シャドーAIとは？

社員が情シス・経営層の許可なく、業務でChatGPT・Claude・Gemini等の生成AIサービスを利用している状態を指します。従来の『シャドーIT』の生成AI版で、無償プランを個人アカウントで利用しているケースが中小企業で最も多く見られます。

シャドーAIの主なリスクは？

①情報漏洩（社外秘情報を個人アカウントに入力し学習データとして利用される）、②著作権侵害（生成物の第三者著作権侵害リスク）、③業務品質低下（ハルシネーションによる誤情報の業務利用）、④コンプライアンス違反（個人情報保護法・業界規制違反）、⑤ログが残らず監査で説明できない、の5つが主要リスクです。

AI利用ガイドラインを作るときの必須項目は？

最低限以下6項目が必要です。①利用を許可するAIサービスの明記、②入力禁止情報の定義（機密情報・個人情報・顧客情報）、③生成物の利用ルール（確認義務・著作権チェック）、④業務カテゴリ別の利用可否、⑤インシデント発生時の報告フロー、⑥違反時の対応。本記事でそのままコピー可能なひな形を提供しています。

IT戦略 2026年4月22日

社員が勝手にChatGPTを使うリスクと、情シスが作るべきAI利用ガイドライン【2026年版・中小企業向けひな形付き】

#生成AI #シャドーIT #AIガバナンス #ChatGPT #Copilot #情報漏洩 #中小企業 #AI利用ガイドライン

TL;DR：シャドーAIは既に中小企業に蔓延。まず3つやる

シャドーAI——社員が情シスの許可なくChatGPTやClaudeを業務利用する状態——は、2026年時点で中小企業の8〜9割で発生しているとされています。情報漏洩・著作権・業務品質の観点で経営リスクになりつつあり、情シスが今すぐ着手すべきは以下の3つです。

利用実態の把握（どのAIサービスが、どの部門で、どの程度使われているか）
AI利用ガイドラインの策定と周知（本記事のひな形をベースに）
公式AI環境の整備（ChatGPT Enterprise or Copilot for Microsoft 365）

本記事では、コピペで使えるAI利用ガイドラインのひな形も提供します。

シャドーAIが中小企業で蔓延している実態

よくある光景

「営業資料のたたき台、ChatGPTに書かせてます」——2026年、中小企業の営業・企画・マーケティング部門では、**個人アカウントのChatGPT（無償版または個人Plus）**で業務資料を作成することが半ば当たり前になりました。

経理・人事でも、議事録要約、メール下書き、契約書チェックにAIを使うケースが増えています。しかし、ほとんどのケースで情シスや経営層は実態を把握していません。

無償プランの落とし穴

社員が個人アカウントで使っている無償プランには、次の落とし穴があります。

入力データが学習に使われる可能性（OpenAIのChatGPT無償プランは初期設定で学習に利用される）
企業が利用ログを管理できない（インシデント発生時に証跡が取れない）
データ保管場所が不明（海外サーバーでの処理が個人情報保護法上問題となる）
アカウント管理不可（退職時の無効化ができない）

有償プランでも、ChatGPT Plus（個人版）は企業データ保護の対象外です。同じ「ChatGPT」でもChatGPT Enterprise/Teamでなければ、企業利用には不適格です。

シャドーAIの5大リスク

リスク1：情報漏洩

最大のリスクは、機密情報を生成AIに入力してしまうことです。

顧客リスト、未公開の決算情報、M&A情報をプロンプトに入力
顧客から預かった契約書をPDFアップロード
ソースコードをデバッグ目的で貼り付け

無償プランでは、これらのデータがモデル学習に利用される可能性があります。過去には、サムスン社員がソースコードをChatGPTに入力し情報漏洩したインシデントが有名です。

リスク2：著作権侵害

生成AIの出力には、第三者の著作物を模倣した内容が含まれる可能性があります。

ブログ記事や営業資料で、他社コピーライトの文章を意図せず使用
画像生成AIで、既存イラストレーターの作風を模倣した画像を社外配布
コード生成で、ライセンス違反のオープンソースコードを混入

2024〜2025年に海外で生成AIの著作権訴訟が多発しており、利用企業側のリスクも顕在化しています。

リスク3：業務品質の低下（ハルシネーション）

生成AIは事実と異なる情報を自信満々に出力することがあります（ハルシネーション）。

存在しない判例を引用した法務文書
誤った製品スペックを記載した提案書
架空の統計数値を使った営業資料

社員がAI出力を無検証で使用すると、企業の信頼性を損ないます。

リスク4：コンプライアンス違反

個人情報保護法違反：顧客情報を海外AIサービスに入力（越境データ移転）
業界規制違反：金融・医療で固有の規制違反
秘密保持契約違反：取引先から預かったNDA対象情報の入力

特に医療・金融・弁護士・会計士の業界では、顧客情報の取り扱いで重大な違反につながります。

リスク5：監査で説明できない

万一、情報漏洩インシデントが発生したとき、「誰が、いつ、何を入力したか」の証跡が全く残らないのがシャドーAIの最大の問題です。

被害範囲の特定ができない
取引先・顧客への説明責任を果たせない
監督官庁への報告義務を果たせない
サイバー保険の免責事由になる可能性

情シスが取るべき3ステップ

ステップ1：利用実態の可視化

ネットワーク・プロキシログから、生成AIサービスへのアクセスを可視化します。

chat.openai.com、chatgpt.com
claude.ai
gemini.google.com
perplexity.ai
copilot.microsoft.com（個人Microsoft アカウントでの利用）

Microsoft Defender for Cloud Apps、Zscaler、Netskope等のSASE製品で利用実態をレポート化できます。簡易的には、ルーター・UTMのアクセスログから主要AIサービスへの通信量を集計する方法もあります。

可視化後、部門ヒアリングで**「何の業務に、どの程度」使っているか**を確認します。

ステップ2：AI利用ガイドラインの策定

本記事のひな形をベースに、自社の業種・規模に合わせてカスタマイズします（後述）。

重要なのは、「禁止」だけでなく「公式に使える環境」をセットで提示することです。ガイドラインで禁止しても、公式手段がなければ社員はシャドー利用を続けます。

ステップ3：公式AI環境の整備

中小企業で現実的な選択肢は3つです。

選択肢A：Microsoft 365 Copilot（月額4,500円/ユーザー）

M365 Business Premium/E3/E5契約企業に最適
Word、Excel、Teams等のアプリ内で利用
企業データが学習に使われない
Purview・DLPでガバナンス可能

詳細はMicrosoft Copilot全社展開記事を参照。

選択肢B：ChatGPT Enterprise / Team

ChatGPT Team：月額約30ドル/ユーザー（最低2名）
ChatGPT Enterprise：個別見積（通常50名以上、月額4,000〜8,000円/ユーザー）
企業データが学習されない、SAML SSO対応、監査ログ取得可

選択肢C：Claude for Work、Gemini for Google Workspace

Anthropic Claude for Work（Team/Enterprise）：月額約30ドル/ユーザー〜
Gemini for Google Workspace：月額約3,000円/ユーザー

Google Workspace契約企業はGemini for Workspaceが最もスムーズ、それ以外はChatGPT TeamかCopilotが有力です。

コピペで使えるAI利用ガイドラインひな形

以下は、中小企業向けのAI利用ガイドラインの基本構成です。自社の業種に合わせて調整してください。

【ひな形】生成AI利用ガイドライン

第1条（目的）

本ガイドラインは、○○株式会社（以下「当社」）の役員および従業員が、業務において生成AI（大規模言語モデル、画像生成AI等、以下「AI」）を利用する際の遵守事項を定め、情報漏洩・著作権侵害・業務品質低下のリスクを防止することを目的とする。

第2条（適用範囲）

本ガイドラインは、当社の正社員、契約社員、派遣社員、アルバイト、業務委託先を含む、当社業務に従事するすべての者に適用する。

第3条（利用を許可するAIサービス）

業務において利用を許可するAIサービスは、以下のとおりとする。

Microsoft 365 Copilot（当社公式ライセンスに限る）
ChatGPT Enterprise（当社公式アカウントに限る）
Claude for Work（当社公式アカウントに限る）
その他、情報システム部が事前承認したサービス

個人アカウント・無償プランでの業務利用は一切禁止する。

第4条（入力禁止情報）

AIサービスに対して、以下の情報を入力してはならない。

顧客情報（氏名、連絡先、契約情報等の個人情報）
取引先から秘密保持契約（NDA）に基づき預託された情報
未公開の財務情報、経営情報
人事情報（評価、給与、採用選考情報）
製品の未公開仕様、ソースコード、設計書
パスワード、APIキー、認証情報

疑わしい場合は必ず入力前に情報システム部に相談すること。

第5条（生成物の利用ルール）

AIが生成した出力物を業務で利用する際は、以下を遵守する。

事実確認の義務：事実、数値、固有名詞、法令、判例等は、必ず原典で確認する
著作権チェック：文章・画像・コードが第三者の著作物と類似していないか確認する
出典明示：社外公表物に使用する場合、AIによる生成であることを明記する（業種・用途による）
最終責任：生成物の最終責任は、業務担当者および承認者にある

第6条（業務カテゴリ別の利用可否）

業務カテゴリ	利用可否	注意事項
社内向け資料のたたき台	○	機密情報を入力しない
議事録要約	○	人事・M&A等の機密議題は不可
社外向け資料の原案	△	事実確認と著作権チェック必須
顧客対応メールの下書き	△	顧客情報の抽象化が必要
契約書・法務文書の作成	×	法務部門・弁護士の確認が必須
人事評価・採用選考	×	個人情報保護、差別的取扱の懸念
顧客情報のデータ分析	×	個人情報保護法違反の恐れ
ソースコード生成	△	ライセンス確認とセキュリティレビュー必須

第7条（インシデント発生時の報告）

以下のインシデントが発生した場合は、直ちに情報システム部に報告する。

入力禁止情報を誤って入力してしまった
AIの出力物に誤情報が含まれ社外公表してしまった
個人アカウントでAIを業務利用してしまった
AIサービスから異常な挙動・アラートが発生した

第8条（違反時の対応）

本ガイドラインに違反した場合、就業規則に基づき懲戒処分の対象とする。故意または重大な過失による情報漏洩の場合は、損害賠償を請求する場合がある。

第9条（改定）

本ガイドラインは、AI技術の発展・法令改正・社内運用状況に応じて、情報システム部が随時改定する。

ガイドライン運用で重要な3つのポイント

ポイント1：禁止より”公式手段の提示”が重要

「ChatGPTを使うな」だけでは、社員は隠れて使い続けます。**「公式のCopilotまたはChatGPT Teamを使ってください」**とセットで提示することで、シャドー利用を減らせます。

ポイント2：部門別ユースケース集を作る

ガイドラインだけでなく、「営業の場合はこう使う」「経理の場合はこう使う」というユースケース集を情シスが提供すると、社員の活用が進みます。プロンプト例の共有会を月1回実施するのも有効です。

ポイント3：定期的な棚卸しと改定

AI技術は6か月単位で大きく変化します。ガイドラインは四半期ごとに改定し、新しいサービス・規制への対応を続けることが必要です。

情シス365のAIガバナンス支援

情シス365では、中小企業のAI利用実態の可視化・ガイドライン策定・公式AI環境整備・社員教育までを一気通貫でご支援しています。

シャドーAI利用実態の可視化レポート
自社業種・規模に合わせたAI利用ガイドラインのカスタマイズ
Microsoft 365 Copilot / ChatGPT Enterprise の導入支援
Purview・DLPによるAI入力データの監査体制構築
部門別プロンプト集の作成と研修
AIインシデント対応フローの整備

AI365（AIエージェント実装・自動化）と連携し、「ガバナンスを守りながら業務効率を最大化する」公式AI基盤をご提案します。

まとめ：シャドーAI対策は”禁止”ではなく”公式化”

シャドーAIは、禁止するだけでは解決しません。社員が本当に業務でAIを必要としている以上、公式手段を用意してその中に誘導するのが現実的な解決策です。

シャドーAIは既に中小企業の8〜9割で発生
情報漏洩・著作権・品質・監査のリスク
AI利用ガイドライン＋公式AI環境整備がセット
四半期ごとの改定と部門別ユースケース集が運用の鍵

まずは本記事のひな形をベースに、自社版ガイドラインを1週間で作るところから始めましょう。その後、CopilotかChatGPT Teamの導入を並行で検討すれば、3か月以内に健全なAI活用体制が構築できます。

詳しくは Consult365サービスページまたはお問い合わせフォームからお問い合わせください。