生成AIサービス利用時に取り組むべきベンダーへのリスク対策とは──Gartner発表

　ガートナージャパン（以下、Gartner）は、生成AIサービスを提供するベンダーへのリスク対策を進めるために取り組むべきアプローチを発表した。

　生成AIでビジネスを刷新しようとする企業の機運が高まっており、生成AIの導入や構築を支援するITベンダーのサービスが日本国内でも急速に普及しているという。Gartnerは、2025年3月に国内企業のIT調達に関わる個人を対象に実施した調査において、ベンダーによる生成AIサービスの利用状況について調査を実施。その結果、何らかの生成AIサービスを利用している企業は既に63％に達しており、複数のサービスを利用する企業は46％であることが明らかになったとしている。

　一方、同調査では「生成AIに特化した」ベンダー向けの管理ルールや基準が存在するかについても質問したところ、それらを定めた企業はわずか20％程度にとどまったという。生成AIサービスを提供するベンダーに内在するリスクについては、まだ十分な対策が採られていない状況が浮き彫りになったとのことだ。

　SPVMリーダーや関係部門が、限られたリソースで「現実的に」ベンダーへのリスク対策を進めるために取り組むべきアプローチの方向性は次のとおり。

ユースケースのリスクとベンダーの成熟度を考慮する

　AIと一口に言っても、ユースケース（どのようにそのAIを使うか）によって、リスクの大小は様々だという。リスクの高いユースケースであれば、対策を綿密に進めるのが好ましいが、そこまでのリスクがなければその限りではないとGartnerは述べる。

　また、取引するベンダーによっても規模、実績、信頼性が大きく異なるという。たとえば、市場をリード／支配してきたメガベンダーのセキュリティや信頼性を過剰に心配して評価を実施するのは、合理的ではないとのことだ。

　自社のビジネス価値創出やイノベーションにブレーキをかけないよう、リスク対策を入念に行う対象を比較的信頼性の高くないベンダーやリスクの高いユースケースに絞り込むなど、「メリハリのある」対策を採ることをGartnerは推奨している。

生成AIの利用環境に目を配りながら、適宜、管理ルールや基準を改定する

　SPVMリーダーはルールや基準をタイムリーに見直せるよう、社内のガバナンス策定機関や現場の関係部門と協働し、「関係部門とのホットラインの構築」「『イベント駆動』でルールや基準を適宜再評価／改定できる仕組み作り、および再評価が必要となる『トリガー・イベント』のパターンの洗い出し」「自社内に存在する各種生成AIのオーナー部門の棚卸しとルール改定時の再教育」といった体制を構築する必要があるとのことだ。

【関連記事】
・Facebookから偽Webサイトに誘導　生成AIサービスを悪用したサイバー犯罪の手口──CPR調査
・Cloudera、AI活用した統合データ可視化ソリューションを提供　オンプレミスで利用可能に
・SAS、新たなAIガバナンス支援サービス「AIガバナンス・マップ」発表　現状分析からプランニングまで