シャドウAIによる災害を防ぐ10の方法

テクノロジー関連のものすべてに言えることだが、シャドーITも進化している。もはや、一部の従業員のニッチなニーズに対応するSaaSアプリや、営業が持ち歩き用の業務ファイルにアクセスするためにこっそり持ち込んだ個人のブラックベリーなどだけではない。今日のシャドウITは、従業員がIT部門に知られずに、あるいは許可を得ずにあらゆるAIツールを試すため、AIが関与している可能性が高くなっている。

データ保護ソフトウェアメーカー、サイバーヘイブンの調査によると、シャドーAIの量は驚くほど多い。同社の2024年春版AI導入とリスクに関する報告書によると、ChatGPTの業務利用の74%は企業以外のアカウント経由、Google Geminiの業務利用の94%は企業以外のアカウント経由、Bardの業務利用の96%は企業以外のアカウント経由となっている。その結果、従業員はIT部門が承認していないAIツールに、法的文書、人事データ、ソースコード、その他の機密性の高い企業情報を入力しているため、許可されていないAIが企業のデータを食い荒らしている。

ガートナー社の著名な副社長アナリスト、アルン・チャンドラセカラン氏は、シャドウAIは事実上避けられないと語る。従業員はAIツールに興味津々で、忙しい仕事を軽減し生産性を向上させる方法として捉えている。また、テクノロジーに取って代わられるのを防ぐ方法として、その使い方をマスターしたいと考える者もいる。さらに、個人的な作業でAIに慣れているため、仕事でもそのテクノロジーを使いたいと考える者もいる。

何が問題なのか？

これらの理由は理にかなっているように見えるが、シャドウAIが組織にもたらすリスクを正当化するものではないと、チャンドラセカラン氏は認める。「ほとんどの組織は、リスクが非常に大きいことから、シャドウAIを回避したがっている」と彼は言う。

例えば、機密データが流出する可能性が高いことや、独自のデータがAIモデルの学習（特にそれがオープンソースの場合）を助け、同じモデルを使用する競合他社を助ける可能性があることをチャンドラセカラン氏は指摘する。

同時に、多くの労働者はAIを効果的に活用するために必要なスキルが不足しており、リスクレベルをさらに高めている。AIモデルに適切なデータを入力して質の高いアウトプットを生成したり、最適なアウトプットを生成するためにモデルに適切なインプットを与えたり、アウトプットの正確性を検証したりするスキルが十分でない可能性がある。例えば、生成型AIを使ってコンピューターコードを作成することはできるが、コードの構文やロジックを理解していなければ、そのコードの問題点を効果的にチェックすることはできない。「これは非常に有害な結果をもたらす可能性がある」とチャンドラセカラン氏は言う。

一方、シャドウAIは労働力の混乱を引き起こす可能性がある、とチャンドラセカラン氏は言う。AIを密かに利用している労働者は、そのようなツールを導入していない従業員よりも不公平な優位性を持つ可能性があるからだ。「まだ支配的な傾向ではありませんが、組織リーダーとの議論の中で懸念事項として挙がっています」とチャンドラセカラン氏は言う。

シャドウAIは法的問題を引き起こす可能性もある。例えば、許可されていないAIが他人の知的財産に不正にアクセスし、組織が侵害の責任を負うことになるかもしれない。また、差別禁止法や社内規定に違反する偏った結果をもたらす可能性もある。あるいは、顧客やクライアントに誤った情報を提供してしまう可能性もある。これらのシナリオはすべて、組織に法的責任を生じさせ、その結果生じる違反や損害の責任を負わせる可能性がある。

実際、AIシステムが故障した場合、企業はすでにその責任を負わなければならない状況に陥っている。その一例として、2024年2月、カナダの法廷は、エア・カナダが自社のAIチャットボットが消費者に提供した誤った情報について責任を負うべきであると判決を下した。

このケースのチャットボットは、ITリーダーが言うように、公式のテクノロジーにリスクが十分に高いことを示すだけであり、シャドウITを放置してさらにリスクを増やす必要があるのか？

災害を未然に防ぐ10の方法

かつてのシャドウITがそうであったように、承認されていないAIテクノロジーの使用や、その使用がもたらす可能性のある結果を防ぐための、一度きりの解決策など存在しない。しかし、CIOは、承認されていないAIの使用を排除し、災害を予防し、万が一問題が発生した場合に被害を最小限に抑えるために、さまざまな戦略を採用することができる。ここでは、ITリーダーがCIOが行うべき10の方法を紹介する。

1.AIの利用に関するポリシーを策定する

ウェルズ・ファーゴのプライバシーコンプライアンス担当エグゼクティブディレクターであり、非営利のガバナンス協会ISACAのエマージングトレンドワーキンググループのメンバーでもあるデビッド・クオ氏は、まず他の経営陣と協力し、AIをいつ、どこで、どのように使用してよいかを定めた利用規約を作成し、IT部門が承認していないテクノロジーの使用を組織全体で禁止することを再確認することが、大きな第一歩であると語る。当たり前のことのように思えるが、ほとんどの組織ではまだ利用規約が定められていない。2024年3月にISACAが実施した、デジタル信頼の専門家3,270人を対象とした調査によると、AIポリシーを策定している組織はわずか15%にとどまった（回答者の70%が「自社の従業員がAIを使用している」と回答し、60%が「従業員が生成AIを使用している」と回答しているにもかかわらず）。

2.リスクと結果についての認識を高める

クオ氏はステップ1の限界を認識している。「利用規定を定めることはできるが、人々は規則を破るだろう」と。そこで、起こりうる事態について警告を発するのだ。「AIのリスクについて組織全体で認識を高める必要がある。また、CIOはリスクについてより積極的に説明し、組織全体に認識を広める必要がある」と、グローバルなプロフェッショナルサービスおよびソリューション企業であるジェンパクトのAI/MLサービス担当グローバルリーダー、スリーカント・メノン氏は言う。AI全般に関連するリスクと、承認されていない技術の使用に伴うリスクの高まりについて概説する。

クオ氏はさらに、「それは1回限りの研修では済まされないし、ただ『これをやってはいけない』と言うだけではいけない。従業員を教育する必要がある。シャドウAIによって起こりうる問題や、彼らの悪行がもたらす結果を伝えなければならない」と付け加える。

3.期待値を管理する

AIの導入が急速に増加しているにもかかわらず、インテリジェントテクノロジーの力を活用することに対する経営幹部の信頼は低下していると、リーダーシップアドバイザリーファームであるラッセル・レイノルズ・アソシエイツのグローバルAIプラクティスリーダー、ファワド・バジュワ氏は言う。バジュワ氏は、AIに対する期待と、AIが実際に提供できるものの間にミスマッチがあることが、信頼の低下の一因だと考えている。

彼は、CIOに対し、AIがどこで、いつ、どのように、どの程度の価値を提供できるのかについて教育を行うよう助言している。「組織全体で達成したい目標について認識を共有することで、自信の度合いを測ることができる」と彼は言う。そうすることで、従業員がすべての問題を解決する万能薬を見つけることを期待して、AIソリューションを独自に追い求めることを防ぐことができる。

4.レビューを行い、アクセス制御を強化する

デジタル変革ソリューション企業USTの最高戦略責任者兼CIOであるクリシュナ・プラサド氏は、AIに関する最大のリスクの一つはデータ漏洩であると語る。確かに、計画的なAI導入にはそのようなリスクは存在する。しかし、そのようなケースでは、CIOはビジネス、データ、セキュリティの同僚と協力し、リスクを軽減することができる。しかし、従業員が彼らの関与なしにAIを導入する場合、機密データが公開される可能性が高まるため、彼らは同じリスクレビューや軽減の機会を持たない。

このような事態を回避するために、プラサド氏は、技術、データ、セキュリティの各チームに対し、データアクセスポリシーと管理、およびデータ損失防止プログラムとデータ監視機能を全般的に見直し、承認されていないAI導入による情報漏えいを確実に防ぐための強固な体制を整えるよう助言している。

5.AIツールへのアクセスをブロックする

クオ氏は、もう一つの対策として、OpenAIのChatGPTなどのAIツールのブラックリストを作成し、ファイアウォールルールを使用して社員が会社のシステムを使用してアクセスするのを防ぐことを提案している。これらのツールが会社のシステムからアクセスされないようにファイアウォールルールを設定する。

6.同盟者を募る

クオ氏は、シャドウAIの防止に取り組むのはCIOだけであるべきではないと語る。組織をあらゆる悪影響から守ることに利害関係を持つ経営陣の同僚たちにも協力を求め、公式のIT調達およびAI利用ポリシーに反するAIツールの使用リスクについて、スタッフを教育する取り組みに参加してもらうべきだ。「よりよい保護には、みんなの協力が必要だ」とクオ氏は付け加える。

7.組織の優先事項と戦略を推進するIT AIロードマップを作成する

従業員は通常、自分の仕事をより効率的に行うのに役立つと考えるテクノロジーを導入するが、それは雇用主を傷つけようとして行うのではない。そのため、CIOは、従業員がそれぞれの職務で優先的に達成すべき目標を達成するのに最も役立つAI機能を提供することで、許可されていないAIに対する需要を減らすことができる。

バジュワ氏は、CIOはこれを、ビジネス上の優先事項に沿っただけでなく、実際に戦略を形作るAIロードマップを考案することで、組織を将来の成功へと導く好機と捉えるべきだと語る。「これは、ビジネスを再定義する瞬間だ」とバジュワ氏は言う。

8.「NOと言う部門」になってはいけない

経営アドバイザーは、AIの導入を先延ばしにしていては、組織の競争力を損ない、シャドウAIの可能性を高めるだけだと、CIO（および経営陣の同僚）に忠告している。しかし、ジェンパクトとHFSリサーチによると、多くの企業で、ある程度そのような事態が起こっているという。2024年5月のレポートによると、45%の組織が生成AIに対して「様子見」の姿勢をとり、23%が生成AIに懐疑的な「否定派」であることが明らかになった。「AIの利用を制限することは、今日では完全に逆効果だ」とプラサド氏は言う。その代わりに、同氏はCIOが企業内ですでに使用されているプラットフォーム内で提供されるAI機能を有効にし、従業員がその機能を使用および最適化できるようトレーニングを行い、ROIの最大化が見込まれるAIツールの導入を加速させることで、あらゆるレベルの従業員にIT部門がAI対応未来へのコミットメントを持っていることを確信させるべきだ、と語る。

9.従業員が望むようにAIを活用できるようにする

ISACAの3月の調査によると、80%がAIにより多くの仕事が変更されると考えていることがわかった。もしそうなら、AIを使用して仕事を改善する変更を行うためのツールを従業員に提供すべきだと、EYコンサルティングのグローバルデータおよびAIリーダー、ベアトリス・サンツ・サイス氏は言う。

彼女は、CIOに対し、組織内の全従業員（IT部門だけでなく）に、IT部門と共同で独自のインテリジェントアシスタントを作成するためのツールとトレーニングを提供するようアドバイスしている。また、彼女は、CIOに対し、柔軟なテクノロジースタックを構築し、従業員の要望に応じて、新しい大規模言語モデル（LLM）やその他のインテリジェントコンポーネントに迅速に対応し、それらの利用を可能にするようアドバイスしている。これにより、従業員が（外部ソースではなく）IT部門にソリューション構築を依頼する可能性が高まる。

10.新たな革新的な利用法にオープンであれ

AIは目新しい技術ではないが、急速に普及するにつれ、その問題点や潜在的な可能性がより明らかになってきた。組織が（問題点をすべて排除した上で）AIの潜在的な可能性を最大限に活用できるよう支援したいと考えるCIOは、従業員が独自に解決する必要を感じないように、AIの新しい活用方法にオープンな姿勢で臨むべきである。

バジュワ氏は、AIによる幻覚の例を挙げている。幻覚は一般的に悪評を買っているが、バジュワ氏は、マーケティングなどの創造的な空間では幻覚が役立つ可能性があると指摘している。「幻覚は、誰も考えつかなかったようなアイデアを生み出す可能性がある」と彼は言う。

このような可能性に前向きなCIOは、どの程度の人的監視が必要かというルールなど、適切な安全策を講じることによって、ITをAIイノベーションから排除するのではなく、むしろそのイノベーションに積極的に参加させる可能性が高くなる。そして、それが目標ではないだろうか？