シャドーAI(IT 部門の許可なく社員が勝手に使う ChatGPT・Claude などの生成 AI)が、日本企業に静かに広がっている。生成 AI を業務で使う日本企業は 57.7%(NRI 2025 調査)。一方で「使い方のルールを整備できている」のは たった 2 割。差し引き 4 割弱の企業が「使ってはいるが管理していない」状態で放置されている。
放置するとどうなるか。Samsung は ChatGPT 解禁から 20 日で半導体ソースコードを 3 件流出させた(2023 年 4 月)。社員が AI に入力するデータの 34% が機密情報(2 年前の 10.7% から 3 倍超に急増)。そして IT セキュリティチームが見えているのは 10% だけ、残り 90% は把握不能。
規制も動く。個人情報保護委員会(個人情報保護法を所管する政府機関、PPC)は次回改正で「課徴金制度」(個人データを 1,000 件超不正利用した事業者から違反利益相当額を取り上げる仕組み)を導入する方針を 2026 年 1 月 9 日に確定済み。改正案は 2026 年通常国会に提出予定。施行されれば、シャドーAI 経由の漏洩は会計上の損失として可視化される。企業が「対策を入れる経済合理性」を初めて持つ瞬間が来る。
とはいえ中堅企業(従業員 300〜3,000 人、情シス専任 2〜5 名規模)は、コンサル大手(NTTデータ・NRI セキュア・デロイト・PwC)に発注すると数百万〜億円。海外 SaaS(Netskope・Zscaler・Palo Alto)はライセンスだけで年数千万円。Microsoft Purview は M365 E5 ライセンス前提で、E3 のままの中堅企業は使えない。「やるべきだが、やる手段がない」企業が大量に放置されている。これが市場機会。
ひと言で言うと「日本の中堅企業の情シス 2 名が、月 30 万円で、来週から使えるシャドーAI 統制 SaaS」を作る。提供価値は 4 つの柱に分けて整理できる。
社員のブラウザに入れる Chrome/Edge 拡張機能と、Microsoft 365 / Google Workspace の監査ログ(誰がいつ何をしたかの記録)から「誰が・いつ・どの AI ツールに・どんな内容を」送ったかを抽出する。Harmonic Security(米国の独立スタートアップ、シャドーAI 検知の世界ベンチマーク)が採用した「ゼロタッチ」方式(証明書配布や大規模インフラ変更を要求しない導入)を踏襲する。
日本企業の就業規則・内部規程にそのまま組み込めるひな形を 業種別に提供。医療(電子カルテや患者氏名の混入リスク)/建設(図面・原価情報)/製造(設計ノウハウ・歩留まり)/金融(顧客口座・与信情報)/SI(顧客のソースコード)。経済産業省・総務省「AI 事業者ガイドライン第 1.1 版」(2025 年 3 月公表、罰則なしの自主指針)と東京都「AI 導入・活用ガイドライン」(2026 年 3 月更新)の必須要件をチェックリスト化する。海外製品はすべて GDPR や SOC2(米国の情報セキュリティ監査基準)ベースで、経産省・PPC 文書の要件を内蔵した製品は現状ない。
全社員向けの生成 AI リテラシー e ラーニング(10 分動画 ×5 本+理解度確認テスト)。修了証を人事システムに連携する。AI 事業者ガイドラインが要請する「教育・研修」要件を埋めるパーツ。
PPC 課徴金制度の施行を見据え、「漏洩疑義時に当局へ提出できる証跡」を自動生成する。AI に入力されたデータの種類・タイムスタンプ・送信先・ブロック実績を時系列で残す。漏洩した瞬間に「何を出したか説明できる」状態が、課徴金額の交渉材料になる。
市場の数字を整理する。世界・国内ともに同じ方向感(伸びる、しかも速い)を示している。
| 指標 | 2024〜2025 | 2030〜2034 | 年成長率 | 出典 |
|---|---|---|---|---|
| AI TRiSM 市場 | $2.34B | $7.44B(2030) | 21.6% | Grand View Research |
| AI ガバナンス SW 支出 | $3.8B | $15.8B(2030) | 30% | Forrester |
| AI ガバナンスプラットフォーム | $185.5M | $3.6B(2034) | 39% | Dimension Market Research |
| 生成 AI 全体支出(参考) | $644B(2025) | — | +76%/年 | Gartner |
AI TRiSM は Gartner が命名した概念で「AI Trust Risk Security Management」の略。AI のリスク管理・セキュリティを統合した領域全体を指す。狭義の「シャドーAI 管理」はこの一部だが、事業として狙うべきはこの広域の枠で考える方が筋が良い。
国内側の数字。生成 AI 導入率 57.7%(NRI 2025)に対しルール整備済みは約 2 割。業種別では社会インフラ 60.8%、金融保険 54.4%、ソフトウェア・情報サービス 54.6%、建築・土木 50.0%(JUAS 調査)と、上場企業中心に幅広く導入が進んでいる。PwC Japan 2025 年春調査では「日本企業は生成 AI による効果創出が米英の 1/4 水準」。使ってはいるが使いこなせていない、ガバナンスがないと事故が起きる、というジレンマが既に顕在化している状態。
規制ドライバーは 2 つ。経産省・総務省「AI 事業者ガイドライン第 1.1 版」(2025 年 3 月、罰則なし)が今すぐの自主対応を促し、PPC 課徴金制度(2026 年改正案)が施行されれば対応の経済合理性を一気に押し上げる。AI 推進法(2025 年 9 月 1 日全面施行)は「世界一 AI フレンドリー」志向で罰則を持たないが、政府調達基準を強化する流れは確実視されている。上場企業や自治体取引のある中堅企業には間接的な遵守圧力がかかる。
2025 年のシャドーAI 業界を一言で言うと「独立スタートアップが大手に次々と買収された年」。下のタイムラインで主な動きが見える。
| 被買収企業 | 買収企業 | 金額 | 時期 |
|---|---|---|---|
| Robust Intelligence | Cisco | 非公開($400M 推定) | 2024年10月 |
| Protect AI | Palo Alto Networks | $500M | 2025年7月 |
| Lakera | Check Point | $300M | 2025年9月 |
| Prompt Security | SentinelOne | 約$250M | 2025年9月 |
| CalypsoAI | F5 Networks | $180M | 2025年9月 |
| Wiz | Google Cloud | $32B | 2025年(進行中) |
独立した専業プレイヤーとして残っているのは Harmonic Security(シリーズ A で 17.5M ドル調達、80 名弱)がほぼ唯一。買収統合の混乱期にプロダクトを動かせるのは独立勢の強みだが、Harmonic も英語前提・大企業向け価格帯のため、日本中堅企業の救済には届かない。
専業 SaaS で正面から立っているプレイヤーは事実上不在。コンサル系・診断系・既存 SaaS の AI 機能は揃ってきたが、シャドーAI 専業の中堅向け SaaS は空白のまま。
国内コンサル大手(デロイト・PwC・EY・KPMG・アクセンチュア)はすべて数百万〜億円のコンサル提供。中堅企業の予算では届かない。
すべて 1〜3 か月で検証できる粒度に切ってある。①と③から先に出して反応を見て、②④⑤に展開する順番を想定。
判断材料の総括。市場は伸びる(CAGR 21〜39%)、規制ドライバー(PPC 課徴金)が 2026 年に控える、海外勢は買収統合で混乱中、国内専業 SaaS は ChillStack の上市待ち(7 月)。タイミングとしては「今やるか、ChillStack の市場反応を見てから判断するか」の二択になる。
GO の場合。MVP ①(Chrome 拡張+日本語 DLP)と③(業種別ポリシーウィザード)の同時着手と、中堅企業 10 社ヒアリングの段取りから動かす。ChillStack より先に「日本語・日本法準拠・業種別」の 3 点で差別化を立てる。
NO-GO/保留の場合。観測点 2 つを定点監視する。① ChillStack「Stena AI」のリリース反応(2025 年 7 月)、② PPC 課徴金制度を含む個人情報保護法改正案の 2026 年通常国会審議の進捗。市場が動いた瞬間に再判断する方が合理的。
調査で見送ったが要観察。日本中堅企業の生成 AI 管理現場の生の声(ヒアリングしないと埋まらない)、Harmonic Security の日本上陸有無(独立勢の動き)。
原本:Obsidian 1.businessideas/あんしん・シャドーAI.md