シャドーAIに「ログイン情報」を渡している割合は？ Oktaの実態調査で判明：IT調査ピックアップ

ある調査によると、経営幹部の95％は「従業員は責任を持ってAIを利用している」と確信しているが、シャドーAIを使っている従業員は過半数に上るという。さらに、シャドーAIを利用している従業員の中には情報漏えいにつながりかねない「危険な使い方」をしている人も一定数いる。

[エンタープライズ編集部，ITmedia]

　ID・アクセス管理（IAM）を手掛けるOktaが2026年5月27日に公開した調査によると、過去1年間にAI関連のセキュリティ問題やそれに近い事態を経験した経営幹部は58％に上る。さらに、経営幹部の95％は「従業員は責任を持ってAIを利用している」と回答しているが、IT部門の承認を得ないままAIツールを使う「シャドーAI」を利用している従業員の割合は52％に上った。

　さらに問題となるのが、このシャドーAIの使われ方だ。シャドーAIを使っている従業員の中には、情報漏えいにつながりかねない「危険な使い方」をしている人も一定数存在する。従業員はシャドーAIに対し、具体的にどのような情報を渡しているのか。

ログイン情報をシャドーAIに渡している割合は？

　Oktaの調査によると、承認外のAIツールを使っている従業員が共有している情報は、社内メッセージや電子メールが54％で最も多かった。人事関連情報が45％、財務情報や契約書を含む社外秘文書が39％と続いた。さらに、AIツールに銀行口座や決済の情報を入力している割合は28％、ログイン情報やパスワードを渡している割合も20％を超えた。

　従業員がIT部門で承認されているAIツールを避ける理由は、手軽さと職場の空気にあるようだ。「自分のアカウントを使う方が簡単だ」と答えた従業員の割合は80％、「チームが既に使っており当たり前になっている」と答えた割合は78％だった。「承認プロセスが遅い」、または「煩雑だ」とする回答も57％あった。「承認済みのAIツールが自分の業務に合わない」という声は49％を占めた。

　経営層と従業員の認識のギャップは、AI利用に関するポリシーの受け止め方にも表れている。自社のポリシーが「非常に明確だ」と考える経営幹部の割合が65％に達する一方で、同様の回答を選んだ従業員の割合は43％にとどまった。「ポリシーが分かりにくい」「見つけづらい」、あるいは「存在しない」という項目を選んだ従業員が過半数を占めた。

　ガバナンス面でも課題が残る。経営幹部の96％は「AIエージェントのような人間以外のID（非人間ID）を守る自社のIAMに自信がある」という選択肢を選んだ。しかし、「AIエージェントなどのデジタル労働力に、人間の従業員と同じセキュリティ統制を常に適用している」組織の割合は、34％にとどまる。

世界と日本とのギャップは？

　同調査によると、シャドーAIの利用状況には地域差がある。承認外のAIツールを利用している従業員の割合は、米国が67％と、調査対象国の中で高かった。英国は55％、オーストラリアは約60％だった。日本でシャドーAIを使っている割合は48％で、カナダ（50％）と同程度だった。両国のシャドーAIを利用している従業員の割合は、調査対象国において中程度に位置している。調査対象国の中でシャドーAIの利用率が低かったのは、フランス（31％）とドイツ（32％）だった。

　自社で誰がどのAIツールをどのように使っているかという可視性に「自信がある」と答えた日本の経営層は85％で、調査対象国の中で低い水準だった。

　Oktaは調査結果を踏まえ、シャドーAIの存在を前提に利用実態の可視化を進めることが重要だとしている。承認済みのツールを最も使いやすい選択肢にすることや、AIエージェントを人間の従業員と同じように統制下に置くことも推奨している。

　今回紹介した調査は、Oktaが調査会社Apprize360に委託して実施した。7カ国の経営幹部292人と、データを扱う職種のナレッジワーカー492人を対象として、2026年3月にオンラインで実施された。経営幹部はITやセキュリティ、データ、エンジニアリングに権限を持つCxOや役員が中心だ。調査対象となったナレッジワーカーは、全員が「調査前の3カ月間にAIを業務で利用している」と回答している。回答者の国別内訳は米国23％、英国22％、オーストラリア12％、カナダ12％、日本11％、フランス10％、ドイツ10％となっている。