Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > No category > 政府機関におけるシャドーAIリスク:見えざる危機への対応

政府機関におけるシャドーAIリスク:見えざる危機への対応

by Patrick Spencer updated 2月 11, 2026 サイバーセキュリティー・リスク管理
Reading Time: 12 minutes

米国は、世界で最も先進的なAIエコシステムを有しています。米国企業は最先端のAIモデルを開発し、米国の研究者は画期的な論文を発表し、米国のベンチャーキャピタルが次世代AIスタートアップを支えています。

しかし、政府内でAIを実際に活用するという点では、米国は本来なら大きくリードすべき他国に後れを取っています。

主なポイント

  1. シャドーAIはすでに政府全体のセキュリティリスクとなっている。 承認されたAIツールが提供されていない機関では、64%の公務員が職場で個人アカウントを使用し、70%が上司に知られずにAIを利用しています。市民の個人識別情報(PII)、税務記録、法執行関連ファイルなどの政府データが、監査証跡も監督もインシデント対応能力もない未検証の消費者向けAIツールを通じて流出しています。
  2. 米国は世界のAI開発をリードしているにもかかわらず、10カ国中7位にとどまっている。 米国のパブリックセクターAI導入指数は100点中わずか45点で、南アフリカやブラジルよりも下位です。技術力の差ではなく、ガバナンス、明確な指針、そして公務員が日常業務で安心してAIを使えるセキュアなインフラの不足がギャップの要因です。
  3. AI利用を制限することは、安全に活用するよりもリスクを高める。 AI利用を制限する「慎重に進める」アプローチを取る組織は、利用を止めているのではなく、地下に追いやっています。指数のデータは、承認済みツール、データガバナンス管理、包括的な監査ログによる安全な活用こそがリスクを低減し、生産性向上を実現する唯一の方法であることを示しています。
  4. AIを業務フローに組み込むことこそが真の価値を引き出す。 米国の「組み込み」スコアは100点中わずか39点で、5つの指標の中で最低です。これは、AIの組み込み度が高い環境では61%の公務員が高度なAI活用によるメリットを感じているのに対し、組み込み度が低い環境ではわずか17%にとどまることからも重要です。AIが既存システムに統合されることで、年齢やスキルレベルを問わず生産性向上が広がります。
  5. 公務員が求めているのは予算ではなく、明確さとセキュリティ。 AI利用を促進する要因を尋ねたところ、米国の公務員は「明確な指針」(38%)、「使いやすいツール」(36%)、「データプライバシー保証」(34%)を最重視しました。専用予算は12%で最下位でした。導入障壁は政策、コミュニケーション、賢い調達で解決できるものであり、大規模な新規支出は不要です。

Public Sector AI Adoption Index 2026は、Googleの協賛のもと、Center for Data InnovationのためにPublic Firstが最近発表した調査で、10カ国3,335人の公務員(米国は301人)を対象に実施されました。米国は10カ国中7位、100点中45点という結果で、南アフリカやブラジルより下位、シンガポール(58点)、サウジアラビア(66点)、インド(58点)などの先進的な導入国から大きく遅れを取っています。

これは技術の問題ではありません。ガバナンス、セキュリティ、リーダーシップの問題であり、多くの政府ITリーダーが見過ごしている大規模なシャドーAIリスクを生み出しています。

政府CISOが夜も眠れなくなる数字

この指数は、公務員がAIをどのように体験しているかを「熱意」「教育」「活用環境」「権限付与」「組み込み」の5つの観点で測定しています。米国のスコアは、AIへのアクセスはあるものの、自信や明確さ、安全なインフラが十分に提供されていない職場の実態を浮き彫りにしています:

  • 熱意:43/100 — 世界的にも低いスコア。40%の米国公務員がAIを「圧倒的」と表現。
  • 教育:50/100 — 研修はあるが、入門的で組織間で偏りがある。
  • 権限付与:46/100 — 3人に1人以上が自組織に正式なAIポリシーがあるかどうか知らない。
  • 活用環境:45/100 — ツールはあるが、「アクセス可能」=「安全・コンプライアンス対応」ではない。
  • 組み込み:39/100 — 5つの中で最低スコア。AIツールはレガシーシステムの横に置かれているだけで、業務フローに統合されていない。

米国公務員の約半数(45%)が「ミスを避けるため慎重に進めるべき」と回答。AIの使い方についてリーダーシップから明確な指示を受けていると感じているのは半数未満。AIツールの利用に自信があると答えたのは56%にとどまります。

これらはAIを拒否している職場の数字ではありません。安全に進めてよいという指示を待っている職場の数字です。

シャドーAIという時限爆弾

すべての政府CISOが恐れるべき調査結果があります。

指数の低活用環境では、熱心なAI利用者の64%が職場で個人アカウントを使用し、70%が上司に知られずにAIを業務で利用しています。

政府が承認済みAIツールや明確なポリシー、サポートを提供しない場合、公務員はAIの利用をやめません。自分で、ガードレールの外で使うだけです。その結果は、単なるコンプライアンス違反のチェックボックス以上に深刻です。

米国連邦機関でこれが現実になるとどうなるでしょうか。政府データが監督も監査証跡もデータセキュリティ管理もない個人のChatGPTアカウントを通じて流出。市民の機密情報(PII/PHI、税務記録、法執行データなど)が、要約や分析、文書作成のためにパブリックなLLMに取り込まれる可能性。正確性やバイアス、適切性が検証されていないAIツールによって政策決定が左右されるリスク。HIPAA、FISMA、州のプライバシー法などのコンプライアンス違反の可能性があり、範囲特定のためのフォレンジック証拠も残りません。

皮肉なことに、AI利用を「慎重に」制限しようとする組織ほど、承認済みツールと明確な利用指針を提供する組織よりもはるかに大きなリスクを生み出しています。指数のデータは、調査対象すべての国でこれを裏付けています。

今こそ、「AIを許可すべきか」から「どうやって安全にAIを活用するか」への議論の転換が必要です。KiteworksのSecure MFT Serverのようなソリューションは、このギャップを埋めるインフラの一例です。Claude、ChatGPT、CopilotなどのAIツールで生産性を高めつつ、機密データをプライベートネットワーク内に保持できます。既存のガバナンスフレームワーク(RBAC/ABAC)はすべてのAI操作に拡張され、すべてのAI操作がコンプライアンスやフォレンジックのために記録され、機密コンテンツは信頼できる環境から外に出ません。連邦機関にとっては、FedRAMP中程度認証やホワイトハウスAI覚書、NIST AIリスクマネジメントフレームワークとの整合性により、これらの保護策が既存のコンプライアンス義務に直接対応します。

「アクセス制限で利用を止められる」という幻想は、指数のデータによって完全に否定されました。

翻訳ギャップ:連邦の野心と現場の現実

連邦政府が何もしていないわけではありません。Googleの最新調査によれば、連邦機関の約90%が何らかの形でAIを活用しています。ホワイトハウスの大統領令やAIアクションプランは、AIを戦略的優先事項に位置づけています。行政管理予算局(OMB)はAIガバナンスと調達に関する最新ガイダンスを発出。州CIOは2026年の最優先事項としてAIを挙げ、90%以上の州がAIプロジェクトを少なくとも試験的に導入しています。

基盤は整っています。しかし、指数は機関レベルの活動と現場の体験の間に大きな翻訳ギャップがあることを明らかにしています。

米国の公務員は、指数の中でも個人のAI経験が非常に高いと報告しています。76%が私生活でAIを利用し、そのうち約4分の3(72%)が職場でもAIを使っています。職場でAIを使っている人のほぼ9割(89%)が組織を通じてツールにアクセスできていると回答。約3分の1(32%)はエンタープライズグレードのAIツールにアクセスでき、これは他国より高い割合です。

しかし、そのアクセスが自信や熱意ある利用にはつながっていません。米国の「熱意」スコアは43/100と低く、多くの公務員が日々の業務で明確な役割別メリットを実感できていません。AIは「権限付与」よりも「圧倒的」と形容されることが多く、時間短縮やAIが有効なアシスタントとして機能したと感じる人も少数です。

また、現状の「アクセス」は、連邦環境で求められるセキュリティやガバナンス管理が欠如している場合がほとんどです。多くの機関はデータ保護契約なしに汎用AIツールを提供しており、AIシステムと共有したデータがいつ、誰によって共有されたかを追跡する監査証跡もありません。AIの学習データセットから後からアクセス権を取り消したりデータを削除したりすることもできません。「活用環境」スコアは「利用可能性」を反映しているだけで「安全性」ではありません。政府データが関わる場合、この違いは極めて重要です。

先進的な導入国と比較してみましょう。シンガポールでは73%の公務員がAIの利用可否を明確に理解し、58%が問題発生時の相談先を正確に把握しています。サウジアラビアではトップダウンの国家戦略により、AIは「混乱」ではなく「近代化」として受け止められ、65%がエンタープライズレベルのAIツールにアクセス、79%が高度・技術的業務でAIを活用。インドでは83%の公務員がAIに楽観的で、59%が日常業務を劇的に変えてほしいと考えています。

これらの国が成功したのは、米国より優れた技術を持っていたからではありません。公務員が自信を持ってAIを使えるようにしたからです。明確なルール、承認済みツール、見えるサポート。米国には技術的優位性がありますが、足りないのは「つなぎ役」です。

欠けているレイヤー:AIデータガバナンス

指数によると、米国の公務員は「公共部門でAIをどう活用するかの明確で実践的な指針」(38%)と「データプライバシー・セキュリティの保証」(34%)を求めています。これは抽象的な要望ではなく、あらゆる導入課題の根底にある「AIシステムと共有されているデータの可視性の欠如」という根本的なギャップを指摘しています。

どの従業員が、どんな目的でAIを使っているのか?AI生成物に外部共有すべきでない機密情報が含まれていないか?AIツール利用時にデータ分類ポリシーをどう適用するのか?多くの機関で、これらの問いへの正直な答えは「分からない」です。

ここでAIデータガバナンスフレームワークが不可欠となります。導入の障壁ではなく、自信を持った導入を可能にする基盤としてです。Data Security Posture Management(DSPM)機能により、AIシステムに取り込まれるデータも含め、リポジトリ全体の機密データを発見・分類できます。自動ポリシー適用で、分類ラベルに基づき特権データや機密データのAI取り込みをブロック可能。包括的な監査ログでAIとデータのすべてのやり取りを追跡できます。NIST AIリスクマネジメントフレームワークと連携すれば、データライフサイクル全体でAIリスクをガバナンス・マッピング・管理できます。

Kiteworksのアプローチは参考になります。DSPMと自動ポリシー適用、不変の監査ログを統合することで、組織はデータを「公開」「内部」「機密」「極秘」などの機密度でタグ付けし、AIツール利用時に自動的に分類を適用できます。すべてのAI-データのやり取りはユーザーID、タイムスタンプ、アクセスデータ、利用AIシステムとともに記録されます。これは単なるコンプライアンス対応ではなく、大規模なAI導入に自信を持てるインフラです。

このレイヤーがなければ、政府はAIリスクを「見えないまま」運用することになります。逆にあれば、機密データが守られているという自信を持ってAI活用を「イエス」と言える—まさに公務員が求めているものです。

米国公務員が求めているもの

AIツールをもっと頻繁に使うために何が必要か尋ねたところ、米国公務員は非常に具体的な回答を示しました:

  • 公共部門でAIをどう活用するかの明確で実践的な指針(38%)
  • 専門的な技術スキルを必要としない、より使いやすいツール(36%)
  • データプライバシー・セキュリティの保証(34%)
  • 役割別にカスタマイズされたトレーニングやスキルアップ支援(30%)
  • 既存ソフトウェアやシステムとのより良い統合(29%)

注目すべきは、リスト上位に「専用予算」(12%)や「経営層の承認」(20%)がないことです。公務員が求めているのは大規模な新規プログラムや高額な施策ではなく、明確さ、使いやすさ、自信—つまり政策、コミュニケーション、賢い調達で実現できるものです。

また、上位3つの要望—指針、使いやすさ、データセキュリティ保証—は相互に密接に関連しています。何が安全に使えるか分からなければ明確な指針は出せません。ガバナンスインフラなしにデータプライバシーを保証できません。利用がリスクになるか不安なままでは、ツールを使いやすくすることもできません。どれか一つだけ解決しても意味がありません。

なぜ「組み込み」が最重要なのか

米国の「組み込み」スコアは39/100と最低であり、指数のデータはこの指標こそ最も重要である理由を示しています。

すべての国で、組み込み度が高い環境の労働者の61%が高度・技術的業務でAI活用のメリットを実感しているのに対し、組み込み度が低い環境ではわずか17%です。組み込みは年齢層間の格差も解消します。組み込み度が高い環境では55歳以上の公務員の58%がAIで1時間以上の時間短縮を実感、低い環境では16%にとどまります。AIが既存システムに組み込まれることで、導入は「ITリテラシー」ではなく「全員の業務改善」になります。

米国は現在、このスペクトラムの対極に位置しています。指数は「正式なインフラが最小限で、支援体制も少なく、投資も限定的、既存システムとの統合には大きな障壁がある」と記述しています。組み込みが進まない限り、AIが約束する生産性向上は一部のアーリーアダプターに集中し、全体の底上げにはなりません。

軌道を変える3つの優先事項

指数は、米国の公共サービスにおけるAI導入を一気に加速させうる3つの具体的アクションを示しています。

まず、トップからの明確な指示と承認済み・安全なインフラをセットで提供すること。 公務員には、AI活用が推奨・支援され、公共サービスの価値観と整合しているという一貫した安心感が必要です。しかし、保護なき許可は無謀です。機関はデータ保護契約、ガバナンス管理、包括的なログを備えたエンタープライズAIソリューションを導入し、機密データが決してプライベートネットワーク外に出ないようにすべきです。KiteworksのSecure MCP Serverのようなプラットフォームは、Claude、ChatGPT、Copilotなどのツールで生産性を高めつつ、連邦機関が求めるデータガバナンス管理を維持する実践例です。公務員が使うツールが承認済み・コンプライアンス対応・監視下にあると分かれば、文化的な許可も自然に広がります。

次に、証拠とインシデント対応力で自信を醸成すること。 多くの米国公務員は、AIによる明確な役割別メリットをまだ実感していません。AIが事務負担を軽減し、サービス提供を改善し、より良い意思決定を支援した具体例を共有することで、AIを抽象的なものから具体的なものにできます。しかし自信には、問題発生時にどうなるかを知ることも不可欠です。例えば、公務員が誤って数千人分の市民の社会保障番号をパブリックAIツールに貼り付けて分析した場合、そのデータはプロバイダーのシステムに保存され、無期限に保持・他ユーザーに漏洩する可能性もあります。何が、いつ、誰によって、どの機密データとともに共有されたか、機関は答えられるでしょうか。不変の監査ログ、SIEMによるリアルタイム監視、証拠保管の連鎖がなければ答えは「ノー」です。AI特有のインシデント対応力は必須であり、責任ある導入の前提条件です。

最後に、実践的かつ役割別のトレーニングと指針を組み込むこと。 米国ではAIへの認知度は高いですが、自信はありません。役割別にカスタマイズされた短く実践的なトレーニングがそのギャップを埋めます。リスクの低い業務(文書作成、調査、要約、ブレインストーミング)には明確な許可を与え、既存業務でAIがどう役立つかを示す役割別ガイダンスを提供します。テンプレートや共有プロンプト、事例を活用することで導入が具体的になります。信頼できるテクノロジーパートナーと連携すれば、大規模なトレーニング提供と同時に、公務員が求めるセキュリティ・データ保護の保証も実現できます。

ランキング以上に大きな意味

米国がこの指数で7位というのは恥ずかしい結果ですが、本当の損失は評判ではなく「業務」です。公務員が安全で承認済みのAIツールを持たない日は、監督もなく個人アカウント経由で政府データが流出する日です。明確な指針がない週は、生産性向上の機会が失われる週です。AIガバナンスが組み込まれない月は、民間と公共部門のギャップがさらに広がる月です。

シャドーAIはすでに現実です。公務員の70%がAIを利用し、多くは承認されていないチャネルで使っています。アクセス制限はリスクを減らすどころか増やします。必要なツールは存在します—足りないのは、安全で承認済みのインフラと文化的許可、明確な指針です。

この指数で調査された301人の米国公務員は明確なメッセージを発しています。「指針を、セキュアなツールを、あとは邪魔しないで」。政府リーダーがこの声に耳を傾け、シャドーAI問題が本格的なデータセキュリティ危機になる前に解決に動くかどうかが問われています。

よくある質問

Public Sector AI Adoption Index 2026は、Googleの協賛のもと、Center for Data InnovationのためにPublic Firstが実施したグローバル調査です。米国を含む10カ国3,335人の公務員を対象に、政府職場でAIがどのように体験されているかを測定しました。指数は「熱意」「教育」「権限付与」「活用環境」「組み込み」の5つの観点で各国を0~100点で評価します。単に政府がAI戦略を持っているかどうかを測るだけでなく、公務員が日々の業務でAIを効果的に活用するためのツール、研修、権限、インフラが整っているかどうかも調査しています。

米国は10カ国中7位、総合スコアは100点中45点です。教育(50/100)と活用環境(45/100)が最も高く、研修やツールへのアクセスはあるものの、組み込み(39/100)が最も低く、AIが日常業務にほとんど統合されていないことを示しています。米国はサウジアラビア(66)、シンガポール(58)、インド(58)、南アフリカ(55)、ブラジル(49)よりも下位です。指数は米国を「不均一な導入国」と特徴づけており、AI基盤や機関レベルの活動は強いものの、現場の公務員による自信ある日常的な利用への広がりは遅いとしています。

シャドーAIとは、公務員が組織に承認されていないAIツール—例えばChatGPTなどの個人アカウント—を、組織の認知や監督なしに業務で利用することを指します。Public Sector AI Adoption Indexによれば、活用環境が低い職場では、熱心なAI利用者の64%が職場で個人ログインを使い、70%が上司に知られずにAIを利用しています。これにより、政府機関には重大なセキュリティリスクが生じます。市民の機密データ(PII/PHI、税務記録、法執行情報など)が、監査証跡もデータ保護管理もないパブリックな大規模言語モデルに取り込まれる可能性があり、侵害時に何が漏洩したか特定できません。シャドーAIはHIPAA、FISMA、州のプライバシー法などのコンプライアンス違反リスクも生み出します。

指数によれば、米国公務員は「公共部門でAIをどう活用するかの明確で実践的な指針」(38%)、「専門的な技術スキルを必要としない、より使いやすいツール」(36%)、「データプライバシー・セキュリティの保証」(34%)を最優先事項としています。役割別にカスタマイズされた研修(30%)や既存システムとのより良い統合(29%)も高く評価されています。特筆すべきは、AIプロジェクト専用予算はわずか12%で最下位、経営層の承認も20%にとどまる点です。つまり、導入の主な障壁は財政ではなく構造的なものであり、公務員は「何が許可されているかの明確さ」「安全で直感的なツール」「AI利用がコンプライアンスやキャリアリスクにならないという自信」を求めています。

指数データや先進導入国の経験から、機関はAI利用を制限するのではなく、安全に活用できる環境を整える必要があります。これは、Claude、ChatGPT、CopilotなどのAIアシスタントで生産性を高めつつ、機密データをプライベートネットワーク内に保持できる承認済みエンタープライズAIツールを導入し、組み込みのデータガバナンス管理を実現することを意味します。Data Security Posture Management(DSPM)を導入して機密データを分類・自動ポリシー適用し、すべてのAI-データのやり取りを不変の監査ログで記録、AIデータ漏洩シナリオに特化したインシデント対応力を確立すべきです。FedRAMP中程度認証を取得し、NIST AIリスクマネジメントフレームワークと整合するKiteworksのSecure MCP Serverのようなソリューションは、データセキュリティやコンプライアンスを損なうことなくAI生産性を実現する方法を示しています。

サウジアラビア(66/100)、シンガポール(58/100)、インド(58/100)が指数の上位国です。それぞれ異なる道を歩みましたが、共通点は「公務員がAIを何に使えるか・使えないかの明確なルール」「組織を通じて提供される承認済みかつ安全なツール」「AIをリスクではなく近代化と位置づけるリーダーシップの可視的支援」です。シンガポールはSmart Nation構想で標準化されたガイダンス付きの中央集約型プラットフォームを構築。サウジアラビアはVision 2030に基づくトップダウンの国家戦略で全社的なAI展開を実施。インドは政府主催の無料AI講座や一貫した前向きメッセージで文化的な勢いによる導入を推進しました。これらの国が米国より優れたAI技術を持っていたわけではなく、公務員が毎日安心してAIを使える環境を整えたことが成功の要因です。

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

デモを予約

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks