サプライチェーンのAI：サードパーティAIリスク管理

サードパーティAIリスクのギャップ

ほとんどのAIガバナンスフレームワークは組織が開発または直接制御するAIシステムに焦点を当てています。このフォーカスはほとんどの組織には誤っています。エンタープライズAIリスクの大部分は、組織が購入・使用する商用ソフトウェア、プラットフォーム、サービスに組み込まれたAIから生じます。

HRプラットフォームは求職者を評価するためにAIを使用しているかもしれません。ERPシステムは異常なトランザクションをフラグするためにAIを使用しているかもしれません。CRMシステムはAI駆動の推奨を持つかもしれません。カスタマーサービスプラットフォームはAIを使用して顧客の問い合わせをルーティングし回答するかもしれません。これらはすべてサードパーティ製品のコンポーネントとしてのAIです——あなたが構築したシステムでも、あなたが訓練したモデルでもありません。しかしこれらのAIの結果はあなたの組織の結果です。

EU AI法の下でのオペレーター義務

EU AI法はオペレーター義務が契約で排除できないことを明確にしています。高リスクAIシステムを使用する組織は、プロバイダーが構築した場合でも、オペレーターとして直接的な規制上の義務を持ちます：人間による監督の実装、AIシステムパフォーマンスの監視、基本的権利影響評価の実施、AIが使用されていることの当事者への通知。

サードパーティAIデューデリジェンスフレームワーク

AIベンダーの評価には異なるデューデリジェンスフレームワークが必要です。標準的なベンダーデューデリジェンスはセキュリティ体制、財務安定性、サービス信頼性に焦点を当てます。AIベンダーデューデリジェンスはAIガバナンス成熟度を追加的に評価しなければなりません：技術文書（EU AI法の下でプロバイダーはオペレーターに十分な情報を提供することが義務付けられています）、バイアステスト結果、データ処理合意（AIシステムにどのデータが入力され、どのように使用されるか）、インシデント対応能力（ベンダーがAIシステムの障害やパフォーマンス低下をどのように検出・通知するか）。

集中リスク

重要な機能に少数のAIプラットフォームプロバイダーに依存する組織は体系的な集中リスクに直面しています。大手AIプラットフォームプロバイダーが重大な障害を経験したり、利用規約を変更したり、規制措置を受けたりする場合、依存する組織は適切な代替手段なしに運用上の混乱に直面します。