「無断で生成AI利用」5割超え……“機密情報の入力”が多い職種は？

[サトウナナミ，ITmedia]

　「シャドーIT」とは、会社が使用を許可していない、または従業員が利用していることを把握できていないITツールなどを指す。会社に無許可で生成AIを利用したことがある人は5割を超え、生成AIが「シャドーIT化」している実態があることが、Webデザインやシステム開発事業を展開するコーレ（東京都新宿区）の調査で明らかになった。生成AIの利用規制の実態とは。

「会社での生成AIの利用」に関する調査（写真AC）

「会社が許可していない生成AI」利用の実態

　生成AIの利用について、社内に「利用規制はない」は26.3％だった。最も多かったのは「条件付きで利用が許可されている」で60.4％に上った。また、条件付きで許可されている人のうち、会社が許可していない生成AIを業務で利用したことが「ある」人は53.4％と、半数以上を占めた。

会社が許可していない生成AIを業務で利用した経験（コーレ調べ）

　会社が許可していない生成AIを利用した理由として、最も多かったのは「アイデアを得るため」で47.3％。以降は「業務効率を上げるため」（42.9％）、「好奇心で試してみたかったから」（41.4％）と続いた。

　利用規制の状況別で見ると、条件付きで利用を許可されている人は「アイデアを得るため」（50.5％）、「業務効率を上げるため」（44.6％）が上位となった。一方、全面的に利用を禁止されている人は「好奇心で試してみたかったから」が51.9％で、最も多かった。

【利用規制の状況別】会社が許可していない生成AIを利用した理由（コーレ調べ）

　具体的に、どのような情報を生成AIに入力したことがあるのか。「企画書やプレゼンテーション資料の内容」については、利用規制がない人は32.7％、条件付きで利用が許可されている人は34.9％が、入力したことがあった。「会議で話し合われた内容」は利用規制がない人の35.7％、条件付きで利用が許可されている人の30.6％が該当した。

　一方で「データ分析の結果」「業務プロセス」「プログラミングのソースコード」「商品やサービスの仕様・特徴」といった、機密性が高い可能性がある情報については、条件付きで利用が許可されている人のうち、それぞれ約2割が入力したことがあると回答。社員の意識改善や、社員教育・コンプライアンス体制の強化が必要と考えられる。

生成AIに入力した情報（コーレ調べ）

　入力した会社の情報について「機密情報ではなかった」とした人は45.6％だった。また「多分機密情報ではなかった」「機密情報かどうかは分からない」とした人を合わせて44.0％が、機密情報かどうか不確かなまま生成AIに情報を入力したことがあると明らかに。さらに、「機密情報だった」と分かっていて情報を入力したという回答は10.6％だった。

　従業員数別で見ると、機密情報と分かっていて情報を入力したとした人が最も多いのは「5001人以上の企業」で15.6％。全体結果よりも5ポイント高い結果となった。

【従業員数別】生成AIに入力した情報は機密情報だったか（コーレ調べ）

　また、機密情報と分かっていて情報を入力した人が最も多い職種は「商品開発、新規事業開発」で、17.7％。「人事、採用」（16.0％）、「営業サポート／営業事務」（14.5％）も他職種に比べ、割合が高かった。

【職種別】生成AIに入力した情報は機密情報だったか（コーレ調べ）

　業務で生成AIを利用するリスクについては、「情報漏洩（えい）」が最も多く、48.7％。以降は「権利侵害（著作権、商標権、意匠権、肖像権、パブリシティ権、プライバシーなど）」（43.3％）、「事実とは異なる情報の生成（ハルシネーション）」（41.4％）と続いた。

　調査は、9月25〜26日にインターネットで実施。20〜50代の会社員1001人から回答を得た。