タイ企業を脅かす「シャドーAI」リスク ~無許可AI利用がもたらすセキュリティの抜け穴~

タイ企業を脅かす「シャドーAI」リスク ~無許可AI利用がもたらすセキュリティの抜け穴~ AI
AI
AI GovernanceEnterprise AIPDPASecurityShadow AI

生成AI技術の急速な普及により、タイ企業では従業員が業務効率化のために無許可のAIツールを利用する「シャドーAI」が重要な問題として浮上している。この現象は、企業の機密データを危険に晒し、PDPAなどの法規制違反リスクを高める新たなサイバーセキュリティ脅威となっている。

シャドーAI問題の発端

2025年9月14日付のバンコクビズニュースは、組織内で管理されずに使用される「シャドーAI」について注意喚起する記事を掲載した。Synology社のアプリケーションディレクターであるRex Huang氏による警告によると、従業員が承認されていない外部のAIツールを利用することで、企業がデータ漏洩やサイバー攻撃のリスクに直面している。

同記事では、著名な調査会社ガートナーの予測を引用している。ガートナーは、2027年までにAI関連のデータ漏洩が40%以上増加し、その主な原因がシャドーAIになると予測している。重要なデータが組織の管理外のシステムに送信されることで、タイのPDPAや欧州のGDPRなどのデータ保護法に違反するリスクも高まる。

問題の長期的経緯

シャドーAIの根源は、2010年代に問題となった「シャドーIT」に遡る。当時、従業員は公式なITツールの煩雑な承認プロセスを避け、個人で契約したファイル共有サービスやプロジェクト管理ツールを業務に利用していた。これと同様の構造が、AIを舞台に再現されている。

2022年後半のChatGPT公開に端を発する生成AIの爆発的普及が、シャドーAI問題を顕在化させた。調査によると、2023年3月から2024年3月までの1年間で、企業のデータが外部のAIツールに入力される量は485%も急増した。この驚異的な伸びは、従業員がAIツールを業務フローに組み込む速度の速さを示している。

従業員がシャドーAIを利用する動機は基本的には善意に基づいている。生産性向上、革新的な問題解決、厳しい納期への対応が主な理由だ。しかし、ここには「AIシェイム」という新たな心理的要因が加わっている。優秀な社員や若手のZ世代が、AIを業務で利用していることを同僚や上司に隠す傾向を指す現象だ。

現在のリスクの実態

IBMが発表した「データ侵害のコストに関するレポート」の2025年版は、シャドーAIの具体的な脅威を数値で示している。全世界で発生したデータ侵害インシデントの20%にシャドーAIが関与していることが明らかになった。さらに重要なのは、シャドーAIが関与したデータ侵害は、そうでない場合に比べて一件あたりの平均コストが67万米ドルも高くなることだ。

タイ国内の企業にとって、シャドーAIは特に個人情報保護法(PDPA)違反という重大な法的リスクを引き起こす。従業員が顧客の個人情報を含むデータをマーケティングコピーの生成やデータ分析のためにシャドーAIに入力した場合、PDPAが厳格に要求する事前同意を得ていない可能性が極めて高い。

多くのグローバルなAIサービスはサーバーを国外に置いているため、従業員がこれらのサービスに個人情報を入力する行為は、適切な保護措置が講じられていない国への違法なデータ移転に該当し得る。PDPA違反が発覚した場合、企業は最大500万バーツの行政罰金、被害者からの損害賠償請求、場合によっては最大1年の懲役または最大100万バーツの罰金といった刑事罰に直面する可能性がある。

タイにおける現状

タイ企業のAI導入は急速に進展している。タイ電子取引開発機構(ETDA)の調査によると、2024年にAIの利用を計画している組織の割合は前年の56.6%から73.3%へと増加した。この背景には、生産効率の向上、内部管理の改善、製品やサービスへの付加価値創出への期待がある。

しかし、個々の組織レベルでは大きな課題が残されている。2024年には40万件以上のサイバー犯罪が報告され、その被害総額は600億バーツを超えている。さらに、タイの企業を対象とした調査では、自社内で使用されている未承認のAIツールを特定する能力に「自信がない」と回答した組織が60%にのぼる。

公式なAI導入を阻む障壁として、タイ企業は「熟練した人材の不足」「高品質なデータの欠如」「導入に必要なインフラや予算の不足」を挙げている。これらの障壁により企業の公式AI導入プロセスは遅々として進まず、従業員は手軽に利用できる公開AIツールに頼らざるを得ない状況が生まれている。

今後の予想

BKK IT Newsの見解として、シャドーAIは単なる企業レベルのセキュリティ問題に留まらず、タイの経済、労働市場、法制度全体に長期的な影響を及ぼすと考えられる。短期的には従業員の生産性向上により経済成長に貢献する可能性があるが、長期的にはデータ侵害の頻発による経済的損失が懸念される。

労働市場では、新たな雇用とスキル需要が創出される。すでにタイの求人市場では「サイバーセキュリティ・ガバナンス」「ITガバナンス&コンプライアンス」「データガバナンス」といった専門職の需要が増加している。将来的には、AIの倫理的利用やデータプライバシーを指導できる人材が不可欠となるだろう。

企業への対応策

シャドーAIへの対応は、単に禁止や制限を行うことではない。AIがもたらす恩恵を最大化しつつ、リスクを許容可能なレベルに管理する枠組みの構築が必要だ。

まず、明確なAI利用許容ポリシーの策定が重要である。AIツールをリスクレベルに応じて分類し、承認済みツール、限定的利用ツール、禁止ツールに区分する。承認済み代替ツールの提供も効果的で、従業員が安全で高性能な公式ツールを利用できる環境を整備することで、危険なシャドーAIへの依存を減らすことができる。

ネットワークトラフィックやエンドポイントを監視し、組織内でどのようなAIアプリケーションが利用されているかを自動的に検出・可視化する技術の導入も必要だ。AIのリスクを管理するために、AI搭載型のセキュリティツールを活用し、異常な振る舞いの検知や機密データの自動分類、インシデント発生時の初動対応の自動化を図る。

人材と企業文化の醸成も欠かせない。シャドーAIの具体的なリスクやPDPA違反の結果について継続的な教育を行い、従業員がAIツール利用を検討する際にオープンに相談できる透明性のある文化を築く。IT、法務、コンプライアンス、人事、各事業部門の代表者からなる部門横断的な「AIガバナンス委員会」の設置により、全社的に一貫したAI戦略を推進することが重要である。

参考記事リンク