会議・議事録のシャドーAI対策|禁止せず統制する5つのステップ
生成AIを業務に使う動きが広がっています。一方で、会社の把握していないAI利用が社員の個人判断で進む「シャドーAI」が、新しい経営課題になっています。なかでも会議・議事録は、機密情報とAIがもっとも近い距離で接する領域です。
しかしながら、
- 会議や議事録のシャドーAIが、具体的にどんなリスクになるのか分からない
- 利用を禁止しても社員のAI利用が止まらず、次の一手に迷っている
- 統制を強めたいが、AIによる業務効率化もあきらめたくない
といった悩みを抱えるDX推進・情報システム部門の方も多いのではないでしょうか。
そのためこの記事では、会議・議事録で起きるシャドーAIの構造と3つのリスク、統制の5つのステップを解説します。結論を先に言えば、シャドーAI対策の本丸は利用の禁止ではなく「会議という一次情報を組織の管理下に置くこと」です。
「全社でAIツールの利用を申請制にしたはずなのに、議事録の要約だけは個人のAIで済ませている」。そんな光景に心当たりはないでしょうか。会議で話される内容は、経営判断・人事・取引条件といった機密の集まりです。統制の議論を後回しにするほど、管理の外に出ていく会議データは増えていきます。読み進める前に、いま自社の会議データがどこに保存されているかを、一度思い浮かべてみてください。
Otolioは、議事録作成など会議に関わる業務を丸ごと自動化するAIエージェントです。入力したデータをAIの学習に使わない設計のため、役員会のような機密性の高い会議でも議事録作成を任せられます。
データは組織単位で管理でき、閲覧できる人も細かく制御できます。累計8,000社以上の利用実績があり、セキュリティ基準の厳しい大手企業・自治体でもご利用いただいています。
Otolioがわかる人気3点セット資料(サービス概要・導入事例・機能詳細)をみる
シャドーAIとは|なぜ会議・議事録で起きやすいのか
まず、シャドーAIの定義と、会議・議事録という業務がシャドーAIの温床になりやすい理由を整理します。
1. シャドーAIの定義とシャドーITとの違い
シャドーAIとは、会社のIT部門や情報システム部門が承認していない生成AI・AIツールを、従業員が個人の判断で業務に使うことです。個人アカウントの無料AIに業務データを貼り付けて要約させる利用が、これにあたります。会社が把握していないAI議事録ツールを、部署が独自に契約するケースも同様です。
似た言葉に「シャドーIT」があります。シャドーITは、会社が承認していないITツールやサービス全般の無断利用を指す言葉です。個人のUSBメモリや私物スマートフォン、無許可のクラウドストレージの利用などが代表例として知られています。
シャドーAIはシャドーITの一種ですが、リスクの質が一段深刻です。違いの核心は、入力したデータの「取り返しのつかなさ」にあります。無許可のクラウドストレージなら、発覚後にファイルを削除すれば被害を一定範囲に抑えられます。一方、生成AIに入力したデータは、サービスの設定によってはAIの学習に取り込まれ、事業者側に渡ります。一度学習に使われた情報は、後から削除を依頼しても完全には取り消せません。
つまりシャドーAIの問題は「ルール違反かどうか」ではなく、「情報の流出が不可逆になりうる」という点にあります。この性質を押さえておくと、後述する統制の優先順位が考えやすくなります。
2. 会議・議事録でシャドーAIが起きやすい3つの構造
シャドーAIはどの業務でも起こりえますが、会議・議事録はとくに起きやすい領域です。個人のモラルの問題ではなく、次の3つの構造的な理由があります。
「AIを使っている」という自覚が生まれにくい
Web会議ツールには、文字起こしなどのAI機能が標準で組み込まれるようになりました。Microsoft TeamsやGoogle Meetが代表例です。社員からすると、新しいツールを導入した感覚がないまま、会議の内容がAIで処理されていきます。「AIツールの利用は申請制」というルールがあっても、標準機能の延長として使われるAIは申請の対象と認識されにくいのが実情です。
たとえば、会議から自動生成された文字起こしや要約を、そのまま社外の関係者に共有してしまうケースが考えられます。本人には「便利な機能を使っただけ」という感覚しかなく、ルールをすり抜けている自覚がありません。
参照:Microsoft Teams会議でライブ トランスクリプトを開始、停止、ダウンロードする
参照:Google Meet で文字起こしを使用する – パソコン – Google Meet ヘルプ
議事録作成は「無料AIに貼るだけ」で楽になれる最頻出業務
議事録作成は、AIの効果をもっとも実感しやすい業務のひとつです。Otolioが導入企業に実施している契約時アンケート(250件以上)でも、議事録作成の負荷は最も多く語られる悩みです。「議事録作成が本業を圧迫している」「会議の数に追いつかない」という声が繰り返し寄せられています。
それほど負荷の大きい業務が、文字起こしや手書きメモを無料の生成AIに貼り付けるだけで一気に楽になります。会社が公式の手段を用意していなければ、現場が個人のAIに流れるのは自然な成り行きといえます。禁止ルールと業務負荷が両方ある状態は、シャドーAIを生む典型的な構造です。
1つの会議に複数部門・取引先の機密が混在する
会議データには、他の業務データにはない特徴があります。1回の会議に、複数の部門・複数の案件・場合によっては取引先の情報までもが混ざり込む点です。
たとえば経営会議の議事録には、未公表の業績、人事の方針、取引先との交渉状況が同時に含まれます。営業の商談記録には、自社の見積もり条件だけでなく相手企業の内部事情も残ります。つまり、議事録を1回外部のAIに貼り付けるだけで、複数の関係者の機密が一度に管理外へ出ていきます。ファイル1つの持ち出しよりも、被害の範囲が読みにくいのです。
会議・議事録のシャドーAIが招く3つのリスク
ここでは、会議・議事録のシャドーAIを放置した場合に何が起きるのかを、3つのリスクに整理して見ていきます。
1. 情報漏えいが「取り消せない」形で起きる
最大のリスクは、会議の機密情報が外部AIの学習・保持に渡ってしまうことです。前述のとおり、生成AIに入力したデータはサービスの設定によっては学習に使われ、一度取り込まれた情報は後から回収できません。
ここで注意したいのは、「AIがデータを学習する」ことと「AIがデータを参照する」ことは別物だという点です。学習とは、入力データがAIモデルそのものの改善材料として取り込まれることを指します。参照は、過去のデータを手がかりに目の前の処理の精度を高めるだけで、データが外部のモデルに渡るわけではありません。無料の個人向けAIサービスは、初期設定のままだと入力が学習に使われるものが多く、ここがシャドーAIの盲点になります。
AI議事録ツールを選ぶ段階でセキュリティをどう見極めるかは、確認すべきポイントが技術と運用の両面にわたります。データの学習有無・保管場所・暗号化・アクセス制御など、導入前に確認したい6つの観点を次の記事で整理しています。
参考記事:AI議事録のセキュリティ|導入前に確認したい6つのポイントと選び方
2. 会議データが個人アカウントに散在し、統制できなくなる
2つ目のリスクは、漏えいほど目立ちませんが、じわじわと効いてきます。会議データが個人アカウントや部署ごとの個別契約に散在し、組織として統制できなくなることです。
実際、大企業のIT・DX部門からは「各部署がAI議事録ツールを個別に契約している」という相談が繰り返し寄せられます。全社として推奨できる製品を定めたい、という悩みです。部署単位・個人単位でツールがバラバラに使われると、どの会議データがどこに保存されているのかを、情報システム部門が把握できなくなります。
さらに、データが個人のアカウント(ID)に紐づく設計のツールでは、利用者の退職・異動とともに、その人が作った議事録や録音データごと失われます。逆に、退職者のアカウントに残った会議記録が持ち出されるリスクも残ります。会議データを組織の資産として扱うなら、「データが個人と組織のどちらに紐づいているか」は見過ごせない論点です。
3. 取引先・社外への説明責任を果たせなくなる
3つ目は、コンプライアンス(法令・契約の順守)上のリスクです。会議には取引先や外部パートナーが参加することがあり、その発言内容には相手企業の機密が含まれます。秘密保持契約を結んでいる相手との会議録を無断で外部AIに入力すれば、契約違反を問われる可能性があります。
問題が発覚したときに、「どの会議のデータを・誰が・どのAIに入力したのか」を会社として答えられない状態は、それ自体が信用の毀損につながります。個人情報を含む会議であれば、監督官庁や本人への説明も必要になります。シャドーAIの怖さは、漏えいそのものに加えて、事後の説明責任を果たす手段まで失われる点にあります。
社員が勝手にAI議事録を使っている場合、どう統制すればいい?
結論から言うと、有効なのは利用の一律禁止ではなく、安全に使える公式のAI環境を用意し、会議データを組織の管理下に置くことです。禁止はシャドーAIを見えない場所に潜らせるだけで、リスクの総量を減らせません。このセクションでは、なぜ禁止では止まらないのか、そして統制の軸をどこに置くべきかを説明します。
1. なぜ「禁止」では止まらないのか
禁止ポリシーが機能しない理由は、シャドーAIの動機が「業務の圧迫」にあるからです。動機を放置したままルールだけを重ねても、行動は変わりません。
実際の商談の場でも、「セキュリティ部門が外部のAI連携を全社方針で止めている」という話は繰り返し出てきます。方針そのものは正しい判断です。ただ、その一方で現場には議事録作成の負荷がそのまま残っています。公式の代替手段がなければ、社員は「怒られない範囲で」個人のAIに頼るようになります。利用が水面下に潜るため、情報システム部門からはますます実態が見えなくなります。
禁止が招くもうひとつの副作用は、AI活用そのものの停滞です。競合他社が会議業務の自動化で生産性を上げるなか、自社だけが「使わせない」統制を続ければ、守りは固くても事業のスピードで後れを取ります。統制の目的は利用をゼロにすることではなく、リスクを管理しながら活用の果実を得ることにあります。
なお、シャドーAI対策は、全社的なAIガバナンス(AI利用ルールの整備)の一部でもあります。ルール策定から現場定着までの全体像は、次の記事で解説しています。
参考記事:AIガバナンスとは?企業に必要な理由と構築5ステップ・現場に定着させる運用まで解説
2. 統制の本丸は「会議という一次情報を組織の管理下に置くこと」
では、統制の軸をどこに置くべきでしょうか。私たちは、シャドーAI対策の本丸は禁止ではなく、会議という一次情報を組織の管理下に置くことだと考えています。
理由は2つあります。1つ目は、会議が機密の「発生源」だからです。文書やデータベースの情報は、元をたどれば会議での議論や決定から生まれています。発生源である会議データが管理下にあれば、その後の流通を追えます。逆に発生源が個人のAIに流れていれば、下流でいくらアクセス制御を固めても穴は塞がりません。
2つ目は、管理下に置いた会議データが、そのままAI活用の土台になるからです。会議の音声や議事録は、組織の意思決定の経緯が残る一次情報です。安全に蓄積できていれば、過去の経緯の検索、ナレッジの継承、AIによる分析といった攻めの活用に展開できます。守るための統制と、活かすための蓄積が、同じ打ち手で実現するわけです。
会議の音声を一次情報として事業に活かした例もあります。積水化学工業では、新規事業開発の顧客ヒアリングでOtolioを活用し、音声という一次情報を部門で共有して顧客理解を深めました。会議データは守る対象であると同時に、活用すべき資産でもあることが分かる事例です。
参考記事:Otolioは顧客理解を深めるツール|新規事業開発で「音声」という一次情報を活用した方法
会議・議事録のシャドーAIを統制する5つのステップ
考え方を押さえたところで、実務の手順に落とし込みます。統制は次の5つのステップで進めます。
| ステップ | 内容 | 主な担当 |
|---|---|---|
| 1. 実態の可視化 | 会議・議事録でのAI利用状況を把握する | 情シス・DX推進 |
| 2. 機密度の分類 | 会議を機密度で分け、入力ルールを決める | 情シス+各部門 |
| 3. 公式ツールの提供 | 安全に使えるAI議事録環境を用意する | 情シス・DX推進 |
| 4. 組織単位のデータ管理 | データを組織に紐づけ、権限を設定する | 情シス |
| 5. 段階導入と定着 | 部署から全社へ広げ、運用を見直す | DX推進+現場 |
1. 利用実態を可視化する
最初のステップは、会議・議事録まわりのAI利用の実態把握です。匿名アンケートや部門ヒアリングで、「議事録作成にどんなツールを使っているか」「生成AIに会議内容を入力したことがあるか」を確認します。SaaS管理ツールやアクセスログで、利用中のAIサービスを洗い出す方法もあります。
ここで重要なのは、責任追及の場にしないことです。目的は処罰ではなく、現場がどれほどの業務負荷を抱え、どんな手段に頼っているかを知ることにあります。正直に答えても不利益がないと伝えたうえで進めると、実態に近い情報が集まります。
2. 会議を機密度で分類し、入力ルールを決める
次に、会議を機密度で分類します。すべての会議に一律の厳格ルールを課すと、現場の負担が大きく運用が形骸化します。たとえば「役員会・人事・法務は最高機密」「取引先が参加する会議は高機密」「部内の定例は通常」のように、3段階程度に分けるのが現実的です。
分類に応じて、AIに入力してよい情報の範囲と、使ってよいツールを定めます。「最高機密の会議は承認済みツールのみ」「個人アカウントのAIには会議内容を入力しない」といった具体的なルールにすると、現場が判断に迷いません。
3. 安全な公式ツールを提供する
3つ目のステップが、統制の成否を分けます。禁止する代わりに、安全に使える公式のAI議事録環境を用意することです。現場の議事録負荷という動機が残る限り、代替手段のない禁止はいずれすり抜けられてしまいます。逆に、公式ツールのほうが便利であれば、社員がシャドーAIを使う理由そのものがなくなります。
外部委託で議事録を作成してきた企業にとっては、内製化によってコスト・スピード・セキュリティを同時に改善する機会にもなります。全社の標準ツールをどんな基準で選定するかは、部分最適に陥らない視点が欠かせません。組織内の多様な議事録ニーズを踏まえた選定基準を、次の記事で解説しています。
参考記事:議事録DXが失敗する3つの理由と成功する4つの選定基準|部分最適から全体最適へ
4. データを組織に紐づけ、権限を管理する
公式ツールを入れる際は、会議データが「個人」ではなく「組織」に紐づく設計かを確認します。組織に紐づいていれば、担当者が退職・異動しても会議データは組織に残り、アクセス権も組織構造に沿って管理できます。
権限設定は、機密度の分類と連動させます。役員会の議事録は役員と担当役職者のみ、部門会議は部門メンバーのみ、といった形で閲覧範囲を絞ります。部署や会議体ごとにデータの保管領域を分けておくと、万一問題が起きた際に原因の切り分けがしやすくなる利点もあります。
5. 段階導入で定着させ、運用を見直す
最後は定着のステップです。全社一斉導入は、使い方の浸透が追いつかず失敗しやすい進め方です。まず特定の部署や会議体で始め、運用の型を作ってから全社に広げる段階導入が定着の近道になります。経営層に統制の投資を説明する際は、「議事録の時短」だけで語らないことがポイントです。「会議データが組織の資産として蓄積される」という観点を添えると、投資判断として伝わりやすくなります。
導入後は、機密度の分類やルールを定期的に見直します。AIの機能もリスクも変化が速いため、年1回程度の棚卸しを運用に組み込んでおくと安心です。AI議事録を全社に定着させるうえでの論点は、250社超のアンケートをもとにした次の記事が参考になります。
参考記事:AI議事録の社内定着を分ける5つの論点|250社超のアンケートに学ぶ検討段階の判断軸
統制と活用を両立した実例|機密性の高い役員会でのAI議事録
統制と活用の両立は、絵に描いた餅ではありません。ここでは、もっとも機密性の高い会議である役員会でAI議事録を実現した実例と、両立できる環境の条件を紹介します。
1. 大和バルブ:情報漏えいの懸念で「人も無料ツールも入れられなかった」役員会
バルブメーカーの大和バルブでは、役員会の議事録作成が大きな課題でした。6〜7時間におよぶ会議をICレコーダーで録音し、役員自らが聞き直しながら議事録をまとめる運用でした。作成には3〜4時間、期間にして2週間かかることもあったといいます。
負荷を下げる案は検討されていました。議事録専任の担当者を役員会に入れる案は、機密性の高い会話が交わされるため、情報漏えいの観点から断念されました。無料の文字起こしツールも試しましたが、精度が実用に届かず、これも見送られました。「効率化したいが、機密を扱える手段がない」という、シャドーAIが生まれる一歩手前の状態です。
同社が選んだのは、禁止でも我慢でもなく、機密を扱える公式環境の導入でした。AIに学習させない設計のOtolioを役員会に導入し、議事録作成時間を50%削減しました。さらに、あえて役員会から使い始めることで役員層がツールを理解し、そこから全社展開へ進める段階導入の形を取りました。導入後は「議事録を作らない会議の内容も文字情報として共有できる」という、情報の見える化への展開も見据えています。
もっとも機密性の高い会議を起点に、統制された環境でAI活用を広げていく進め方です。シャドーAIに悩む組織にとって、統制を進める順序の参考になります。
参考記事:機密性の高い役員会の議事録作成時間を50%削減。Otolioで情報の可視化を強化する
2. 統制と活用を両立できるAI議事録環境の4つの条件
大和バルブの例も踏まえると、シャドーAI対策として提供する公式環境には、次の4つの条件が求められます。
入力データをAIの学習に使わないこと
最優先の条件です。会議データが外部AIの学習に取り込まれる設計では、公式ツールにしても情報流出の不可逆リスクが残ります。学習に使わないことが明示され、かつ学習に頼らずに文字起こしの精度を高める仕組みがあるかを確認します。Otolioの場合、データをAIに学習させずに各社の会議へ最適化していく独自の仕組みを備えています(特許取得済み)。文字起こしの精度は90%以上です。
データが組織に紐づき、権限を管理できること
統制ステップ4で述べたとおり、データが個人アカウントに紐づく設計では、退職・異動のたびに統制が崩れます。組織単位でデータを保有し、部署・会議体・役職に応じた閲覧権限を設定できることが条件になります。
保管場所と認証の透明性があること
会議データがどこの国のデータセンターに保管され、どう暗号化されるかを確認します。第三者認証の有無も判断材料になります。たとえばOtolioは、国内データセンターでのデータ保管と、通信・保存時の暗号化に対応しています。情報セキュリティの国際規格であるISO/IEC 27001の認証も取得済みです。セキュリティ部門への説明では、こうした客観的な事実の積み上げが効きます。
既存の業務フローを断絶しないこと
見落とされがちですが、定着を左右する条件です。議事録には「Wordで承認を取りPDFで全社共有する」といった、組織ごとの確立された運用があります。公式ツールが既存の運用形式で出力できないと、現場は使い慣れた個人のAIに戻ってしまいます。ツールの機能だけでなく、いまの業務フローに接続できるかを確認しましょう。
まとめ|シャドーAI対策は「禁止」でなく会議データの統制から
本記事では、シャドーAIを会議・議事録の観点から取り上げ、起きやすさの構造とリスク、統制の5つのステップを解説しました。
会議・議事録は、AI利用の自覚が生まれにくく、業務負荷が高く、機密が混在するという3つの構造から、シャドーAIがもっとも起きやすい領域です。そして禁止ルールだけでは、利用は水面下に潜るだけで止まりません。
統制の軸は、会議という一次情報を組織の管理下に置くことです。実態の可視化から始め、機密度の分類、安全な公式ツールの提供、組織単位のデータ管理、段階導入までの5つのステップで進めましょう。そうすれば、情報を守る統制と、AIで生産性を高める活用は両立できます。まずは自社の会議データがいまどこにあるのかを、可視化するところから始めてみてはいかがでしょうか。
ここまで読んで、自社に必要な統制の形は見えてきたと思います。残る問いは「では、どのツールなら公式環境として任せられるのか」でしょう。要件表の比較だけで判断しきれない部分は、実際の会議で確かめるのが確実です。学習に使われない設計や権限管理が自社の運用に合うかは、触ってみるとすぐに分かります。
Otolioは、入力データをAIの学習に使わない設計・組織単位のデータ管理と権限設定・国内データセンターでの暗号化保管という、シャドーAI統制に求められる条件を備えたAIエージェントです。
無料トライアルでは、実際の会議で文字起こしから議事録作成までを試しながら、セキュリティ部門への説明に必要な確認を進められます。
よくある質問とその回答
Q. TeamsやMeetの標準AI機能を使うのもシャドーAIになりますか?
会社がその機能の利用を承認・管理していなければ、標準機能であってもシャドーAIに該当します。Web会議ツールに組み込まれたAIは利用の自覚が生まれにくく、統制の抜け穴になりやすい領域です。まず自社のWeb会議ツールでどのAI機能が有効になっているかを確認し、利用可否と設定を会社として明示することをおすすめします。
Q. 議事録を無料の生成AIに貼り付けて要約するのは何が問題ですか?
個人向けの無料AIサービスは、初期設定のままだと入力データがAIの学習に使われる場合があります。その場合、会議の機密情報が回収できない形で外部に渡るおそれがあります。議事録には複数部門や取引先の機密が混在するため、1回の入力で影響が広範囲におよびます。要約の手間を減らしたい場合は、学習に使われない設計の承認済みツールを使いましょう。
Q. シャドーAI対策はまず何から始めればいいですか?
最初の一歩は、会議・議事録でのAI利用実態の可視化です。匿名アンケートや部門ヒアリングで、誰がどんなツールに会議内容を入力しているかを把握します。実態が見えたら、会議の機密度分類とルール策定、安全な公式ツールの提供へと進めます。責任追及ではなく実態把握を目的に据えると、現場から正確な情報が集まりやすくなります。
Q. AIに「学習される」と「参照される」は何が違いますか?
学習は入力データがAIモデル自体の改善材料として取り込まれることで、一度取り込まれた情報は後から取り消せません。参照は過去のデータを手がかりに目の前の文字起こしや要約の精度を高めるだけで、データが外部のAIモデルに渡るわけではありません。セキュリティを確認する際は、「学習に使われないか」と「参照の範囲を組織で管理できるか」を分けて確認すると判断を誤りません。
学習と参照の違いや、AIに学習させないための具体策は、次の記事で詳しく解説しています。