「GitHub Copilot全社導入」の前にたちはだかった3つの壁　ZOZOはどう乗り越えたか（1/2 ページ）

公開 2024年05月10日 12時01分

[ITmedia]

印刷する

　生成AIのビジネスへの利活用の一環として、AIプログラミング補助ツール「GitHub Copilot」の導入に踏み切る企業が増えている。ファッションECサイト「ZOZOTOWN」を運営するZOZOもその一つで、2023年5月に法人向けサービスである「GitHub Copilot Business」を全社導入した。

　ZOZOには約500人のエンジニアが所属しており、その全員がGitHub Copilot Businessを利用できるようにした。一方で、AIツールの全社導入に当たっては、セキュリティや費用対効果など、検討すべき点も多い。ZOZOではどのような検討の結果導入に至ったか、同社のテックリードを務める堀江亮介さん（技術本部技術戦略部CTOブロック）が公開している外部向け資料からひもとく。

ZOZOが公開している資料「GitHub Copilotは開発者の生産性をどれだけ上げるのか？ZOZOでの全社導入とその効果」

　全社導入を進める際、ZOZOでは「セキュリティ上の懸念」「ライセンス侵害のリスク」「導入による費用対効果」の3つの課題として挙げていたという。

3つの課題、どのように解決したか？

　セキュリティについては、具体的に「生成したプロダクトのコードがAI学習に使われることによる社外への流出」「提案されたコードへの脆弱性の混入」という2つの課題があった。前者については、GitHub Copilot Businessが「プロダクトのコードはGitHub Copilotの学習に使用されない」と定めているため、回避できた。

　脆弱性の混入については、GitHub Copilotに組み込まれた脆弱性防止システムを利用。これはAIベースのコードチェック機能で、これによりある程度は混入を防止できる。しかし、これだけでは脆弱性が混入するリスクは0とはいえないため、第三者によるコードレビューを必ず実施するような仕組みを敷いたという。

　次にライセンス侵害のリスクについてだ。これは、GitHub Copilotが使用する米OpenAIのCodexモデルの学習データが抱えるリスクになる。この学習データには、GituHub上で公開されているOSSのソースコードも含まれているため、AIが生成したコードをそのまま利用した場合、知らず知らずのうちにライセンス違反を問われるリスクがあるのだ。

　この問題にZOZOは、GitHub Copilotの設定画面にある「Suggestions matching public code」という項目をブロックすることで対策しているという。これをブロックすることで、GituHub上で公開中のOSSのソースコードと一致するものをブロックできるため、ライセンス侵害のリスクの低減を期待できる。またGitHub Copilot Businessでは、組織全体でこの設定を強制することが可能という。

　この対策を講じた上でもライセンス侵害が問題になった場合、第三者からの賠償請求に対して米GitHubから無制限の補償を受けられる契約も結んでいるという。ただし、契約内容によって補償内容が異なる可能性があるため、導入を検討する他の企業に対しては、それぞれGitHubに確認することを推奨している。

　最後に、GitHub Copilotの全社導入による費用対効果についてだ。GitHub Copilotの全社導入によって、技術部門の開発効率の向上を期待していたが、実際に全社導入するためには、GitHub Copilotの導入に具体的にどのくらいのコストメリットがあることを社内で実際に示す必要があった。

　ZOZOでは、費用対効果を見積もるために2週間の試験導入を実施。専用Slackチャンネルの立ち上げや、社内アンケートなどで使った感想などを集め、具体的なコスト削減金額を算出した。そうやって実際の開発業務でどの程度コスト削減できたかを可視化することで、全社導入にコストメリットがあると確認し、全社導入を決める判断に役立てた。