社内AIツールの許可リストとは?シャドーAIを防ぐ選定基準と作り方を解説

コラム
社内AIツールの許可リストとは?シャドーAIを防ぐ選定基準と作り方を解説

はじめに

社内AIツールの許可リストをどう作るかを解説。シャドーAIを防ぐために、許可・条件付き許可・禁止の判断軸、リスト化、例外申請、見直し運用まで整理します。

伊藤 辰也

伊藤 辰也

AIコンサルタント

company-icon

Third Scope Asia PTE. Ltd.

1985年生まれ、三重県出身。 2012年、エンジニアとして香港のARスタートアップに参画。以後、複数のAIベンチャーにて新規事業開発やAIサービスの立ち上げに従事。 2018年には、AIサービス及びその開発チームを引き継ぐ形で、現サードスコープ設立。AIを活用した事業開発、業務改革、プロダクト開発支援を中心に、企業のAI導入・活用を支援。東京大学の特任研究員としてAI研究に携わった経験も持ち、現在もAIプロジェクト開発の前線で、技術とビジネスの両面から実践的なコンサルティングを行っている。

便利そうだったので、部門内で少しだけ使っていました

これは、生成AIの社内利用を整理しようとしたとき、情報システム部門やDX推進担当者が耳にしやすい言葉です。以前は、業務で使うツールといえば、会社が契約し、管理者がアカウントを発行し、利用範囲を決めるものが中心でした。しかし現在は、議事録作成、文章生成、翻訳、画像生成、検索支援、コード補助など、用途別のAIツールが次々に登場し、現場が自分で試せる環境が広がっています。

情シスやセキュリティ担当者は、入力データの扱い、外部学習の有無、ログ管理、契約条件を確認したい。一方で、営業、マーケティング、人事、企画などの現場部門は「使えるものまで止められると、業務改善が進まない」と感じています。たとえば、直近1か月に100名へ社内アンケートを行い、28名が会社未承認のAIツールを試していたと分かった場合、問題は単に「勝手に使ったこと」ではありません。何を使ってよいか、何を入れてはいけないか、誰に相談すればよいかが共有されていないことにあります。

この記事では、社内で利用を許可するAIツール、条件付きで認めるAIツール、禁止すべきAIツールをどう分けるかを整理します。目指すのは、現場が安心して相談でき、管理部門もリスクを説明できる許可リスト運用です。ただし、リストを作るだけでシャドーAIが消えるわけではありません。教育、例外申請、定期的な棚卸しと組み合わせながら、自社に合う運用へ育てていくことが重要です。

なぜ社内AIツールの「許可リスト」が必要なのか

なぜ社内AIツールの「許可リスト」が必要なのか

生成AIの導入を考えるとき、多くの企業はまず「何を禁止すべきか」から考えます。もちろん、機密情報や個人情報の入力を防ぐために、禁止事項を明確にすることは欠かせません。

ただし、禁止リストだけでは現場の行動は変わりにくいのが実情です。

現場から見ると、AIツールはすでに日常業務の近くにあります。ブラウザで検索すれば無料で使えるサービスがあり、個人アカウントで試せるものもあります。会議の文字起こし、メール文面の作成、提案資料のたたき台、調査の論点整理など、「少し使ってみたい」と思う場面は少なくありません。

このとき、会社として「どのAIツールなら使ってよいのか」が示されていないと、現場は次のように判断しがちです。

  • 社内ルールが分からないので、とりあえず個人判断で使う
  • 会社に聞くと止められそうなので、まずは部門内だけで試す
  • 機密情報は入れていないつもりだから問題ないと考える
  • 無料ツールと法人契約ツールの違いを意識しないまま使う

こうして、管理部門から見えないAI利用、いわゆるシャドーAIが生まれます。シャドーAIとは、会社が把握・承認していない状態で、社員や部門が独自にAIツールを業務利用することです。

シャドーAI対策で重要なのは、現場を疑うことではありません。現場が安全に使える選択肢を示し、迷ったときに相談できる状態を作ることです。その中心になるのが、社内AIツールの許可リストです。

なお、日本では総務省・経済産業省が「AI事業者ガイドライン」を公表・更新しており、AIの利活用においてはイノベーション促進とリスク低減の両立が重視されています。2026年4月時点では第1.2版が公開されています。社内ルールを作る際も、こうした公的ガイドラインを参照しながら、自社の業務や情報管理に合わせて具体化することが望まれます。

シャドーAIは「悪意」ではなく「判断基準の不在」から生まれる

シャドーAIは「悪意」ではなく「判断基準の不在」から生まれる

シャドーAIという言葉には、ルール違反の印象があります。しかし、実際の現場では、悪意から始まるケースばかりではありません。

多くの場合、出発点は業務改善です。

営業担当者は、商談後のメモ整理を短時間で終わらせたい。人事担当者は、研修資料の要約を早く作りたい。マーケティング担当者は、記事や広告文のたたき台を複数案出したい。開発担当者は、エラー文の意味を素早く確認したい。

こうしたニーズ自体は自然なものです。問題は、その過程で次のような判断が個人に委ねられてしまうことです。

  • 顧客名を入力してよいのか
  • 社内資料を貼り付けてよいのか
  • 無料版AIツールと法人契約AIツールをどう使い分けるのか
  • 出力結果をそのまま社外に出してよいのか
  • どのツールが会社として承認済みなのか
  • 判断に迷ったとき、どの部門に相談すればよいのか

判断基準がないままでは、慎重な人ほどAI活用を避け、積極的な人ほど個人判断で使います。その結果、部署ごと、人ごとにAI利用のばらつきが生まれます。

海外の主要報道でも、企業側のAI利用ルールが曖昧なままだと、社員が個人アカウントで生成AIを使ったり、意図せず社内ルールに抵触したりする状況が起きていると報じられています。

シャドーAIを防ぐには、「使うな」と伝えるだけでは不十分です。次の3つをセットで示す必要があります。

  1. 使ってよいAIツール
  2. 条件を守れば使ってよいAIツール
  3. 使ってはいけないAIツール

この3分類があることで、現場は「どこまでなら大丈夫か」を理解しやすくなります。

AIツールを分類する前に、まず利用実態を把握する

AIツールを分類する前に、まず利用実態を把握する

許可リストを作る前に、最初に行うべきことは利用実態の棚卸しです。

いきなり理想的なルールを作ろうとしても、現場で実際にどのようなAIツールが使われているか分からなければ、実務に合わないルールになります。

まずは、次の観点で利用状況を確認します。

誰が使っているか

部署、役職、業務内容ごとに、AIツールの利用傾向は異なります。

営業部門ではメール作成や商談メモ整理、マーケティング部門では記事案や広告文、管理部門では規程確認や問い合わせ対応、開発部門ではコード補助やエラー調査など、使われ方が変わります。

「全社でAIを使っているか」ではなく、「どの部門が、どの業務で、どの程度使っているか」を見ることが重要です。

何の業務で使っているか

AIツールそのものよりも、まず利用目的を確認します。

同じAIチャットでも、公開情報の要約に使う場合と、顧客との商談メモを貼り付ける場合では、リスクが異なります。翻訳AIも、公開予定のプレスリリース草案を翻訳する場合と、契約交渉中の未公開資料を翻訳する場合では、扱いが変わります。

AIツール名だけを集めるのではなく、業務用途と入力データをセットで把握しましょう。

どのような情報を入力しているか

シャドーAI対策で最も重要なのは、入力データの確認です。

たとえば、次の情報が入力されている場合は注意が必要です。

  • 顧客名、担当者名、連絡先
  • 商談履歴、提案内容、契約条件
  • 社内会議の議事録
  • 未公開の売上、予算、人事情報
  • 社員の個人情報
  • 顧客から預かった資料
  • ソースコード、設計情報

AIツールのリスクは、ツール名だけでは判断できません。何を入力するかによって、許可・条件付き許可・禁止の判断が変わります。

許可・条件付き許可・禁止を分ける判断軸

許可・条件付き許可・禁止を分ける判断軸

AIツールを社内で分類する際は、単に「有名なサービスだから安全」「無料だから危険」といった判断では不十分です。

少なくとも、次の6つの軸で確認すると、判断が整理しやすくなります。

入力される情報の機密度

最初に見るべきなのは、入力される情報の機密度です。

公開情報だけを扱うのであれば、比較的リスクは低くなります。一方、顧客情報、個人情報、契約情報、未公開の経営情報を扱う場合は、慎重な判断が必要です。

入力情報の区分とAIツール利用の考え方
情報区分 AIツール利用の考え方
公開情報 公式サイト、プレスリリース、公開IR資料 比較的利用しやすい
社内一般情報 業務マニュアル、社内FAQ、一般的な議事メモ 社内承認済み環境で扱う
顧客・取引情報 商談履歴、提案書、契約条件 契約条件を確認し、原則として管理された環境で扱う
個人情報 氏名、連絡先、社員番号、評価情報 原則入力しない。必要な場合はマスキングする
機微情報 健康情報、マイナンバー、口座情報など 入力禁止
未公開経営情報 未発表決算、M&A、人事異動 入力禁止

社内ルールでは、抽象的に「機密情報は入れない」と書くだけでなく、具体例を挙げることが重要です。

AI事業者のデータ利用・学習利用の扱い

次に確認すべきは、入力データがAI事業者側でどのように扱われるかです。

特に確認したい項目は次の通りです。

  • 入力データがモデル学習に使われるか
  • 学習に使われない設定があるか
  • 法人契約でデータ利用条件を制御できるか
  • データの保存期間は明示されているか
  • データの保存場所や準拠法が確認できるか
  • 第三者提供や再委託の条件が明記されているか

無料版や個人向けプランでは、法人利用に必要な管理機能や契約条件が不足している場合があります。

「同じサービス名」でも、無料版、個人向け有料版、法人向けプランでは、データの扱いや管理機能が異なることがあります。社内リストでは、ツール名だけでなく、利用可能なプランまで明記しましょう。

管理者設定・ログ・監査の有無

企業利用では、管理者が利用状況を把握できることが重要です。

確認すべき項目は次の通りです。

  • 管理者がユーザーを追加・削除できるか
  • 退職者や異動者の権限を変更できるか
  • 利用ログを確認できるか
  • 誰がどの機能を使ったか追跡できるか
  • SSOや二要素認証に対応しているか
  • チームや部署ごとに権限を分けられるか

便利なAIツールでも、管理者が利用者を把握できず、退職者のアクセスも残り続けるようであれば、全社利用には向きません。

逆に、管理者機能が整っており、権限管理やログ確認ができるツールは、許可候補として検討しやすくなります。

業務上の必要性と代替手段

リスクだけでなく、業務上の必要性も判断軸になります。

どれだけ安全そうに見えるツールでも、業務上の必要性が低い場合、全社で許可する必要はありません。一方、一定のリスクがあっても、業務上の必要性が高く、適切な条件を付ければ利用価値があるツールもあります。

確認すべき問いは次の通りです。

  • どの業務を効率化するためのツールか
  • 対象者は全社か、一部部門か
  • 既存の承認済みツールで代替できるか
  • 使わない場合、どのような業務負荷が残るか
  • 試験導入する価値があるか

AIツール選定では、「安全か危険か」だけでなく、「なぜ使う必要があるのか」もセットで判断しましょう。

契約・法務・顧客とのNDA条件

顧客情報や取引情報を扱う場合、社内判断だけでは不十分です。

顧客との契約やNDAで、データの外部送信、再委託、クラウドサービス利用、生成AI利用が制限されていることがあります。

確認すべき項目は次の通りです。

  • 顧客データを外部サービスに入力してよい契約か
  • 再委託先やクラウド利用の条件はどうなっているか
  • 生成AI利用に関する明示的な制限があるか
  • 契約書や提案書の内容をAIツールに入力してよいか
  • 顧客ごとに扱いを変える必要があるか

特にBtoB企業では、顧客ごとに契約条件が異なる場合があります。全社一律の判断だけではなく、顧客案件ごとの確認フローも必要です。

出力結果の影響範囲

AIツールのリスクは、入力だけでなく出力にもあります。

AIが作成した文章、要約、分析、コード、画像をそのまま社外に出す場合、誤情報、著作権、ブランド毀損、契約上の問題が生じる可能性があります。

確認すべき問いは次の通りです。

  • 出力結果を社内利用にとどめるのか
  • 顧客や外部パートナーに共有するのか
  • 契約、法務、採用、評価など重要判断に使うのか
  • 人によるレビューを必須にしているか
  • 出力の根拠確認ができるか

社外提出物、契約関連、採用・評価、法務・財務に関わる出力は、必ず人が確認する前提にしましょう。

「許可」にできるAIツールの条件

「許可」にできるAIツールの条件

社内で許可するAIツールとは、単に「便利なツール」ではありません。業務上の必要性があり、会社としてリスクを説明でき、管理できるツールです。

許可の目安は次の通りです。

  • 法人契約または管理者機能がある
  • 入力データの学習利用について確認できている
  • 利用者、権限、ログを管理できる
  • 社内の情報分類ルールに沿って使える
  • 業務上の利用目的が明確である
  • 利用ルールを社内に説明できる
  • 退職者や異動者のアカウント管理ができる

たとえば、会社が正式に契約し、管理者がユーザーを管理でき、入力データの扱いが契約上明確になっているAIチャットやAI要約ツールは、許可候補になりやすいでしょう。

ただし、許可されたツールであっても、何を入力してもよいわけではありません。許可リストには、必ず利用条件を併記します。

許可リストに記載するAIツールの例
ツール名 利用可否 主な用途 入力してよい情報 入力禁止情報 備考
社内承認済みAIチャット 許可 文書作成、要約、論点整理 公開情報、社内一般情報 個人情報、未公開財務情報、顧客機密 社外提出前は人が確認
社内承認済み議事録AI 許可 会議メモ作成 社内会議内容 顧客機密、機微情報 録音前に参加者へ通知
社内承認済み翻訳AI 許可 資料・メールの翻訳 公開情報、社内一般情報 契約交渉中の未公開資料、顧客機密 必要に応じて法務確認

「許可」と書くだけではなく、「どの範囲で許可か」まで書くことが、現場の誤解を防ぎます。

「条件付き許可」にすべきAIツールの考え方

「条件付き許可」にすべきAIツールの考え方

すべてのAIツールを、すぐに許可または禁止に分けられるわけではありません。

一部のツールは、用途や入力情報を制限すれば利用できる場合があります。このようなツールは「条件付き許可」として扱います。

条件付き許可の例は次の通りです。

  • 公開情報の要約に限って利用可
  • 個人情報・顧客情報を入力しない場合のみ利用可
  • 特定部門で3か月間の試験利用に限る
  • 社外提出物には使わず、社内の下書き用途に限る
  • 出力結果を必ず担当者がレビューする
  • 顧客名や金額をマスキングした場合のみ利用可

条件付き許可は、現場の業務改善を止めずに、リスクを管理するための中間地点です。

ただし、条件付き許可を増やしすぎると、リストが複雑になり、現場が判断できなくなります。期間を決めて試し、一定期間後に正式許可、継続条件付き許可、禁止のいずれかへ見直しましょう。

「禁止」にすべきAIツールの判断基準

「禁止」にすべきAIツールの判断基準

禁止すべきAIツールは、明確に社内へ伝える必要があります。

特に次のような場合は、禁止対象として検討します。

  • 入力データが外部学習に使われる可能性が高い
  • データ利用条件が確認できない
  • 管理者が利用者やログを把握できない
  • 個人アカウントでしか利用できない
  • 業務データの入力が前提になっている
  • 顧客との契約やNDAに抵触する可能性がある
  • 同等機能を持つ社内承認済みツールがある
  • 出力結果の著作権や利用条件が不明確である

禁止リストを作るときは、単に「禁止」とだけ書かないことが大切です。理由が分からなければ、現場は納得しにくくなります。

禁止対象として検討するAIツールの例
ツール種別 利用可否 禁止理由 代替手段
個人アカウントで利用する無料AIチャット 禁止 入力データの扱い、ログ管理、退職者管理ができないため 社内承認済みAIチャット
無料の議事録作成AI 禁止 会議内容に顧客情報・社内機密が含まれる可能性があるため 承認済み議事録ツール
出所不明のAI画像生成サービス 禁止 利用規約、生成物の権利関係、入力データの扱いが確認できないため 承認済み画像生成ツールまたは制作依頼

禁止の目的は、現場を萎縮させることではありません。使ってよい選択肢へ誘導することです。

許可リストに入れるべき項目

許可リストに入れるべき項目

許可リストは、できるだけ現場が見て分かる形式にします。

最低限、次の項目を入れると運用しやすくなります。

社内AIツール許可リストに入れるべき項目
項目 内容
ツール名 正式名称。プラン名も分かれば記載
利用可否 許可、条件付き許可、禁止
主な用途 文章作成、要約、翻訳、議事録、画像生成など
対象部門 全社、営業部門、人事部門など
入力してよい情報 公開情報、社内一般情報など
入力してはいけない情報 個人情報、顧客機密、未公開財務情報など
利用条件 レビュー必須、マスキング必須、部門限定など
管理責任者 情シス、セキュリティ、DX推進室など
申請方法 新規利用や例外利用の申請先
最終更新日 リストの鮮度を示す日付

特に重要なのは、最終更新日です。AIツールは変化が早いため、長期間更新されていないリストは、現場から見て信頼されにくくなります。

たとえば、四半期に1回、少なくとも半年に1回など、自社のリスク許容度とツール利用頻度に合わせて棚卸しの機会を設けましょう。

現場に伝わるガイドラインにするための工夫

現場に伝わるガイドラインにするための工夫

許可リストを作っても、現場が読まなければ意味がありません。

社内ガイドラインでは、専門的な表現だけでなく、日常業務で判断できる言葉に落とし込むことが大切です。

入れてよい情報の例

  • 公式サイトや公開資料に載っている情報
  • 一般公開されているニュース記事
  • 個人や顧客を特定できない業務メモ
  • 社内で共有可能な一般的な手順書
  • マスキング済みのサンプルデータ

入れてはいけない情報の例

  • 顧客名や担当者名が入った商談メモ
  • 契約金額や見積条件
  • 社員の評価情報
  • 未発表の売上、予算、人事情報
  • 健康情報、口座情報、マイナンバー
  • 顧客から預かった非公開資料

判断に迷ったときの確認フロー

判断に迷ったときのフローも有効です。

  1. その情報は社外に出ても問題ないか
  2. 個人や顧客を特定できる情報を含むか
  3. 契約やNDAで外部サービス利用が制限されていないか
  4. 会社の許可リストにあるツールか
  5. 迷った場合の相談先はどこか

この5点を確認できるだけでも、現場の判断は安定しやすくなります。

例外申請の導線を用意する

例外申請の導線を用意する

AIツールの利用ルールでは、例外申請の導線を用意しておくことが重要です。

新しいAIツールは次々に登場し、現場のニーズも変わります。最初に作った許可リストだけで、すべての業務をカバーすることはできません。

例外申請では、次の情報を記入してもらうと判断しやすくなります。

  • 使いたいAIツール名
  • 利用したい部署・人数
  • 利用目的
  • 入力予定のデータ
  • 出力結果の利用先
  • 既存ツールで代替できない理由
  • 利用希望期間
  • 想定される業務効果
  • 懸念しているリスク

申請を受けたら、情シス、セキュリティ、法務、DX推進部門など、必要な関係者で確認します。

重要なのは、例外申請を「面倒な承認手続き」にしないことです。現場にとって、相談しやすく、回答が返ってくる仕組みにする必要があります。

リスト作成後に必要な運用

リスト作成後に必要な運用

社内AIツールの許可リストは、作って終わりではありません。むしろ、作成後の運用が重要です。

最低限、次の運用を決めておきましょう。

定期的な棚卸し

AIツールの仕様、料金プラン、利用規約、管理機能は変わることがあります。

定期的に次の点を確認します。

  • 新しく使われ始めたAIツールはないか
  • 条件付き許可のまま放置されているツールはないか
  • 禁止した理由が現在も妥当か
  • 許可済みツールの契約条件に変更はないか
  • 利用されていないツールを整理できないか

現場向けの教育

ルールを社内ポータルに掲載するだけでは、浸透しません。

初回説明会、部門別勉強会、eラーニング、チェックリスト配布などを通じて、繰り返し伝える必要があります。

伝えるべき内容は、難しい法務用語ではなく、次のような実務に近いものです。

  • 顧客名を入れてよいか
  • 会議録音をAIに入れてよいか
  • 無料AIツールを使ってよいか
  • AIが作った文章をそのまま送ってよいか
  • 判断に迷ったら誰に聞くか

インシデント時の報告ルート

万が一、禁止情報をAIツールに入力してしまった場合の報告ルートも決めておきます。

このとき、「入力した人を責める」運用にすると、報告が遅れます。重要なのは、早く止め、正確に状況を把握し、再発防止につなげることです。

報告時には、次の情報を確認します。

  • いつ入力したか
  • どのツールに入力したか
  • 何を入力したか
  • 誰が利用したか
  • 出力結果をどこかへ共有したか
  • 削除や停止ができるか

インシデント対応は、ルール違反の追及だけではなく、組織として学習する機会として扱うことが大切です。

Kanataを利用する場合に整理できること

Kanataを利用する場合に整理できること

社内AI活用を進める際には、個別のAIツールを社員がばらばらに使うのではなく、業務で使うAI機能を一定の環境に集約する考え方もあります。

Kanataは、AIチャット、AI要約、eラーニングなど、業務に必要なAI機能をひとつの場所に集約した業務支援プラットフォームです。また、プロジェクトを業務単位のグループとして扱い、メンバーや権限をプロジェクトごとに管理できます。

この特徴は、社内で承認済みのAI利用環境を用意したい場合に役立ちます。たとえば、部署ごとにプロジェクトを分け、利用者を限定し、よく使うプロンプトや参照資料を管理することで、個人任せのAI利用を減らしやすくなります。Kanataのプロジェクトライブラリでは、よく使う指示文を管理するプロンプトライブラリや、AIに参照させたい社内資料を管理する学習データライブラリを利用できます。

ただし、Kanataを導入すれば、それだけでAI統制が完了するわけではありません。利用ルール、情報分類、教育、レビュー体制は別途必要です。Kanataのベストプラクティスガイドでも、入れてよいデータと入れてはいけないデータを最初にそろえること、AIの出力を必ず人がレビューすることが基本原則として示されています。

つまり、ツールとルールはセットで考える必要があります。

社内AIツール選定の実務ステップ

社内AIツール選定の実務ステップ

ここまでの内容を、実務の流れに落とし込むと次のようになります。

利用実態を棚卸しする

まず、各部門で使われているAIツールを把握します。

アンケート、ヒアリング、SaaS利用状況、端末ログなどを組み合わせ、どの部門がどのAIツールを何に使っているかを整理します。

この段階では、現場を責める空気を作らないことが重要です。「禁止対象を探す調査」ではなく、「安全に使える環境を作るための調査」として伝えましょう。

入力データの種類を分類する

次に、AIツールへ入力されている情報を分類します。

公開情報、社内一般情報、顧客情報、個人情報、機密情報、未公開経営情報など、情報区分ごとに扱いを整理します。

この分類が曖昧なままだと、ツールごとの判断も曖昧になります。

AIツールを3分類する

確認した情報をもとに、AIツールを次の3つに分けます。

  • 許可
  • 条件付き許可
  • 禁止

このとき、ツール単位だけでなく、用途単位で判断することが大切です。

同じAIツールでも、公開情報の要約には使えるが、顧客情報の入力は禁止、という場合があります。

許可リストとして公開する

分類結果を、現場が見やすい形で公開します。

社内ポータル、社内Wiki、スプレッドシートなど、社員が日常的に確認できる場所に置きます。

公開時には、単に表を置くだけでなく、次の説明も添えましょう。

  • なぜこのリストを作ったのか
  • どのように判断したのか
  • 迷ったときは誰に相談するのか
  • 新しいツールを使いたい場合はどう申請するのか

教育と見直しを行う

最後に、教育と定期見直しです。

許可リストは、公開した瞬間が完成ではありません。実際に使われる中で、現場から質問が出ます。新しいAIツールも登場します。業務上、条件付きで認めるべきツールも出てくるでしょう。

その変化を受け止めながら、許可リストを更新していくことが、シャドーAI対策の継続運用につながります。

まとめ

まとめ

社内AIツールの選定は、禁止リストを作る作業ではありません。本来の目的は、現場が安全にAIを使える環境を整えることです。

そのためには、まず利用実態を把握し、入力データの機密度、データ利用条件、管理機能、業務上の必要性、契約条件、出力の影響範囲を確認する必要があります。そのうえで、AIツールを「許可」「条件付き許可」「禁止」に分け、現場が迷わず判断できる形でリスト化します。

シャドーAIは、単に現場がルールを守らないから起きるのではありません。多くの場合、使ってよいもの、使ってはいけないもの、相談すべき場面が明確になっていないことから生まれます。

だからこそ、AIツールの許可リストは、情シスやセキュリティ部門だけの管理資料ではなく、経営、DX推進、現場部門をつなぐ共通言語として設計する必要があります。

リストを作り、教育し、例外申請を受け付け、定期的に見直す。この地道な運用こそが、AI活用とリスク管理を両立させる第一歩です。

Q&A

社内AIツールの許可リストは、最初から全ツールを網羅すべきですか?

最初から網羅する必要はありません。まずは、実際に現場で使われているツール、利用希望が多いツール、リスクが高いツールから整理するのが現実的です。初版を作ったうえで、四半期ごとなど定期的に更新する運用にした方が継続しやすくなります。

無料のAIツールはすべて禁止すべきですか?

一律に禁止と決めるよりも、入力データ、利用目的、利用規約、管理機能の有無を確認して判断する方が実務的です。ただし、個人アカウントでしか利用できず、入力データの扱いやログ管理が確認できないツールは、業務利用には慎重になるべきです。

「条件付き許可」はどのような場合に使うべきですか?

業務上の有用性はあるものの、入力情報や利用範囲に制限が必要な場合に使います。たとえば、公開情報の要約に限る、顧客名をマスキングする、特定部門で3か月だけ試す、社外提出前に人がレビューする、といった条件を付けます。

シャドーAIを見つけた場合、すぐに禁止すべきですか?

すぐに禁止する前に、何の業務で、どの情報を入力し、どのような成果物を作っていたのかを確認することが重要です。業務上の必要性が高い場合は、承認済みツールへの移行や条件付き許可の検討が有効です。目的は摘発ではなく、安全な利用環境への移行です。

許可リストを作った後、最も重要な運用は何ですか?

定期的な見直しと、現場が相談しやすい導線づくりです。AIツールは変化が早いため、作成時点では妥当だった判断が後から変わることがあります。また、現場が新しいツールを使いたいときに相談できなければ、再びシャドーAIが生まれやすくなります。

社内AIツールの許可リストとは?シャドーAIを防ぐ選定基準と作り方を解説
Share this article