AI利用社員の4人に1人が機密情報を入力…企業の“見えないリスク”を管理する方法

●この記事のポイント
・業務でAIを使う社員の4人に1人が機密情報を無警戒に入力している実態が判明、企業のAIガバナンスが喫緊の経営課題となっている。
・株式会社サイバーセキュリティクラウドが子会社DataSignと連携し、AIデータフローを可視化・制御・監査する統制プラットフォーム『AI MONBAN』を6月9日より提供開始した。
・MCP（Model Context Protocol）を介した外部サービス連携にも対応し、AIエージェント時代の新たなリスクに正面から向き合うサービスとして注目される。

　生成AIは、もはや一部の先端企業だけのものではない。社員証を持つ普通のビジネスパーソンが、毎朝の業務開始とともにChatGPT（あるいはClaudeやGemini）を立ち上げ、顧客の名前を打ち込み、契約書の文面を貼り付ける。その光景は、今や日本中のオフィスで当たり前になっている。

　だが、その「当たり前」の裏側に、見えないリスクが積み上がっていた。株式会社サイバーセキュリティクラウド（以下CSC）の調査によれば、業務でAIを利用する会社員の約4人に1人が、財務データや顧客名・契約書といった機密情報を、漏洩リスクを意識せずにAIへ入力している。生成AIの業務利用が6割を超えた今、「ルール徹底」だけでは防ぎきれない時代が来ている。

　6月9日、CSCは100%子会社である株式会社DataSignと連携し、企業のAI利用の「門番」となる統制プラットフォーム『AI MONBAN（エーアイモンバン）』の提供を開始した。東京・目黒で開催された記者説明会には、CSC代表取締役CTO渡辺洋司氏、プロダクト本部長山田ケイ氏、DataSign代表太田祐一氏の3名が登壇し、急拡大するAIリスクの実態と、その処方箋を示した。

●目次

• 禁止しても使い続ける――現場の「シャドーAI」という現実
• AIエージェント時代の新たなリスク――MCPが開けた「扉」
• “門番”の正体――AI MONBANが持つ4つの機能
• 「禁止でも野放しでもなく」――ガバナンスという第三の道

禁止しても使い続ける――現場の「シャドーAI」という現実

　企業がどれほど「AI利用禁止」と叫んでも、現場は動じない。CSCの調査では、勤務先でAI利用を禁止された場合でも「他の方法を使って使い続ける」「転職を検討する」と回答した社員が37%にのぼった。AIはすでに、多くのビジネスパーソンにとってなくてはならないインフラになっている。

　一方で、ルールが整備されている企業は33%にすぎず、45%はガイドラインすら存在しない。使う側はAIに依存しているのに、管理する側の半数以上が体制を整えられていない。この非対称性こそが、今日の企業が直面する本質的な課題だと、山田氏は言い切る。

「生成AIが突然使えなくなった場合、業務に大きく影響すると答えた方が65%いました。もはや電気や水道と同じインフラです。禁止で解決しようとすること自体、現実と乖離しています」

　把握されていないAI利用が組織内に拡散し、ガバナンスが空洞化する。これが「シャドーAI」問題の実態だ。

AIエージェント時代の新たなリスク――MCPが開けた「扉」

　問題はさらに複雑さを増している。生成AIにGmailやSlack、社内データベースを接続し、自律的にタスクをこなす「AIエージェント」の導入が急速に進んでいるからだ。その連携を可能にするのが、MCP（Model Context Protocol）と呼ばれる標準プロトコルである。

　MCPとは、AIと外部サービスを「共通の規格」でつなぐ仕組みだ。たとえばAIに「先週の重要メールを要約して」と指示すれば、MCPを介してGmailにアクセスし、内容を取得・整理して返してくれる。さらに「打ち合わせの日程をAさんに返信しておいて」と頼めば、そのまま送信まで実行する。人間が一つひとつ操作しなくても、AIが代わりに動いてくれる……それがAIエージェントの世界だ。