S1:足場づくり 記事

配布とガバナンスは同時に: 『不安だから後で』が一番危ない理由

「ガバナンスが整ってから配る」と言っているうちに、社員はすでに個人のChatGPT無料版で業務データを入力している。これが現実だ。

Make AI Native Company 編集部 2026年6月18日 公開 ・11分

シャドーAIという現実

「AI配布を待っている」会社で今、何が起きているか。

社員はすでにAIを使っている。個人のGoogleアカウントでChatGPT無料版を使い、業務上の文章や情報を入力している。会社が「許可待ち」のポジションを取るほど、この状態は深刻になる。

RAND研究所の調査では、「会社がAIを許可していない」と答えた職場の社員の6〜7割が個人アカウントでAIを業務利用していることが分かっている1

つまり「配布を待つ」という判断は「AIを使わせない」ではなく「会社が管理できない方法でAIを使わせている」ことと同義だ。

「配布が先か・ガバナンスが先か」という誤った問い

多くの会社がこの二択で議論する。どちらも間違いだ。

ガバナンスを先に整備してから配る → 整備中に半年〜1年が過ぎる。その間もシャドーAIは増え続ける。

配布を先に進めてからガバナンスを追いかける → セキュリティ事故のリスクが高まる。事故が起きると全面禁止に戻るケースもある。

正解: 最小ガバナンスと配布を同日に立ち上げる

Shopifyがこのアプローチを採った。社内LLMプロキシ・MCP(ツール接続)・3,000 Cursorライセンスの配布を、利用ポリシー・データ分類・監視体制と同時に立ち上げた2

「最小ガバナンス同時展開」の実装

以下の4点を同日に配布する。これが最小構成だ。

1. 利用ポリシー1枚(A4 1枚)

以下の内容のみ。これ以上複雑にしない。

【AI利用ポリシー(Version 1.0)】

■ 利用可能なAIツール
  - ○○(エンタープライズ契約済み・データ保護あり)

■ 入力禁止情報
  - 個人情報(顧客・社員の氏名・連絡先)
  - 未締結の契約書・価格交渉情報
  - 未公表の財務データ

■ 困ったとき・問題が起きたとき
  - 担当: △△部 □□(内線 XXXX)
  - メール: ai-support@company.com

■ このポリシーの見直し予定
  - 3ヶ月後に実運用を踏まえて改訂する

2. 承認ツールへのアクセス手順(1ページ)

インストール手順・ログイン方法・利用開始の手順を1ページにまとめる。IT部門が作る技術文書ではなく、非IT部門の社員が迷わず始められる手順書。

3. 最低限のリテラシー研修(90分)

内容は3点のみ:

① 入力禁止情報の3分類(赤/黄/緑) ポリシーの内容をロールプレイ形式で確認する。「この情報はAIに入力できますか」という問いに答える演習を5問程度。

② ハルシネーションとは何か(15分) AIは自信満々に間違った情報を出す。数値・固有名詞・最新情報は必ず一次情報で確認する習慣を作る。

③ インシデントの初動(5分) 「間違えて禁止情報を入力した」と気づいたらすぐに誰に連絡するか。これだけ明確にする。

4. 利用状況の最小監視設定

エンタープライズ契約のツールは管理コンソールを提供している。最初から全部監視しようとせず、以下の2点だけ設定する:

  • 異常な大量使用のアラート: 1ユーザーが1日に異常な量を使った場合の通知
  • 月次の利用レポート: 部門別の利用状況を月1回確認する

パイロット展開から全社展開まで

重要: 全社一斉展開ではなく部門単位で段階展開することで、問題を小さく発見・修正できる。

よくある質問への答え

「研修前にツールを配ってよいか」

配布と研修は同日・または配布の翌日以内に実施する。「ツールを渡したけど使い方が分からない」という状態が最も危険だ(間違った使い方が広まる)。

「エンタープライズ契約はコストが高い」

Claude Teams・ChatGPT Team が月額1人あたり2,000〜3,000円程度。1人の社員が月に1時間の業務時間を削減できれば、費用対効果は確保できる。まず10〜20名のパイロットから始め、ROIを確認してから全社展開する。

「海外クラウドサービスへのデータ送信が問題では?」

エンタープライズ契約では「入力データをモデルの学習に使わない」条項が付く。また、Azure OpenAI Service経由でChatGPTを使う場合は、データがMicrosoftの日本・欧州データセンターに保存される選択肢がある。法務・コンプライアンス部門との確認は必要だが、「クラウドだから不可」という判断は過剰なケースが多い。

まとめ: 動き始めてから育てる

完璧なガバナンスは存在しない。「完璧になってから動かす」を待つほど、シャドーAIという管理不能の状態が広がる。

最小ガバナンスとツールを同日に配布し、実運用しながら3ヶ月ごとに改訂する。これが「配布とガバナンスを同時に」の意味だ。

出典・参考

  1. RAND: AI変革失敗の84%はリーダーシップ起因。シャドーAIは需要シグナル(2024)
  2. Shopify: LLMプロキシ・MCP・3,000 Cursorライセンスを同時展開(2025)

AIネイティブ化、何から始めるべきか迷っていませんか?

無料相談で、あなたの会社の現在地と次の一手を一緒に整理します。

無料で相談する

次の一手

次に読む 個人の雑務をAIに移す最初の10タスク 次のステージ S2 雑務をAIに渡す(個人) 無料相談 自社の現在地と次の一手を整理する

同じステージの記事

ガイド
足場づくり ガイド 14分

全社にAIを配るときのセキュリティとガバナンス最小セット

「セキュリティが不安」を理由にAIツールを配れない会社へ。現実的なガバナンスの最小構成と、配布とガバナンスを同時に立ち上げる方法を解説する。

AIネイティブ化、何から始めるべきか迷っていませんか?

無料相談で、あなたの会社の現在地と次の一手を一緒に整理します。

無料で相談する