AIベンダーデューデリジェンス：署名前に確認すべきこと

サードパーティ責任の誤解

組織がベンダーからAIシステムを購入するとき、多くはその購入でガバナンス責任が移転すると信じています。それは正しくありません。EU AI法の下で、オペレーター義務は独立しており購入によって排除できません。高リスクAIシステムを使用する組織は、誰がそれを構築したかに関係なくオペレーター義務を持ちます。

ほとんどのエンタープライズAIベンダー契約はベンダーの責任を制限し、コンプライアンス責任を顧客に移転するように設計されています。これは必ずしも悪意があるわけではありません——プロバイダーは多くの顧客のために多くのユースケースのコンプライアンスを保証できません。しかし何をサインするかを理解することは不可欠です。

ベンダーデューデリジェンスフレームワーク

技術文書：ベンダーはAIシステムの適切な技術文書を提供しているか？EU AI法の下で高リスクAIシステムのプロバイダーはオペレーターに十分な情報を提供することが義務付けられています。これができないまたはしたくないベンダーは、自分自身の規制義務を果たしていないか、適切に管理できないシステムを運用しているかのどちらかです。

バイアステスト：AIシステムは関連する人口統計グループに対してバイアスについてテストされたか？結果は何か？どの改善策が適用されたか？

データ処理：AIシステムはどのデータを処理するか？これらのデータはモデルトレーニングまたは改善のために使用されるか？それらはどこで処理・保存されるか？

インシデント対応：ベンダーはAIシステムの障害やパフォーマンス低下をどのように検出・通知するか？

契約上の保護

AIシステムのベンダー契約はガバナンスを明示的に対処すべきです：ガバナンス慣行と規制コンプライアンスの表明、監査権、インシデント報告義務（定義された時間枠で）、データ処理条件、AIシステムまたはその基盤モデルへの重大な変更に関する規定。

継続的なベンダー管理

AIベンダーデューデリジェンスは一回限りのイベントではありません。AIシステムは更新されます——時にはモデルの変更を通じて、時には新機能の追加を通じて、時にはトレーニングデータの変更を通じて。これらの変更は重大なパフォーマンスや公平性への影響を持つ可能性があります。継続的なベンダー管理には：重大なAIシステムの変更の通知を要求する（契約条件に含まれるべき）、高リスクシステムの定期的なパフォーマンス監視のレビュー、年次のベンダーレビューでガバナンス慣行とコンプライアンスステータスを評価することが含まれます。ベンダーとのガバナンスの会話は一度きりのデューデリジェンスではなく、継続的な関係として扱ってください。