会社の中で、もっとも早くAIを導入したのは、必ずしも情報システム部ではなかった。営業担当者が提案書の下書きを作る。総務担当者が社内文書を要約する。開発者がコードを貼り、マーケターがコピー案を作り、若手社員が会議メモを整理する。2023年以降、生成AIは、稟議書よりも先に現場へ入り込んだ。
その便利さは、同時に新しい穴を開けた。会社が許可していないAIサービスに、社員が機密情報、顧客情報、設計情報、契約文書、未発表の企画を入力する。企業が把握できないAI利用、いわゆる「シャドーAI」である。
2026年5月12日、大日本印刷株式会社、DNPは、東京都のAIセキュリティ企業Foltaに出資し、資本業務提携を行ったと発表した。出資日は2026年4月24日。Foltaは、Webブラウザ経由の生成AI利用をリアルタイムに制御・監視する「セキュアブラウザサービス」を提供する企業で、DNPはこの技術を、グループのセキュリティサービスと組み合わせて展開する。
このニュースが面白いのは、Foltaが巨大AIモデルを作っている会社ではないことだ。派手なチャットボットでも、画像生成でも、半導体でもない。Foltaが狙うのは、企業がAIを使うときの「入口」である。ブラウザ。入力欄。社員の手元。そこにこそ、2026年の企業AIの本当の戦場がある。
発表の中身:DNPはなぜFoltaに賭けたのか
DNPの発表によれば、Foltaの強みは「シャドーAI」と呼ばれる、企業が把握できない従業員のAIサービス利用に対するセキュリティ技術にある。Foltaのセキュアブラウザサービスは、Webブラウザ経由の生成AI利用をリアルタイムに制御・監視する。DNPはこの技術により、情報漏えいリスクを抑えながら、生成AIを安全に使える環境を支援するとしている。
提携の中身は大きく二つある。第一に、シャドーAI対策に対応したセキュアブラウザサービスの共同販売。第二に、セキュアブラウザで収集したデータの分析・監視機能を強化し、Webブラウザに限らず生成AIアプリケーションへサービスを拡張する共同開発である。
DNPが強調したのは、自社が45,000台以上の情報端末を監視・運用してきた実績だ。これは、単なる投資家としてではなく、大企業の情報システムの現実を知る事業会社としてFoltaを見ている、という意味を持つ。
シャドーAIとは何か:禁止しても使われるAI
シャドーAIとは、企業のIT部門やセキュリティ部門が正式に承認していないAIツールを、社員や部門が独自に使うことである。過去の「シャドーIT」は、未承認のSaaS、クラウドストレージ、チャットアプリなどを意味した。シャドーAIはそれに似ているが、より危険な点がある。AIツールは、入力されたデータを処理し、要約し、推論し、場合によっては外部モデルや第三者サービスへ送るからだ。
社員の側から見れば、動機は悪意ではない。むしろ仕事を早く終えたいだけだ。上司に出す報告書を整える。英語メールを直す。議事録を要約する。提案書のアイデアを増やす。生成AIは、日々の業務にあまりにも便利である。だから、会社が公式ツールを整える前に、現場が先に使い始める。
問題は、便利さと統制の速度差である。現場は今日使いたい。IT部門はリスク評価、契約、データ保護、法務確認、社内教育を必要とする。その間に、会社は「誰が、どのAIに、何を入力しているのか」を見失う。
DNPらしい投資:印刷会社から情報セキュリティ企業へ
DNPは1894年創業の印刷会社である。しかし、現代のDNPを単に紙の会社として見ると間違える。印刷とは、もともと情報を複製し、流通させ、管理する産業だった。書籍、雑誌、カード、包装、認証、画像処理、BPO、デジタルマーケティング、セキュリティ。DNPの歴史は、情報の媒体が紙からデータへ変わる歴史でもある。
だからDNPがFoltaに出資したことは、唐突ではない。企業の情報を扱う会社が、生成AI時代の情報流出リスクに向かったと読むべきだ。かつて重要だったのは、印刷物を誰が持ち出すかだった。次に重要になったのは、ファイルを誰が共有するかだった。今は、社員がAIの入力欄に何を貼るかである。
この変化は、印刷会社にとっても、セキュリティ会社にとっても、IT部門にとっても大きい。情報はもはや「保存されるもの」だけではない。質問、要約、プロンプト、応答、添削、生成というかたちで流れる。その流れを見えるようにするサービスに、事業機会が生まれている。
2026年のAIガバナンス:ルールから運用へ
日本では、AIの安全な利活用をめぐるガイドラインが整備されてきた。2026年3月31日に公開された「AI事業者ガイドライン Ver.1.2」は、AIガバナンスの統一的な指針を示し、AIリスクを認識し、ライフサイクル全体で必要な対策を自主的に講じることを求めている。
米国ではNISTのAI Risk Management Frameworkが、AIリスクを組織として管理するための枠組みを提供してきた。欧州ではEU AI Actが2024年8月1日に発効し、2026年8月2日に全面適用される予定として国際的な基準作りを進めている。企業にとって、AIはもはや「試してみるツール」ではなく、管理すべき業務インフラになった。
しかし、ガイドラインだけではブラウザの入力欄は止まらない。ポリシーを作ることと、実際に現場で何が起きているかを見ることは別である。Foltaのような会社が重要になるのは、ここである。ルールを紙に書くのではなく、実際のAI利用の場面で検知し、制御し、記録し、改善する。AIガバナンスが「宣言」から「運用」へ移る瞬間である。
ブラウザという主戦場
企業の生成AI利用は、多くの場合、Webブラウザから始まる。社員は社内システムの外で、公開AIサービスにアクセスする。ファイルをアップロードし、長文を貼り付け、チャット欄に相談する。ネットワーク監視やログ管理だけでは、その文脈を十分に理解できない場合がある。
ブラウザ起点の制御には、現場に近い強みがある。どのAIサービスへアクセスしたのか。どのような入力をしようとしたのか。機密情報らしき文字列が含まれていないか。利用を許可するのか、警告するのか、マスクするのか、ブロックするのか。企業が必要とするのは、単純な禁止ではなく、業務を止めずに危険な入力を減らす仕組みである。
DNPとFoltaの提携が「安全な業務利用」を掲げるのは、このためだ。生成AIを禁止する会社は、結局、社員に隠れて使わせるだけかもしれない。必要なのは、便利さを残しながら、会社として見える状態に戻すことだ。
タイムライン:シャドーITからシャドーAIへ
| 時期 | 意味 |
|---|---|
| 1990年代〜2000年代 | PC、メール、インターネットの普及により、企業の情報管理が紙からデジタルへ移る。 |
| 2010年代 | SaaS、クラウドストレージ、スマートフォンにより、未承認ツールを使うシャドーITが問題化。 |
| 2022年 | ChatGPTの登場により、生成AIが一般社員の道具になる。 |
| 2024年 | EU AI Actが発効し、日本でもAI事業者ガイドラインが整備される。 |
| 2026年 | DNPがFoltaに出資。シャドーAI対策は、企業向けセキュリティ市場の具体的なサービスになる。 |
Foltaの勝負:小さな会社が大企業の痛点を突く
Foltaのような小さな会社にとって、大企業のAIガバナンスは大きな機会である。大企業はAIを使いたい。しかし情報漏えいは避けたい。社員の生産性を上げたい。しかし何を入力しているか分からない状態は困る。法務、セキュリティ、情報システム、人事、経営企画がそれぞれ違う不安を持つ。
この市場で重要なのは、AIそのものの賢さだけではない。導入しやすさ、既存のセキュリティサービスとの連携、ログの見やすさ、監査対応、社員への説明、運用改善である。DNPとの提携は、Foltaに販売網、信用、運用経験を与える可能性がある。一方でDNPにとっては、生成AI時代の新しいセキュリティサービスを早く市場へ出す足場になる。
日本企業はしばしば、新技術の導入に慎重だと言われる。しかし、慎重さは必ずしも遅さではない。リスクを管理できる仕組みが整えば、一気に導入が進むことがある。Foltaの狙いは、まさにその「慎重な導入」のインフラになることだ。
Japan.co.jpの見方
このニュースは、AI時代の地味だが重要な転換点である。派手なAIモデルのニュースではない。だが、企業が本当にAIを使うには、こうした地味な制御層が必要になる。モデルを作る会社がAIのエンジンなら、Foltaのような会社は、AIを社内に入れるためのブレーキ、ミラー、シートベルトである。
2026年の企業AIは、導入するかしないかの段階を越えつつある。次の問いは、「誰が、どこで、どのデータを、どのAIに渡してよいのか」である。その答えを現場の入力欄まで落とし込める会社が、AI時代のリスクオフィスを作る。
DNPがFoltaに賭けたのは、AIそのものではなく、AIを安全に使うための企業制度である。日本のAI革命は、ロボットや半導体だけで起きるのではない。会社員がブラウザに貼り付ける一文を、どう守るか。その小さな場所からも始まっている。
読者のための要点
| 項目 | 内容 |
|---|---|
| 何が起きたか | DNPがFoltaに出資し、資本業務提携を行った。 |
| Foltaの強み | Webブラウザ経由の生成AI利用をリアルタイムに制御・監視するセキュアブラウザサービス。 |
| なぜ重要か | 社員が未承認AIに機密情報を入力する「シャドーAI」が企業リスクになっているため。 |
| DNPの狙い | 既存のサイバーセキュリティ監視運用サービスと組み合わせ、AI時代の新サービスを展開すること。 |
| 大きな意味 | AIガバナンスが、規程やガイドラインから、実際の業務入力を制御する運用層へ移っている。 |
Sources and references
この記事は、DNPの公式発表、PR TIMES、AIガバナンス関連の公的資料・国際資料を参考にしました。
