スマホアプリの落とし穴「シャドーIT」が組織を壊す日
会社が許可していないAIアプリやクラウドサービスを個人判断で業務利用する「シャドーIT」は、情報漏洩、個人情報保護法違反、監査不能、偽アプリ被害につながります。禁止するだけでは止まらない理由と、現場の効率化意欲を安全な申請・承認フローへつなげる対策を解説します。
この記事でわかること
- シャドーITが、悪意ではなく「仕事を早く終わらせたい」という善意から広がる理由
- 個人スマホのAIアプリや未承認クラウドに潜む情報漏洩・法務・監査リスク
- 会社が禁止だけでなく、安全なAI利用の受け皿を作るための対策
1. ポケットの中にあるAIアプリが、会社の管理外に情報を出す
出張帰りの新幹線で、急いで顧客へのメール文案を作る。会社のPCではAIサービスにアクセスできないため、個人スマホに入れた無料AIアプリへ、顧客名、案件の概要、見積条件を入力して文章を整える。
本人に悪意はありません。むしろ、顧客へ早く返信し、仕事を前に進めようとしています。しかしこの行動は、会社が許可していないツールへ業務情報を渡す「シャドーIT」そのものです。
シャドーITとは、情報システム部門や管理部門が把握・承認していないデバイス、アプリ、クラウドサービスを、従業員が業務に使っている状態を指します。生成AIの普及により、この問題は以前より見えにくく、広がりやすくなりました。
まず押さえる結論
シャドーITの危険は「便利なツールを使うこと」ではなく、会社がデータの保存先、利用目的、アクセス権、ログ、契約条件を確認できないまま、業務情報が外部サービスへ流れることにあります。
2. シャドーITは「禁止されているのに使う悪い人」だけの問題ではない
シャドーITが厄介なのは、従業員の多くが会社に損害を与えようとしているわけではない点です。
現場には、次のような切実な理由があります。
- 会社の公式ツールが遅い、使いにくい
- 申請から承認まで時間がかかる
- 外出先では会社PCを開けない
- 顧客対応や資料作成を少しでも早く終わらせたい
- 無料AIアプリの方が便利に見える
つまり、シャドーITは「現場の効率化欲求」と「会社の承認プロセス」の間にある隙間から生まれます。会社が単に「使うな」と言うだけでは、現場は別の抜け道を探します。逆に、会社が安全な選択肢を用意し、申請しやすい導入ルートを作れば、リスクを下げながら生産性を高めることができます。
3. 個人スマホのAIアプリで起きる5つのリスク
未承認のAIアプリやクラウドサービスを業務で使うと、会社は「何が、どこへ、どの条件で渡されたか」を管理できません。特に生成AIでは、入力したプロンプトが個人情報、営業秘密、顧客情報、未公開資料を含むことがあります。
| リスク | 具体例 | 会社で起きる問題 |
|---|---|---|
| 入力データの二次利用 | 入力した文章が学習、分析、品質改善に使われる | 個人情報保護法や契約上の秘密保持に抵触する可能性がある |
| 保存先・移転先の不明確さ | 海外サーバーや委託先で処理される | データ管理責任を説明できない |
| 過剰なアプリ権限 | 連絡先、写真、マイク、位置情報へのアクセスを許可する | 顧客情報や社内写真が意図せず収集される |
| 偽アプリ・類似アプリ | 有名AIサービスを装ったアプリを入れる | 情報窃取、課金被害、マルウェア感染につながる |
| ログの欠落 | 個人端末・個人アカウントで利用する | 事故発生時に原因調査、影響範囲の特定、再発防止ができない |
個人情報保護委員会も、生成AIサービスに個人情報を含むプロンプトを入力する場合、利用目的の範囲内か、機械学習に利用されないかなどを十分確認する必要があると注意喚起しています。これは、会社が承認していない個人利用では確認しづらい項目です。
「無料だから試す」は業務では危険
個人利用で便利な無料アプリでも、業務情報を入力した瞬間にリスクの性質が変わります。無料か有料かではなく、会社が契約条件、データ利用、ログ、権限、削除方法を確認できるかが判断基準です。
4. 事故が起きたとき、シャドーITは調査できない
会社が正式に契約しているツールで事故が起きた場合、情報システム部門はログを確認できます。誰が、いつ、どのデータへアクセスし、どこへ送信したのかを追跡できれば、被害範囲を絞り、顧客や関係者へ説明できます。
しかし、個人スマホの未承認アプリで業務情報が入力された場合、会社側にはログが残りません。どのサービスを使ったのか、どのアカウントで使ったのか、何を入力したのか、入力後にデータがどう扱われたのかを確認できません。
情報漏洩で最も苦しいのは、「漏れたかもしれないが、どこまで漏れたか分からない」という状態です。被害範囲を説明できなければ、取引先への報告、個人情報保護法上の対応、再発防止策の策定が遅れます。シャドーITは、事故そのものだけでなく、事故後の説明責任も重くします。
5. 会社が見るべきポイントは「アプリ名」だけではない
未承認ツールのリスク評価では、「有名なAIサービスだから安全」「アプリストアにあるから安全」といった判断は不十分です。会社として確認すべき項目は、もっと具体的です。
| 確認項目 | 確認すること |
|---|---|
| 入力してよい情報 | 個人情報、顧客名、契約情報、営業秘密を入れてよいか |
| データ利用 | 入力データが学習、品質改善、第三者提供に使われるか |
| 契約主体 | 個人アカウントではなく法人契約で管理できるか |
| 権限管理 | 退職者や異動者のアクセスを止められるか |
| ログ | 利用履歴、入力履歴、共有履歴を確認できるか |
| 保存・削除 | データの保存期間、削除方法、バックアップの扱いは明確か |
| 連携機能 | メール、ストレージ、カレンダーなどへ過剰に接続しないか |
| 事故対応 | 漏洩時の連絡窓口、調査協力、契約上の責任範囲があるか |
NISTの生成AIリスク管理プロファイルでも、第三者のAIサービスについて、契約、セキュリティ要件、コンテンツの出所、承認済みサービスリストなどを管理する考え方が示されています。個人がアプリ単位で判断するのではなく、組織として評価・承認する必要があります。
6. シャドーIT対策は「禁止」より「安全な受け皿」が効く
シャドーITを減らすには、禁止ルールだけでは足りません。現場がAIを使いたい理由を理解し、安全に使える道を用意する必要があります。
有効な対策は次の通りです。
- 承認済みAIツールの一覧を作る
- 入力してよい情報、入力してはいけない情報を具体例で示す
- 新しいツールを試したいときの申請フォームを簡単にする
- 小規模な検証環境を用意し、現場が提案しやすくする
- 個人スマホ・個人アカウントでの業務利用を明確に制限する
- 退職・異動時にアクセス権を止められる管理方法にする
- 事故時の報告先を分かりやすくする
重要なのは、現場の効率化意欲を否定しないことです。「便利なAIを見つけたら、こっそり使う」のではなく、「この用途なら正式に申請すれば検証できる」という流れを作ることで、リスクを管理しながら改善提案を吸い上げられます。
現場に伝えるべき一文
便利なAIアプリを見つけたら、業務情報を入れる前に申請する。これだけで、個人の善意が会社の情報漏洩リスクに変わることを防げます。
7. 今日から始めるシャドーITの棚卸し
シャドーIT対策は、大規模なセキュリティプロジェクトにしなくても始められます。まずは、現場で実際に使われているAIツール、翻訳サービス、ファイル共有、議事録アプリ、画像生成アプリを棚卸しすることです。
部署ごとに「業務で使っている便利ツール」を聞き出すと、想像以上に多くの未承認サービスが見つかるはずです。このとき、犯人探しのように進めると従業員は隠します。目的は処罰ではなく、安全な利用ルールを整えることだと明確に伝える必要があります。
最後に、従業員側も覚えておきたいことがあります。仕事ができる人とは、抜け道で効率化する人ではありません。組織の安全と顧客の信頼を守りながら、便利なツールを正式な改善提案に変えられる人です。
まず今日、自分のスマホやブラウザに入っているAIアプリを見直してください。そこに業務情報を入れたことがあるなら、今後は入力を止め、社内の正式な相談窓口へ共有することが、組織を守る第一歩になります。
この記事の監修者
石崎 一之進
中小企業診断士
年間50回以上のセミナー・研修に登壇する「Web・ITが得意な中小企業診断士」。単なるツール導入ではなく、経営視点から現場の「業務効率化」と「売れる仕組み」づくりを両輪で伴走支援し、企業の自走を促すDX人材育成に力を入れています。「人材開発支援助成金(事業展開等リスキリング支援コース)」活用で最大75%還元されるAI研修も行っています。詳細はAI研修をご覧ください。
参考文献
- 個人情報保護委員会「生成AIサービスの利用に関する注意喚起等」 https://www.ppc.go.jp/files/pdf/230602_alert_generative_AI_service.pdf
- NIST "Artificial Intelligence Risk Management Framework: Generative Artificial Intelligence Profile" https://nvlpubs.nist.gov/nistpubs/ai/NIST.AI.600-1.pdf
- OWASP "Top 10 Risk & Mitigations for LLMs and Gen AI Apps 2025" https://genai.owasp.org/llm-top-10/
