【リアル事例】安全なAIを導入するには?シャドーAIを防ぐ社内ルールの作り方

最近、関与先の社長さんたちから「AIって結局、どこまで機密情報を入れていいの?」とよく相談されます。Anthropic社のClaude Mythosをめぐる一連の流れがニュースで大きく取り上げられることも増えましたし、2026年7月1日にようやくClaude Fable5の米国政府の輸出規制がとれ、再度解放されましたね。

Claude Mythosの記事は、過去のブログをご確認ください。

AIの進化が早すぎて『AIは本当に安全なんだろうか?』という疑問をお持ちの方が増えているはず。でも実は、「よくわからないから全面禁止!」が一番危険なんです。今回は、組織で安全にAIを導入するにはどうすればいいのか、個人的な熱量を込めてお伝えします!

【リアル事例】「全面禁止」によるシャドーAIの危険性(機密情報漏洩)と、Google Workspaceを活用した安全なAI導入・社内ルール制定を対比したアイキャッチ画像|ミライクラフト税理士事務所

経営者が抱える最大の悩み「AIに機密情報を入れていいの?」

AI、自社でも導入してみたいけど、「一体どこまで機密情報を入れていいの?」と悩んでる経営者の方、いらっしゃいませんか?

顧客データや財務情報など、私たちが扱うデータは機密の塊です。それをクラウド上のAIにポンと投げてしまうことへの生理的な抵抗感、すごくよくわかります。

経営者が知るべき最大の恐怖「シャドーAI」

『AIは危険だから(または上層部が理解してないから)全面禁止!』

もし、こんな社内ルールを設定していると何が起こるでしょう?

全く使わない人がいる一方で、独自のアカウントのAIをコッソリ業務で使い出す人が出てきます。これを「シャドーAI」と呼びます。

社員が業務効率化で、個人のChatGPTやClaude、Geminiに「顧客の財務データ」を読み込ませて要約させていないでしょうか?

入力したデータがAIの学習に使われるリスクや、情報漏洩の危険性。そもそも個人のクラウドアカウント等に会社の重要なデータを入れること自体が絶対にやってはいけないタブーです。

個人プランの「オプトアウト」の罠

ClaudeやChatGPT等の個人プランでも「オプトアウト」という、AIに学習させない設定があります。

Claudeのプライバシー設定画面。「AIモデルの改善にご協力ください」の学習オプトアウト設定がボタン一つで変更できてしまう、シャドーAIの危険性を解説するスクリーンショット|ミライクラフト税理士事務所

「じゃあ個人プランでも安全じゃないか」と思うかもしれませんが、これ、ボタンひとつでいつでも学習許可に変更できちゃうんです。

具体的には、社員が『自分のChatGPTで作業した方が早いから』と、悪気なく個人のChatGPTに顧客データを流し込み、オプトアウト設定を忘れていたり、何かの拍子に設定が外れていたら…そのデータはそのAIの学習の『エサ』になります。

そんな個人のオプトアウト機能を、組織側で完璧にコントロールできるでしょうか?答えはノーですよね。個人プランを組織で使う時は、とてつもない注意が必要です。

便利機能(MCP)が金庫室に勝手口を開ける!?

堅牢な金庫室に「不自然な勝手口」が開きハッカーが侵入するイラスト。MCPなどの便利機能がアタックサーフェス(攻撃表面)となり情報漏洩リスクを生む危険性を図解|ミライクラフト税理士事務所

さらに最近は、MCP(Model Context Protocol)※など、流行りの便利機能がどんどん出てきています。これが実はサイバーセキュリティにおいては要注意なんです。

MCPとは:AIが、社内のファイルやデータベース、カレンダーやメールなど、様々な外部ツールと直接連携するための仕組み。

「AIに社内ネットワークの鍵を渡し、必要なデータを勝手に探してきてもらう」ようなことができるため非常に便利です。しかしその反面、設定を誤ると「見せてはいけない機密情報までAI経由で外部に筒抜けになってしまう」という、極めて高いセキュリティリスクを孕んでいます。また、そのAIのアカウントが乗っ取られたら、どうでしょう?

MCPなどの便利ツールを安易に繋ぐことは、例えるなら『強固な金庫室の壁に、便利だからと勝手口を開けておくようなもの』です。

そこからハッカーに侵入される攻撃面(アタックサーフェス)になります。当事務所の強固な要塞であるGoogle Workspaceにも、そんな大穴を開けるわけにはいきません。

ミライクラフト流:安全なAIの社内展開ルール

では、どうすればいいのか。当事務所で実践している方法をご紹介します。

「禁止」するのではなく「安全な箱」を用意する

個人のAIを禁止する代わりに、学習に利用されないセキュアな環境を事務所として開放します。

これからの大AI時代には、組織として「安全なAI」を解放し、それ以外は使用禁止、という明確なルール制定が必要不可欠です。

AIには企業プランが用意されているものも多く、デフォルトで学習しない仕様になってるものもあります。例えば、Google WorkspaceのGeminiは学習しません。

また、NotebookLMは個人のGmailプランでも学習しませんが、「そもそもその個人のGmailアカウント自体が安全か?」という観点で見ると、やはりNotebookLM自体もGoogle Workspaceアカウントで運用すべきです。

システム構造で「影のIT」を物理的に塞ぐ

ルールだけでなく、構造で守ることも重要です。

Google Workspaceの管理コンソールからAPI連携※のブロックや、Google Chromeの拡張機能の制限ができます。これにより、「影のIT(シャドーAI)」が入り込む隙間を物理的・システム的に塞ぎます。

API連携とは:外部のアプリやサービスが、自社のシステム(Google Workspaceのメールやファイルなど)に直接アクセスしてデータをやり取りする仕組みのこと。便利ですが、社員が勝手に許可してしまうと、外部のよくわからないAIツールに社内の機密データが筒抜けになる危険性があります。

当事務所の実際の運用ルール

当ミライクラフト税理士事務所でも、以下のルールを徹底しています。

  • Google WorkspaceでのGeminiとNotebookLMのみを開放
  • それ以外のAIツールは業務での使用禁止

※ただし、代表の私のみ、Claudeのオプトアウト機能をしっかりチェックした上で、検証も兼ねて使用しています。

Google Workspaceの管理下で「AI安全チェックOK」「データ暗号化」等の社内ルールを守り、安全にAIを活用して業務効率化を行うミライクラフト税理士事務所のスタッフのイラスト|ミライクラフト税理士事務所

まとめ

いかがでしたでしょうか。

もはや、「AIを禁止することが安全」という時代は終わりました。禁止するからこそ、見えないところで危険なシャドーAIが蔓延してしまうんです。

これからは「自社のミライをどうクラフトするか」という目的のために、経営者自身がAIの主導権を握り、「安全に」飼い慣らしていく必要があります。ルールと環境を整え、正しくAIを活用して、一緒に会社を前進させていきましょう!

CTA

「自社に合わせた安全なAI導入ルールを作りたいけど、何から始めれば…」とお悩みの経営者様。当事務所では、税務だけでなく、こうした社内のクラウドツールやセキュリティに関するご相談も承っています。

まずはコメント欄で皆さんのご意見を聞かせていただくか、お気軽にミライクラフト税理士事務所までお問い合わせください!

ミライクラフト税理士事務所 代表税理士 今北 有俊