ブラジルの自学AI人材：熱意がガバナンスを上回る

ブラジルの公務員たちは、許可を待ちませんでした。研修プログラムも待ちませんでした。エンタープライズライセンスやITヘルプデスクの承認も待たず、自らAIを学び、職場で使い始め、— データによれば — 実際に成果を上げています。

問題は、こうした取り組みが何のガードレールもないまま進められていることです。

主なポイント

1. ブラジルは世界で最も自学自習型AI人材が多い国 — それが課題。 ブラジルの公務員の67%が、AIの知識は完全またはほぼ独学だと回答しており、これは指数で最も高い割合です。52%は「完全に独学」と答えています。これは研修の成功例ではありません。誰も支援しなかったため、自ら学び、今や正式な指針も承認済みツールも監査証跡もないまま、政府データでAIを使っているのです。
2. ブラジルは総合5位だが、イネーブルメント（活用基盤）は最下位。 ブラジルの総合スコアは100点中49点で、イギリス、アメリカ、ドイツ、日本、フランスを上回り、指数で5位です。しかし、イネーブルメント（活用基盤）は41点と、すべての国の中で最低です。60%以上が「組織がAIを効果的に使うためのツールやリソースを提供していない」と回答。5人に1人以上が職場でAIツールに全くアクセスできていません。
3. 熱意は非常に高いが、組織は追いついていない。 ブラジルの公務員の83%が「AIは効果的」と回答し、89%が「時間を節約できる」と答えています。65%が公共部門でのAIに楽観的です。しかし、68%が「リーダーがAI活用の明確な方針を示していない」とし、49%は「何か問題が起きた時に誰に相談すればよいかわからない」と答えています。熱意と組織の準備状況のギャップは、指数の中で最も大きくなっています。
4. 63%が過去1年以内に職場でAIを使い始め、その多くが独自に導入。 ブラジルでのAI導入は最近始まり、急速に進み、ほぼ完全に自発的です。国家戦略や組織的な展開が主導する先進国とは異なり、ブラジルの導入は草の根的です。これにより大きな勢いが生まれる一方、非公式な利用が組織のあらゆるガバナンスを上回るため、ガバナンスリスクも大きくなります。エージェンティックAIシステムが自律的に行動できるようになると、このガバナンスリスクはさらに拡大します。
5. ブラジルの公務員の約2人に1人が「AIを方針通りに使えている自信がない」。 39%が「職場の方針に沿ってAIを使えている自信がない」と回答。4人に1人は「職場がAIを有効活用するのを妨げている」と感じています。個人の責任が組織のガバナンスを上回ると、リスクは組織ではなく公務員個人に降りかかります。

Public Sector AI Adoption Index 2026（パブリック・セクターAI導入指数2026）は、Googleの協賛のもと、Center for Data InnovationのためにPublic Firstが実施し、10カ国の公務員3,335人（うちブラジル382人）を調査しました。ブラジルは100点中49点で5位となり、イギリス（47点）、アメリカ（45点）、ドイツ（44点）、日本（43点）、フランス（42点）を上回っています。

表面的には好成績ですが、各ディメンションのスコアを詳しく見ると、統治すべき組織よりも現場の人材が先行しているという、まったく異なる実態が浮かび上がります。

ブラジルのパラドックスを示す数字

この指数は、公務員がAIをどう体験しているかを、熱意・権限付与・活用基盤・組み込み・教育の5つのディメンションで測定しています。ブラジルのスコアは、調査全体で最も大きな「熱意とインフラのギャップ」を物語っています：

• 熱意：60/100 — 指数で4番目に高いスコア。65%の公務員がAIに楽観的。83%が「効果的」、89%が「時間を節約できる」と回答。
• 教育：54/100 — 一部研修はあるものの、約半数が正式なAI研修を受けていません。67%が「AI知識は完全またはほぼ独学」と回答し、指数で最も高い割合です。
• 権限付与：46/100 — 68%が「リーダーがAI活用の明確な方針を示していない」と回答。約2人に1人が「職場方針に沿ってAIを使えている自信がない」としています。
• 活用基盤（イネーブルメント）：41/100 — 指数で最も低いスコア。60%以上が「組織がAI活用に必要なツールやリソースを提供していない」と回答。5人に1人以上が職場でAIツールに全くアクセスできていません。自分の仕事に最適なAIツールを使っていると答えたのはわずか15%です。
• 組み込み：44/100 — まだ初期段階または部分的な統合で、AI活用はシステム的な支援よりも現場の自主性に依存しています。

ブラジルの公務員の63%が、過去1年以内に職場でAIを使い始めました。その多くが独自に導入しています。また、49%が「問題が発生した場合、誰に相談すればよいかわからない」と答えています。

つまり、現場の人材がゼロからAI活用能力を築き上げ、今やほとんど組織的なインフラなしで大規模に運用しているのです。

熱意の裏に潜むシャドーAI危機

ここで、ブラジル政府のセキュリティリーダーが見逃してはならない、指数のグローバルな調査結果があります。

指数全体でイネーブルメントが低い環境では、熱心なAIユーザーの64%が職場で個人アカウントを使い、70%が上司に知られずにAIを業務利用しています。

ブラジルはイネーブルメントスコアが最も低く（41/100）、熱意スコアは最も高い部類（60/100）です。これは、調査対象国の中で最も深刻なシャドーAIリスクを生み出す組み合わせです。

実際に何が起きているか考えてみてください。連邦・州・市町村の公務員が、個人のChatGPTやGeminiなどのAIアカウントで文書作成、データ分析、案件要約、市民情報の処理を行っています。ブラジル一般データ保護法（LGPD）やANPDの越境データ移転規制で保護される機微なデータも、監査証跡もデータ分類管理もなく、何が漏洩したか後から特定できないまま、パブリックな大規模言語モデルに取り込まれている可能性があります。

このリスクはさらに拡大しています。AIが単なるチャットボットからエージェンティックシステム（自律的に推論・行動・リソースにアクセスするAI）へ進化することで、統治されないアクセスの影響は何倍にもなります。設定ミスのAIエージェントが数分で数千件の機密データを漏洩させることもあり、人間の内部不正よりはるかに速いのです。エージェントを導入するたびに、APIアクセスやマシン間認証が必要な非人間IDが増えますが、従来のID管理システムはこれに対応していません。ブラジルでは、導入が組織的な管理を上回っているため、エージェンティックAIの登場は既存のガバナンスギャップを緊急の構造的脆弱性に変えています。

さらに、ブラジルの状況を特に危険にしているのは、パブリックAIツールの利用が法的責任を組織から個人に移す可能性がある点です。すでに39%の公務員が「AI利用が職場方針に沿っているか自信がない」と答えており、承認済みのシステムや明確なガイドラインもない中で、組織が負うべきコンプライアンスリスクを個人が背負う構図になっています。

ここで議論を「ブラジルの熱意を称賛する」から「その熱意を守る」方向に転換する必要があります。このギャップを埋めるためのインフラは、Claude、ChatGPT、CopilotのようなツールでAI生産性を高めつつ、機密データをプライベートネットワーク内にとどめることが求められます。既存のガバナンスフレームワーク（RBAC/ABAC）は、エージェントが発動するAI操作も含め、すべてのAIインタラクションに拡張されるべきです。全AI操作はコンプライアンスとフォレンジックのために記録され、機密コンテンツは信頼できる環境から決して外に出してはなりません。KiteworksのSecure MFT Serverはこのアプローチの一例で、AIインタラクションをOAuth 2.0認証で保護し、既存の組織ポリシーで統治されたプライベートデータネットワーク内にとどめます。ブラジル政府組織にとって、LGPDおよびANPDの規制枠組みに準拠することは、こうした保護策が既存のコンプライアンス義務（PL 2338/2023の進化する要件も含む）に直接対応することを意味します。

逆に、独学の人材がパブリックAIツールで政府データを扱い続け、何の監督もない状態を放置することは、熱意ではなく、データ保護インシデントの予兆にすぎません。

関心とインフラのギャップ：ブラジルの強みが脆弱性となる理由

この指数におけるブラジルのストーリーは、他国とまったく異なります。米国や英国では、ツールへのアクセスはあるものの自信が持てず活用が進まない「曖昧さ」が課題です。フランスやドイツでは、AIにほとんど関与しない「惰性」が課題です。先進導入国（シンガポール、サウジアラビア、インド）では、熱意と組織インフラが両立しています。

ブラジルは独自のカテゴリーに属します。圧倒的な熱意、深い自学自習能力、そしてほぼ皆無の組織的支援です。

数字がこの状況を如実に物語ります。ブラジルはラテンアメリカで最も強固なデジタル基盤を持ち、gov.brプラットフォーム、広範なデジタルID、PIXによりデジタルに積極的な国民と豊富なデータ環境が生まれています。国家レベルでは、2024～2028年の国家AI計画がG20議長国として公共サービス向上にAI活用を明確に掲げています。州レベルでもゴイアス州、パラナ州、ピアウイ州などがAI法や規制サンドボックスを先駆的に導入しています。

しかし、こうした上層の投資は現場には届いていません。61%の公務員が「組織がAI活用に必要なものを提供していない」と回答。自分の仕事に最適なAIツールを使っていると答えたのはわずか15%。49%は「誰に相談すればよいかわからない」と答えています。アクセスは主にパブリックなツールに限られ、エンタープライズや自社システムの利用は限定的です。

その結果、AI導入が急拡大する一方で、まったく管理されていない公共部門が生まれています。データ保護の観点では、管理されていない熱意は、熱意がないよりもはるかに危険です。

欠落しているレイヤー：ブラジル政府に必要なAIデータガバナンス

ブラジルの規制環境はすでに複雑で、今後さらに複雑化します。LGPD、ANPDの越境データ移転規則、そしてPL 2338/2023の成立可能性など、政府組織が対応すべき義務が重層的に存在します。AIが個人アカウントで非公式に導入され、組織的なガバナンスがない場合、これらの義務を満たすことは不可能です。

多くのブラジル政府組織は、どのデータがAIシステムと共有されているか把握できていません。どの公務員が何の目的でAIを使っているのか？AI生成物に市民の機微情報が含まれていないか？AIツール利用時にどうやってデータ分類ポリシーを適用するのか？多くの組織では「全く把握できない」というのが現状です。なぜならAI利用が完全に組織外で行われているからです。

この可視性ギャップは、AIが受動的なツールから能動的なエージェントへ移行することで、さらに深刻になります。エージェンティックAIシステムはプロンプトを待たず、複数工程を自動実行し、データベースや外部APIに独立してアクセスします。各エージェントは非人間IDを生み出し、これを保護する必要がありますが、多くの政府ID管理システムは大規模対応できません。データ層のセキュリティ、ゼロトラストガバナンス、コンテキスト認識型認可、人間・AIエージェントを問わずすべてのインタラクションの統合的可視化は、もはやオプションではありません。

ここでAIデータガバナンスフレームワークが不可欠となります。これは、ブラジルが築いた勢いを妨げる障壁ではなく、その勢いを持続可能かつコンプライアンス対応にするためのインフラです。データセキュリティポスチャー管理（DSPM）機能により、AIシステムに取り込まれるデータも含め、リポジトリ全体で機密データを発見・分類できます。自動ポリシー適用で、分類ラベルに基づき特権データや機密データのAI取り込みをブロック可能です。包括的な監査ログで、すべてのAI-データインタラクションを追跡できます。LGPDおよびANPDの規制枠組みに沿うことで、こうした機能はデータライフサイクル全体でAIリスクを統治する助けとなります。

このギャップを埋めるために必要な機能は明確です。DSPMの統合、自動ポリシー適用、不変の監査ログ。すべてのAI-データインタラクションは、ユーザーID、タイムスタンプ、アクセスデータ、利用AIシステムとともに記録されるべきです。Kiteworksのプライベートデータネットワークは、これらの機能を統合し、AIによる異常検知で通常アクセスしない大量データリクエストなどの不審な動きを即座に検知します。個人の導入が組織の準備を上回るブラジルでは、こうしたインフラは勢いを損なうのではなく、守るものです。

ブラジル公務員が政府に求めていること

指数のデータは、「足を引っ張られたくない」のではなく、「支援してほしい」と願う現場の声を示しています。

49%が「AIで問題が起きたとき誰に相談すればよいかわからない」と回答。61%が「組織が必要なものを提供していない」と答えています。約2人に1人が「AIを方針通りに使えている自信がない」、4人に1人は「職場がAI活用を妨げている」と感じています。

AI利用を促進する要因は、どの国でも「明確なガイダンス」「使いやすいツール」「データセキュリティの保証」の3つが上位です。専用予算は下位です。ブラジルの公務員は、予算も研修もエンタープライズライセンスもなくAIを導入してきました。今必要なのは、現状の利用を安全・コンプライアンス対応・効果的にする組織インフラです。

なぜイネーブルメントがブラジルの成否を分けるのか

ブラジルのイネーブルメントスコアは41/100で、指数で最も低い値です。グローバルデータは、イネーブルメントがシャドーAIリスクにどれほど重要かを示しています。

世界的にイネーブルメントが低い組織では、個人でAIを使っている公務員の33%が職場では全く使っていません。アクセスのギャップが、慣れ親しんだツールの公共部門での生産性転換を妨げているのです。しかしブラジルでは逆です。公務員は組織的な支援がなくても、個人ツールで政府データを使いAIを活用しています。これはイネーブルメントのギャップではなく、ガバナンスの緊急事態です。

全世界で、AIの組み込み度が高い職場では61%が高度なAI活用の恩恵を受けているのに対し、組み込みが低い職場ではわずか17%です。ブラジルの組み込みスコア（44/100）は初期段階の進展を示しますが、指数は「イネーブルメントなき組み込み」は脆弱であり、個人のイニシアティブに依存しているため、いつでも停滞やリスクに転じる可能性があることを明らかにしています。

ブラジルの勢いを守るための3つの優先事項

指数は、ブラジルの草の根AI導入を持続可能な組織主導の変革に変えるために、3つのアクションを同時かつ迅速に進めるべきだと示しています。

第一に、信頼できるセキュアなAIツールと基盤インフラへのアクセス拡大。 ブラジルの最も弱いスコアはイネーブルメントです。公務員は、組織が代替手段を提供していないため、個人やパブリックなツールに頼っています。承認済みのエンタープライズグレードAIツールと必要なクラウド・データインフラへのアクセスを拡大する政策は、非公式利用をガバナンス下に引き込みます。エージェンティックAIが政府業務に入る今、ゼロトラストガバナンス、マシン間認証、サンドボックス実行、リアルタイム異常検知が人間ユーザー同様に不可欠です。KiteworksのSecure MFT Serverのようなプラットフォームは、Claude、ChatGPT、CopilotなどのAIツールで生産性を高めつつ、機密データをプライベートネットワーク内に保ち、完全なコンプライアンス記録とLGPD・ANPDフレームワークへの整合性を実現します。承認済みツールが個人アカウント並みに使いやすく、かつ安全・記録・コンプライアンス対応であれば、導入は減速しません。むしろ安全性が高まります。

第二に、実践的な研修と明確なAI利用方針・インシデント対応体制の整備。 認知度や楽観論は高いものの、多くの公務員は正式な研修やAI利用への自信を持っていません。短時間・実践的・役割別の研修と、日常業務で安心して使える明確なAI利用方針を組み合わせるべきです。「何が許可されているか」「データをどう扱うべきか」「どこに相談すべきか」の明確なガイダンスが、非公式利用をガバナンス下に引き込みます。また、インシデント対応能力も並行して必要です。不変の監査ログ、SIEM連携、証拠保管の連鎖がなければ、すでに広がっている独学AI利用はLGPD下で計り知れないコンプライアンスリスクとなります。

第三に、実験から大規模展開への明確な道筋をつくること。 ブラジルのAI導入は個人のイニシアティブが原動力であり、これは大きなチャンスです。高い熱意と自律的な利用は、学習・実験・ピア間発見の文化を育む素地です。これを大規模に活かすには、組織的な構造と、立法や規制サンドボックスによる明確な政府の指針が必要です。AIツールがエージェンティック機能に進化する中、こうしたサンドボックスには自律AIシステムのガバナンス規定も盛り込むべきです。ゴイアス州やパラナ州はすでに先行しており、これを全国に拡大すれば、草の根導入に持続可能な組織的基盤を与え、全社的な変革につなげられます。

順位以上に重要なもの

ブラジルがこの指数で5位となったのは立派ですが、この数字は「時限爆弾」を覆い隠しています。独学の公務員がパーソナルAIツールで政府データを扱う1日ごとに、LGPD下でのコンプライアンスリスクが積み重なります。承認済みエンタープライズツールがない1週間ごとに、市民データが政府の監視・監査・制御が及ばないシステムを流れます。明確なAIガバナンスがない1カ月ごとに、本来組織が負うべき法的責任が、より良い仕事をしようとする個々の公務員に転嫁されます。AIエージェントがより自律的かつ普及するほど、攻撃対象領域も拡大します。

ブラジルの公務員は、米国・英国・ドイツ・フランスの同僚よりも早く、より積極的にAIを導入しました — 求められず、研修もなく、ツールも与えられない中で。それはブラジル公務員の創意工夫と行動力の証です。

しかし、インフラなき創意工夫はリスクであり、戦略ではありません。この指数で調査された382人のブラジル公務員は、すでにAIを受け入れる姿勢を示しています。今問われているのは、政府が彼らに必要なセキュアなツール、明確な方針、データガバナンスを提供できるかどうかです — 熱意がリスクに転じる前に。