シャドーAIのリスクと対策：Gartnerが推奨する「分業モデル」

AIの能力向上に伴って、シャドーAIのリスクも増している。GartnerはシャドーAIの主なリスクとして次の4つを挙げる。

Gartnerが実施した2026年2月に実施した国内のエンドユーザー調査によると、IT部門が選定した以外の生成AIツールやサービスの利用を「自由に認めている」と答えた企業は8％、「審査の上、問題なければ認めている」と答えた企業は67％だった。つまり75％の企業が、何らかの形で事業部門によって選定されたツールの利用を認めていることになる。

一方、シャドーAIについて「把握できていない」と答えた企業が43％、「把握しているが、有効な対策を取れていない」と答えた企業は30％を占めた。「把握し、有効な対策を取れている」と答えた企業は24％にとどまる。

GartnerがシャドーAIへの対応として推奨するのが、IT部門だけではなく、事業部門と役割と責任を分担して統制する「分業モデル」の確立だ。単純な禁止や遮断ではなく、利用の実態を可視化した上で評価や承認、統制の仕組みを整備すべきだとしている。

分業モデルを「絵に描いた餅」で終わらせないための3ステップ

Gartnerは、分業モデルでは、各AIツールの機能範囲を踏まえて次の3つに分類して運用ルールを定めるべきだとしている。

ただし、個人利用のAIは、リテラシーとリスク感覚に優れたユーザーが多い企業に限って、慎重に導入すべきだとGartnerは付け加えている。

分業モデルを「絵に描いた餅」で終わらせないために、同社は運用における次の3つのステップを推奨する。

特に重要となるのが、利用中のモニタリングによる可視化と、仕様の変更に伴ってリスクも変動することを踏まえた定期的な棚卸しだ。

AIガバナンスはIT部門だけの課題ではない。Gartnerはセキュリティや法務とコンプライアンス、人事、事業部門などが連携して取り組む体制が必要だとしている。「非現実的な『完全な管理』から『責任ある活用』への移行が必要だ」（林氏）