会社が把握しないまま、社員が個人契約のChatGPTなどを業務に使う。こうした状態は「シャドーAI」と呼ばれます。社員が自前のAIツールを職場に持ち込むこと自体は「BYOAI(Bring Your Own AI)」とも呼ばれ、世界的にごく普通の光景になりました。問題は、それが会社から見えていないことです。メルボルン大学の研究チームが主導し、KPMGと共同で公表した47か国・48,000人超の大規模調査「Trust, attitudes and use of AI 2025」は、この見えない利用の規模を具体的な数字で示しました。AIを使ったことを隠し、AIが生成した成果物を自分の仕事として提示したことがある社員は、グローバルで57%。本稿ではこの調査と日本向けの個別データを読み解き、シャドーAIに「禁止」で応じることがなぜ機能しないのか、代わりに何を整備すべきかを整理します。
目次
まず調査の素性です。この調査は2024年11月から2025年1月にかけて実施され、47か国・48,000人超が回答しています。設計・実施・分析はメルボルン大学の研究チーム(Nicole Gillespie教授ら)が主導しており、特定ベンダーの顧客アンケートではなく大学主導の学術調査である点が、社内の判断材料として使ううえでの価値です。
職場のAI利用について、調査は次の数字を示しています。
利用は広がっているのに、ポリシーは4割、研修は5割弱しか追いついていない。その間で、検証されない出力やAI起因のミスが日常的に発生している、という構図です。(参照:KPMG・メルボルン大学「Trust, attitudes and use of artificial intelligence: A global study 2025」、プレスリリース「Trust of AI remains a critical challenge」(2025))
この傾向は単一の調査に閉じた話ではありません。MicrosoftとLinkedInの「Work Trend Index 2024」では、職場のAI利用者の78%が会社支給ではない自前のAIツールを持ち込んでおり(BYOAI)、中小企業ではこの割合が80%に上がります。BCGの2025年調査でも、職場のAI利用者の54%が会社に承認されていないツールを使うことがあると回答しています。出どころの異なる複数の調査が、「会社の管理外でのAI利用は例外ではなく多数派」という同じ方向を指しています。(参照:Microsoft・LinkedIn「2024 Work Trend Index」(2024)、BCG「Companies Must Go Beyond AI Adoption to Realize Its Full Potential」(2025))
同調査の日本向けスナップショットを見ると、日本の職場も無縁ではないことが分かります。
一点、読み方の注意があります。グローバルの57%は「利用を隠し、かつ自分の成果として提示した」という複合的な設問への回答で、日本の42%は「自分のものとして提示した」という単一の設問への回答です。設問の文言が異なるため、「日本はグローバルより15ポイント低い」といった直接比較はできません。それでも、日本だけを見て「働く人の4割が、AIの成果物を自分の仕事として出した経験がある」と読むだけで、実態をつかむには十分です。
日本のデータで最も目を引くのは、利用と教育の非対称です。職場でAIを使う人が55%いる一方、AIや関連分野の研修・教育を受けた経験がある人は21%。グローバルの47%の半分以下です。AIを信頼できると答えた人も28%にとどまります。つまり日本の職場では、過半数が「研修を受けないまま、信頼しきれないツールを、各自の判断で」使っている。ルールと教育が利用のスピードに追いついていない構造が、数字にそのまま表れています。(参照:KPMG「Trust, attitudes and use of artificial intelligence: A global study 2025 Japan insights」(2025))
この実態に対して、多くの組織が最初に検討するのが利用の禁止や制限です。情報漏えいを防ぐ意図としては自然ですが、ここまでの数字を踏まえると、禁止には構造的な弱点があります。利用そのものは消えず、見えなくなるだけだからです。
考えてみれば当然で、半数以上の社員はすでにAIで仕事が速くなる体験をしています。禁止された側の合理的な行動は「使うのをやめる」ではなく「使っていることを言わない」になりがちです。実際、調査では半数近い社員が、機密情報を無料の公開AIツールに入力するなど、社内ポリシーに反する形でAIを使ったことを認めています。禁止や規制の下でも利用は続き、しかも報告されないため、どの業務に・どんなデータが・どのツールに入っているのかを会社は把握できません。
禁止の本当のコストはここにあります。リスクがなくなるのではなく、リスクが管理の外に移る。検証されない出力(グローバルで66%)も、AI起因のミス(同56%)も、隠れた利用の中で起きれば発見が遅れ、起きた後の原因究明もできません。シャドーAIは社員のモラルの問題である以前に、「使える環境と使ってよいルールを会社が用意していない」ことの帰結として捉えるほうが、対策の精度は上がります。
では何を整備するか。グループ会社などセキュリティ統制の強い環境でも稟議に載せられる形として、私たちは次の3点を最小セットと考えています。
1. 利用ポリシー: 禁止リストではなく「この条件なら使ってよい」を示す文書にします。会社として許可するツール、入力してよいデータと入れてはいけないデータの区分(顧客情報・未公開の業績数値・個人情報など)、用途の区分を1〜2枚で明文化する。ポリシーがあると答えた社員はグローバルでも40%で、整備するだけで相対的には先行側に入ります。 2. 研修: 操作方法ではなく、リスクと検証の仕方を教える研修です。何を入力してはいけないか、出力のどこを疑うべきか、間違いが起きたらどう報告するか。日本の研修経験21%という数字は、裏を返せば、教育に投資するだけで差がつく余地が大きいことを意味します。 3. 出力検証ルール: 「AIの出力は必ず人が確認する」では曖昧で運用に乗りません。用途別に基準を決めます。たとえば、社外に出る文書はAI利用の有無にかかわらず承認者のチェックを必須にする、数字と固有名詞は原典で確認する、といった水準まで具体化します。
稟議の観点では、本調査が大学主導である点が効きます。「ベンダーの売り込み資料ではなく、47か国・48,000人超の学術調査で、未整備のリスクが定量的に示されている」という組み立ては、ポリシー整備や研修予算の起案根拠としてそのまま使えます。
一方、少人数のマーケティングチームや兼務担当者にとって、シャドーAIは「自分のことかもしれない」話です。会社にルールがないまま、広告文案や記事の下書きにAIを使い、それを自分の成果として出している。悪意はなくても、調査の42%と同じ状態です。この場合の現実解は、利用をやめることではなく、我流の利用を誰に見せても説明できる「業務手順」に昇格させることです。次の4項目を書き出すだけで形になります。
この4項目をまとめて上長に見せれば、「隠れて使っている状態」は「チームの業務改善を主導している状態」に変わります。会社にポリシーがないなら、この手順書がそのままポリシーのたたき台になり、社内での発言力にもつながります。
最後に、制度の先にある環境面の話です。シャドーAIが生まれる根本の条件は、AIが個人のブラウザの中、つまり業務システムの外にあることです。CRM(顧客管理システム)やMAツールなど、日々の業務システムの側にAI機能を組み込めば、メール文案の生成も商談メモの要約も業務の記録として自然にログに残ります。誰が・どの業務で・何にAIを使ったかが運用の中で見えるため、そもそも「隠れて使う」という選択肢が成立しなくなります。統制と活用は、この形なら両立します。
どの業務からAIを組み込むかの見立てや、ポリシー・研修の設計はポリシー・研修・検証を含むAI活用支援で、AI機能を含むCRM基盤を整え利用を業務記録として残す取り組みは業務システムにAIを組み込む営業最適化の支援で扱っていますので、必要に応じて参照してください。
自社のAI利用ルールをどこから整備すべきか迷う場合は、無料相談で現状の利用実態を伺いながら一緒に整理します。