企業の業務にも活用されるようになってきた生成AI。反面、それは進歩が早く利用も比較的簡単であることから、ビジネス部門が独自に導入して企業のガバナンスが効かないシャドーITを氾濫させるリスクも抱えている。本稿では、企業におけるその現状と課題、さらには今後どのように対処していくかについて考える。

生成AIツールによる業務の生産性向上が期待される

ChatGPTが2022年に登場して以来、生成AIが個人のみならず企業においても活用されている。企業で生成AIを利用する主な理由は生産性向上にある。例えば、英語などの翻訳業務に生成AIツールを活用すれば、文章を読む際により短時間で要点をつかめるようになる。また、英語の文章を効率的に執筆できるようにもなる。

その他にも、会議の議事録やメールの作成、長文の要約など、さまざまなシーンで生成AIによるビジネスの生産性向上が期待されている。

実際に、Forresterが2024年1月に発表したレポート(Forrester,The State Of Generative AI, 2024, January 2024)によると、グローバル企業のAI意思決定者の90%以上が、社内および顧客向けのユースケースに生成AIを利用する具体的な計画を持っていると回答している。また、47%の回答者がAIは生産性を向上させる主要な原動力になると考えると回答している。

日本も例外ではない。日本生産性本部が2024年10月に発表した調査結果によると、生成AIの普及による働き方の変化について、「無駄な作業・業務が減り、ワークライフバランスが改善する」と「より付加価値の高い仕事に集中できるようになる」という回答が、経営層において53.4%と半数を超えた。このように、国内外でAIツールの活用を通じた生産性の向上への期待が高まっている。

企業の生成AIツールへの対応が遅れ、シャドーITとなるケースが増える

ただし、企業、特に非IT系のエンタープライズ企業においては、新しいソフトウェアやシステムの導入は時間がかかりがちで、最新の市場動向に対応できない場合も多い。一方で、生成AIツールはクラウドを使ったSaaSやフロントエンドアプリの形態で提供され、誰もが簡単にアクセスできるものが多い。

そのため、従業員個人や特定のチームだけが競争力維持や生産性向上のため最新ツールに着目し、独自に導入するケースが増えている。これこそが、企業が把握できていないIT資産が使われる、いわゆる「シャドーIT」と呼ばれる状況だ。

シャドーITが発生する原因の一つとして、従業員個人やチームと経営層を含む企業全体での、ソフトウェア導入のスピード感の違いが考えられる。

現在は新しいツールやサービスが次々と登場するため、業務の現場では最新のツールを使いこなして業務を効率化したいと考えている。それに対し、企業全体としては安全性を保証できないツールの使用は認められないと考え、導入までに時間を要する。これによって、導入のスピード感にギャップができるわけだ。

特にクラウドサービスとその利用が増えるにつれて、各サービスへの対応が遅れ、シャドーITとして使われるケースが増えている。

VisionalグループのAssuredの調査によると、従業員数1000人以上の大手企業において、52.3%が100以上のクラウドサービスを利用していると回答している。19%の企業では500以上のサービスを利用していた。1社あたりの平均は207サービスだった。

その一方で、66.6%の企業においてシャドーIT対策が行われていないと回答しており、上記の利用数として回答された以上の数のクラウドサービスが水面下で利用されている可能性があると指摘されている。中でも、生成AIの業務利用が進むにつれて、AIサービスのシャドーITは特に「シャドーAI」とも呼ばれ、セキュリティの懸念が大きくなっている。

PwCが2024年1月に発表した世界のCEOを対象とする年次調査によると、77%のCEOが「サイバーセキュリティの侵害が生成AIの主要な危険性である」と回答している。また、その調査結果の中から日本企業について分析したPwCのレポートによると、AIリスクへのさまざまなガバナンス施策の取り組み状況を比べると、日本は米国と比較してあらゆる取り組みで後れをとっていることが報告されている。例えば、「AIリスクに関わるアプリケーションやITツールの導入を検討、または導入を進めている」とする回答は米国で64%なのに対し、日本では36%にとどまっている。

生成AIのシャドーIT化によるリスク

シャドーITが進む要因の一つとして、情報システム部門の人材不足による新しいツールやサービスへの対応の遅れがある。人材不足はこれからさらに進むと予測されており、シャドーITは今後も広がり続けると考えられる。

ガートナージャパンが2024年9月に発表した国内のデジタルトランスフォーメーション(DX)に関する調査結果でも、高まり続けるITへの需要とIT部門における深刻な人材不足を背景に、今後もシャドーITは増加が見込まれると報告されている。

この調査では、DXプロジェクトで利用するクラウドサービスにおいて、ITベンダーの選定・交渉にあたる組織として、43.3%が非IT部門(ビジネス部門)と回答している。その効果としては「ビジネス部門の要件を最大限織り込んだサービスを調達できた」が57.6%に上る。

一方、ビジネス部門が調達することに「課題がない」と回答した企業は6.2%で、残り93.8%が何らかの課題に直面している可能性があることがうかがえる。その理由としては「ベンダーへのセキュリティ評価がされない、あるいは不十分」「調達するサービスと周辺システムとの互換性が検証されない、あるいは不十分」が多く、シャドーITについての懸念は残されている。

シャドーITは、業務で使うITリソースを企業で管理できないことが問題だ。具体的な危険性としては、まず、不用意に危険なツールを使うことによるサイバー攻撃やマルウェア感染などのセキュリティリスクがある。それだけではなく、社内の情報を社外のクラウドサービスに送信することによるデータ保護違反や、その他コンプライアンス違反の可能性も指摘されている。

特に業務で生成AIツールを利用する場面では、業務上の文章や、PDFやOfficeファイルなどの文書をツール側に送信する機会も多い。これは社内情報を社外に持ち出すことに当たる。安全が確認されたツールを使用しない場合、相手を確認せずに送信することは危険が伴う。特に無料の生成AIサービスなどでは適切なセキュリティの枠組みが用いられていない可能性があり、企業の情報流出のリスクが大きくなる。

こうした理由から、中には生成AIツールの使用を全面的に禁止する企業もあるが、それでは組織のイノベーションを抑制してしまう。使うツールやサービスについて安全性を確認し、企業のガバナンスのもとに利用するという体制が重要だ。

経営者が率先してAI利用のけん引を

ここまで紹介したように、ビジネス部門では最新のツールやサービスを利用して業務の生産性を向上させたいと考える一方で、企業全体としては適切な管理の下でツールやサービスを公認ITとして利用させる必要があると考えており、そのスピード感のギャップが結果としてシャドーITを生んでいる。

ビジネス部門によるシャドーITの導入は、必要に迫られているという面もある。しかし、長期にわたる非公認ツール利用はセキュリティ保持、データ保護、コンプライアンス遵守の観点で問題があり、長期的には企業の生産性向上につながらない。

シャドーITの増加は、企業内のイノベーションの格差や、企業内ですでに導入されているソフトウェアに対する従業員満足度における課題を反映しているともいえる。必要なのは、シャドーITを放置するのでも、外部ツールを全面的に禁止するのでもなく、社内のイノベーションの格差や従業員の満足度の課題を小さくすることだ。そこには、最適なITツール導入への道筋があると考えられる。

特に生成AIの業務利用が企業の生産性に大きな影響を与えるようになった現在では、経営層が率先してAIの業務利用をけん引し、データ保護とセキュリティのガイドライン策定や、IT予算化にも積極的に関与すべきだ。

DeepL 最高経営責任者(CEO) ヤロスワフ ・クテロフスキー(Dr.)

ドイツ・ケルンに本社を置くDeepLのCEO 兼 創業者。ポーランドで生まれた後、人生の大半をドイツで過ごした。幼い頃から開発者気質を持ち10歳からソフトウェアのコーディングを始めるなど、日常生活においてさまざまな機会を見つけ出しては独自のプロジェクトに取り組む。数学に重点を置いたコンピュータサイエンスの博士号を持ち、テック企業数社での経験を重ね、DeepLを創業。
DeepLはテキストと音声の高精度な機械翻訳、および文脈を踏まえた的確なAIライティングアシスタント機能により前例のない成長を遂げた。現在は言語AI技術のリーダーとしての地位をさらに強固なものとしている。DeepLが手掛ける言語ツールは数千社・組織をはじめ、世界で数百万人規模のユーザーがいる。