その「便利な無料ツール」、会社で使って大丈夫？ ― 総務・情シスが知らないシャドーITの実態

月曜の朝、あなたもやっていませんか

月曜日の朝9時半。取引先に送る提案書のPDFが15MBもある。メール添付の上限は10MB。

「PDF 圧縮 無料」で検索。

一番上に出てきたサイトをクリック。「ファイルをドラッグ＆ドロップ」と書いてある。深く考えずにファイルを放り込む。数秒で圧縮完了。ダウンロードして、メールに添付して、送信。

仕事、完了。

この一連の流れに、違和感を覚えた人はどれくらいいるだろうか。

実はこの「何気ない行動」が、いま企業のセキュリティ担当者を最も悩ませている問題の一つだ。

「シャドーIT」という聞き慣れない言葉

シャドーITとは、会社のIT部門が把握していないツールやサービスを、社員が業務で使うことを指す。

ポイントは、悪意がないこと。

ウイルスをばらまこうとしているわけではない。機密情報を売ろうとしているわけでもない。ただ「仕事を早く終わらせたい」だけだ。

それなのに、なぜ問題になるのか。

答えはシンプルだ。あなたのファイルが、知らないうちに海の向こうのサーバーに送られているから。

ほとんどの無料オンラインツールは、ファイルを外部サーバーに送信して処理する。PDFを圧縮するために、あなたの提案書は海外のデータセンターに一度「渡されている」。処理後に削除されるかどうかは、そのサービスの善意に依存する。

7割の社員が「知らずに」やっている

シャドーITはどれくらい広がっているのか。調査データを見てみよう。

つまり、あなたの会社でも、今この瞬間に誰かがやっている可能性が高い。

しかも、使っている本人に自覚がない。「PDFを圧縮しただけ」「画像をリサイズしただけ」。日常業務の一部として、セキュリティ意識のフィルターを通過してしまうのだ。

3つの「まさか」シナリオ

「言うてもPDF圧縮くらいで大げさでは？」

そう思うかもしれない。では、具体的にどんな問題が起こり得るか、3つのシナリオを見てみよう。

シナリオ1: 人事部の田中さん

田中さんは中途採用の担当者。応募者の履歴書（PDF）をまとめてリサイズする必要があった。50件のPDFを一つずつ処理するのは面倒なので、無料の「PDF一括変換」ツールを使った。

履歴書には何が書いてあるか。

氏名、住所、電話番号、生年月日、学歴、職歴、顔写真――すべて個人情報保護法の保護対象だ。

これらが外部サーバーに送信された。サーバーの所在地は不明。データがいつ削除されるかも不明。仮にサーバーが侵害された場合、50人分の個人情報が流出する。

田中さんは「悪いこと」をしたつもりは一切ない。

シナリオ2: 営業部の佐藤さん

佐藤さんは、取引先との契約書（NDA付き）をPDF化する必要があった。社内のPDF変換ソフトがうまく動かず、期限も迫っていたので、検索で見つけた無料の変換ツールを使った。

契約書には取引金額、条件、双方の社印が含まれている。NDA（秘密保持契約）の対象情報そのものだ。

もし取引先がこの事実を知ったら？

「御社は秘密保持契約の対象書類を、海外の無料サービスに送信したのですか？」

信用問題に直結する。最悪の場合、契約解除もあり得る。

シナリオ3: 総務部の山本さん

山本さんは、健康診断の結果一覧表をExcelからPDFに変換したかった。社員200名分の健診結果には、BMI、血圧、血糖値、既往歴が含まれている。

これは要配慮個人情報だ。個人情報保護法の中でも、特に厳格な取り扱いが求められるカテゴリに該当する。

山本さんが使った無料ツールのプライバシーポリシーには、こう書かれていた。

"We may use uploaded files to improve our services."

（アップロードされたファイルをサービス改善のために利用する場合があります。）

社員の健康情報がAIの学習データに使われる可能性がある。山本さんはプライバシーポリシーを読んでいなかった。

「禁止すればいい」が通用しない理由

ここまで読んで、「じゃあ全部禁止すればいいのでは」と思うかもしれない。

情シス部門もそう考える。そして実際に「外部ツール利用禁止」の通達を出す。

だが、現実はそう簡単ではない。

禁止しても使われる

「PDF圧縮が必要なのに、代わりの手段がない」。この状態で禁止令だけ出しても、社員は困るだけだ。結果、こっそり使い続ける。シャドーITの名前の通り、影に潜るだけだ。

生産性が落ちる

PDF圧縮に社内申請が必要になったとする。申請書を書いて、上長の承認をもらって、情シスにチケットを発行して、3営業日後に処理されたファイルが届く。

取引先への提出は今日の17時だ。

生産性への影響は無視できない。Gartnerの調査では、シャドーITの完全禁止を試みた企業の**83%**が、半年以内に方針を緩和せざるを得なかったと報告されている。

「知らない」から報告もされない

多くの社員は、自分の行為がシャドーITに該当することを知らない。知らないから、報告もしない。情シスが実態を把握できない。把握できないから対策が打てない。

この悪循環が、シャドーITの本質的な難しさだ。

本当の解決策: 「禁止」ではなく「代替手段の提供」

では、どうすればいいのか。

答えはシンプルだ。社員が外部ツールを使わなくても済む環境を作る。

考え方を変える

「データが外に出ない」ツールという選択肢

近年、ブラウザ内で処理が完結するタイプのツールが登場している。WebAssembly（Wasm）という技術を使い、ファイルをサーバーに送信せずに、ユーザーのデバイス内だけで処理を行う仕組みだ。

この方式であれば、以下のリスクがゼロになる。

• ファイルが外部サーバーに送信されるリスク
• サーバー側でデータが保存・流用されるリスク
• 通信経路上で傍受されるリスク
• 海外のデータセンターに個人情報が渡るリスク

「使っても安全」なツールがあれば、禁止する必要がない。

これがシャドーIT対策の根本的な解決策だ。

今日からできる「3つの安全チェック」

すべてのツールを情シスに確認するのは現実的ではない。だが、自分である程度の判断はできる。以下の3つのチェックを習慣にしてほしい。

チェック1: オフラインで動くか試す

最もシンプルで確実な方法だ。

1. ツールのページを開く
2. Wi-Fiを切る（機内モードにする）
3. ファイルを処理してみる

オフラインでも処理できた場合、そのツールはデータを外部に送信していない。 ブラウザ内で処理が完結している証拠だ。

逆に、オフラインで動かない場合は、ファイルがサーバーに送信されている可能性が高い。

チェック2: プライバシーポリシーの3行だけ読む

全文を読む必要はない。以下の3点だけ確認する。

• データの保存: アップロードしたファイルはいつ削除されるか
• データの利用: ファイルがサービス改善やAI学習に使われないか
• 第三者提供: データが広告主やパートナー企業に共有されないか

この3点が明記されていないサービスは、避けた方が安全だ。

チェック3: ブラウザの開発者ツールで確認する

少し技術的だが、確実な方法。

1. ブラウザで F12 キーを押して開発者ツールを開く
2. 「ネットワーク」タブを選択する
3. ファイルを処理してみる
4. ファイルデータが外部に送信されていないか確認する

大きなデータ送信（ファイルサイズと同程度のリクエスト）が発生していれば、ファイルはサーバーに送られている。

まとめ: 気づくことが最初の一歩

この記事で伝えたかったことは一つだけだ。

「便利だから」と何気なく使っている無料ツールが、実はセキュリティリスクになっている可能性がある。

あなたが悪いわけではない。ツールが悪いわけでもない。ただ、知らないことがリスクなのだ。

知った上で使うのと、知らずに使うのでは、まったく意味が違う。

今日からできることは小さい。だが、確実に効果がある。

• 次に無料ツールを使うとき、一瞬だけ立ち止まる
• 「このファイル、外部に送って大丈夫かな？」と自問する
• オフラインチェックを1回だけ試してみる

それだけで、あなたのセキュリティ意識は大きく変わる。

まずは「安全なツール」を知ることから

JobDoneBotは、すべてのファイル処理をブラウザ内で完結させるオンラインツールだ。ファイルはサーバーに送信されず、あなたのデバイスから一歩も外に出ない。

オフラインチェックをぜひ試してほしい。Wi-Fiを切っても、すべてのツールが問題なく動作する。

個人・チームで今すぐ使う:

• PDF圧縮 --- 取引先の契約書も安全に圧縮
• 画像リサイズ --- 社内資料の画像をサーバー送信なしで処理
• 背景削除 --- プレゼン素材をローカルで作成

すべて無料・登録不要・回数制限なし。全ツール一覧はこちら →

企業・組織で導入を検討する:
シャドーITの根本解決には、組織全体で安全なツール環境を整備することが不可欠だ。JobDoneBotエンタープライズ版は、社内ネットワーク内に設置する専用アプライアンスとして提供。インターネット接続なしで全機能が動作し、ファイルデータが社外に出ることは一切ない。情シス部門の管理下で、社員が自由にツールを使える環境を実現する。
エンタープライズ版の詳細 →