生成AIツールは欧州のほぼすべての職場で稼働しており、会議の文字起こしサービス、ライティングアシスタント、コーディングコパイロット、検索機能などに組み込まれています。この地域の従業員は、顧客情報、財務データ、独自コードを扱う日常業務にこれらのツールを取り込んでおり、その膨大な活動量によってデータ漏洩が発生する箇所に一定のパターンが生じています。『Netskope脅威ラボレポート:欧州2026年版』は、過去1年間にわたる欧州組織全体のこのパターンを記録しています。
出典:Netskope脅威ラボ
ほぼ全面的な導入とガバナンスの変化
AIの利用は欧州の組織の約99%に広がっており、AIアプリケーションを積極的に利用する個人ユーザーの割合は過去1年間で35%から65%へと上昇しました。チャットボットやアシスタントとの直接的なやり取りはその一側面に過ぎません。現在、ユーザーの約95%がAI機能を間接的に組み込んだアプリケーションを利用しており、89%がトレーニングにユーザーデータを活用するアプリケーションを使用しています。
欧州の企業は、公認された環境へと移行しつつあります。個人のAIアカウントを利用するユーザーの割合は同期間に79%から43%へと低下し、組織が管理するAIソリューションを利用するユーザーの割合は28%から72%へと増加しました。一方で、この傾向に逆行する動きも見られます。個人アカウントと企業アカウントを使い分けるユーザーの割合が7%から15%へと増加しており、ガバナンスプログラムが成熟しつつある中でもシャドーAIの活動が継続していることを示しています。
漏洩インシデントの大半を占める規制対象データ
AIおよび個人クラウドアプリケーションにおけるデータポリシー違反は規制対象情報に集中しており、インシデント全体の59%を占めています。次いでソースコードが15%、知的財産が13%、パスワードおよびAPIキーが12%となっています。このパターンは、コンプライアンス上の機密性が高い情報が、データ損失防止ルールに抵触する形でAIツールや個人クラウドアカウントに持ち込まれるケースが最も多いカテゴリであることを示しています。
ChatGPTが首位、ClaudeはGeminiを抜いて2位に
欧州におけるアプリケーションの構成は、グローバルなランキングとは異なっています。ChatGPTは引き続き同地域で最も広く利用されているAIサービスであり、Anthropic ClaudeはGoogle Geminiを上回って2位を維持しています。この順位はグローバルのパターンとは逆で、グローバルではGeminiがClaudeより上位に位置しています。フランス製アシスタントのMistral Le Chatも地域のランキングに名を連ねています。
Claudeの台頭は2025年9月に加速し、導入曲線が急激に上昇してGeminiを追い抜きました。ChatGPTは年間を通じてトップの座を維持し、Microsoft Copilotも安定した利用状況を保ちました。
ブロックされるアプリはプライバシーへの懸念を反映
多くの組織はリスクがあると判断した特定のAIアプリケーションを制限しています。ブロックリストのトップはParticular Audienceで44%、次いでZeroGPTが37%、DeepSeekが36%となっています。ブロックの対象となるアプリケーションは、データ取り扱いの透明性、パーソナライズの仕組み、ユーザーデータの処理・保持方法に関する可視性などの点で疑問が呈されています。規制対象セクターでは、個別アプリの制御に加え、カテゴリ単位での一括ブロックが補完的に実施されています。
信頼性の高いクラウドサービスに紛れ込む攻撃者
欧州におけるマルウェアの配布は、広く信頼されているクラウドプラットフォームを悪用しています。攻撃者はGitHubやMicrosoft OneDriveなどのサービスに悪意あるペイロードをホストし続けており、これらのサービスはブランドの信頼性を持つため、URLベースのフィルタリングを回避できることが多いです。企業ネットワーク内での個人クラウドアプリケーションの利用は、業務データと個人データの流れの境界を曖昧にし、ユーザーが環境をまたいでファイルを移動する際の追加的な漏洩経路を生み出しています。
データが示すもの
欧州の組織は1年間でAIに関するガードレールを構築し、ほとんどのユーザーを個人アカウントから公認プラットフォームへと移行させました。残る課題は3つの圧力点に集中しています。個人アカウントと企業アカウントを依然として使い分ける15%のユーザー、多くのセキュリティプログラムの可視性の閾値を下回って動作する日常的な生産性ツールに組み込まれたAI機能、そして信頼性の高いクラウドストレージを経由して届く悪意あるファイルの継続的なトラフィックです。
Netskope脅威ラボは、データ損失防止コントロールとアプリケーション固有のガバナンスを組み合わせることを推奨しています。規制対象データの違反はAIサービスと個人クラウドアプリケーションの両方で発生しており、主要な生産性スイートのすべてにAI機能が搭載されるにつれ、両カテゴリの境界はますます薄れているためです。
翻訳元: https://www.helpnetsecurity.com/2026/05/27/netskope-european-ai-adoption-risks/
