シャドーAIとは

シャドーAIの一般的な例としては、OpenAI社のChatGPTなどの生成 AIアプリケーションを不正に使用して、テキスト編集やデータ分析などのタスクを自動化することが挙げられます。従業員は、生産性を高め、プロセスを迅速化するために、これらのツールを頻繁に利用します。しかし、ITチームはこれらのアプリが使用されていることを認識していないため、従業員は知らないうちに組織をデータ・セキュリティー、コンプライアンス、および会社の評判に関する重大なリスクにさらしてしまう可能性があります。

CIOとCISOにとって、AIガバナンスとセキュリティ・イニシアティブを組み込んだ強固なAIストラテジーを策定することは、効果的なAIリスク管理の鍵です。コンプライアンスとサイバーセキュリティの重要性を強調するAIポリシーにコミットすることで、リーダーはAIテクノロジーのメリットを享受しながら、シャドーAIのリスクを管理することができます。

シャドーAIの影響について理解するには、シャドーITと区別すると良いでしょう。

シャドー ITは、IT部門またはCIOの承認、知識、または監視なしに、企業ネットワーク上にソフトウェア、ハードウェア、または情報テクノロジーを導入することを指します。従業員は、既存のソリューションでは不十分だと感じたり、承認されたオプションでは遅すぎると考えたりした場合に、未承認のAIテクノロジーを使用する可能性があります。一般的な例としては、個人用クラウド・ストレージ・サービスや承認されていないプロジェクト管理ツールの使用が挙げられます。

シャドーITが不正なアプリケーションやサービスに焦点を当てるのに対し、シャドーAIはAI固有のツールやプラットフォーム、ユースケースに焦点を当てます。たとえば、従業員がセキュリティ上のリスクを認識せずに、レポートをすばやく生成するために大規模言語モデル（LLM）を使用するかもしれません。主な違いは、使用されているツールの性質にあります。シャドーAIは人工知能の不正使用に関するもので、データ管理、モデル出力、意思決定に関連する固有の懸念が生じます。

2023年から2024年にかけて、組織がAIテクノロジーを受け入れるに連れ、企業の従業員による生成AIアプリケーションの採用率は74%から96%に増加しました。¹これに伴い、シャドーAIも拡大しました。今日、従業員の3分の1以上（38％）が、雇用主の許可なくAIツールで機密情報を共有していることを認めています。²

シャドーAIは、データ漏洩、コンプライアンス違反に対する罰金、深刻な評判への被害など、企業をいくつかのリスクにさらす可能性があります。

シャドーAIに関連する最大のリスクの1つは、データ侵害の可能性です。AIの使用に関する監視体制が整っていないと、従業員が意図せず機密情報を公開する可能性があり、それがデータ・プライバシーの懸念につながります。CISOを対象とした最近の世論調査によると、英国企業の5社に1社が、従業員が生成AIを使用したことによるデータ漏洩を経験しています。³データ漏洩リスクの高まりは、回答者の4人に3人が、外部からの脅威よりも内部関係者が組織にとってより大きなリスクをもたらすと回答した理由かもしれません。⁴

多くの業種・業務では、規制遵守は交渉の余地がありません。シャドーAIを使用すると、特にデータ保護とプライバシーに関してコンプライアンスの問題が発生する可能性があります。組織は、一般データ保護規則（GDPR）などの規制を遵守することが求められる場合があります。GDPRの違反に対する罰金は高額になる可能性があります。重大な違反（違法な目的でデータを処理するなど）の場合、企業は2,000万ユーロ以上、もしくは組織の前年度の全世界における収益の4%の、いずれか高い方の損害が発生する可能性があります。

不正なAIモデルに依存すると、意思決定の品質に影響を及ぼす可能性があります。適切なガバナンスがなければ、これらのモデルによって生成された出力は、組織の目的や倫理基準と一致しない可能性があります。偏ったデータ、過剰適合、モデル・ドリフト、不適切な戦略的選択につながり、企業の評判を損なう可能性のあるAIリスクの例です。

不正なAIの使用は、企業の品質基準に矛盾し、消費者の信頼を損なう可能性もあります。Sports Illustrated社がAI生成の著者が作成した記事を公開したことが暴露されたときや、Uber Eats社がAI生成の食品画像を使用したことについて召喚されたときの反発を考えてみましょう。

リスクがあるにもかかわらず、シャドーAIはいくつかの理由から一般的になりつつあります。組織はデジタル・トランスフォーメーションを受け入れてきており、その延長として、ワークフローと意思決定の再構築を目的としたAIテクノロジーの統合を受け入れています。

ユーザーフレンドリーなAIツールの普及により、従業員は高度なAIソリューションに簡単にアクセスして、自分の能力を強化できるようになりました。多くのAIアプリケーションは、サービスとしてのソフトウェア（SaaS）製品として提供されており、ITチームやセキュリティ・チームを必ずしも介さずに、個人がこれらのツールをすぐに導入できます。AIの民主化により、従業員は以下を行う上で新たな方法を見つけています。

• 生産性の向上：従業員は、生産性を高め、業務の非効率性を回避するために、シャドーAIツールを使用することがよくあります。生成AIアプリを使用することで、個人が反復的なタスクを自動化し、コンテンツを迅速に生成し、他の方法でははるかに時間がかかるプロセスを合理化できます。
• イノベーションの加速： シャドーAIはイノベーションの文化を育む可能性があるため、チームは公式の承認を待たずに新しいAIツールを試すことができます。この機敏性はクリエイティブなソリューションとワークフローの改善につながり、急速に変化する市場において、組織に競争上の優位性をもたらします。
• ソリューションの合理化：多くの場合、シャドーAIを使用することで、チームはリアルタイムで課題に対処できます。従業員は、従来の時間のかかる方法に頼るのではなく、利用可能なAIツールを使用してアドホックなソリューションを素早く見つけることができます。この応答性により、カスタマー・サービスが向上し、業務効率を向上させることができます。

シャドーAIは組織全体にさまざまな形で現れますが、多くの場合、効率とイノベーションの必要性によって引き起こされます。シャドーAIの一般的な例としては、AI搭載チャットボット、データ分析用のMLモデル、マーケティング・オートメーション・ツール、データの可視化ツールなどがあります。

カスタマー・サービスでは、問い合わせに対する回答を生成するために、チームが不正にAIチャットボットを利用する場合があります。たとえば、カスタマー・サービス担当者は、会社が承認した資料を見ずに、チャットボットに回答を求めて顧客の質問に答えようとする場合があります。これにより、一貫性のないメッセージや虚偽のメッセージ、顧客とのコミュニケーションミスにつながり、担当者の質問に機密性の高い企業データが含まれている場合には、セキュリティー・リスクが生じる可能性があります。

従業員は、社外の機械学習モデルを使用して、会社のデータを分析して、パターンを見つける場合があります。これらのツールは貴重な洞察をもたらす可能性がありますが、AIサービスの不正使用はセキュリティ上の脆弱性を生み出す可能性があります。たとえば、アナリストは、独自のデータ・セットから顧客の行動をより深く理解するため予測行動モデルを使用し、そのプロセスの中で機密情報を知らないうちに漏洩してしまう可能性があります。

マーケティング・チームは、Eメール・マーケティング活動を自動化したり、ソーシャル・メディアのエンゲージメント・データを分析したりできるシャドーAIツールを使用してキャンペーンを最適化しようとする場合があります。これらのツールを使用すると、マーケティング成果が向上する場合があります。ただし、ガバナンスがなければ、特に顧客データが不適切に処理された場合、データ保護基準に準拠できなくなる可能性があります。

多くの組織では、AIを搭載したデータの可視化ツールを使用して、ヒートマップ、折れ線グラフ、棒グラフなどをすばやく作成しています。これらのツールは、複雑なデータの関係や洞察をわかりやすい方法で表示することで、ビジネス・インテリジェンスを強化するのに役立ちます。しかし、ITの承認なしに企業データをインプットすると、報告の不正確性や潜在的なデータ・セキュリティーの問題が生じる可能性があります。

シャドーAIのリスクを管理するために、組織は柔軟性とイノベーションの必要性を認識しつつ、責任あるAIの使用を促進するいくつかのアプローチを検討する必要があります。

IT部門、セキュリティー・チーム、事業単位間のオープンな対話により、AIの機能と制限についての理解を深めることができます。コラボレーションの文化は、組織がどのAIツールが有益かを特定するのに役立つだけでなく、データ保護プロトコルに対するコンプライアンスを徹底する上でも役立ちます。

ガバナンスフレームワークは、セキュリティ対策を維持しながら、急速に進むAI導入に対応できます。これらのフレームワークには、使用できるAIシステムの種類、機密情報をどのように扱うべきか、 AIの倫理とコンプライアンスに関して従業員にどのようなトレーニングが必要かなどに関する明確なガイドラインを含めることができます。

AIの使用に関するガードレールはセーフティネットとなり、従業員が定義されたパラメーターの範囲内で承認されたツールのみを使用できるようにすることができます。ガードレールには、外部AIの使用に関するポリシー、AIアプリケーションをテストするためのサンドボックス環境、または不正な外部プラットフォームをブロックするファイアウォールなどが含まれます。

すべてのシャドーAIを排除することは困難かもしれません。そのため、組織はネットワーク監視ツールを実装してアプリケーションの使用状況を追跡し、アクセス制御を確立して未承認のソフトウェアを制限することができます。定期的な監査とコミュニケーションチャネルの積極的な監視も、不正なアプリが使用されているかどうか、またどのように使用されているかを特定するのに役立ちます。

シャドーAIの環境は常に進化しており、組織に新たな課題をもたらしています。企業は、ニュースレターや四半期ごとの更新情報などの定期的なコミュニケーションを確立して、シャドーAIと関連するリスクについて従業員に伝えることができます。

不正なAIツールの使用による影響に対する認識を高めることで、組織は責任あるAIを使用する文化を育むことができます。この理解により、従業員は新しいアプリケーションをデプロイする前に、承認されている代替案を探したり、IT部門に相談したりするようになるかもしれません。