The Hacker Newsが、「New AI Usage Report: Enterprise AI Risk Is Heavily Concentrated Among a Small Group of AI "Power users"」において、LayerX Securityが公開した最新の企業内AI利用実態調査レポート「State of AI Usage Report 2026」を解説した。

同レポートでは、企業が把握しているAI利用状況と、実際の利用構造との間に大きな隔たりが存在する実情が示されている。企業内のAI利用は拡大傾向にあるが、実際には極端な偏りがあり、AI関連活動の多くが一部の従業員によって構成されている実態が明らかになった。

  • 企業内のAI利用は拡大しているが、実際の利用やリスクは一部のヘビーユーザーに集中しているという Photo:PIXTA

    企業内のAI利用は拡大しているが、実際の利用やリスクは一部のヘビーユーザーに集中しているという Photo:PIXTA

利用上位5%がAI活動の中心に

レポートによると、企業内でAIツールに触れた従業員は全体の約半数に達したが、継続的に利用する従業員はその一部(約18%)にとどまったという。利用量の上位を占める従業員(5%)は、他の従業員と比べて対話数が大幅に多く(約10倍)、複数のAIツールを横断しながら長い対話を積み重ねる傾向が確認された。

利用者が一部に集中していることから管理しやすくなるようにも見える。しかし実際には、AI関連リスクも一部の従業員へ集中し、情報流出リスクを高める結果になっていた。

シャドウAIが拡大、Geminiの個人利用も目立つ

AIプラットフォームごとの利用状況調査では、ChatGPTが利用者数と対話量の双方で他を上回りトップを維持した。これに企業向けサービスのMicrosoft 365 Copilotが続き、Geminiは両者から引き離される結果となった。

このシェア推移とは異なるが、Geminiは個人利用が目立つことが特定された。企業の管理外利用、つまりシャドウAIとしての利用が多く、企業のリスクにつながっている可能性が指摘された。

シャドウAIについては広がりの問題も指摘された。従来は未承認のAIツールが問題視されていたが、現在は拡張機能、AI検索、開発支援基盤、各種SaaSに組み込まれたAI機能など、多様なAIがリスクとして想定されている。

加えて従業員の約3割が複数のAIプラットフォームを併用し、とくに利用量が多い従業員は6つ以上のプラットフォームを切り替えながら業務を進める例が確認されている。企業はこれら状況変化に対応しなければならないが、実際は把握しきれておらず、想定よりも大きなガバナンスの課題が存在するという。

6%以上の対話に機密情報を含む

機密情報の扱いについても課題が示された。全体の6%以上の対話に機密情報が含まれており、個人向けツールでは割合が高くなる傾向が確認された。企業管理下のツールでは割合が低いことから、従業員は個人向けサービスを便利な抜け穴として活用しているものと推測される。

同様のリスクは、AI拡張機能やAIコネクターにも広がりをみせている。従業員の約15%が1つ以上のAIブラウザ拡張機能を利用しており、その多くがブラウザの高い権限を要求。企業ネットワークへのアクセスを許可するなど、ずさんな権限管理によって、企業は知らぬ間に高いリスクを抱えている可能性がある。

同レポートは、企業に対して従来の管理手法を見直す必要性を示している。利用量の多い従業員を重点的に把握すること、企業が承認したAIプラットフォームにだけ注目する姿勢を改めること、個人向けツールの利用を制限すること、そして一律に制限するのではなく、対話内容や操作を監視しながら安全性を確保する仕組みを整えることを提案している。