ガートナージャパンは6月2日、生成AIサービスを提供するベンダーを対象としたリスク対策を進めるために取り組むべきアプローチを発表した。

生成AIサービスを提供するベンダーに内在するリスクへの対策は不十分

同社は2025年3月に国内企業のIT調達に関わる個人を対象に、ベンダーによる生成AIサービスの利用状況を調査。その結果、生成AIサービスを利用している企業は63%に達しており、複数のサービスを利用する企業も46%に上ることがわかった。

一方、生成AIに特化したベンダー向けの管理ルールや基準の有無を尋ねたところ、それらを定めた企業は20%程度だった。つまり、生成AIサービスを提供するベンダーに内在するリスクについて、十分な対策が取られていない状況が明らかになった。

ベンダーへのリスク対策を進めるために取り組むべき2つのアプローチ

シニア ディレクター アナリストの土屋 隆一氏は、ベンダー管理ライフサイクルの各プロセス (選定、契約、利用、廃棄 [契約終了]) で、生成AI関連のリスクに対処する方策を検討することが重要と指摘している。

ユースケースのリスクとベンダーの成熟度を考慮

自社のビジネス価値創出やイノベーションにブレーキをかけないよう、リスク対策を入念に行う対象を比較的信頼性の高くないベンダーやリスクの高いユースケースに絞り込むなど、「メリハリのある」対策を採ることが推奨されている。

生成AIの利用環境に目を配りながら、適宜、管理ルールや基準を改定

土屋氏は、「社内の生成AIの利用環境は絶えず変化を続けているため、ベンダーを管理するルールや基準も、時勢に合わせて適宜改定する必要がある。逆に言えば、こうしたルールや基準を最初から完璧に作る必要はまったくない」と述べている。

ソーシング/調達/ベンダー管理 (SPVM) のリーダーは、ルールや基準をタイムリーに見直せるよう、社内のガバナンス策定機関や現場の関係部門と協働し、以下のような体制を構築する必要がある。

  • 関係部門とのホットラインの構築
  • 「イベント駆動」でルールや基準を適宜再評価/改定できる仕組み作り、再評価が必要となる「トリガー・イベント」のパターンの洗い出し
  • 自社内に存在する各種生成AIのオーナー部門の棚卸しとルール改定時の再教育