Gartner、国内企業の「シャドーAI」対応における新たな指針を発表

　ガートナージャパンは、国内企業におけるシャドーAIへの対応方針についての見解を発表した。

　シャドーAIは、企業内のIT部門や情報セキュリティ部門で正式に決められていないAIツールを個人の裁量で業務に使用すること。機密情報の漏洩やコンプライアンス違反などのリスクが発生する可能性がある。Gartnerによれば、国内企業の多くはユーザー部門の選定による生成AIツールの利用を一定程度認めている一方で、管理や対策が追い付いていない現状があると指摘している。

　今回の調査では、シャドーAI問題への対応状況について、「シャドーAIを把握できていない」企業が43％、「把握しているが、有効な対策を取れていない」企業が30％にも上り、合計すると73％の企業がシャドーAIを管理できていない状況だとした。

　Gartnerは、AIツールが急速に広がる中で、すべてのツールをIT部門だけで完全管理することは困難なため、非現実的な「完全な管理」から「責任ある活用」への移行が必要だとしている。単純に禁止や遮断するのではなく、利用実態を可視化した上で、評価・承認・統制の仕組みを整備することが重要としている。

　同社は、ユーザー部門とIT部門が役割・責任を分担する「分業モデル」を確立すべきとしており、「採用時の審査・許可」、「利用中のモニタリング」、「定期的な棚卸し」という3つのステップを運用する必要があると提言している。