経営陣の90%がAIツールの統制に自信を見せる一方、現場の従業員52%が未承認のAIツールを利用
アイデンティティ管理サービスを提供するOkta, Inc.(本社:米国・サンフランシスコ 以下 Okta)の日本法人であるOkta Japan 株式会社は、最新のグローバル調査レポート「AI Agents at Work 2026」を発表しました。世界7カ国の経営幹部と現場の従業員を対象とした本調査により、企業システムに深く入り込む自律型AIエージェントを含むAIツールのガバナンスが構造的な機能不全に陥っている実態と、経営陣の認識と現場の従業員との間に明確なギャップが存在することが明らかになりました。
今日、大規模言語モデル(LLM)にとどまらず、複数のアプリやデータシステムにまたがって接続し、自律的に複雑な業務を実行するAIエージェントが企業内に浸透しています。これらは、しばしば社内の重要なシステムへの強力なアクセス権限を持っています。さらに多くの場合、既存の人間を前提としたセキュリティ管理の枠組みから外れたところで稼働しています。
グローバルにおける主な調査結果:シャドーAIと見えないデータ漏洩のリスク
- 経営陣の可視化への確信と現場との乖離:グローバルの経営幹部90%が「自社のAIツール利用状況を可視化できている」と確信しているにもかかわらず、実際には現場の従業員の52%が「未承認のAIツール(シャドーAI)を利用している」ことが判明しました。
- 経営陣の過信と個人アカウントの乱用:経営幹部の95%が「従業員はAIツールを責任を持って使用している」と信じています。しかし実際には、前述の未承認ツール利用者の大部分(80%)が「個人アカウント」を抜け道として使用しており、経営陣の過信とは裏腹に、企業のセキュリティ管理が完全に回避されている実態が明らかになりました。
- 根本原因は「優先順位のズレ」:従業員がAIツールを使用する際、最も優先しているのは「効率化や時間の節約」(30%)であり、「コンプライアンス」は最下位(15%)です。厳しいポリシーが存在しても、従業員は「コンプライアンス」よりも「生産性を優先」しています。
- 機密情報の漏洩リスクとシステムへのアクセス:未承認のAIツールを利用している従業員のうち、半数以上(54%)が社内メッセージやメールを、45%が人事関連情報を、39%が機密性の高い社内文書を共有していることが判明しました。さらに、20%以上がログイン情報やパスワードを、28%が銀行・支払い情報を共有しています。また、従業員全体のデータとして、26%がCRMや顧客データベース、37%がコラボレーションツールなどの内部システムへのアクセス権限もAIエージェントやAIツールに付与してしまっている実態が明らかになりました。
- すでに発生している実害:この状況はすでに結果として表れており、過去12ヶ月間にAI関連のセキュリティインシデントまたはヒヤリハットを経験した企業は、グローバルで58%に上ります。
- AI利用ポリシーにおける深刻な認識ギャップ:経営幹部の65%が「自社のAI利用ポリシーは非常に明確である」と自信を持っているのに対し、実際にそう感じている従業員は43%にとどまっており、ルールの作成側(経営陣)と現場の実態(従業員)との間に、22ポイントもの大きな認識のズレが存在することを示しています
日本における特有の課題:見えないルールとコンプライアンスのジレンマ
日本の調査対象者(全体の約11%)は、ルールに対する高いコンプライアンス意識の裏に潜む特異な課題を浮き彫りにしています。
- 日本でも起きている「統制の錯覚」:日本の経営陣の84.6%が「AIツールの利用状況を可視化できている」と確信していますが、現実には従業員の47.5%が「未承認のAIツールを利用」しています。日本においても経営陣の認識と現場の実態の間に明確なギャップが生じています。
- 世界の中で最も「見えにくい」AI利用ポリシー:日本の経営幹部の54%が「自社のAI利用ポリシーは明確である」と回答している一方で、そう答えた従業員はわずか22%にとどまりました。この22%という数字は調査対象国の中で最低水準であり、ルールが現場に浸透していない深刻なギャップを示しています。
- 現場が抱えるセキュリティ懸念と「ポリシー遵守」のパラドックス:日本の従業員の64.4%が「AIセキュリティに対して懸念」を抱いており、これは調査対象国で最も高い割合です。欧米では「社内のAI利用ポリシーが不明確であれば、個人の生産性を優先して未承認AIツールを使用する」傾向が強いのに対し、日本の現場では「公式のAI利用ポリシーが見つけられない(78%)」にもかかわらず、過半数(53%)が独自の判断での利用を控え「承認済みのAIツールのみを使用する」という対照的な姿勢が浮き彫りになりました。
- 世界最多の「ヒヤリハット」報告が浮き彫りにする日常的なリスク:日本の企業において、過去12ヶ月間にAIに関連したセキュリティインシデントを経験した割合は65.4%と高い水準にあります。しかし、そのうちの大部分(46.2%)は実際のデータ漏洩などには至っていない「ヒヤリハット」の報告であり、これは調査対象国の中で最多の割合です。
アイデンティティセキュリティこそがAIセキュリティ
AIエージェントは今や、電子メールからCRMデータベース、社内システムにいたるまで、組織の重要なシステムへのアクセス権限を持っています。経営幹部の96%が非人間アイデンティティ(NHI)を保護するためのアクセス管理に自信を持っていますが、人間の従業員と「同等」の強力なセキュリティ管理をAIエージェントに常に適用している企業は、わずか34%に過ぎません。
企業がAIエージェントに対するガバナンスのギャップを埋めるためのアクション
組織を保護し、AIエージェントの真の可能性を安全に引き出すために、Oktaは企業に対して以下の4つのアクションを推奨しています。
- シャドーAIの存在を前提とし、AIエージェントの発見を最優先する:すでに52%の従業員が未承認のAIツールを使用している事実を受け入れ、「Okta for AI Agents」が提供する「Shadow AI Agent Discovery」などの機能を用いて、IT部門が承認したものだけでなく環境内のすべてのAIエージェントを完全に可視化する。
- 安全な経路を「最も簡単な経路」にする:厳しいポリシーだけでは生産性を優先する従業員を止められません。標準プロトコルである「Cross App Access」などを導入することで、承認されたAIエージェントやワークフローを利用する際の摩擦を減らし、セキュアなルートが従業員にとって最も効率的になるよう設計する。
- 今すぐAIエージェントのガバナンス戦略を定義する:半数以上の企業がインシデントに直面している現状を踏まえ、危機が起こる前に「セキュアなエージェント型エンタープライズのための設計指針」を活用し、AIエージェントを安全に拡張するために不可欠な可視性やアクセス制御の基準を確立する。
- AIエージェントを「特権インサイダー」として扱う:人間の従業員よりも弱いセキュリティ管理をAIエージェントに適用するという危険な二重基準を排除する。すべてのAIエージェントを独立した「第一級のアイデンティティ」として扱い、「Okta for AI Agents」のようなAIエージェント管理に特化したソリューションの導入を検討する。
調査概要について
本調査は、2026年3月に第三者調査機関であるApprize360によって、ダブルブラインド方式(二重盲検法)のオンライン調査として実施されました。米国、英国、オーストラリア、カナダ、日本、フランス、ドイツの7カ国を対象としており、全回答者数は784名です。 対象者の構成は、自組織のAI導入やセキュリティ戦略を主導する経営幹部が292名、直近3ヶ月以内に業務でAIを実際に利用した従業員が492名となっています。 このうち、日本の回答者は全体の約11%にあたる合計87名(経営幹部33名、従業員54名)で構成されています。意思決定層と現場の実務層の両面から条件を満たす当事者を厳密に抽出しており、日本独自のガバナンス課題とグローバルトレンドとの比較分析を可能にしています。
Oktaについて
Oktaは、The World’s Identity Company(TM)です。AI、マシン、人間のアイデンティティを保護し、すべての人があらゆるテクノロジーを安全に利用できるようにします。当社のカスタマーおよびワークフォース向けソリューションは、セキュリティ、効率性、イノベーションを推進しながら、企業や開発者が自社のAIエージェント、ユーザー、従業員、パートナーを保護します。世界のトップブランドが、認証や認可をはじめとするアイデンティティ管理において、なぜOktaを信頼しているのかについては以下をご覧ください。
https://www.okta.com/ja-jp/
公式フェイスブックページ