シャドーAI

シャドーAIとは

シャドーAIは、組織の承認を受けないまま、従業員が個人判断で使うAIサービスのことです。「シャドーIT」のAI版といえます。

ChatGPT等が無料・手軽に使えるため、業務効率化のため善意で使ったAIが、結果として情報漏えい・法令違反・品質低下の温床になる、という構図が問題です。

典型的な発生パターン

• スタッフが個人アカウントでChatGPTに顧客データを貼り付ける
• 家族の個人PCで業務資料をAI校正
• 学習利用設定を確認せずに資料を入力
• AIベンダーの規約を読まずに利用
• AIが生成した文章をそのまま納品し、出典・類似性の確認をしない

主なリスク

• 情報漏えい: 設定次第では入力データがベンダー側に残り、学習や他者への応答に関わる可能性
• 個情法関連の論点: 顧客情報を組織として把握できない形でベンダーに送る状態は、委託監督・利用目的・第三者提供といった論点の整理が曖昧になりやすい（結論はケースによる）
• 著作権面の論点: 出典や類似性を確認せずにAI生成物を納品物に使うと、既存著作物との類似リスクが残る
• 品質のばらつき: 誰が何を確認したか追えないAI成果物が混ざり、事務所としての品質管理が難しくなる

事務所での対処

• 承認済みAIサービスのリスト化・周知（事務所として契約・許可したものに限定）
• 入力してよい／避けるべきデータのルール化（氏名・案件番号・金額など、識別性の高い情報の扱い）
• 利用目的・利用ログを記録・振り返りできる運用
• 定期的な研修と、違反が起きたときの連絡ルートの整備

シャドーAIは「禁止」だけでは抑え込みにくい領域です。使いたい業務ニーズを満たす承認済み環境を提供することが、実務上は最も効果が出やすい対策になります。