30秒サマリー
- ガートナー調査で、日本企業の73%がシャドーAIを把握できていないか、対策が取れていない実態が判明
- 「IT部門選定AIのみ許可」方針は限界とし、管理レベル別に役割を分担する分業モデルへの移行を推奨
- AI利用の審査・許可→モニタリング→定期棚卸しの3ステップ実行が求められる
何が起きたか
調査会社の米ガートナーは2026年6月18日、日本企業のシャドーAI対策状況に関する調査結果を発表した。シャドーAIとは、会社が公式に認めていないAIツール・サービスを従業員が業務で使用することを指す。
調査対象414社のうち、43%が「シャドーAIを把握できていない」、30%が「把握しているが有効な対策を取れていない」と回答。合計73%の企業が実質的な対策を講じられていない状況にある。一方、「把握し有効な対策を取れている」企業は24%にとどまった。
IT部門が選定した以外のAIツール・サービスの利用状況(449社対象)については、「自由に認めている」が8%、「審査の上、問題なければ認めている」が67%を占めた。調査は2026年2月にガートナーのエンドユーザー企業を対象に実施された。
ガートナーのディレクター アナリスト・林宏典氏は、AIツールの選択肢が急拡大する中でIT部門による完全管理は非現実的と指摘。全社標準AIをIT部門が一貫管理する層、部門ごとに審査・運用する層、認定ユーザーのみ個人利用を認める層の3区分に整理する「分業モデル」への移行を提言した。個人利用の許可については「リテラシーとリスク感覚に優れるユーザーが多い企業のみ慎重に導入すべき」と条件を付けている。
原典ハイライト
ガートナー林氏の言葉を借りれば、非現実的な「完全な管理」から「責任ある活用」への移行が不可欠とされており、AIを管理レベル別に3層に分類したうえで、採用審査・利用中モニタリング・定期棚卸しの3ステップで運用する分業モデルが具体策として示された点が核心である。
出典: ITmedia AI+(報道)
So What?(なぜ重要か)
従業員によるシャドーAI利用は機密情報漏洩やセキュリティ脆弱性の温床となり得る。しかし禁止一辺倒ではAI活用の競争力を損なう。ガートナーの提言は「管理か活用か」という二項対立を脱し、リスク水準に応じた多層管理へのパラダイム転換を意味する。73%という高い未対策率は、多くの日本企業が既にこの問題に直面していることを示しており、経営レベルでの方針再設計が急務となっている。
日本企業への示唆
まず自社でのシャドーAI実態調査を早急に実施し、「把握できていない43%」から脱することが第一歩となる。その上で、ガートナーが示す3層分類(全社標準/部門運用/個人利用)を参考に、AIガバナンスポリシーをゼロベースで見直すことが有効だ。特に67%の企業が「審査の上で認める」運用をしている実態を踏まえると、審査基準の明文化と承認フローの整備が具体的な優先課題となる。IT部門だけに丸投げせず、法務・人事・各事業部門を巻き込んだ横断的なAIガバナンス体制の構築が、リスク管理とイノベーション促進を両立させる鍵となる。
背景・経緯
生成AIツールの急速な普及により、IT部門の正式承認を経ずに業務でAIを使う従業員が増加している。企業のAI導入が加速する一方、ガバナンス整備が追いついていない状況は日本企業に限らず世界的な課題となっている。ガートナーはAIガバナンスに関する提言を継続的に発信しており、今回の調査はエンドユーザー向けに2026年2月に実施されたものとされている。
