機密データ保護「社員の対応に依存」4社に1社　ネクストモード調査

ネクストモード株式会社（本社：東京都新宿区、代表取締役社長：里見宗律）は、従業員1000名以上の企業でセキュリティ・DXに主体的に携わる推進担当者150名を対象に、アンケート調査を実施。生成AI活用におけるセキュリティ統制の実態と課題をまとめたホワイトペーパーを公開した。2026年現在、大企業での生成AIの活用は実験から実用のフェーズに移行。多くの企業がガイドラインの策定やリスク評価、セキュリティ予算の確保といった規程面の整備を進める中で、整備が進んでいる項目と、依然として現場の判断に依存している領域を浮き彫りにした。

ガイドライン「策定済み」7割以上

同社の報告によると、76.0%の企業が全社共通のガイドラインを策定済みと回答。リスク評価（58.7%）、セキュリティ予算の確保（69.3%）、法令準拠の確認（66.7%）も高水準で進んでいることが明らかになった。

また、65.4%の企業が人間による最終確認を義務化しており「生成AIに任せきりにしない」意思決定プロセスは定着しつつある。

6割以上が「手動プロセス」に依存

一方で「手動プロセスに依存」していることも可視化された。「機密データの入力判断を社員個人の認識に委ねている（21.3%）」「データ保護（マスキング・匿名化）を社員の手作業に依存している（26.0%）」「オプトアウト設定が個人任せ（24.7%）」といった回答が挙がっている。

さらに同社は、ID・パスワードのみの認証運用が続く企業は35.3%にのぼっており、離職時のアカウント削除手順が未確立という企業も39.3%だったことを報告。入出力データの保存・削除ルールについても39.3%が管理しきれていない状況だという。

出典元：【2026年版 調査レポート】セキュリティ・DX推進担当者150名に聞いた生成AI利用とセキュリティ統制の現在地〜規程の整備率76%でも、なぜ現場の防衛に"穴"が残るのか？〜（ネクストモード株式会社）

まとめ

生成AIの活用が“実証段階”から“実務運用段階”へ移行する中で、企業のセキュリティ統制が「ルール整備」と「実運用」の間で大きく乖離している実態が示された。運用面では“人の善意”に依存する脆弱性が残るほか、離職時のアカウント削除やデータ管理ルールが未整備な企業も約4割にのぼり、AI活用の拡大に対して統制が追いついていない構造が浮き彫りになった。

これからのフェーズに必要なのは「ルールを作る」から「守られる仕組みを作る」への転換といえるだろう。機密情報の自動マスキングやアクセス制御、アカウントライフサイクル管理の自動化など“人に依存しない統制”をの整備を急ぎたい。併せて、AI利用については、利用ログの可視化やツールの標準化を進め、シャドーAIの使用を一掃することも必要だろう。