ガートナージャパンは6月2日、「生成AIサービスを提供するベンダーへのリスク対策を進めるために取り組むべきアプローチ」を発表した。企業で生成AIサービスの導入が進む一方、ベンダーのリスクへの取り組みが遅れており、メリハリのある対策が必要だと指摘する。
同社が3月に国内企業でIT調達に関わる人を対象に実施した調査では、63%が既に何らかの生成AIサービスを利用し、46%が複数のサービスを利用していることが判明。しかし、生成AIに特化したベンダー向けの管理ルールや基準を定めているのはわずか20%程度だったといい、生成AIサービスを提供するベンダーに内在するリスクについて、まだ十分な対策が取られていない状況が浮き彫りになったという。
シニア ディレクター アナリストの土屋隆一氏は、「既に海外を中心に生成AIのリスクがビジネスに影響する形で顕在化した例も見られるが、生成AIのリスクは今後さらに多様化していく可能性がある。ソーシング/調達/ベンダー管理のリーダーは、ベンダー管理ライフサイクルの各プロセス(選定、契約、利用、廃棄/契約終了)で、生成AI関連のリスクに対処する方策を検討することが重要」と解説する。
今回発表したアプローチでは、以下の形で企業のソーシング/調達/ベンダー管理のリーダーおよび関係部門が限られたリソースで現実的にベンダーへのリスク対策を進める方向性をまとめている。
ユースケースのリスクとベンダーの成熟度を考慮する
どのようにAIを使うかによりリスクの大小はさまざま。リスクの高いユースケースであれば、対策を綿密に進めるのが好ましいが、そこまでのリスクがなければその限りではない。また、取引するベンダーによっても規模、実績、信頼性が大きく異なる。例えば、市場をリード/支配してきたメガベンダーのセキュリティや信頼性を過剰に心配して評価を実施するのは合理的ではない。
企業は、自社のビジネス価値創出やイノベーションにブレーキをかけないよう、リスク対策を入念に行う対象を比較的信頼性の高くないベンダーやリスクの高いユースケースに絞り込むなど、メリハリのある対策をとることが推奨される。
生成AIの利用環境に目を配りながら、適宜管理ルールや基準を改定する
ソーシング/調達/ベンダー管理のリーダーは、ルールや基準をタイムリーに見直せるよう社内のガバナンス策定機関や現場の関係部門と協働し、(1)関係部門とのホットラインの構築、(2)「イベント駆動」でルールや基準を適宜再評価/改定できる仕組み作りならびに再評価が必要となる「トリガーイベント」のパターンの洗い出し、(3)自社内に存在する各種生成AIのオーナー部門の棚卸しとルール改定時の再教育――といった体制を構築する必要がある。
