コンサル先の50名規模のスタートアップでSaaS棚卸しを実施したとき、Google Workspaceの管理コンソールからOAuth連携アプリを洗い出したら、IT部門が把握していないアプリが40本以上出てきた。そのうち12件がChatGPT・Claude・Geminiなど生成AIサービスへのOAuth認証だった。IT担当者は「うちでAIを使っている人はいませんよ」と言っていたのに、だ。

結論。50名規模の会社でも「シャドーAI」(企業が承認していないAIツールの業務利用)は確実に発生している。対策は「全面禁止」ではなく「正規ルートを整備して利用を可視化する」の一択だ。管理者1名、初年度の作業時間は約8時間、コストは6万4,000円で始められる。

シャドーAIを放置した場合に発生するリスク

放置のリスクは3つの領域に及ぶ。

機密情報の外部送信National Cybersecurity Alliance(NCA)の調査では、AIユーザーの43%が雇用主に無断で機密情報をAIツールに入力した経験があると回答している。顧客リスト、契約書ドラフト、売上データをChatGPTに貼り付けて要約させれば、入力内容がサーバー側に保存・学習利用される可能性がある。情報漏洩と実質同じだ。

法規制との整合性。2025年9月に全面施行された「AI新法」と、2026年3月31日公表の「AI事業者ガイドライン(第1.2版)」により、企業にはAI利用のリスク管理が求められている。ガイドラインはソフトロー(法的拘束力なし)ではあるものの、事故発生時に「何も対策していなかった」と見なされれば管理責任を問われる根拠になり得る。

成果物の品質と著作権。AIが生成した文章をそのまま取引先に提出すれば、ハルシネーション(AIによる事実誤認)が企業の公式見解として扱われるリスクがある。AI生成物の著作権帰属は2026年6月時点でも法的に未確定の部分が多い。ルールなしで走ると後から揉める。

「全面禁止」が逆効果になる構造

「AIの業務利用は禁止」で片付くなら話は早い。だが現実はそう単純ではない。

BlackFogの2026年調査では、60%の従業員が「納期に間に合わせるためならリスクを取る」と回答している。禁止しても使われる。個人スマホやプライベートアカウント経由で隠れて使われるだけだ。禁止令は実態把握をさらに困難にする。

筆者のコンサル経験でも、50名規模の会社にCASB(クラウドアクセスの監視ツール)を入れる予算はまずない。前職のIT推進部時代にCASB製品を複数比較検討した経験があるが、導入コストだけで年間200万円超だった。一方、ガイドラインの整備と運用なら年間6万4,000円で済む。50名規模の会社でどちらが合理的かは、計算するまでもない。

50名規模で実際に運用できるガイドライン整備の手順

大企業のAIガバナンスをそのまま持ち込んでも動かない。50名規模で回る範囲に絞る。

ステップ1: OAuth連携の洗い出し(所要30分)

Google Workspaceなら管理コンソールの「セキュリティ > APIの制御 > サードパーティのアプリ」、Microsoft 365ならEntra ID(旧Azure AD)の「エンタープライズアプリケーション」から、OAuth連携済みアプリの一覧を確認する。AI系サービスの認証がいくつあるかを数えるだけでいい。50名規模でもAI系のOAuth連携は10件前後見つかるのが普通だ。

ステップ2: 承認済みツールを1つ選ぶ(所要1時間)

選定基準は3点ある。入力データのAI学習オプトアウト設定があるか、管理者が利用状況を確認できるか、コストが予算内に収まるか。2026年6月時点の主要ビジネスプラン比較は以下のとおりだ(価格は為替やプラン改定で変動する。契約前に必ず公式サイトで最新価格を確認すること)。

サービスプラン名月額目安(1名)学習オプトアウト管理機能
ChatGPTTeam約4,250円デフォルトOFFあり
ClaudeTeam約4,500円デフォルトOFFあり
GeminiWorkspace附帯既存契約に含む場合ありありあり
Microsoft CopilotM365追加約4,500円ありあり

50名全員に有料アカウントを配る必要はない。AI利用が業務に直結する社員だけに絞れば、10〜15名が現実的な対象だ。ChatGPT Team 10名なら月42,500円、年間51万円になる。

ステップ3: ガイドライン文書を作成する(所要2〜3時間)

IPAの「テキスト生成AIの導入・運用ガイドライン」(2024年7月公開)をテンプレートに使うのが速い。50名規模なら、以下の項目を埋めればA4で2〜3枚に収まる。

  • 承認済みAIツール名(必ず社名アカウントで利用する)
  • 入力禁止データの定義(顧客個人情報・契約書・ソースコード・財務データ)
  • AI生成物の社外提出ルール(人間が必ずファクトチェックしてから提出する)
  • 未承認ツールを使いたい場合の申請フロー
  • 違反時の対応フロー

完成度よりスピードが重要だ。80点のガイドラインを今週出す方が、100点を3ヶ月後に出すより確実にリスクは下がる。

ステップ4: 全社アナウンスと30分研修(所要2時間)

ガイドラインは周知しなければ存在しないのと同じだ。SlackやTeamsの全社チャンネルでアナウンスした上で、30分のオンライン研修を1回実施する。中身は「承認ツールの使い方」「入力してはいけないデータの具体例」「困ったときの相談先」の3点に絞ればいい。

Help Net Securityの2026年5月調査によれば、74%の従業員が「AI関連のセキュリティ研修があれば安心する」と答えている。「ガイドライン読んでおいて」だけで機能すると考えるのは甘い。

ガイドライン整備の総コストと損益分岐点

手順の総コストを積み上げる。時給はIT担当者3,000円とコンサル8,000円の2パターンで試算した。

作業時間IT担当(時給3,000円)外部コンサル(時給8,000円)
OAuth連携の洗い出し30分1,500円4,000円
承認ツール選定1時間3,000円8,000円
ガイドライン文書作成2.5時間7,500円20,000円
全社アナウンス+研修2時間6,000円16,000円
四半期OAuth確認(年4回 × 30分)2時間/年6,000円/年16,000円/年
初年度合計約8時間24,000円64,000円

社内IT担当者が対応するなら初年度わずか24,000円で始められる。承認ツールのライセンス費(10名分で年約51万円)を足しても年間53万4,000円だ。

中小企業の情報漏洩1件あたりの被害額は、調査によって幅があるものの数百万〜数千万円規模と報告されている。53万円の年間投資で漏洩リスクを大幅に下げられるなら、導入しない選択の方がリスクが大きいと判断する。社員がPC業務を行う会社であれば、10名でも50名でもAIガイドラインは必要だ。

FAQ

シャドーAIは中小企業でも発生しているのか

発生している。2026年の複数調査で、企業規模にかかわらず従業員の49〜67%がAIツールを業務利用していると報告されている。筆者のコンサル先でも、50名規模の会社でOAuth連携を洗い出すとAI系サービスが10件前後見つかるのが典型的だ。

ChatGPTの無料プランを業務で使うと何が問題なのか

2026年6月時点のOpenAIポリシーでは、無料プランの入力データはAIモデルの学習に使用される可能性がある。業務上の機密情報を入力した場合、それがモデルに取り込まれるリスクがある。TeamプランやEnterpriseプランであればデフォルトで学習オプトアウトが適用される。

ガイドライン作成のテンプレートはどこで入手できるか

IPAの「テキスト生成AIの導入・運用ガイドライン」(2024年7月公開)が実務テンプレートとして使いやすい。経済産業省・総務省の「AI事業者ガイドライン(第1.2版・2026年3月)」もリスク分類の参考になる。いずれもPDFで無料ダウンロードできる。

既にGoogle Workspaceを導入済みならGeminiで統一すべきか

Google Workspace Business Standard以上のプランであれば、Gemini for Workspaceが追加コストなしで利用できる場合がある。既存契約に含まれるなら追加ライセンス費ゼロで始められるため、コスト面では最も合理的な選択肢になる。ただし、ChatGPTやClaudeと比べて社員が求める機能(コード生成、長文分析など)を満たせるかは事前に検証すべきだ。

参考文献