KOKORASHI AIKOKORASHI AI

社内AI利用のセキュリティ設計|シャドーAI・情報漏洩を防ぐ実務

現場が会社に無断でAIを使う「シャドーAI」のリスクと対策を解説。入力してよい情報とだめな情報の線引き、実務で回る社内ルール、ツール選定の観点を福岡の中小企業向けにまとめます。

野村直矢

野村 直矢

KOKORASHI AI / 福岡のAI導入支援・LINE Bot開発

「うちはAI禁止にしています」——そう言う福岡の経営者に、私はよく聞き返します。「では、社員さんが自分のスマホでこっそりChatGPTに社内資料を貼っていないと、言い切れますか?」。たいてい、少し黙られます。禁止しても使われる、しかも会社が把握できない形で。これがシャドーAIの怖さです。KOKORASHI AI(ココラシエーアイ)としてAI導入を支援する私の実感で、防ぎ方の実務を整理します。

シャドーAIとは何か

シャドーAIとは、会社が把握・許可していないAIツールを、現場が独自に業務で使っている状態です。天神のある商社さんでは、営業チームが議事録の要約に個人アカウントのAIを使っていて、経営陣は全く知りませんでした。悪意はなく、「便利だから」で広がるのが厄介な点です。

問題は、そこに顧客名・金額・未公開情報が入っていた場合、会社が管理できないまま社外に出ている可能性があることです。無料版の中には、入力内容がサービス改善(学習)に使われる設定のものもあり、そこが盲点になります。

なぜ「禁止」だけでは失敗するのか

私が現場でいつもお伝えするのは、「禁止は最も守られにくいルール」だということです。AIは仕事を明らかに速くするので、禁止しても現場は隠れて使います。すると会社の目が届かず、かえって危険な使われ方が固定化します。

  • 禁止 → 隠れて個人アカウントで使う(最悪パターン)
  • 放置 → 何が入力されたか誰も把握できない
  • 安全な公式ツールを用意 → 会社が見える形で使える(推奨)

入力してよい情報・だめな情報

ルール作りで一番効くのが、この線引きを一枚に書くことです。博多の士業事務所さんとは、次のような表を最初に作りました。難しい規程より、現場がひと目で分かることを優先します。

入力してよい

入力しない

公開済みの情報

個人情報(氏名・連絡先)

一般的な文章の下書き

顧客の機密・契約金額

社外秘でない社内メモ

パスワード・認証情報

仮名・架空データ

未公開の経営数値

迷ったときの合言葉は「これがそのまま外部の掲示板に貼られても困らないか」。この一言で、多くの入力ミスは事前に防げます。

実務で回る社内ルールの作り方

ルールは分厚いほど読まれません。私は「A4一枚・5項目まで」を目安にしています。ある福岡の企業では、次の内容だけで運用が回り始めました。

  1. 使ってよい公式AIツールを会社が指定する
  2. 入力してよい/だめな情報を上の表で共有する
  3. 迷ったら入力前に上長へ確認する
  4. AIの回答は必ず人が確認してから使う
  5. 困りごとは責めずに共有する窓口を作る

ツール選定の観点

技術的な守りは、正しいツールを選ぶだけで大きく前進します。私がLINE Botやn8nでの自動化を組むときも、ここは必ず確認します。ChatGPT EnterpriseやGoogle Workspace内のGemini、Microsoft 365のCopilotなど、法人向けは管理機能が整っているものが多いです。

  • 法人向けプランで「入力を学習に使わない」設定があるか
  • 誰が何を使ったか管理者が把握できるか(アカウント一元管理・監査ログ)
  • アクセス権限を部署・役割で分けられるか(SSOで退職者を即遮断できるか)

安全なAI利用に切り替える手順

「禁止から公式ツール一本化へ」の乗り換えは、いきなり全社に配るとかえって混乱します。私が福岡の企業でよく踏む順番はこうです。段階を踏むほど、現場の抵抗も減ります。

  1. まず現場に「効率化に何を使っているか」を責めずにヒアリングする
  2. よく使われている用途(要約・下書きなど)を洗い出す
  3. その用途をカバーする法人向け公式ツールを1つ選ぶ
  4. 入力可否のA4一枚と一緒に配り、短い説明会を開く
  5. 1〜2週間使ってもらい、困りごとを窓口で拾って調整する

糸島の卸売業さんでは、この順番で進めたことで「個人アカウント利用」がほぼ公式ツールに置き換わりました。取り上げるのではなく、より便利な受け皿を先に用意するのがコツです。

やってよい対応・やってはいけない対応

相談で多い「やりがちな失敗」を、良い対応と並べて整理します。ここを取り違えると、せっかくのルールが逆効果になります。

やってよい

やってはいけない

安全な公式ツールを配って一本化

全面禁止だけ通達して放置

使った人を責めず窓口で共有

発覚時に個人を強く叱責する

入力可否を1枚で明文化

分厚い規程を作って読まれない

糸島の製造業さんでは、叱責をやめて「共有してくれてありがとう」に変えただけで、現場の使い方が一気に見えるようになりました。

KOKORASHI AIでは、初期費用0円・月額4,800円(税込)から、この線引きと運用設計を含めた「安全に使い始める仕組み」づくりを支援しています。

まとめ

  • 禁止しても現場は隠れて使う。シャドーAIは把握できないのが危険
  • 会社が安全な公式ツールを用意するのが現実的な防御
  • 入力してよい/だめの線引きをA4一枚で共有する
  • ルールは5項目まで、ツールは法人向け・管理可能なものを選ぶ

よくある質問

Q. シャドーAIはどうやって気づけますか?
多くは表に出ないため、責めずにヒアリングするのが近道です。「効率化に何か使ってる?」と聞くと自然に出てきます。発見より、安全な公式ツールへ置き換える設計を優先します。

Q. 小さな会社でもルールは必要ですか?
むしろ必要です。人数が少ないほど一人の入力ミスの影響が大きくなります。A4一枚の線引きだけでも、あるとないとでリスクが大きく変わります。

Q. 無料のAIを業務で使ってはいけませんか?
一律に禁止する必要はありませんが、無料版は入力が学習に使われる場合があります。機密を扱うなら、学習に使わない法人向けプランを会社として用意するのが安全です。

AI活用のご相談

記事の内容を参考に、無料でご提案します。

LINEで無料相談