ガートナージャパンは6月2日、生成AIサービスを提供するベンダーへのリスク対策を進めるために取り組むべきアプローチを発表した。
生成AIでビジネスを刷新しようとする企業の機運が高まっており、生成AIの導入や構築を支援するITベンダーのサービスが日本国内でも急速に普及している。Gartnerは2025年3月に国内企業のIT調達に関わる個人を対象に実施した調査で、ベンダーによる生成AIサービスの利用状況について尋ねた。その結果、何らかの生成AIサービスを利用している企業は既に63%に達しており、複数のサービスを利用する企業も46%に上ることが明らかになった。
一方、同調査では「生成AIに特化した」ベンダー向けの管理ルールや基準が存在するかについても尋ねたところ、それらを定めた企業はわずか20%程度にとどまった。生成AIサービスを提供するベンダーに内在するリスクについては、まだ十分な対策が取られていない状況が浮き彫りになった。
SPVMリーダーや関係部門が限られたリソースで、「現実的に」ベンダーへのリスク対策を進めるために取り組むべきアプローチの方向性は以下のとおりである。
ユースケースのリスクとベンダーの成熟度を考慮する
AIと一口に言っても、ユースケース (どのようにそのAIを使うか) によってリスクの大小はさまざまである。リスクの高いユースケースであれば、対策を綿密に進めるのが好ましい、そこまでのリスクがなければその限りではない。
また、取引するベンダーによっても規模、実績、信頼性が大きく異なる。たとえば市場をリード/支配してきたメガベンダーのセキュリティや信頼性を過剰に心配して評価を実施するのは、合理的ではない。
自社のビジネス価値創出やイノベーションにブレーキをかけないよう、リスク対策を入念に行う対象を比較的信頼性の高くないベンダーやリスクの高いユースケースに絞り込むなど、「メリハリのある」対策を採ることをGartnerは推奨している。
生成AIの利用環境に目を配りながら、適宜、管理ルールや基準を改定する
SPVMリーダーはルールや基準をタイムリーに見直せるよう、社内のガバナンス策定機関や現場の関係部門と協働し、以下の体制を構築する必要があるとしている。
(1)関係部門とのホットラインの構築
(2)「イベント駆動」でルールや基準を適宜再評価/改定できる仕組み作り、ならびに、再評価が必要となる「トリガー・イベント」のパターンの洗い出し
(3)自社内に存在する各種生成AIのオーナー部門の棚卸しとルール改定時の再教育
[i Magazine・IS magazine]
