30秒サマリー
- 国内企業の75%が未承認AIツールの利用を何らかの形で容認しているが、73%は有効な管理ができていない
- ガートナーはIT部門単独の統制から事業部門と役割分担する「分業モデル」への移行を推奨
- AIツールを「全社標準・部門単位・個人利用」の3区分に整理し、審査・監視・棚卸しの3ステップで運用する
何が起きたか
ガートナー・ジャパンは2026年6月18日開催の自社イベントで、国内企業のシャドーAI実態に関する調査結果と対応策を発表した。同社が2026年2月に実施した国内エンドユーザー調査によると、IT部門が選定した以外の生成AIツールの利用を「自由に認めている」企業は8%、「審査の上、問題なければ認めている」企業は67%で、合計75%が事業部門主導のツール利用を容認している。
一方、シャドーAIの管理状況については「把握できていない」が43%、「把握しているが有効な対策を取れていない」が30%に上り、「把握し、有効な対策を取れている」企業は24%にとどまる。つまり容認率(75%)と管理不全率(73%)がほぼ同水準となっており、利用の広がりに統制が追い付いていない構図が浮かび上がる。
ガートナーが主なリスクとして挙げるのは、機密情報・個人情報の流出、法令違反、セキュリティ上の脆弱性の増大、レピュテーション毀損の4点。同社ディレクター アナリストの林宏典氏は「非現実的な『完全な管理』から『責任ある活用』への移行が必要だ」と述べ、IT部門のみによる統制モデルの限界を指摘する。
ガートナーが対応策として提唱するのは、IT部門・セキュリティ・法務・人事・事業部門が連携する「分業モデル」だ。AIツールを①全社標準(IT部門が一貫管理)、②部門単位(部門ごとに審査・運用)、③個人利用(認定ユーザーのみ)の3区分に整理する。運用上は「採用時の審査と許可」「利用中のモニタリングによる可視化」「仕様変更に伴うリスク変動を点検する定期棚卸し」の3ステップを推奨する。なお個人利用区分については、リテラシーとリスク感覚に優れたユーザーが多い企業に限り、慎重に導入すべきとしている。
原典ハイライト
ガートナー・ジャパンの2026年2月調査で、国内企業の75%が未承認AIツールの利用を容認する一方、73%は有効な管理ができていないという逆説的な実態が明らかになった。同社は「完全な管理」ではなく「責任ある活用」への移行を軸に、IT部門と事業部門の分業による統制モデルを現実解として提唱している。
出典: ITmedia AI+(報道)
So What?(なぜ重要か)
生成AIの業務利用が急速に拡大する中、禁止・遮断という旧来の統制手法はすでに機能しておらず、現場の活用意欲を損なわずにリスクを低減する仕組みの構築が急務となっている。ガートナーの調査はその「管理の空白」が大多数の国内企業に存在することを定量的に示しており、経営レベルでのガバナンス整備を後押しするデータとして注目される。
日本企業への示唆
まず自社の「容認率」と「管理率」のギャップを可視化することが出発点となる。具体的には、①社内で利用されている生成AIツールをクラウド通信監視などで棚卸しし、②全社標準・部門・個人の3区分に分類してルールを整備し、③ITだけでなく法務・人事・事業部門を巻き込んだ承認フローを設計する、という順序が現実的だ。特に「個人利用」区分の導入はリテラシー研修の整備と認定制度をセットにしなければ抜け穴になりやすい。CIOは「管理できているか」を問うだけでなく、「どの区分のツールが事業価値を生んでいるか」を定期的に評価する仕組みまで視野に入れる必要がある。
背景・経緯
生成AIツールの普及により、IT部門の承認を経ずに業務で利用される「シャドーAI」が世界的な課題となっている。日本でも企業の生産性向上や業務効率化のニーズから現場主導のAI活用が先行し、ガバナンス整備が後追いになる状況が続いている。ガートナー・ジャパンは2026年6月18日開催の「ガートナー アプリケーション・イノベーション&ビジネス・ソリューション サミット」でこの調査結果と提言を発表した。
