【「いつの間にか」AIのリスク実態調査】外部パートナーのAI利用、約9割の企業が把握できず

AIガバナンスの社会実装を推進する一般社団法人AIガバナンス協会（本部：東京都中央区、代表理事：大柴行人、生田目雅史、羽深宏樹、以下AIGA）は、AI技術の急速な普及と進化に伴い、企業や組織の管理部門が関知しない形で導入・利用される、いわゆるシャドーAIが深刻化している状況を踏まえ、AIGA会員企業を対象に、組織内に「いつの間にか」流入するAIの管理・捕捉に関するリスク実態調査を実施しました。

本調査は、AIの導入有無や活用効果を問うものではなく、シャドーAIなど、企業が把握できていないAIが、どのような経路で組織内に流入しているのか、リスクの実態と管理・捕捉の手法に焦点を当てた調査です。本調査を通じて浮き彫りになったのは、企業の堅牢なガバナンスの網の目をすり抜けて、いつの間にか流入してくるAIの存在が、企業のAI活用や事業推進における深刻な課題となっている実態です。

なお、本調査の回答企業は、AI利活用やリスク管理に対して比較的高い関心を持ち、ガバナンス体制の整備や運用に既に取り組んでいる企業が中心です。そのような企業群においてもなお、意図しない経路から流入するAIの把握が困難であるという結果は、今後より多くの企業が直面する可能性のある課題を先取りして示しているものといえます。

本調査は、国内外においても前例の少ない、企業起点でシャドーAI等の流入経路と管理の実態に特化した調査であり、AIガバナンスの現場が直面している具体的な課題を可視化することを目的としています。

調査結果サマリー

調査結果の詳細　

・独自開発・内製AIおよび外部から調達したAIでは、約半数（49％・53％）の企業が「全て把握できている」と回答

独自開発・内製AIについては49％、外部から調達したAIについては53％の企業が「全て把握できている」と回答しました。これらのAIは、開発プロジェクトとしての位置付けや、予算管理、契約行為を伴う導入プロセスを経ているケースが多く、管理部門の関与が前提となっていることから、比較的把握が行き届きやすい領域であることがうかがえます。

一方で、約半数の企業では一部把握できていない、またはほとんど把握できていないと回答しており、意図して導入したAIであっても、全社的な網羅性という観点では課題が残っている実態も示されています。

・既存システムへのAI機能追加では64％、外部パートナーにおけるAI利用では87％の企業が把握に課題があると回答

既存システムへのAI機能追加については64％、外部パートナーにおけるAI利用については87％の企業が「把握に課題がある」と回答しました。これらは、サイレントアップデートなどで企業側で明示的なAI導入判断を経由しない点や、管理責任が自社の外にまたがる導入経路である点が要因として挙げられます。特に外部パートナーにおけるAI利用については、契約上AI利用に関する明確な取り決めが存在しない、成果物ベースで評価しているため業務プロセスが見えない、といった理由から、最も把握が困難な領域となっています。

この結果は、ガバナンスの網の目をすり抜けて「いつの間にか」AIが流入する主要な経路が、既存システムとサプライチェーンに存在していることを示しています。

・従業員の個人利用AIについては、60％の企業が把握に課題があると回答

従業員の個人利用AIについては、60％の企業が把握に課題（把握漏れ・未着手）があると回答しました。個人のメールアドレスによるアカウント利用や、私用端末での利用など、技術的に検知や制御が難しいケースが多く、社内ルールを整備していても実効的な統制が及びにくい領域であることがうかがえます。

この結果は、悪意の有無にかかわらず、従業員の裁量による利用がシャドーAIを生みやすい構造になっていることを示しており、企業にとって最も日常的かつ発見しにくいリスク源の一つであるといえます。

・AI利用に関する社内ルール整備は72.3％、AIガバナンス組織の設置は55.3％の企業が実施

AI利用に関する社内ルールやガイドラインを整備している企業は72.3％、AIガバナンス組織を設置している企業は55.3％に上りました。制度面や組織面での対応は一定程度進んでいることが確認されます。

一方で、これらの取り組みが、既存システムのアップデートや外部パートナー、個人利用といった意図的ではないAI流入の把握にまで十分に機能しているとは言い難く、制度整備と実態把握の間にギャップが存在していることが示唆されます。

・AIツール・サービスの急増と多様化を課題とした企業は83％、従業員のAIリテラシー不足を課題とした企業は66％に上った

AIツール・サービスの急増と多様化を課題として挙げた企業は83％、従業員のAIリテラシー不足を課題とした企業は66％に上りました。この結果は、AIの技術進化スピードと利用形態の変化が、従来の人手やルールに依存したガバナンスの限界を超えつつあることを示しています。

AIが日常業務に溶け込む中で、管理部門だけで全体を把握し続けることは難しくなっており、今後はリスクの高い領域を見極めた対応や、従業員のリテラシー向上を含めた多層的な取り組みが求められる段階に入っていると考えられます。

一般社団法人AIガバナンス協会 弁護士兼リサーチフェロー 宮原瑞穂 コメント

本調査を通じて浮かび上がったのは、AIガバナンスに積極的に取り組む企業であっても、組織内外に入り込むすべてのAIを完全に把握・管理することは現実的に難しいという事実です。とりわけ、既存システムへの機能追加（サイレントアップデート）や外部パートナー、従業員の個人利用といった経路から流入するAIは可視化されにくく、ガバナンス上の盲点になりやすいことが示唆されました。

これはAIガバナンスが不十分であることを意味するものではありません。AIツールの多様化・急増を前に、企業が能動的な管理を実践しているからこそ「ガバナンスの網の目」が明らかになるという構造的な限界だと考えられます。今後は、すべてを網羅的に管理しようとする発想から一歩進み、どの領域にリスクが集中しやすいのかを見極めたうえで、限られたリソースを重点的に配分していくような、戦略的なAIガバナンスへの転換が、より重要になるのではないでしょうか。

調査概要

調査名：「いつの間にか」AIのリスク実態調査
調査期間：2025年8月12日〜9月10日
調査対象：AIGA会員企業

有効回答数：47社

調査方法：オンラインアンケート

設問数：全27問

全文はこちらからご確認ください。

調査結果以外にも個社の事例なども載っております。

「一般社団法人AIガバナンス協会」について

AIガバナンス協会（AIGA）は、AIのビジネス活用の急拡大とその裏でのリスク認識の広がり、国内外の政策動向の急速な変化等を背景として、企業と社会が安心してAIを活用し、持続可能な成長を遂げるために、多様なプレイヤーがAIガバナンスのあり方を議論できる場を創るべく2023年に設立されました。2024年10月より、活動をより拡大し、AIガバナンスの社会実装とポリシーメーカー等との連携を強化するため、一般社団法人に体制と活動を移行しました。

AIGAでは、グーグル合同会社、日本マイクロソフト、AWS Japanなどのグローバルテック、国内の金融・保険・通信・IT・HR・製造・インフラ等の業界大手、AIやデータに関する事業を手がけるスタートアップなど、多様な領域のリーディングカンパニーが産業横断で議論を行い、企業のあるべきAIガバナンスに関する共通理解の醸成や政策提言等の活動を実施します。

・任意団体設立日：2023年10月26日
（設立時のプレスリリース：https://prtimes.jp/main/html/rd/p/000000001.000131696.html）

・一般社団法人設立日：2024年10月1日

・サイトURL：https://www.ai-governance.jp/

・問い合わせフォーム ：https://www.ai-governance.jp/#contact-us