生成AI導入時のリスクにどう対処する？ ガートナーが助言する“新戦略”：セキュリティニュースアラート

ガートナーは生成AIサービスの利用拡大に伴うリスク対策としてあるべき姿を提言した。国内企業の63％が何らかの生成AIサービスを既に利用しており、46％は複数のサービスを併用している中、これを活用する上での適切な対応が求められている。

[後藤大地，有限会社オングス]

　ガートナージャパン（以下、ガートナー）は2025年6月2日、生成AIサービスを提供するベンダーへのリスク対策を実施する上で、ソーシング／調達／ベンダー管理（SPVM）のリーダーが取り組むべきアプローチを発表した。この提言は、同社が2025年3月に国内のIT調達担当者を対象に実施した調査結果に基づいている。

生成AI導入時のリスクにどう対処するか？　ガートナーの助言

　調査によると、国内企業の63％が何らかの生成AIサービスを既に利用しており、46％は複数のサービスを併用している。一方で、生成AIに特化したベンダー管理のルールや基準を整備している企業は全体の20％程度にとどまった。生成AI活用が進む中で、リスク対策が後手に回っている実態が明らかにされている。

　ガートナーの土屋隆一氏（シニア ディレクター アナリスト）は「生成AIのリスクは今後さらに多様化する可能性があり、リスクが顕在化してから対策を講じるのは得策ではない。ベンダー管理ライフサイクルの各プロセス（選定、契約、利用、廃棄《契約終了》）において生成AI関連のリスクに対処する方策を検討することが重要だ」と伝えている。

　ガートナーは、全ての生成AIユースケースやベンダーに対して一律の基準を適用するのではなく、リスクの度合いに応じて対策の深度を調整する「メリハリのある」対応を推奨している。ユースケース（どのようにそのAIを使うか）によってさまざまなリスクがあり、リスクの高いユースケースであれば入念な対策を取るべきだが、そうではない場合はその限りではないと助言している。また、大手AIサービスベンダーのセキュリティや信頼性に対して評価を実施するのは合理的ではないとしている。

　同社は生成AIの利用環境に目を配りながら、管理ルールや基準を定期的に改定することが重要だとする。SPVMリーダーにはルールや基準をタイムリーに見直せるよう社内のガバナンス策定機関や現場の関係部門と協働し、関係部門とのホットラインやルールおよび基準を再評価する仕組みづくり、各生成AI活用部門の役割明確化とルール変更時の再教育の実施といった社内体制の構築を提案している。こうした取り組みにより、企業は予測困難なリスクに対しても柔軟に対応できる体制を確立できるとしている。

　生成AIがビジネスの中核へと浸透する中で、ベンダー管理も従来の枠組みにとどまらない工夫が求められている。ガートナーの分析は、企業が生成AIを安全かつ戦略的に活用するための現実的な道筋を示している。