- ChatGPTのようなGenAIツールは、企業環境におけるシャドーITリスクの定義を再構築していると報告
- 従業員は主に管理されていない個人アカウントからGenAIツールにPII/PCIを貼り付けていた
- 専門家によると、監視されていないGenAIの利用により、企業はデータ漏洩やコンプライアンスにおいて大きな死角を抱えている
ChatGPTやその他の生成AI(GenAI)ツールは、「シャドーITリスク」の意味を変革していることが新たな調査で明らかになりました。従業員があまりにもオープンになりすぎており、多くは自発的に個人を特定できる情報(PII)や決済カード業界(PCI)番号をツールに提供しているのです。
シャドーITとは、ITセキュリティ部門によって承認または審査されていないプログラムやアプリをビジネス環境で使用する行為です。従業員は、簡単で便利だからという理由で許可されていないアプリをよく利用します。例えば、ウェブベースの画像からPDFへの変換ツール、WhatsApp、Dropboxのような個人用クラウドストレージソリューションなどが挙げられます。
しかし、LayerXの調査によると、これがマルウェアやランサムウェアの企業インフラへの侵入、保護されていないクラウドストレージ経由での機密データの漏洩、あるいは機密文書を怪しいサービスにアップロードするなど、あらゆる種類のサイバーリスクに企業をさらしているとしています。
機密情報の貼り付け
同社の最新の「Enterprise AI and SaaS Data Security Report 2025」によると、企業従業員のほぼ半数(45%)が何らかの形で生成AIを利用していることが分かりました。
そのうち、4分の3以上(77%)がツールにデータをコピー&ペーストしており、ほぼ4分の1(22%)がPII/PCIでも同様のことを行っていました。
「貼り付けの82%が管理されていない個人アカウントから行われているため、企業はどのようなデータが共有されているのかほとんど把握できず、データ漏洩やコンプライアンスリスクに対する大きな死角が生まれています」とレポートは述べています。
さらに、生成AIサイトにアップロードされたファイルのおよそ5件に2件もこの種の情報を含んでおり、これらのアップロードの39%は非企業アカウントから行われていました。
ChatGPTは圧倒的に人気のあるGenAIツールで、従業員の90%以上が利用しています。大多数(約83%)は1つのツールしか使っていません。他に注目すべきツールとしては、Gemini(15%)、Claude(5%)、Copilot(約3%)などがあります。
