ガートナージャパンは2025年6月2日、ベンダーが提供する生成AIサービスを利用するうえでのリスク対策に関する調査結果を発表した。国内企業の63%が何らかの生成AIサービスを利用している一方、専用の管理ルールを定めた企業は20%程度にとどまっている。
ガートナージャパンは2025年3月、国内企業においてITの調達に関わる個人を対象に、ベンダーが提供する生成AIサービスの利用状況を調査した。その結果、何らかの生成AIサービスを利用している企業は63%に達しており、複数のサービスを利用する企業は46%に上る。
画面1:米OpenAIが提供する法人向け生成AIサービス「ChatGPT Enterprise」の画面例(出典:OpenAI)拡大画像表示
一方、これら生成AIサービスを利用するうえで、生成AIに特化した管理ルールや基準を設けているか否かを尋ねたところ、これらを定めている企業は20%程度にとどまった。同社は「生成AIサービスを提供するベンダーに内在するリスクについては、まだ十分な対策が取られていない状況が浮き彫りになった」としている。
「海外を中心に、生成AIのリスクがビジネスに影響する例が見られる。リスクは今後さらに多様化する可能性がある。ベンダーマネジメントの各段階(選定、契約、利用、廃棄)でリスク対策を検討することが重要である」(同社シニア ディレクター アナリストの土屋隆一氏)
限られたリソースで効果的にリスク対策を進めるため、ガートナーはユーザー企業に以下のアプローチを推奨している。
ユースケースのリスクとベンダーの成熟度を考慮する
AIのユースケース(どのようにそのAIを使うか)によってリスクの大小はさまざまである。また、ベンダーの規模、実績、信頼性もそれぞれ大きく異なっており、例えば、実績のあるメガベンダーのセキュリティや信頼性を過剰に心配して評価を実施するのは合理的ではない。
ガートナーでは、自社のビジネス価値創出やイノベーションにブレーキをかけないよう、リスク対策を入念に行う対象を比較的信頼性の高くないベンダーやリスクの高いユースケースに絞り込むなど、「メリハリのある」対策を採ることを推奨している。
生成AIの利用環境に目を配りながら、適宜、管理ルールや基準を改定する
社内の生成AIの利用環境は絶えず変化を続けているため、ベンダーを管理するルールや基準も、時勢に合わせて適宜改定する必要がある。「逆に言えば、こうしたルールや基準を最初から完璧に作る必要はまったくない」(土屋氏)。
調達・ソーシング/ベンダーマネジメントにおいては、ルールや基準をタイムリーに見直せるよう、社内のガバナンス策定機関や現場の関係部門と協働し、関係部門とのホットラインの構築や、イベント駆動でルールや基準を適宜再評価/改定できる仕組み作りと、再評価が必要となるトリガーイベントのパターンの洗い出し、自社内に存在する各種生成AIのオーナー部門の棚卸しとルール改定時の再教育といった体制を構築する必要がある。
