Shadow AI是正費用の見積り方
未承認AI利用を発見した後に、調査、分類、代替環境、データ移行、研修、監視まで含めて是正費用を見積もる方法を整理します。

結論
Shadow AI是正の費用は、未承認ツールを止める作業だけでは決まりません。利用実態の調査、入力済みデータの確認、業務影響の分類、代替AI環境の整備、データ移行、社員研修、ログ監視、例外申請の設計まで含めて見積もる必要があります。禁止通知だけで終えると、現場の業務が止まるか、別の未承認利用に移るだけになりがちです。
見積りでは、まず利用範囲を小、中、大に分けます。少数部署の文書要約だけなのか、顧客対応や開発コード、営業資料、個人情報を含む業務まで広がっているのかで、必要な調査と是正の深さが変わります。
費用を構成する項目
Shadow AI是正では、発見、評価、代替、移行、教育、監視の6項目で費用を分けます。調査費だけを見積もると、後で代替環境や教育が追加されます。逆に、全社大規模プロジェクトとして始めると、実態把握前に過剰な設計になりやすくなります。
| 項目 | 具体作業 | 見積りで確認すること |
|---|---|---|
| 発見 | 利用ツールと部署の棚卸し | ログ・アンケート・ヒアリング範囲 |
| 評価 | データ、業務、権限、契約の確認 | 個人情報や機密情報の有無 |
| 代替 | 承認済みAI環境の選定 | 既存SaaSで代替できるか |
| 移行 | プロンプト、テンプレ、データ移行 | 移行できない業務の扱い |
| 教育 | 利用ルールと演習 | 職種別研修の必要性 |
| 監視 | ログ、例外申請、月次レビュー | 運用担当と保守範囲 |
RFPに入れるべき条件
開発会社やコンサルに依頼する場合、RFPでは「未承認AIを洗い出してください」だけでは足りません。調査対象、利用者ヒアリング、ログ確認、データ分類、リスク判定基準、代替案、移行計画、教育、運用監視まで書きます。特に、個人情報や顧客情報を入力していた可能性がある場合は、確認手順と報告範囲を明確にします。
提案比較では、強制的な禁止策だけでなく、現場が使える代替導線を提示しているかを見ます。Shadow AIは、現場に未充足のニーズがあるために発生します。安全な代替がなければ、是正後も別の抜け道が生まれます。
検収と運用
検収では、調査レポート、リスク分類表、是正対象リスト、代替環境の設定、研修資料、例外申請フロー、ログ監視項目を確認します。見積書には、どこまでを初期対応に含め、どこから月次運用に分けるかを書いてもらいます。
運用開始後は、利用ログと問い合わせを見ながら、ルールを調整します。未承認利用を見つけた時に罰則だけで処理すると報告されにくくなるため、相談しやすい窓口と承認済みの代替手段を整えることが重要です。
図解で確認するポイント
この記事の画像は、未承認ツールの発見、リスク分類、代替環境、移行、研修、監視の流れを示しています。費用を単なる調査費ではなく、業務を安全な運用へ戻すための一連の作業として確認できるようにしています。
AllAI内での次の行動
Shadow AIの是正や安全なAI環境の整備を依頼する場合はAI開発会社一覧で候補を確認します。社内研修は生成AI利用ポリシー研修担当のロードマップ、ログ監視はAI利用ログ分析担当の学習ロードマップも参考になります。
FAQ
Q. Shadow AIはすぐに禁止すべきですか? A. 危険な利用は止める必要がありますが、現場の業務ニーズを無視して一律禁止すると別の未承認利用につながります。代替導線を同時に作ります。
Q. 是正費用で見落としやすい項目は何ですか? A. データ確認、代替環境、社員研修、例外申請、月次監視です。調査費だけでは継続運用に足りません。
Q. 開発会社に何を提出してもらうべきですか? A. 利用実態レポート、リスク分類表、是正計画、代替案、研修資料、ログ監視項目、運用引き継ぎ資料です。
出典:
- 経済産業省 AI事業者ガイドライン 第1.2版: https://www.meti.go.jp/shingikai/mono_info_service/ai_shakai_jisso/20260331_report.html (確認日: 2026-07-08)
- NIST AI Risk Management Framework: https://www.nist.gov/itl/ai-risk-management-framework (確認日: 2026-07-08)
- 個人情報保護委員会: https://www.ppc.go.jp/ (確認日: 2026-07-08)
次に見る
関連する記事・ガイド
- AI開発会社ガイドAI開発RFPでAIエージェント権限境界を指定する方法
AI開発RFPでAIエージェント権限境界を指定する方法では、AI開発を外注する前にAIが実行できる操作、承認が必要な操作、ログ取得をRFPで分けるためのRFP・契約・見積比較の観点を整理します。
- AI開発会社ガイドAI開発RFPでAIエージェントのツール利用リスクを指定する方法
AI開発RFPでAIエージェントのツール利用リスクを指定する方法では、AI開発を外注する前に外部API、メール送信、DB更新などの実行権限を段階制御するためのRFP・契約・見積比較の観点を整理します。
- AI開発会社ガイドAI開発契約でデータエクスポート形式を決める方法
AI開発契約でデータエクスポート形式を決める方法では、AI開発を外注する前に解約時のデータ形式、メタデータ、ログ、再利用権を契約で押さえるためのRFP・契約・見積比較の観点を整理します。
- AI開発会社ガイドAI開発のデータ移行リスクで起きる失敗事例
AI開発のデータ移行リスクで起きる失敗事例では、AI開発を外注する前に移行対象、欠損、名寄せ、検収条件を曖昧にした失敗を避けるためのRFP・契約・見積比較の観点を整理します。