米企業でAIの不正利用が横行、経営層も例外ではない

AIセキュリティプロバイダーCalypsoAIによる最近の調査で、米国の組織内でAIツールの不正利用が広範囲にわたりエスカレートしている傾向が明らかになりました。これは、新入社員から最高経営幹部（C-suite）の最高層にまで及んでいます。同社の「インサイダーAI脅威レポート」に詳述された調査結果は、「隠れた現実」を描き出しており、あらゆるレベルの従業員がAIツールを「しばしば罪悪感、ためらい、または監視なしに」活用しています。

おそらく最も衝撃的なのは、上級リーダーシップに関する開示です。調査対象の役員の半数が、人間よりもAIマネージャーを好むと回答しましたが、34%もの役員がAIエージェントと実際の従業員を確実に見分けることができないと認めました。さらに、ビジネスリーダーの3分の1以上、38%がAIエージェントが何であるかさえ知らないと告白しました。驚くべきことに、C-suiteの役員の35%が、業務を完了するために企業の専有情報をAIツールに提出したことを認めました。

AIの利便性のために規則を曲げたり破ったりするこの意欲は、役員室に限定されません。6月に25歳から65歳までの米国フルタイムオフィスワーカー1,000人以上を対象に行われた調査では、全従業員の45%が人間の同僚よりもAIを信頼していることがわかりました。半数以上（52%）が、たとえ会社のポリシーに違反しても、仕事を簡素化するためにAIを使用すると述べました。役員の間では、この数字は67%にまで急増し、確立されたプロトコルに対する広範な無視を示しています。

この問題は、規制の厳しいセクターで特に深刻です。金融業界では、回答者の60%がAI規則に違反していることを認め、さらに3分の1がAIを使用して制限されたデータにアクセスしていました。セキュリティ業界では、従業員の42%がポリシーに反して意図的にAIを使用し、58%が同僚よりもAIに大きな信頼を寄せていると表明しました。医療分野でさえ、組織のAIポリシーを一貫して遵守している労働者はわずか55%であり、27%が人間よりもAIの監督者に報告することを好むと表明しました。

CalypsoAIのCEOであるドンナチャ・ケイシー氏は、これらの調査結果の緊急性を強調しました。「外部からの脅威はしばしば注目されますが、差し迫った、そしてより速く成長しているリスクは社内にあり、あらゆるレベルの従業員が監視なしにAIを使用しています」と彼は説明しました。彼は、C-suiteのリーダーたちが自らの規則をいかに迅速に回避しているかに驚きを覚えたと述べました。「上級リーダーが基準を設定すべきですが、多くの人々がリスクの高い行動を先導しています」とケイシー氏は述べ、役員がAIツールを導入する速度が、それらを保護する責任のあるチームが対応できる速度よりも速い場合があることを指摘しました。彼は、これがガバナンスの課題と同様にリーダーシップの課題でもあると結論付けました。

Info-Tech Research Groupのテクニカルカウンセラーであるジャスティン・セントモーリス氏は、この感情に同調し、この現象を「シャドーAI」が「新しいシャドーIT」になることに例えました。従業員が未承認のツールに頼るのは、AIが具体的な利益をもたらすからです。それは、日常業務を引き受けることによる「認知的オフロード」と、思考、執筆、分析を加速することによる「認知的拡張」です。セントモーリス氏はこれらの利益の強力な魅力を強調し、労働者の半数以上が禁止されてもAIを使用すると述べ、3分の1が機密文書にAIを使用し、調査対象のセキュリティチームのほぼ半数が専有資料を公開ツールに貼り付けたと認めました。彼は、これは必ずしも不忠ではなく、むしろガバナンスとイネーブルメントが現代の作業慣行に遅れをとっている症状であると示唆しました。

リスクは否定できません。監視されていないすべてのAIプロンプトは、知的財産、企業戦略、機密契約、または顧客データが公開領域に漏洩する可能性を秘めています。セントモーリス氏は、単にAIサービスをブロックするだけでは逆効果であり、ユーザーが代替アクセスを求めて地下に潜るようになると警告しました。代わりに、彼はより実用的なアプローチ、つまり構造化されたイネーブルメントを提唱しています。これには、承認されたAIゲートウェイの提供、ID管理との統合、プロンプトと出力のログ記録、機密フィールドの墨消し（redaction）の適用、そして明確で簡潔なルールの公開が含まれます。このような措置は、短時間のロールベースのトレーニングと、承認されたモデルおよびユースケースのカタログと組み合わせるべきであり、従業員にAIのメリットへの安全な経路を提供します。

ケイシー氏も同意し、効果的な解決策は人々とテクノロジーの両方を包含する必要があると強調しました。彼は、AIを完全にブロックするという初期反応はしばしば逆効果であり、従業員は生産性の利点を得るためにそのような規則を回避するのが一般的だと警告しました。彼が主張する優れた戦略は、AIへの組織的なアクセスを提供しつつ、その使用を同時に監視および制御し、行動がポリシーから逸脱した場合には介入することです。これには、明確で強制力のあるポリシーと、機密データを大規模に扱うAIエージェントの監視を含む、AI活動が発生する場所ならどこでもAI活動を保護するリアルタイムコントロールが必要です。展開ポイントと重要な作業を行う場所でAIを保護することにより、企業は可視性や制御を犠牲にすることなくその使用を可能にすることができます。