1. シャドーAIとは何か。すでに「起きている」現実
⚠️ 注記: 本記事で紹介する統計・規制情報は2026年時点の各調査・公表資料に基づく概要です。規制は改定が進み、調査値も出典により異なります。実務判断の際は、各出典や公式資料の最新情報をご確認ください。
「シャドーAI(Shadow AI)」とは、企業が正式に導入・承認していないAIツールを、従業員が個人の判断で業務に使っている状態を指します。かつて、会社が把握しないままクラウドサービスが使われる「シャドーIT」が問題になりましたが、その生成AI版だと考えるとわかりやすいでしょう。
問題は、これがもはや「一部の意識の高い社員だけの話」ではないことです。いくつかの調査が、その広がりを示しています。
- Salesforceが2026年に発表した調査では、従業員の67%が業務でAIを利用している一方で、公式なAIセキュリティのポリシーを整備している企業はわずか18%にとどまりました。
- スマートキャンプが2026年1月に発表した生成AI利用実態調査では、「会社は未導入だが、個人や部署の判断で無料版などを使っている」というシャドーAI層が14.4%、さらに31.9%が「ルールはなく、個人の判断に任されている」と回答しています。
- 国内企業を対象とした2026年6月の調査では、シャドーAIへの有効な対策を取れていない企業が7割超にのぼりました。
つまり実態は、「多くの社員がすでにAIを使っているのに、会社のルールや管理が追いついていない」という状態です。使うなと言っても、もう使われている。これがシャドーAI問題の出発点です。
2. 何がリスクなのか。3つの見えない穴

シャドーAIの怖さは、リスクが「見えないまま」進むことです。大きく3つの穴があります。
① 情報漏洩
最も直接的なリスクが、機密情報の漏洩です。従業員が、顧客情報や社外秘の資料、コードなどを、管理外のAIサービスに入力してしまう。サービスによっては、入力した内容がAIの学習に使われる可能性もあります。実際、GRASグループが2026年4月に発表した調査では、管理職の37.5%が「機密情報をAIに入力した経験がある」と答えています。悪意はなくても、「便利だから」の一手で情報が外に出てしまうのです。
② セキュリティ
管理外のAIツールは、セキュリティの品質も会社が把握できません。信頼性の低いサービスやブラウザ拡張機能を通じて、マルウェアや不正アクセスの入口になる恐れもあります。独立行政法人IPAの「情報セキュリティ10大脅威2026」では、「AIの利用をめぐるサイバーリスク」が初めてランクインし、上位(3位)に入りました。AIの利用そのものが、企業のセキュリティ上の重大テーマになったということです。
③ コンプライアンス・規制
そして、法令や規制への対応です。管理外のAI利用は、著作権の問題や、契約上の守秘義務違反につながることもあります。さらに、後述するように、AIに関する規制は世界的に強まっています。会社が把握していないところでAIが使われていると、知らないうちに規制違反を犯してしまうリスクが生まれます。
3. 規制も動いている。EUと日本の最新状況

シャドーAIを放置できない理由の一つが、規制の強まりです。代表的な動きを2つ押さえておきましょう。
EU:AIの透明性義務が2026年8月から
EUの包括的なAI規制「EU AI Act」では、AIの透明性に関する義務(第50条)が2026年8月2日から適用されます。これは、AIが生成した文章・画像・音声・動画に「AI製である」とわかる印をつけることや、ユーザーがAIとやり取りしていることを知らせることなどを求めるものです。高リスクなAIに限らず、生成AIでコンテンツを作るあらゆる企業に関係します。違反時の制裁も重く、最大で1,500万ユーロ、または全世界の年間売上高の3%のいずれか高いほうとされています(既に市場にあるものには、機械可読の印について一定の猶予が設けられています)。
これはEUの規制ですが、EUと取引がある、あるいはEU市場向けにサービスを提供する日本企業にも影響し得ます。「海外の話」と片づけられない流れです。
日本:罰則より「自主的な統制」を促す
日本では、2025年6月に「AI推進法」が公布され、同年9月に全面施行されました。ただし、EUのような罰則を伴う包括規制ではなく、ガイドラインを中心に、企業の自主的な取り組みを促す設計が特徴です。総務省・経済産業省の「AI事業者ガイドライン」は2026年3月に第1.2版へと改訂され、AIエージェントや、人間が関与する仕組み(HITL)、追跡可能性(トレーサビリティ)などが明確化されました。
罰則がないからと安心はできません。ガイドラインは、経営層によるAIガバナンスの構築、リスク評価、社内ルールの整備、従業員教育、外部委託先の管理などを求めています。つまり日本でも、「会社としてAIをちゃんと統制すること」が明確に期待されているのです。
4. 「禁止」では解決しない。なぜか
ここで多くの企業がやりがちなのが、「じゃあ生成AIは全面禁止」という対応です。しかし、これはたいてい逆効果になります。
理由はシンプルです。便利なものを一律で禁止しても、使うのをやめるのではなく、より見えないところで使うようになるからです。禁止すればするほど、従業員は会社に隠れて個人のスマホやアカウントで使うようになり、シャドーAIはかえって深く潜ってしまいます。管理はますます効かなくなり、リスクは見えなくなる。これでは本末転倒です。
しかも、生成AIには確かな生産性向上の効果があります。全面禁止は、そのメリットを丸ごと捨てることにもなります。競合が使いこなす中で自社だけ手を縛れば、競争力の面でも不利になりかねません。
だからこそ、目指すべきは「禁止」ではなく、「安全に使える公式の道を用意し、そこに従業員を導く」ことです。社内ガイドラインの作り方としても、「あれもこれも禁止」という禁止リスト型より、「これは使ってOK、それ以外は申請を」という許可リスト型+例外申請の形のほうが、形骸化しにくいとされています。ルールで縛るのではなく、安全な使い道を示す。ここが発想の転換点です。
5. 企業が今すべきAIガバナンスの進め方
では、具体的に何から手をつければよいのでしょうか。シャドーAIを「見える化し、安全な形に変える」ための、現実的なステップを整理します。
ステップ1:実態を把握する
まずは、社内で誰が・どんなAIを・どう使っているかを把握します。アンケートやヒアリングでも構いません。「禁止」ではなく「実態を知る」ことが出発点です。責めるのではなく、安全な形に移すための前提として聞くのがコツです。
ステップ2:安全に使える「公式の環境」を用意する
従業員が使いたくなる、安全なAI環境を会社として用意します。データが学習に使われない法人向けプランや、社内に閉じた環境などです。「隠れて危ないツールを使う」より「公式の安全なツールを使う」ほうが便利、という状態を作ることが、いちばんの対策になります。
ステップ3:使いやすい社内ルールを作る
「入力してよい情報/だめな情報」「使ってよいツール」を、わかりやすく定めます。前述のとおり、細かい禁止の羅列より、許可リスト+例外申請の形が実務で回りやすいです。長大な規程より、現場が一目でわかる一枚を目指します。
ステップ4:教育する
ルールを配って終わりではなく、「なぜ危ないのか」「どう使えば安全か」を、具体例で伝えます。悪意のない情報入力を防ぐには、知識の底上げが欠かせません。
ステップ5:統制と見直しを続ける
利用状況を継続的に把握し、ルールを実態に合わせて更新します。AIも規制も動き続けるので、一度作って終わりにはできません。経営層が旗を振り、全社の取り組みとして続けることが重要です。
6. 【本題】ガバナンスと活用は、両輪で回す
ここまで統制の話をしてきましたが、最後に大事な視点をお伝えします。それは、AIガバナンスの目的は「使わせないこと」ではなく、「安全に使って成果を出すこと」だということです。
締めつけるだけのガバナンスは、結局シャドーAIを地下に潜らせ、活用のメリットも失わせます。本当に必要なのは、「安全に使える公式の道」を用意し、その道の上で現場が実際に成果を出せる状態まで持っていくことです。つまり、統制(守り)と活用(攻め)は、両輪で回してこそ意味があります。
しかし、この両立は簡単ではありません。「安全な環境を用意し、社内ルールを整え、現場が使いこなして成果を出す」——ここには、リスクを踏まえた設計と、自社の業務に合わせた実装、そして現場への定着という、地道な作業が必要です。多くの企業が、「ルールは作ったが現場で使われない」「安全にしたら不便になって、結局また隠れて使われる」という壁にぶつかります。
だからこそ、AIを安全に、かつ成果につなげたい企業におすすめしたいのは、ガバナンスの設計から、安全な環境での業務実装、現場での定着までを、現場に入り込んで一緒に進めてくれる相手と組むことです。私たちが提供している「Protostar AI Works」は、まさにこの「安全な導入と、現場で回る実装・定着」を伴走する支援です。守りを固めながら、AIをきちんと成果に変える。その両立を、ご一緒します。
まとめ
シャドーAIは、もはや一部の話ではなく、多くの企業ですでに起きている現実でした。
- 実態:従業員の多くがAIを使う一方、ルールや管理は追いついていない(ポリシー整備は2割弱という調査も)
- リスク:情報漏洩・セキュリティ・コンプライアンスの3つの穴。管理職の機密入力経験や、IPA脅威ランクインが実態を示す
- 規制:EU AI Actの透明性義務が2026年8月適用。日本もガイドラインで自主的な統制を要請
- 対策:全面禁止は逆効果。「安全に使える公式の道」を用意し、許可リスト+例外申請のルールと教育で導く
- そして——ガバナンス(守り)と活用(攻め)は両輪。目的は使わせないことではなく、安全に成果を出すこと
まずは、社内で誰がどうAIを使っているかの実態把握から始めてみてください。そのうえで、安全な環境と現場で回る実装まで一緒に走ってくれる相手と進めることが、リスクを抑えながらAIを成果に変える確実な一歩になります。
⚠️ 本記事の統計・規制情報は執筆時点(2026年7月)の各調査・公表資料に基づく概要です。規制は改定が進むため、実務判断の際は各出典・公式資料の最新情報をご確認ください。

