「シャドーAI」という言葉が、最近どうにも気になっている。
社員が、会社が契約していないChatGPTやClaudeを、自分のアカウントで業務に使っている。議事録を要約させる。提案書のたたきを書かせる。プログラムのバグを直させる。顧客からのメールへの返信案を作らせる。──こうした行為に対して、情報システム部門や法務部門が眉をひそめ、「これはシャドーITならぬシャドーAIだ、ガバナンスが効かない」と警鐘を鳴らす。最近のビジネスメディアでも、その文脈で語られる記事が増えてきた。
論調はだいたい同じだ。
情報漏えいのリスクがある。誤情報のリスクがある。著作権侵害のリスクがある。責任の所在が曖昧になる。だからガイドラインを整え、ホワイトリストを作り、利用申請のプロセスを通し、AIガバナンス体制を敷くべきだ──と。
それぞれの主張は、まったくもって正しい。正しいのだが、どうも腑に落ちない。
腑に落ちない理由を言葉にすると、こうなる。「シャドーAI」という名づけ方そのものが、問題の輪郭をぼかしてしまっているのではないか。
「使っていること」が問題なのではない
少し冷静に現場を見てみる。
経営企画の若手は、すでにAIに競合分析の下調べをさせている。営業のマネージャーは、客先資料の構成をAIに相談している。法務担当でさえ、契約書のドラフトレビューの初手としてAIに目を通させている。情シスの担当者ですら、AIにシェルスクリプトを書かせている。
これは、もう「シャドー」ではない。
組織が認めようと認めまいと、AIはすでに業務プロセスのなかに入り込んでいる。生成AIの普及スピードを考えれば、これは異常事態でも逸脱でもなく、単に既成事実が制度に先行しているというだけの話だ。歴史的に見れば、表計算ソフトもクラウドストレージもSlackも、最初は「シャドー」として現場に入ってきた。
つまり「シャドーAI」というラベルは、現象としては正しいが、問題の本質を捉えていない。
本当に問題なのは、「社員がAIを使っていること」ではない。
問題は、AIが生成した出力──提案書、分析、回答、コード、判断材料──を、最終的に誰が、どの範囲で、どこまで引き受けるのか。それが、組織のなかで、ほぼ何も設計されていないということだ。
「最後に人間が確認する」では足りない
ここでよく出てくる反論がある。
「うちは、AIの出力は必ず人間が確認してから使う運用にしている。Human-in-the-Loop(HITL)です」──と。
確かに、AI業界でもAIガバナンスの世界でも、HITLは長らく中心的な原則とされてきた。AIに完全に任せるのではなく、人間が間に入って判断を担保する。理屈としては筋が通っている。
ただ、現場でこの「人間が確認」が、どう機能しているか。
正直に書くと、ほとんどのケースで、それは「確認したことにする」儀式に近い。
AIが書いた20ページの提案書を、忙しい担当者が本当に読み込んで判断しているか。AIが提示した与信スコアの根拠を、審査担当者がひとつひとつ咀嚼しているか。AIが要約した顧客対応の経緯を、上司が原文と突き合わせて検証しているか。
していない、というのが現実だろう。読んだことにする。確認したことにする。承認したことにする。──そして、何か起きたときには「最終確認をした人間」が責任を負う、という建て付けになっている。
これは責任設計ではない。責任の押し付け先を、構造的にひとり用意しているだけだ。
HITLという考え方自体は重要だが、「人間を最後に置く」だけでは、判断の責任構造はむしろ脆くなる。AIが優秀になればなるほど、人間は中身を見ずに承認しがちになり、そのときの責任は「中身を見なかった人」ではなく「最後にハンコを押した人」に流れ着く。皮肉な話だ。
ガバナンスでも、DXでも、倫理でも届かない場所
ここで、いくつかの既存の概念を並べてみる。
AIガバナンスは、組織としてAIをどう統制するかというルール設計だ。重要だが、ガバナンスは「使い方の制約」を定めるものであって、「判断責任の流れ」までは設計しない。
DX(デジタル・トランスフォーメーション) は、業務プロセスや顧客体験のデジタル化を指す。これも重要だが、DXは効率化と変革の話であり、判断の所在を問う概念ではない。
Automation(自動化) は、業務を機械に任せるという発想だ。任せた先で人間がどう関わるかは、ほとんど後付けで決まる。
AI ethics(AI倫理) は、公平性・透明性・説明可能性などの原則を扱う。原則としては正しいが、原則が現場の判断構造にどう接続されるかは、別の問題だ。
これらは、それぞれ重要な視点であり、どれかを軽んじていいわけではない。ただ、どれも単独では、「AI出力を誰が引き受けるのか」という、組織のなかで宙に浮きやすい問いには答えてくれない。
横断する設計概念が、たぶん要る。
「シャドーAI」と呼んでいる問題の正体
ここまで書いてきて、ようやくこう言える気がしている。
シャドーAIと呼ばれている現象は、「社員がこっそりAIを使っている」という表層の問題ではない。
その下にあるのは、
-
AIの出力が、業務プロセスのどこに溶け込んでいるのか
-
その出力に対して、誰が、どこまでの範囲で、どう判断するのか
-
その判断を、組織はどう記録し、どう責任の流れに乗せるのか
──こうした構造が、まるごと未設計のまま、生成AIだけが先に現場に届いてしまったという話だ。
ガイドラインを作っても、ホワイトリストを敷いても、利用申請のフローを整えても、この未設計の構造そのものには手が届かない。なぜなら、それらはすべて「入り口の管理」の話であって、「出口の引き受け」の話ではないからだ。
政府も、同じところを見はじめている
ちなみに、この論点は私のような独立系の論者だけが言っていることではない。
総務省と経済産業省が2026年3月31日に公表した「AI事業者ガイドライン(第1.2版)」では、自律的に動くAIエージェントやフィジカルAIが、初めて明示的にガイドラインの対象として扱われた。同ガイドラインは、AIの出力が公平性や安全性を欠くおそれのある場面では、人間の判断を適切に介在させるべきだという方向性を示している(参照:経済産業省「AI事業者ガイドライン」)。
ニッセイ基礎研究所の整理によれば、第1.2版は「完全にAIに任せる社会」ではなく「人がAIを使いこなす社会」をどう実現するかを問うており、人による自動化バイアスを防ぐ視点や、納得ある理由が必要な場面での人の説明責任に踏み込んでいる(参照:ニッセイ基礎研究所レポート)。
つまり、政策側もすでに、「人間が確認する」だけでは足りないと気づいている。問われているのは、人をどこに、どんな役割で置くかという構造の設計だ。
──ただ、ここまで読んでも、まだ何も解けていない
ここまで書いてきて、自分でも気づいている。
問題の輪郭は描いた。HITLが脆いという話もした。ガバナンスやDXでは足りないとも書いた。政府の方向性も触れた。
それでも、肝心のところには、まだ触れていない。
「では、何を、どう設計するのか」
その問いに対する答えを、私はまだ書いていない。
ここから先は、概念の話になる。少し抽象的になるし、すぐに役立つチェックリストでもない。だが、シャドーAIという表層の言葉で済ませてきたものの底に、何が横たわっていたのかを、ようやく名指しできる場所まで来た気がしている。
それが Decision Design(判断の設計) である。
詳細版について
本稿は、公開範囲を基に構成したInsynergyの日本語サイト版です。詳細な議論と実装上の考察はnoteの詳細版で解説しています。