社員の”隠れAI利用”、把握できていますか？シャドーAI対策とGemini / NotebookLM法人導入ガイド

「最近、社内でChatGPTやGeminiを使っている人が増えた気がする。でも、誰が何を入力しているかは把握できていない。」

日々の業務の中で、このような漠然とした不安を感じたことはないでしょうか。このように、会社が把握・管理していない状態のまま、従業員が独自の判断で業務に生成AIを利用している状態を「シャドーAI」と呼びます。そして今、このシャドーAIは企業にとって無視できない課題の一つとして認識されつつあります。

実際、弊社にも「社員が個人アカウントで生成AIを使っているようだが、実態が把握できない」「利用を禁止したが、隠れて使われている気がする」といったご相談が増加傾向にあります。シャドーAIの問題は、一部の企業に限らずさまざまな組織で関心が高まりつつあり、対応を検討する必要のあるリスクの一つとされています。

「うちの会社ではAIの業務利用を許可していないから大丈夫」と考えているとしたら、それは見えないリスクを抱えている状態かもしれません。本記事では、多くの企業から実際に寄せられている”生成AIにまつわる悩み”を紐解きながら、シャドーAI対策の実践的な進め方を解説します。

弊社に寄せられる相談から見える、生成AI活用の課題

弊社には日々、生成AI法人導入に関する多数のご相談が寄せられています。ここでは、多くの読者が「あ、これうちの話だ」と感じるであろう、現場のリアルな悩みをご紹介します。

悩み①「社員が個人アカウントのNotebookLMに社内資料を読み込ませている」

比較的多く見られるのがこのケースです。「会議の議事録まとめに便利だから」「大量のPDF資料から目的の記述を探し出せるから」といった理由で、従業員が個人のGoogleアカウントを使ってNotebookLMやAIツールを利用するケースがあります。

この場合、社外秘のドキュメントが会社の管理外となるクラウド環境にアップロードされる可能性があります。個人向けの生成AIサービスでは、入力データややり取りの一部がサービス改善や機械学習の開発に利用される場合があります（設定やサービスによる）。

そのため、企業の管理外で機密情報を取り扱う際には慎重な判断が求められます。一方で、エンタープライズ版ではデータの取り扱いに関する制約が明確に定められており、用途に応じた使い分けが重要です。

悩み②「生成AIを”禁止”にしたら、現場から不満が多く寄せられた」

リスクを考慮し、生成AIの利用を制限または禁止する企業もあります。しかし一律の制限によって、業務効率への影響を懸念する声が現場から上がるケースも見られます。特に、文書作成や情報整理などの業務でAIを活用していた場合、従来の手作業に戻ることで作業時間の増加や負担感につながる可能性があります。

また、会社のPCからのアクセスを制限した場合でも、従業員が個人のスマートフォンや私物PCなどを利用してツールを使うケースも指摘されています。その結果、利用実態の把握が難しくなり、管理が行き届かない状態が生じる可能性があります。そのため、単純な禁止ではなく、ガバナンスと利便性を両立した運用設計が重要になります。

悩み③「法人契約したいが、クレジットカードが使えない」

生成AIを安全に活用するために法人向けプランの導入を検討しても、支払い方法の制約が障壁となるケースがあります。特に大学や大企業、官公庁などでは、社内規定によりクレジットカード決済が制限されている場合があります。

一方で、多くの生成AIサービスはオンラインでの即時契約を前提としており、クレジットカード払いが基本となっているケースも少なくありません。その結果、「請求書払いでなければ契約できない」といった社内手続きとの不整合が生じ、稟議や承認プロセスに時間がかかる要因となることがあります。こうした実務上の制約が、導入検討の停滞につながるケースも見られます。

悩み④「既存ベンダーに相談しても、生成AI領域の知見が十分でなく話が進まない」

既存のITベンダーに生成AIの導入について相談したものの、期待した支援が得られないケースも見られます。生成AIを業務で安全に活用するためには、ツール単体の導入だけでなく、既存システムとの連携やセキュリティ設計を含めた全体的なアーキテクチャ設計が求められます。

例えば、SAML/SSOによる認証統合や、VPC Service Controlsを活用したデータアクセス制御など、クラウドセキュリティに関する専門知識が必要になる場面もあります。そのため、対応可能なスキルや体制が十分でない場合、検討が長期化したり、導入プロジェクトが円滑に進まないといった課題につながることがあります。

シャドーAI対策の正解は”禁止”ではなく”安全な環境の提供”

前述の悩みからも分かる通り、シャドーAI対策として「利用を禁止する」だけでは、必ずしも十分な対策とは言えません。その理由として、いくつかの課題が指摘されています。

• 業務効率に影響が出る可能性があり、AIを活用する企業との間で生産性の差が生じる懸念がある
• 個人のデバイスなどを通じてツールが利用されるケースがあり、結果として利用実態の把握が難しくなる可能性がある
• AIツールの利用制限に対して、現場から負担感や不満の声が上がるケースもある

従業員の「業務を効率化したい」というニーズに対して、単に利用を制限するのではなく、会社として「安全に使える公式ツール」を用意し、適切なルールのもとで提供することが重要です。

その「安全に使える公式ツール」の有力な選択肢が、Google Cloudが提供するエンタープライズ向けの生成AIサービス、Gemini EnterpriseやNotebookLM Enterpriseです。

法人導入で「つまずく」4つのポイントと解決策

いざ法人向けの生成AIを導入しようとしても、実務においては様々なハードルが存在します。ここでは、法人導入において企業が「つまずくポイント」と、それを乗り越えるための具体的な「解決策」をセットで解説します。

①データは本当に学習されないのか？ → Gemini Enterprise / NotebookLM Enterpriseなら安心

【つまずきポイント】
「法人契約したとしても、本当にうちの機密データがAIの学習に使われないのか不安だ」という声は根強くあります。

【解決策】
個人向けの無料版AIと、法人向けのエンタープライズ版（Gemini EnterpriseやNotebookLM Enterprise）の決定的な違いは、データの取り扱いに関する公式なコミットメントにあります。

Gemini Enterpriseの場合：
Gemini Enterpriseの公式FAQにおいて、「プロンプト、出力、およびその過程で発生するデータが、Googleのモデルや他のお客様のモデルのトレーニングに使用されることはない」と明記されています。また、データの所有権はあくまでお客様に帰属し、Googleが広告に利用したり第三者に販売したりすることもありません。

NotebookLM Enterprise（Google Workspaceユーザー）の場合：
ヘルプページにおいて、Google Workspaceユーザーがアップロードしたデータやクエリは、AIモデルのトレーニングに使用されないことが明記されています。さらに、Workspaceユーザーの場合は、フィードバックを送信した際でも「人間のレビュー担当者による確認」が行われないという、より厳格な保護措置がとられています。

これにより、社外秘の企画書や財務データであっても、情報漏洩や意図しない学習のリスクを抑えながらAIを活用することが可能になります。また、NotebookLM Enterpriseは既存のGoogle Workspace契約がない組織でも単独導入でき、導入したその日から安全な環境で業務を開始できます。

②誰が何を使っているか可視化したい → SSO / SAML連携でガバナンスを確立

【つまずきポイント】
「社員がそれぞれ勝手にアカウントを作ってしまっては、結局誰がAIを使っているのか管理部門で把握できない」というガバナンスの課題です。

【解決策】
この課題は、SSO（シングルサインオン）やSAML連携といった認証技術で解決します。Microsoft Entra IDやGoogle Workspaceといった既存のID基盤と連携させることで、従業員は社内アカウントでAIにログインする運用に統合できます。

こうした構成を整えることで、管理者はGeminiの利用状況を管理コンソールのレポート（組織でのGemini使用状況確認）から、NotebookLM EnterpriseについてはGoogle Cloudのログ機能（NotebookLM Enterprise監査ログの設定）から、それぞれ「誰が・いつ・どのサービス」を利用しているか正確に把握できます。

さらに、Gemini Enterprise等のライセンスを活用すれば、Google Vault（電子情報開示ツール）を通じてユーザーのやり取り内容を保持・検索・エクスポート可能です（Vaultを使用してGeminiアプリを検索する）。日常的にすべてを監視するのではなく、「有事の際に、いつ・誰が・どのような入出力を行ったかを遡って調査できる体制」を構築できる点が、企業にとっての大きなメリットです。

また、退職時には社内IDを無効化するだけで即座にアクセス権を剥奪できるため、個人アカウント利用時に懸念される「退職後の情報持ち出し」リスク低減につながります。

③機密データの外部流出を確実に防ぎたい → VPC Service Controlsによるデータ境界

【つまずきポイント】
金融機関や医療機関、あるいは厳格な情報管理が求められる大企業では、「社内ネットワークの外からは絶対にアクセスさせたくない」「データが外部ストレージにコピーされるのを防ぎたい」という強固なネットワーク要件が求められます。

【解決策】
ここで活躍するのがGoogle Cloudの「VPC Service Controls」という高度なセキュリティ機能です。これは例えるなら、クラウド上に「目に見えないデジタルの無菌室（データ境界）」を作るような仕組みです。この見えない壁の中（会社が許可したネットワークや特定の端末）からしかAIサービスにアクセスできなくし、かつ、AIが処理したデータへのアクセスを、許可されたネットワークやリソースの範囲内に制限することで、意図しないデータ持ち出しや外部アクセスのリスクを低減することができます。

④クレジットカード決済ができない → リセラー経由の請求書払い

【つまずきポイント】
「悩み③」でも挙げた通り、大学や大企業ではクレジットカード決済ができず、システムは完璧でも「支払い」で導入が頓挫するケースです。

【解決策】
この実務上の壁は、Google Cloud の公式パートナー（リセラー）を経由して契約することで解決します。クラウドエースのようなパートナーを通すことで、日本の商習慣に合わせた「請求書払い（銀行振込）」での契約が可能になります。それだけでなく、複数部門でバラバラに行われていた契約や請求を一つに一本化したり、自社の利用状況に合わせた最適なライセンス体系の提案を受けたりと、管理の手間とコストを大幅に最適化することができます。

「守り」の先にある「攻め」のAI活用

ここまでのシャドーAI対策は、企業における「守り」の施策です。しかし、安全な基盤が整って初めて、企業は社内のあらゆるデータを価値に変える「攻め」のAIデータ活用へと踏み出すことができます。

RAG（検索拡張生成）による社内ナレッジのフル活用

業務で本当に必要なのは、「一般的な正解」ではなく「自社独自のナレッジ」です。安全な環境が確保できたら、次はRAG（Retrieval-Augmented Generation：検索拡張生成）という技術の出番です。

Google CloudのVertex AIを活用して高度なRAG環境を構築すれば、Googleドライブ内に眠っている過去の提案資料、ベテラン社員の施工ノウハウ、テキスト化・構造化された設計資料や図面データ、さらには名刺情報やメールの履歴までを横断的に検索し、AIが的確に要約して答えてくれる「超優秀な社内アシスタント」を作ることができます。

エンタープライズサーチがもたらす変革

「あの資料、どこにあったっけ…」とファイルサーバーを探し回る時間は、企業にとって大きな損失です。セキュアなAI基盤の上で「エンタープライズサーチ（企業内検索）」を実現すれば、従業員はチャット画面から質問するだけで、必要な社内データに瞬時にアクセスできるようになります。安全な基盤があるからこそ、データ活用という次のステージに安心して進むことができるのです。

まとめ：正しく使える環境の整備から始めよう

本記事の重要なポイントを3つにまとめます。

社員の悩みとシャドーAIリスク：
「便利だから」「クレジットカードがないから」といった理由で管理外のAI利用が広がり、情報漏洩やコンプライアンス違反につながるリスクがあります。

「禁止」ではなく「公式環境」を：
AI利用を禁じるだけでは生産性の低下や問題の地下潜伏を招きます。シャドーAI対策の正解は、データが学習されない安全な公式ツールを用意することです。

法人導入の実務課題を乗り越える：
Gemini EnterpriseやNotebookLM Enterpriseの導入、SAML連携、VPC Service Controlsによる防御、そしてリセラー経由での請求書払いを組み合わせることで、強固なガバナンスと利便性を両立できます。

シャドーAI対策は、単純に「禁止」のルールを作ることではなく、従業員が「正しく・安全に使える環境の整備」から始まります。放置すればするほどリスクは膨らんでいきますので、まずは自社の環境見直しからスタートしてみてはいかがでしょうか。