Gartner、生成AIサービスを提供するベンダーへのリスク対策を進めるために取り組むべきアプローチを発表

ガートナージャパン株式会社 (本社：東京都港区、以下Gartner) は、生成AIサービスを提供するベンダーへのリスク対策を進めるために取り組むべきアプローチを発表しました。

生成AIでビジネスを刷新しようとする企業の機運が高まっており、生成AIの導入や構築を支援するITベンダーのサービスが日本国内でも急速に普及しています。Gartnerは2025年3月に国内企業のIT調達に関わる個人を対象に実施した調査において、ベンダーによる生成AIサービスの利用状況について尋ねました。結果、何らかの生成AIサービスを利用している企業は既に63%に達しており、複数のサービスを利用する企業も46%に上ることが明らかになりました。

一方、同調査では「生成AIに特化した」ベンダー向けの管理ルールや基準が存在するかについても尋ねたところ、それらを定めた企業はわずか20%程度にとどまりました。生成AIサービスを提供するベンダーに内在するリスクについては、まだ十分な対策が取られていない状況が浮き彫りになりました。

シニア ディレクター アナリストの土屋 隆一は次のように述べています。「既に、海外を中心に生成AIのリスクがビジネスに影響する形で顕在化した例も見られますが、生成AIのリスクは今後さらに多様化していく可能性があります。ソーシング／調達／ベンダー管理 (SPVM) のリーダーは、ベンダー管理ライフサイクルの各プロセス (選定、契約、利用、廃棄 [契約終了]) で、生成AI関連のリスクに対処する方策を検討することが重要です。リスクが顕在化してから慌てて対策するのは得策ではありません」

SPVMリーダーや関係部門が限られたリソースで「現実的に」ベンダーへのリスク対策を進めるために取り組むべきアプローチの方向性は以下の通りです。

ユースケースのリスクとベンダーの成熟度を考慮する

AIと一口に言っても、ユースケース (どのようにそのAIを使うか) によってリスクの大小はさまざまです。リスクの高いユースケースであれば、対策を綿密に進めるのが好ましいですが、そこまでのリスクがなければその限りではありません。

また、取引するベンダーによっても規模、実績、信頼性が大きく異なります。たとえば市場をリード／支配してきたメガベンダーのセキュリティや信頼性を過剰に心配して評価を実施するのは合理的ではありません。

自社のビジネス価値創出やイノベーションにブレーキをかけないよう、リスク対策を入念に行う対象を比較的信頼性の高くないベンダーやリスクの高いユースケースに絞り込むなど、「メリハリのある」対策を採ることをGartnerは推奨しています。

生成AIの利用環境に目を配りながら、適宜、管理ルールや基準を改定する

土屋は次のように述べています。「社内の生成AIの利用環境は絶えず変化を続けているため、ベンダーを管理するルールや基準も、時勢に合わせて適宜改定する必要があります。逆に言えば、こうしたルールや基準を最初から完璧に作る必要は全くありません」

SPVMリーダーはルールや基準をタイムリーに見直せるよう、社内のガバナンス策定機関や現場の関係部門と協働し、1) 関係部門とのホットラインの構築、2) 「イベント駆動」でルールや基準を適宜再評価／改定できる仕組み作り、ならびに、再評価が必要となる「トリガー・イベント」のパターンの洗い出し、3) 自社内に存在する各種生成AIのオーナー部門の棚卸しとルール改定時の再教育、といった体制を構築する必要があります

Gartnerのサービスをご利用のお客様は、リサーチノート「生成AI推進のため国内企業はベンダーのリスクにどう立ち向かうか」で詳細をご覧いただけます。
日本で提供しているサービスについては、こちらよりご参照ください。https://www.gartner.co.jp/ja/products

日本のITエグゼクティブ向けのニュースや最新情報は、GartnerのXやLinkedIn、Facebookでも案内しています。最新のプレスリリースや記事、ウェビナー情報については、ニュースルームよりご参照ください。