シャドーITのリスクは「こう変わった」 “悪意なき情報漏えい”にどう立ち向かう？：「新しい乱世」を生き抜くためのIT羅針盤

職場での撮影、SNS投稿、生成AIへの情報の入力──。従業員の何気ないデジタル行動が業務情報と直結する時代になり、「シャドーAI」という新たなリスクも生まれています。シャドーITの前提が変わった今、IT部門はどのように立ち向かうべきでしょうか。

[入谷光浩，株式会社アイ・ティ・アール]

この連載について

これまでどの時代でも、時代に適応した者だけが生き残ってきました。

テクノロジーの急速な進化、経済見通しの不透明さ、地政学リスクの顕在化、そして前例なき気候変動――。これまでの経験や常識が通用しにくいこの時代は、まさに「新しい乱世」と言えるでしょう。

今、企業に求められているのは、混迷の中を生き抜いていくために必要な次の一手を見極める力です。

そのための羅針盤となるのが、経営とビジネスを根本から変革し得るエンタープライズITなのです。

本連載では、アイ・ティ・アールの入谷光浩氏（取締役／プリンシパル・アナリスト）がエンタープライズITにまつわるテーマについて、その背景を深掘りしつつ全体像を分かりやすく解説します。「新しい乱世」を生き抜くためのITの羅針盤を、入谷氏とともに探っていきましょう。

　職場で撮影された何気ない1本の動画が、企業の信頼を揺るがす時代になりました。

　最近、ある金融機関の執務室内で撮影された動画が、「BeReal」というSNSに投稿され、他のSNSでも拡散されました。動画に顧客情報が映り込んでいたことを受けて、金融機関が謝罪する事態になりました。

　この件に限らず、職場で撮影された動画や画像がSNSを通じて広がり、社内情報が意図せず外部にさらされるケースが各所で起きています。投稿した本人に悪意があったかどうかにかかわらず、職場の風景に含まれる情報が、個人のスマートフォンとSNSを通じて外部に流出する――。デジタル時代の企業が避けて通れないリスクだと言えるでしょう。

　だからこそ、この問題を単なる「若者のSNS利用の失敗」と捉えるべきではありません。もちろん、職場での撮影や投稿に関するリテラシーの問題はあります。しかし、それだけで片付けてしまうと、企業が本当に向き合うべき問題を見誤ります。

　今回の事案が浮き彫りにしたのは、企業が管理していない私用の端末とアプリが業務空間に入り込み、「情報管理の前提」をすり抜けているという現実です。これは、これまでIT部門が向き合ってきた「シャドーIT」のリスクが、質的に変わり始めていることを示しているのではないでしょうか。

「業務利用の管理漏れ」から「デジタル接点」へ

　では、シャドーITのリスクは、具体的に何が変わったのでしょうか。

　従来シャドーITには、IT部門の承認を得ずに事業部門や従業員がクラウドサービスやファイル共有サービス、チャットツールなどを業務利用する問題に加え、私用のスマートフォンやPCを業務に使うBYOD（Bring Your Own Device）の問題も含まれていました。

　この背景には、現場のスピード感とIT部門の統制のギャップがあります。現場は今すぐ使いたい。しかし、IT部門はセキュリティや契約の確認、ID管理などを考えなければなりません。その「隙間」で便利な外部サービスや私用デバイスが使われ、情報漏えいやデータ管理上のリスクを生む――。これが、これまでの典型的な構図でした。

　しかし、今回のような事案は、その枠組みをさらに広げて考える必要があります。問題となったのは、業務のために無断で使われたツールやデバイスではなく、業務以外で使われていた個人のスマートフォンとアプリでした。つまり、私用を前提としたデジタルツールであっても、業務空間に入り込めば、顧客情報や業務情報が漏えいする経路になることが露呈しました。

　このように、リスクの入口は、業務目的で導入されたITツールだけではなくなっています。私用のスマートフォンやSNS、ブラウザ拡張機能、翻訳サービス、クラウドストレージなど企業が把握しきれないデジタル接点は日々増えています。それらは個人の習慣や友人とのコミュニケーション、趣味、そして「ちょっとした便利さ」の延長線上で使われます。しかし、ひとたび業務の場に持ち込まれると、企業にとってのリスクになり得るのです。

　つまり、シャドーITは「会社が知らないところで業務にツールや私用デバイスが使われる問題」から、「会社が知らないデジタル接点が業務情報に触れる問題」へと変わりつつあるということが、今回の事案で強く認識させられたといえるでしょう。

新しいリスクは、無自覚から生まれる

　このように、シャドーITのリスクがデジタル接点全体へ広がるほど、企業にとって厄介になるのが、リスクの発生源が見えにくくなることです。情報漏えいというと、悪意ある持ち出しや外部からの攻撃を想像しがちですが、現在のシャドーITリスクの多くは従業員の悪意ではなく、無自覚から生まれます。

　例えば職場や同僚の様子を何気なく写真に撮る、社内イベントの雰囲気を動画で残す、休憩中の一コマをSNSに投稿する――。本人にとっては日常の記録や社内の楽しい雰囲気の共有であっても、その背景には、企業が外に出したくない情報が写り込んでいる場合があります。こうした日常的な行動の積み重ねが、情報管理の隙間をつくります。

　企業にとって守るべき情報は、氏名や住所のような分かりやすい個人情報だけではありません。ホワイトボードのメモやPC画面、座席表、訪問者名、書類の一部、会議室の利用状況、顧客名らしき文字なども組み合わせれば重要な情報になります。

　さらに、取引先との会食の様子をSNSに投稿すれば、本来は公表すべきではない企業の関係が外部に知られることもあり得ます。動画や画像は、撮影した本人が意識していない背景情報だけでなく、関係性までも記録してしまうのです。

　しかも、こうした動画や画像は、いったんデジタルデータとして残ると、後からさまざまな形で読み解かれる可能性があります。冒頭に触れたBeRealの事案も、投稿自体は1年以上前だったという指摘もあります。

　また、AIによる画像解析や文字認識が一般化すれば、人間の目では読み取りにくい文字や背景情報も抽出されやすくなります。これまでは「一瞬映っただけ」と見過ごされていた情報が、後から解析可能なデータになるかもしれません。

　問題は、従業員が会社の情報を盗もうとしていることではありません。日常的なデジタル行動が、会社の情報管理リスクとつながっているという認識を持ちにくいことにあるのだと筆者は考えています。

シャドーAIは、多様化するシャドーITリスクの一形態

　この構図を、AIの利用に当てはめると見えてくるのが「シャドーAI」です。

　生成AIの普及により、従業員は個人アカウントで利用するAIサービスに文章の要約や電子メールの作成、議事録の整理、企画書の作成、翻訳、コード生成などを依頼できるようになりました。

　業務効率化の手段としては有効です。しかし、会社が承認していないAIサービスに社内資料や顧客情報、会議内容、契約書、ソースコード、システムログなどが入力されれば、それは新たな情報漏えいリスクになります。

　サービスや契約条件によっては、入力した情報が保存されたり、モデル改善や学習データとして利用されたりする可能性もあります。仮に学習データとして取り込まれれば、後から簡単に消去することは困難です。実際に、ある生成AIサービスでは設定不備により、利用者が入力したプロンプトや生成結果、登録情報が第三者から閲覧・編集可能な状態になっていた事案がありました。

　ここで筆者が強調したいことは、シャドーAIを特別な問題として切り離すべきではないという点です。

　前述したSNSへの投稿と同じように、シャドーAIもまた、従業員の無自覚な行動から生まれるシャドーITの一つです。新たな情報漏えいリスクとなっています。ただし、その怖さは、漏えいした情報の行き先や使われ方を企業が追いにくい点にあります。

　SNSであれば、動画や画像に写り込んだ情報が漏れます。クラウドストレージであれば、保存されたファイルが漏れます。しかしAIでは、入力した情報が要約され、加工され、場合によっては学習や改善に使われ、別の文脈で再利用される可能性があります。従業員から見れば「少し文章を整えてもらっただけ」「社名を消したから大丈夫」という感覚かもしれません。それを企業から見れば、業務情報やその背景にある文脈を外部のAIサービスに渡し、その後の管理や回収が難しくなるというリスクを抱えることになります。

デジタル接点を前提に、ルールと教育を再設計する

　では、企業はどう対応すべきでしょうか。

　まず避けたいのは、単純な禁止論です。もちろん、厳格な撮影禁止や外部サービス利用禁止が必要な領域はあります。しかし、私用スマートフォンやSNSなどを全て禁止し、完全に監視し続けることは現実的ではありません。

　従業員の日常的なデジタル行動と業務空間が重なる以上、禁止だけでリスクを抑え込むには限界があります。

　むしろ、一律に禁止を強めすぎると、従業員から「実態に合わないルールだ」と受け止められ、不満や納得感の欠如につながりかねません。その結果、ルールが形骸化し、本当に守るべき境界線まで曖昧（あいまい）になる恐れがあります。

　だからこそ必要なのは、禁止を増やすことではなく、シャドーIT対策の視点を変えることだと筆者は考えています。

　これまでのIT部門は、「どのツールや端末が業務に使われているか」を把握することが管理の中心でした。しかしこれからは、それだけでは不十分となります。

　職場での撮影や録音、SNSへの投稿、会議内容の外部送信、文書や電子メールのAI読み込みといった日常的な行動で、どの業務情報がどこから外に出る可能性があるかを捉える必要があります。つまり、ツール単位ではなく、情報が外に出る経路ごとにリスクを棚卸しすることが求められます。

　リスクの経路を把握した上で重要になるのが、プライベートと業務の境界が曖昧になりやすいデジタル接点に関するルールの再設計です。従来のように「このツールを業務で使ってよいか」「この端末を会社に接続してよいか」だけでは、現在のリスクに対応しきれません。私用スマートフォンでの撮影やSNSへの投稿、生成AIへの入力、ブラウザ拡張機能の利用など、個人の行動と業務情報が交わる場面を前提にどの情報を、どの場面で、どこに出してはいけないのかを具体化する必要があります。

　例えば、生成AIツールに入力してはいけない情報を明確にする。職場での撮影は撮影禁止エリアや投稿を禁止する範囲、写り込み確認のルールを具体的に示すことが求められます。

　そして、もう一つ欠かせないのが、全従業員に対する教育です。ルールを作ることは重要ですが、ルールだけでは多様化するシャドーITのリスクには追いつきません。SNSや生成AIは、あらゆる世代の従業員が日常的に利用するデジタル行動の一部になっています。

　だからこそ取引先との会食や社内イベント、会議室での撮影、生成AIへの資料貼り付けなど身近な場面を題材にしながら、「何が写ると危険なのか」「どの情報をAIに入力してはいけないのか」「どのような行動が業務情報の漏えいにつながるのか」を具体的に理解するための教育が必要になります。

まとめ

　今回のSNS投稿を巡る情報漏えい事案は、たまたま表面化した個別の問題ではありません。従業員の何気ないデジタル行動が、企業の情報管理と直結する時代になったことを示す象徴的な出来事です。

　だからこそ、IT部門に求められるのは従業員の行動をすべて監視し、取り締まることではありません。プライベートと業務の境界が曖昧になりやすいデジタル接点を前提に、守るべき情報の境界線を明確にし、従業員一人一人が日常の場面で判断できる状態をつくることではないでしょうか。

筆者紹介：入谷光浩（アイ・ティ・アール　取締役 / プリンシパル・アナリスト）

IT業界のアナリストとして20年以上の経験を有する。グローバルITリサーチ・コンサルティング会社において15年間アナリストとして従事、クラウドサービスとソフトウェアに関する市場調査責任者を務め、ベンダーやユーザー企業に対する多数のコンサルティングにも従事した。また、複数の外資系ITベンダーにおいて、事業戦略の推進、新規事業計画の立案、競合分析に携わった経験を有する。2023年よりITRのアナリストとして、クラウド・コンピューティング、ITインフラストラクチャ、システム運用管理、開発プラットフォーム、セキュリティ、サステナビリティ情報管理の領域において、市場・技術動向に関する調査とレポートの執筆、ユーザー企業に対するアドバイザリーとコンサルティング、ベンダーのビジネス・製品戦略支援を行っている。イベントやセミナーでの講演、メディアへの記事寄稿の実績多数。