サードパーティAIリスクのギャップ
ほとんどのAIガバナンスフレームワークは組織が開発または直接制御するAIシステムに焦点を当てています。このフォーカスはほとんどの組織には誤っています。エンタープライズAIリスクの大部分は、組織が購入・使用する商用ソフトウェア、プラットフォーム、サービスに組み込まれたAIから生じます。
HRプラットフォームは求職者を評価するためにAIを使用しているかもしれません。ERPシステムは異常なトランザクションをフラグするためにAIを使用しているかもしれません。CRMシステムはAI駆動の推奨を持つかもしれません。カスタマーサービスプラットフォームはAIを使用して顧客の問い合わせをルーティングし回答するかもしれません。これらはすべてサードパーティ製品のコンポーネントとしてのAIです--あなたが構築したシステムでも、あなたが訓練したモデルでもありません。しかしこれらのAIの結果はあなたの組織の結果です。
EU AI法の下でのオペレーター義務
EU AI法はオペレーター義務が契約で排除できないことを明確にしています。高リスクAIシステムを使用する組織は、プロバイダーが構築した場合でも、オペレーターとして直接的な規制上の義務を持ちます:人間による監督の実装、AIシステムパフォーマンスの監視、基本的権利影響評価の実施、AIが使用されていることの当事者への通知。
サードパーティAIデューデリジェンスフレームワーク
AIベンダーの評価には異なるデューデリジェンスフレームワークが必要です。標準的なベンダーデューデリジェンスはセキュリティ体制、財務安定性、サービス信頼性に焦点を当てます。AIベンダーデューデリジェンスはAIガバナンス成熟度を追加的に評価しなければなりません:技術文書(EU AI法の下でプロバイダーはオペレーターに十分な情報を提供することが義務付けられています)、バイアステスト結果、データ処理合意(AIシステムにどのデータが入力され、どのように使用されるか)、インシデント対応能力(ベンダーがAIシステムの障害やパフォーマンス低下をどのように検出・通知するか)。
集中リスク
重要な機能に少数のAIプラットフォームプロバイダーに依存する組織は体系的な集中リスクに直面しています。大手AIプラットフォームプロバイダーが重大な障害を経験したり、利用規約を変更したり、規制措置を受けたりする場合、依存する組織は適切な代替手段なしに運用上の混乱に直面します。