置」を求めている
  • 2025年9月のAI新法施行でガバナンス整備は実質必須になった
  • 禁止より「安全に使える仕組み」を整える方向に時代は動いている

まずやるべきことは、自社の実態を匿名アンケートで掴むこと。「うちは大丈夫」という思い込みを捨てるところから、本当の対策が始まります。

参考文献

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

前の記事

AI画像の偽造を多重判定|OpenAI Verify公開