7割超の企業はシャドーAIを管理できていない ガートナーがガバナンスの現実解を提唱：AIニュースピックアップ

AIの能力向上に伴って、シャドーAIのリスクも増している。ガートナーの調査によると、国内企業の73％はシャドーAIを管理できていないという。同社が推奨する、事業部門を巻き込んだガバナンスの仕組みとは。

[ITmedia]

　IT部門が使用を許可していないAIツール、いわゆる「シャドーAI」への対応が課題になっている。承認外のツールに機密情報が入力されれば、情報が統制の及ばない場所へ流出する恐れがあるためだ。

　ITに関する調査を手掛けるガートナー・ジャパン（以下、Gartner）が2026年6月18日、同社開催イベント「ガートナー　アプリケーション・イノベーション ＆ ビジネス・ソリューション サミット」で、国内企業におけるシャドーAIについての見解を発表した。

　同社によると、国内企業の75％が、IT部門の承認を経ない生成AIツールの利用を何らかの形で認めている。一方で、73％の企業はシャドーAIを有効に管理できていない。利用を容認している半面、統制が追い付いていない状況だ。

　こうした実態を踏まえ、同社の林宏典氏（ディレクター アナリスト）は、IT部門が選定したツールだけ利用を認めるといった従来の方針を見直す段階に来ていると指摘する。業務部門の活用意欲に水を差さず、リスクを低減するための仕組みとは何か。

Gartnerが提言する「ガバナンスの現実解」

　AIの能力向上に伴って、シャドーAIのリスクも増している。GartnerはシャドーAIの主なリスクとして次の4つを挙げる。

1. 機密情報や個人情報の流出（知的財産を含む）
2. データ管理などに関する法令違反
3. セキュリティ上の脆弱性の増大
4. 事故発生時の企業の評判（レピュテーション）毀損

　Gartnerが実施した2026年2月に実施した国内のエンドユーザー調査によると、IT部門が選定した以外の生成AIツールやサービスの利用を「自由に認めている」と答えた企業は8％、「審査の上、問題なければ認めている」と答えた企業は67％だった。つまり75％の企業が、何らかの形で事業部門によって選定されたツールの利用を認めていることになる。

　一方、シャドーAIについて「把握できていない」と答えた企業が43％、「把握しているが、有効な対策を取れていない」と答えた企業は30％を占めた。「把握し、有効な対策を取れている」と答えた企業は24％にとどまる。

　GartnerがシャドーAIへの対応として推奨するのが、IT部門だけではなく、事業部門と役割と責任を分担して統制する「分業モデル」の確立だ。単純な禁止や遮断ではなく、利用の実態を可視化した上で評価や承認、統制の仕組みを整備すべきだとしている。

分業モデルを「絵に描いた餅」で終わらせないための3ステップ

　Gartnerは、分業モデルでは、各AIツールの機能範囲を踏まえて次の3つに分類して運用ルールを定めるべきだとしている。

1. 全社標準のAI：　IT部門が一貫して管理する。
2. 部門単位のAI：　部門ごとに必要性に応じて審査し、運用する。
3. 個人利用のAI：　研修やテストで認定したユーザーだけに利用を認める。

　ただし、個人利用のAIは、リテラシーとリスク感覚に優れたユーザーが多い企業に限って、慎重に導入すべきだとGartnerは付け加えている。

　分業モデルを「絵に描いた餅」で終わらせないために、同社は運用における次の3つのステップを推奨する。

1. 採用時の審査と許可：　導入するAIツールを審査し、利用を許可する。
2. 利用中のモニタリング：　クラウドとの通信を監視する機能などを使い、どのAIツールが使われているかを可視化する。
3. 定期的な棚卸し：　仕様変更に伴うリスクの変動を定期的に点検する。

　特に重要となるのが、利用中のモニタリングによる可視化と、仕様の変更に伴ってリスクも変動することを踏まえた定期的な棚卸しだ。

　AIガバナンスはIT部門だけの課題ではない。Gartnerはセキュリティや法務とコンプライアンス、人事、事業部門などが連携して取り組む体制が必要だとしている。「非現実的な『完全な管理』から『責任ある活用』への移行が必要だ」（林氏）