従業員は、OpenAIに対して機密データを危険にさらす形で情報を提供している可能性があります。セキュリティ企業LayerXの調査によると、多くの企業ユーザーが、許可なくボットを使用している場合でも、個人を特定できる情報(PII)や決済カード業界(PCI)番号をそのままChatGPTに貼り付けているとのことです。
LayerXはEnterprise AI and SaaS Data Security Report 2025の中で、生成AIツールの利用が急増し、ほとんど管理されていないことが、企業環境から個人情報や決済データが流出する原因になっていると指摘しています。
現在、企業の従業員の45%が生成AIツールを使用しており、これらAIユーザーの77%がチャットボットへの問い合わせ時にデータをコピー&ペーストしているとLayerXの調査は述べています。これらのコピー&ペースト操作のうち、やや2割強(22%)がPII/PCIを含んでいます。
「貼り付けの82%が管理されていない個人アカウントから行われているため、企業はどのようなデータが共有されているかほとんど把握できず、データ漏洩やコンプライアンスリスクに対する大きな死角が生まれています」とレポートは述べています。
生成AIサイトへのファイルアップロードの約40%にPII/PCIデータが含まれているとされており、これらアップロードの39%が非企業アカウントから行われています。
LayerXは企業向けブラウザ拡張機能を通じてブラウザ内のデータを監視しており、同社が把握できるのはウェブベースのAIとのやり取りのみで、アプリからのAPIコールは対象外です。
LayerXのCEOであるOr Eshed氏は、The RegisterからAIによるデータ漏洩が実際に被害をもたらしたかどうかの質問に対し、2023年にサムスンが従業員が機密コードをチャットボットにアップロードしたと報じられた後、一時的にChatGPTの利用を禁止した決定を例に挙げました。彼は、企業データがAIツール経由で漏洩すると、(Qwenのような中国のAIモデルを含む)地政学的な問題や、規制・コンプライアンス上の懸念が生じたり、個人のAIツール利用を通じて企業データが不適切に学習に使われる可能性があると述べています。
ユーザーはChatGPTを支持し、Copilotを敬遠
LayerXのレポートによると、非企業アカウント(シャドーIT)を通じたアプリ利用は、生成AI(67%)だけでなく、チャット/インスタントメッセージ(87%)、オンライン会議(60%)、Salesforce(77%)、Microsoft Online(68%)、Zoom(64%)でも一般的です。
シャドーITを事実上容認する形で、マイクロソフトは最近、企業のMicrosoft 365アカウントで個人用Copilotアカウントの利用をサポートすると発表しました。これは、LayerXが企業標準のAIツールと位置付けるOpenAIのChatGPTの圧倒的な優位性に、マイクロソフトが不安を感じていることの表れかもしれません。
「すべてのAIアプリの中で、ChatGPTは企業AI利用を支配しており、従業員の9割以上が利用しているのに対し、Google Gemini(15%)、Claude(5%)、Copilot(約2~3%)などの代替ツールの採用ははるかに低い」とレポートは述べており、ほとんどの人(83.5%)は1つのAIツールしか使っていないと付け加えています。
「ユーザーには好みのAIプラットフォームがあり、たとえ企業が“公式”AIやライセンス済みAIを導入していても、ユーザーは好きなものを選びます」とEshed氏はThe Registerにメールで語りました。「この場合、圧倒的にChatGPTです。つまり、ユーザーはChatGPTを好んでいます。」
企業におけるMicrosoft Copilotの導入率について調査数値を尋ねられると、Eshed氏はあるレポートを引用し、Microsoft 365の4億4,000万ユーザーのうち「コンバージョン率は1.81%」であり、その数値は「我々の調査結果(約2%)とほぼ同じ」だと述べました。
LayerXのレポートによると、ChatGPTの企業浸透率は43%で、Zoom(75%)、Googleサービス(65%)などの人気アプリに迫りつつあり、Slack(22%)、Salesforce(18%)、Atlassian(15%)の浸透率を上回っています。
全体として、LayerXのレポートは、企業におけるAI利用が急速に拡大しており、全アプリケーション利用の11%を占めていると指摘しています。これは、メール(20%)、オンライン会議(20%)、オフィス生産性アプリ(14%)に次ぐ割合です。
セキュリティ企業は、従業員の生成AIへの親和性の高さから、CISOはデータフローの可視性を確保したいのであれば、すべてのビジネスクリティカルなアプリケーションでシングルサインオン(SSO)の徹底を真剣に考える必要があると主張しています。
レポートにデータを提供した顧客数の詳細について尋ねたところ、LayerXの広報担当者は、顧客基盤の正確な数字は公表したくないと回答しました。
Eshed氏は、LayerXの顧客基盤について「主に金融サービス、ヘルスケア、サービス、半導体分野のグローバル企業および大企業(1,000~100,000ユーザー)数十社で構成されています。顧客の大半は北米にいますが、5大陸すべて、あらゆる業種に顧客がいます」と述べました。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/10/07/gen_ai_shadow_it_secrets/
