AIサブスクは便利な道具ではない。経営者が放置している間に、機密データと予算を同時に蝕む静かな爆弾である。Hacker Newsで355ポイントを集めた論考が指摘するのは、現場の創意工夫ではなく、ガバナンス不在という経営の不作為だ。誰も言わないなら言おう。これは現場の問題ではない、トップの問題である。
何が起きたか
The State of Brandが公開した論考が、Hacker Newsで355ポイントを集めて議論を巻き起こした。論点は単純だ。ChatGPT、Claude、Copilot、Perplexityといった月額AIツールを、社員が個人クレジットカードで勝手に契約し、業務に使い、会社の機密データを流し込んでいる。人事資料、顧客リスト、未公開の財務データ、ソースコード。すべてが個人アカウント経由で外部のLLMに送られている。
費用面の試算も生々しい。1人あたり月3000円という安価な単位でも、1000人規模の組織なら年間3600万円。しかもこれは経費精算で見えている分だけで、立替なしで個人払いしているケースは数字に出てこない。論考は経営者に対し、シャドーAIの可視化、法人契約への一本化、ROI計測の義務化という三段構えを突きつけた。要するに「お前たちはまだ何も統制していない」という宣告である。
なぜこのニュースが重要か
このニュースの本質は金額ではない。年間3600万円など、売上1000億円の企業から見れば誤差だ。問題は、機密データが何のNDAも結ばれていない個人アカウント経由で外部に流出し続けているという事実、そしてそれを経営者が「DXの一環」として黙認している倒錯にある。
シャドーAIは、シャドーITの再来ではない。シャドーITはせいぜいファイル共有サービスの利用だったが、シャドーAIは「データを学習素材として差し出す行為」を伴う。OpenAIの法人プランは学習除外がデフォルトだが、個人プランの設定は社員任せだ。設定をオフにし忘れた瞬間、会社の独自ノウハウは競合の問い合わせ回答に紛れ込む。
さらに悪いのは、これが現場の生産性向上の名のもとに正当化されている点である。「みんな使っているから」「禁止したら現場が止まる」という経営者の言い訳は、要するに「私はリスクを引き受ける覚悟がない」と告白しているのと同じだ。生産性とリスクのトレードオフを設計するのが経営の仕事であり、放置は意思決定ではなく逃避である。
過剰評価への反論
ここで多くの記事は「だから法人契約に一本化しましょう」で終わる。甘い。法人契約に切り替えれば解決するという発想自体が、問題を矮小化している。
第一に、法人契約をしてもシャドーAIは消えない。社員が使いたいツールが法人契約に含まれていなければ、彼らは結局個人で契約する。ChatGPTを法人契約しても、ClaudeやGeminiやPerplexityやCursorやv0を全部押さえることは現実的に不可能だ。SaaS統制の経験がある企業なら、ホワイトリスト方式が常に「抜け道探し」とのいたちごっこだったことを知っている。AIツールの新陳代謝はSaaSの比ではない。月単位で新しい本命が現れる市場で、購買部門の決裁プロセスは追いつかない。
第二に、ROI計測の義務化という処方箋も筆者には怪しく映る。AIの時短効果を四半期ごとに測定するというが、「ChatGPTで30分短縮できました」という自己申告を集計して何の意味があるのか。むしろこの種のROI計測は、現場が「使っているフリ」をする動機を生む。測定のための工数が時短効果を食い潰すという本末転倒は、過去のRPAブームで散々見てきたはずだ。
そして最も言いにくいことを言えば、シャドーAIを生んだ真犯人は情シスでも現場でもなく、「AI活用」を経営目標に掲げながら具体的なツールも予算も用意しなかった経営者自身である。号令だけかけて道具を渡さなければ、社員はポケットマネーで武装するに決まっている。
経営者として次に取るべき動き
第一に、今週中に経費精算データと法人クレカ明細を全件洗い、AI関連サブスクの個人立替を可視化せよ。棚卸しを情シスに丸投げするな。経営者自身がリストを見て、自社のデータがどこに流れているかを直視することから始まる。
第二に、ホワイトリスト方式を捨て、ブラックリスト+包括予算方式に切り替えよ。主要LLM3〜4種を法人SSOで一括契約し、それ以外は「使うなら申請」とする。重要なのは「使ってよい」を増やすことであり、「禁止する」ことではない。禁止はシャドー化を加速させるだけだ。
第三に、ROI計測ではなくインシデント計測を義務化せよ。時短時間ではなく、「AIに機密を貼り付けた件数」「外部漏洩につながりかけたヒヤリハット件数」を四半期ごとに報告させる。守りの指標を持たない攻めのAI戦略は、爆弾を抱えたまま走るのと同じである。