AIの企業導入は何年も前から始まっているのに、自社のシステムを正確に把握している経営幹部は5人に1人にも満たない
世界の大規模組織の半数以上が、すでにビジネスのどこかで生成AIを稼働させている。これは記録された事実だ。しかし、その統計の裏側で何が起きているかは、同じくらい明確には記録されていない。誰が監督するかを誰も定義しないまま機密データを処理するシステム、セキュリティチームが一度も監査したことのないワークフローの中で意思決定を行う自律型エージェント、そして遅れて導入されたか、あるいはまったく導入されなかったガバナンスの層——これらがその実態だ。
OpenText CybersecurityとPonemon Instituteが共同で発表した調査は、持続的な注目に値する数字を明らかにしている。自社のAIシステムが、セキュリティリスクを評価した上で完全に導入されていると断言できる経営幹部は、わずか5人に1人にすぎない。これは居心地の悪い「多数派」ではない。導入を進めながら、コントロール、アクセス権、そして責任についての最も基本的な問いに答えていない組織が、全体の80パーセントを占めているということだ。
これは経営会議室で誰もが正直に語りたがらない「成熟度の問題」だ。なぜなら、それを口にすることは、導入への圧力がガバナンス能力を上回るスピードで進んでいたことを認めることを意味するからだ。
アーキテクチャなき導入は、別の形の行き当たりばったりに過ぎない
企業AIをめぐる主流の語りは、依然として中心的な問題がテクノロジーへのアクセスにあるかのように機能し続けている。適切なモデルを導入し、正しいシステムに接続し、成果が出るのを待てばいい——そういう語りだ。この語りにはCレベルにとって都合のいい側面がある。パイロット数、導入ツール数、「すでにAIを使っている」部門数といった数字でいくらでも進捗を測ることができるからだ。
その語りが隠しているものの代償はより大きい。同じ調査のデータによれば、多数の組織がAIによってプライバシーおよびセキュリティ要件の遵守がより複雑になったと報告している——より単純になったのではなく。それにもかかわらず、そのリスクを管理するために必要なポリシーとコントロールを整備した組織の割合は、著しく低い。このギャップは技術的なものではない。優先順位の問題だ。
GenpactのSanjay Srivastavaは、企業AIの成熟度を考える上で最も精緻なフレームワークの一つを構築してきた人物だが、彼は曖昧さなくこう定式化する。AIにおける成熟度への道は、データを直接経由する。モデルではない。イノベーション予算でもない。データアーキテクチャ、オペレーションに組み込まれたガバナンス、誰が何に対してどのような条件の下で責任を負うかについての明確さ——これらを通る道だ。組織がそのステップを飛ばすとき、成熟した形でAIを導入しているのではなく、コントロールなしに能力を展開しているに過ぎない。
この問題が純粋に技術的ではない理由は、AIシステムが真空の中で動作しているわけではないからだ。ビジネスに最も近いチームが、何かが失敗する前にセキュリティチームと話し合うことがほとんどない組織の中で動作している。自律型エージェントが、何が何にアクセスできるかの最新インベントリも存在しないまま、財務・法務・顧客データとやり取りできる環境の中で動作している。そして、アーキテクチャの堅牢さよりも導入スピードを頻繁に優先する経営幹部のプレッシャーの下で動作している。
アナリストのJason Snyderはこれを「調整の劇場」と呼ぶ。AIに関する委員会があり、採用状況のダッシュボードがあり、トラクションを示す四半期ごとのプレゼンテーションがある一方で、実際のワークフローは再設計されないまま、データは統合されないまま、ガバナンスは定義されないままという組織的な場面のことだ。その結果として生まれる導入は、業務上・財務上のインパクトではなく、活動指標で測られるものになる。そして監査が来たとき、あるいはインシデントが起きたとき、組織は「構築せずに導入してしまった」ことを発見する。
遅れてやってくるセキュリティは、もはや間に合わない
低いAI成熟度を持つ組織に特徴的な動態がある。セキュリティとガバナンスが、設計の条件としてではなく、導入後に追加される層として扱われるパターンだ。これはセキュリティチームがよく知るパターンだが、Cレベルは直接的なコストが生じるまで過小評価しがちだ。
Forbes Research AI Survey 2025のデータは、あらゆる取締役会が懸念すべき精度でこの問題の深刻さを数値化している。ビジネスリーダーの62%が、AIによってサイバーセキュリティ防御の維持が複雑になったと認めており、63%がAIによって強化された脅威によって現在の防御が数カ月以内に陳腐化する可能性があると述べている。1年前、この2つ目の数字は29%だった。
これは緩やかなトレンドではない。リスク認識の急激な加速であり、それはAIの業務への導入加速と重なっている。組織はAIを活用した脅威への露出が対応能力を上回るスピードで拡大しているまさにそのときに、より多くのAIをシステムに組み込んでいる。
この分析が提示する解決策は、導入スピードを落とすことではなく、意思決定の順序を変えることだ。セキュリティとガバナンスは、導入後の監査として機能することはできない。モデルの設計からビジネスアプリケーションとの統合、トレーニング、導入、継続的なモニタリングに至るまで、システムのライフサイクル全体に組み込まれなければならない。
具体的には、低い成熟度を持つ組織が頻繁に後回しにするいくつかのことを意味する。第一に、どのAIシステムが環境内で稼働しており、何にアクセスできるかについての実際のインベントリ。この可視性なしに、ガバナンスは成立しない。第二に、人間以外のエージェントを含めるためのアイデンティティおよびアクセス管理の拡張。AIエージェントにはそれぞれ定義されたロール、制限された権限、そして行動のトレーサビリティが必要だ。第三に、リアルタイムで異常な動作を特定し、インシデントが発生した後ではなく、発生する前に定義された対応プロトコルを持つ継続的なモニタリングモデル。
これらのステップはどれも技術的に高度なものではない。必要とされるのは、より難しい何か——導入を支える基盤となるアーキテクチャを構築するのに十分なほど導入スピードを落とす意志だ。そしてその意志は、経営幹部のインセンティブがガバナンスの質ではなく採用速度に合わせられているときには乏しくなる。
80パーセントという数字が、私たちの導入の意思決定方法について明らかにすること
AI成熟度を本当に持つ組織が20パーセントにすぎないという数字は、単なるテクノロジー管理の指標ではない。市場圧力の下で大規模組織がどのように意思決定を行うかについての、より深い何かの症状だ。
80パーセントがセキュリティリスクを評価せずに導入する場合、それはその必要性に関する情報が欠けているからではない。テクノロジー、セキュリティ、コンプライアンスのチームは通常、何が必要かを知っている。問題はその一段上にある。採用への衝動と、それを責任を持って維持するための条件との間で、あるべき会話が行われなかったことだ。
多くの組織に、誰も明示的には行わない暗黙の会話が存在する。それは、取締役会にAIでのトラクションを示したいCEO、セキュリティアーキテクチャがまだ準備できていないことを知るCISO、当初の予算にはなかったガバナンスへの追加投資を承認しなければならないCFO、そして自律型エージェントによる機密データの使用の限界をまだ定義していない法務チームの間で行われるべき会話だ。
その会話が時機を逸するのは、内部的な政治的コストがあるからだ。市場が正反対の方向に圧力をかけているときにAI導入を停止または条件付けるには、Cレベルの誰かが、取締役会に対して、株主に対して、結果を求める営業チームに対して、その立場を維持する意志を持つことが必要だ。そして、その会話を強制するインシデントがない状況では、制度的な慣性は常に前進の方向に傾く。
したがって、企業AIの成熟度問題は、より優れたガバナンスツールや、セキュリティへのより多くの予算だけで解決されるものではない。それらは必要な手段だ。しかし前提条件は、経営陣の誰かがシステムが回避し続けていることを口にする意志を持つことだ。導入スピードがコントロール能力を上回ってしまったこと、それには現実の結果があること、そしてそれを是正するには短期的なコストが伴うことを。
そのしきい値を越えることができた組織は、より洗練された方法論を見つけたからそうできたのではない。インシデントに強いられる前にその会話を行った誰かがいたからだ。
成熟度は状態ではなく、繰り返される決断だ
Ponemon Instituteの調査は、AIにおける成熟度を達成するとは、システムがセキュリティリスクが評価された状態で完全に導入されていることを意味すると定める。この接続詞がしきい値を定義する。導入だけではない。評価だけでもない。両方が同時に存在することだ。
このしきい値が大多数の組織にとって難しい理由は、問題の技術的な複雑さにあるのではなく、意思決定を取り巻くインセンティブ構造にある。現在のインセンティブは導入を優先する。取締役会に報告される成功の指標は採用の指標だ。何部門がAIを使っているか、ツールがどれだけの時間を節約しているか、いくつのプロセスが自動化されたか。ガバナンスの指標、アクセスのインベントリ、導入された各システムのリスク評価は、その会話において同じ重みを持つことがほとんどない。
それを変えることは、抽象的な意味での組織文化の問題ではない。具体的なインセンティブ設計の問題だ。リーダーが採用速度で評価され、コントロールアーキテクチャの質で評価されない限り、80パーセントは80パーセントであり続け、インシデントは主要な学習メカニズムであり続ける。
そのしきい値を越えつつある組織は、具体的なことを行っている。AIシステムが「稼働準備完了」であることが何を意味するかの定義そのものに、ガバナンスとセキュリティの基準を組み込んでいる。プロセスの最後の追加ステップとしてではなく、導入の各フェーズの完了条件として。従業員のアクセスを管理するのと同じ厳格さで、人間以外のエージェントを含めるようにアイデンティティ管理を拡張している。AIシステムの動作をリアルタイムで監視し、異常がエスカレートする前に対応するためのプロトコルを定義している。
これらのいずれも革命的ではない。通常とは異なるのは、インシデントがそれを要求する前にそれを行う意志だ。
自組織の失敗から学ぶ組織と、他者の失敗から学ぶ組織との間には、大きな違いがある。まだセキュリティリスクを評価していない80パーセントは、その2つのカテゴリーのどちらに属することを選ぶか、いまも選択の途上にある。









