2026年6月9日、Anthropicは、同社が「Opusを上回る」と位置づける最上位のMythosを一般に開放したモデルとして、Claude Fable 5を鳴り物入りで公開しました。事実上、一般利用者が手にできるもっとも強力なAIです。ところがこのFable 5は、公開からわずか3日後の6月12日(米国時間)、米政府の安全保障上の懸念にもとづく輸出管理指令を受けて、世界中で利用停止となりました。
最強クラスのAIがこれほど早く使えなくなったことは、利用者として非常に残念な出来事でした。しかし同時にこれは、AIに依存することの危うさを改めて突きつける契機でもあります。とりわけ、企業が基幹業務にAIを組み込む場合、得られる効能は大きい一方で、停止や変更がもたらす影響は致命的になりかねません。
AIの用途は、すでに文章作成の補助にとどまりません。ソフトウェア開発(コーディング)、製造現場の設計・品質管理・検査、規制対応や技術文書の作成、サプライチェーンや需要予測の最適化——こうした「本気の業務」にAIが入り込むほど、その効果は大きくなります。そして皮肉なことに、効果が大きい領域ほど、提供が止まったときの打撃も大きくなります。AIが価値を生む現場に踏み込むほど、AIベンダーは「便利な道具の出し手」から、企業活動を支える重要サプライヤーへと変わっていきます。
Editorial Note:本記事は2026年6月時点で公開されている一次情報に基づきます。Fable 5の提供停止は状況が流動的で、提供元は復旧に取り組むとしています。料金・モデルの提供条件・各国の規制も変わりやすいため、意思決定の際は各社・各当局の公式発表をご確認ください。
AIへの「依存」を、リスクとして管理できていますか
Contents
多くの企業は、すでにAIに関するリスク管理に着手しています。情報漏えい対策、入力データの取り扱い、社内ガイドラインの整備は、着実に進んでいます。しかし、今回のFable 5のような突然の利用停止や、利用量の増加にともなうコストの急騰といったリスクまで射程に入れている企業は、まだ多くないのではないでしょうか。
突き詰めれば、これは自社の事業継続を、外部のAIプラットフォームの判断にどこまで委ねてよいのか、という問題です。個人利用であれば、別のモデルに乗り換える、以前使っていたサービスに戻す、最悪の場合は徹夜で手作業に切り替える、といった逃げ道がまだ残されています。しかし、企業の、とりわけ基幹業務にAIが入り込んだ場合は事情が違います。ある日アクセスが断たれても、ある月から料金が倍になっても、利用者である自社側に打てる手は限られてきます。基幹業務をAIで効率化すればするほど、企業は知らぬ間に、事業の生殺与奪をプラットフォームに委ねることになってしまうのです。
だからこそ、エンタープライズレベルでAIを業務活用する場合には、「AIをどう使うか」だけではなく、「生成AIを重要サプライヤーとして管理できるか(できているか)」が問われると考えます。
なぜAIベンダーは「重要サプライヤー」なのか
AIが業務に組み込まれた瞬間、その提供元は「止まれば事業が止まる供給先」になります。これは、製造業や規制産業が重要部品の調達先に対して行ってきたサプライヤー管理と、構造的に同じです。重要部品を見る目線をそのままAIベンダーに当てると、見落としていた論点が浮かび上がってきます。
| 従来の重要サプライヤー管理 | AIベンダーに置き換えると |
|---|---|
| 供給停止 | モデル停止、API停止、サービス障害 |
| 廃番 | モデル廃止、機能削除 |
| 価格改定 | ライセンス費用、Token Cost 上昇 |
| 品質問題 | 出力品質、幻覚(ハルシネーション)、再現性の低下 |
| 規制・輸出管理 | 地域制限、データ主権、AI規制 |
| シングルソース | Copilot/OpenAI/Claude等への一社依存 |
| 監査対応 | プロンプト・出力・意思決定ログ |
表の右側に書いたAIのリスクは、これまで「IT部門の関心事」として扱われがちでした。しかし左側は、いずれも経営・調達など、リスク管理部門が責任を持って見てきた領域です。AIを業務インフラとして扱う以上、右側も同じ規律の対象になります。
AI依存が生む5つの経営リスク
今回、企業のAI利用において提示したいのは5つのリスクです。いずれも抽象論ではなく、2025年から2026年にかけて現実に起きた事象に基づいています。
Risk 1|Continuity Risk(継続性リスク)
AIモデルは廃止されますし、AIサービスやAPIは止まる可能性があります。Fable 5の全世界停止はその極端な例ですが、より日常的なのはモデルの世代交代です。OpenAIは提供終了の予定を専用ページで随時告知し、2026年6月にも旧世代モデルの廃止を通知しました。ChatGPTのGPT-4oは、一度提供終了を告げられた後に利用者の反発で復活し、結局2026年2月に退役しています。ある分析では、モデルの寿命がかつての18か月から半年程度に縮んだと整理しています。
見落とされやすいのは、こうしたAIモデルの世代交代が、利用者にとってはこれまでのパーツなどと同様に「変更管理」を強いられる事態だという点です。自動車、航空、医療機器といった業種では、製造プロセスや使用部品の変更は厳格な変更管理(チェンジコントロール)の対象であり、中身が予告なく入れ替わることは重大な問題になります。ところがAIモデルは、提供側の都合で中身が更新され、ときに提供そのものが終了します。これはAIに限ったことではありませんが、検証済みのプロセスに急に変更が外部から持ち込まれるということで、品質と再現性に直結するリスクです。そしてこのような変更は自動車業界であればTool Validation、医療機器であればComputer System ValidationといったようなValidation(検証)作業を必要とします。恐らく他の業種でも、Process ValidationやModel Managementと呼ばれるような変更管理の枠組みが規定されていると思います。
Risk 2|Concentration Risk(集中リスク)
全社が一つのAI=サプライヤーに依存すれば、それは新しい単一障害点(Single Point of Failure)になります。2025年10月20日には、世界最大級のクラウド基盤であるAWS(Amazon Web Services)の中核リージョンで障害が起き、世界中のアプリが連鎖的に停止しました。直後のAzure障害は8時間で48億〜160億ドル規模の損失と見積もられ、11月のCloudflare障害ではChatGPTとClaudeが同時に巻き込まれています(私も巻き込まれ発狂しました)。複数のAIを並べても、その下で同じインフラを共有していれば一緒に落ちます。冗長化したつもりが冗長化になっていないという、典型的な落とし穴です。
Risk 3|Cost Volatility Risk(コスト変動リスク)
「最近AIは安くなった」という話は、半分しか当たっていません。単価が下がっても、利用量の増加で総額はむしろ膨らみます。今回のFable 5にしても、最上位モデルゆえに100万トークンあたり入力10ドル・出力50ドルと、ひとつ下のOpus 4.8(5ドル・25ドル)のちょうど倍でした。性能を求めて上位モデルへ上げるだけで、単価は倍になります。
特にコンピュテーションコストの増加により、現在のフリーミアムに近いAIの使用体系から、急激に使用料が上がるのではないかという話題が、AIユーザー界隈では最近よく話題になります。
利用量という点も重要です。ある分析によれば、AIコーディングツールの利用が5,000人規模のエンジニア組織で32%から84%へ急拡大したUberでは、エンジニア1人あたりの月額が500〜2,000ドルに達し、2026年のAI予算を4か月で使い切って組み直す事態になりました。単価の下落は、こうした利用量の急増にあっさり打ち消されます。
さらに厄介なのは、コストが「成果」ではなく「活動量」で膨らむ場合があることです。AIの社内普及度を、個人や部署のトークン使用量で測る企業は少なくありません。ところが報道によれば、Amazon・JPMorgan・Meta・Disneyなどが導入した社内でのAIの利用量ランキングでは、順位を上げるためだけに不要なタスクを走らせてトークンを浪費する「トークンマキシング(tokenmaxxing)」が広がりました。Amazonはこの社内リーダーボードを取りやめ、幹部は「AIを使うこと自体を目的にしないでほしい」と述べています。指標が目的化すると、コストだけが膨らみ成果は伴わない、いわゆるグッドハートの法則です。まだまだ日本では社内でのAI利用促進のKPIとしてトークン使用料を計測されている会社が多いのではないでしょうか。
AIコストは、PoC段階の見積りで固定できる費用ではなく、為替や原材料費のように動く変動費として扱う必要があります。
Risk 4|Governance & Auditability Risk(ガバナンス・監査リスク)
誰が、どのAIに、何を入力し、その出力をどの判断に使ったのか。これを後から説明できない企業は少なくありません。しかし規制は、すでにそれを求め始めています。EU AI Actは2025年8月に汎用AIモデルへの義務を発動し、2026年8月にはハイリスク分野の規制と本格的な執行が始まります。違反時の制裁金は最大3,500万ユーロ、または全世界売上高の7%と、GDPRを上回ります。AIの透明性と説明責任は、現場の心がけではなく、取締役会の責任範囲に入っています。
Risk 5|Geopolitical & Regulatory Risk(地政学・規制リスク)
AIが使えるかどうかは、性能や契約ではなく、国家間の力学で決まることがあります。Fable 5の停止が示したように、アクセスは国籍や地域で断たれうるものになりました。背景には、AIをめぐる輸出管理がもはや半導体だけの話ではないという流れがあります。米国は2025年に、AIチップに加えモデルの「重み」まで対象に含めようとしたAI拡散規則を一度打ち出し、その後「米国製AIスタックの輸出促進」へと舵を切りました。どの国の事業者のAIに、どのデータを預け、どこで処理させるか。これは情報漏えいとは別次元の、データ主権という経営問題であり、規制産業や国境をまたぐ事業では、とりわけ重く効いてきます。
性能よりも「提供条件」が業務を左右する
複数の生成AIを実際に併用してみると、業務の設計を左右するのは、モデルの性能差よりも、提供条件・利用制限・価格体系・機能変更の差であることが分かります。ある月は問題なく回っていた作業が、翌月には仕様や料金の変更で組み直しになる。性能の優劣以上に、「提供が続くか」「条件が変わらないか」が、運用の安定性を決めます。
冒頭のFable 5は、その極端な現れでした。評価の途中だったモデルが、利用者の判断とは無関係に、3日で姿を消したのです。個人なら別のモデルへ乗り換えれば済みますが、基幹業務がそのモデルに依存していれば、同じ事象はそのまま事業継続の問題になります。性能比較の先にある「供給の安定性」こそ、企業導入では本質的な評価項目です。
AI Vendor Risk Assessment Framework:9つの評価軸
本記事では、AIベンダーを重要サプライヤーとして評価するための簡易フレームワークを提示します。重要サプライヤーの与信・BCP評価と同じ要領で、主要なAI利用ごとに、次の9つの観点を高・中・低で点検していきます。まだまだ不十分なフレームワークだとは思いますが、リスクを洗い出し、対応を検討する出発点にはなると思います。
| 評価軸 | 経営が問うべき質問 |
|---|---|
| Business Criticality(業務重要度) | このAIが止まると、どの業務が止まるか |
| Data Sensitivity(データ機密性) | どの種類のデータを入力しているか |
| Vendor Dependency(ベンダー依存度) | 特定ベンダーにどの程度依存しているか |
| Substitutability(代替可能性) | 代替AIに何日で切り替えられるか |
| Cost Volatility(コスト変動性) | 利用量増加・価格改定に耐えられるか |
| Auditability(監査可能性) | 利用ログと判断プロセスを説明できるか |
| Regulatory Exposure(規制エクスポージャー) | 規制産業・国境をまたぐ利用に問題はないか |
| Geopolitical Exposure(地政学エクスポージャー) | 米中対立・輸出管理・データ主権の影響はあるか |
| Internal Capability(社内能力) | 社内にAIを評価・運用できる人材がいるか |
最後のInternal Capabilityは見落とされがちですが、重要です。AIの活用が「詳しい一部の人」に偏れば、その人が抜けた瞬間に業務がブラックボックス化します。属人化もまた、管理すべき人材リスクです。
この点検は、評点を付けて終わりにするものではありません。重要なのは、高リスクと出た観点ごとに、対応策を検討しておくことです。たとえば、業務重要度が高ければ復旧目標と手作業のフォールバックを、依存度が高ければマルチベンダーや切り替え手順を、コスト変動性が高ければ利用量と費用の上限・監視を、監査可能性が低ければログ保存と承認ルールを——といった具合に、問いごとに「では、どう備えるか」を検討します。点検はあくまで問いを投げる仕組みであり、具体的な対応策は各社の事業特性に応じて設計する必要があります。
恐らく多くの方がお気づきだと思いますが、これらは何も新しい問題ではありません。
災害時などの事業継続を考えるBCPや、他のソフトウェア導入などの際に検討する項目とほとんどが類似してきます。
経営がいま決めるべき5つのこと
現時点ではプラットフォームが提供するAIの活用が、自社の事業継続に影響するほどのケースは、ソフトウェア開発以外の業種ではまだ多くないのではないかと推察します。
現在どのような部門でAIが活用されているのかを確認し、今後どのようにAIを業務に組み込むかを考えるには絶好のタイミングだと思います。
まずすべき点としては、以下のような事が挙げられると思います。
- AI依存業務の棚卸し:どの業務が、どのAIに、どの程度依存しているかを可視化します。
- AIベンダーの重要度分類:全AIツールを「便利ツール」「業務支援ツール」「重要サプライヤー」に仕分けます。
- AI BCPの策定:主要AIが止まった場合の代替手段、手作業での復旧、利用停止の基準をあらかじめ決めます。
- AIガバナンス責任者の設定:ITだけでなく、リスク管理・調達・法務・品質保証・PMO/Transformationを巻き込みます。
- AIポートフォリオ方針の決定:一社集中でいくのか、用途別に複数AIを使うのかを、経営判断として明文化します。
AIは禁止するのではなく、管理対象にする
ここまでリスクを並べてきましたが、これはAIを使うなという話ではありません。
本気で業務改善にAIを使う企業ほど、AIを便利な道具としてだけではなく、基幹・重要サプライヤーの一つであり、また重要インフラであり、経営資源として扱う必要がある、ということです。
生成AIによるコスト削減など、成果面だけでは企業のAI活用成熟度は測れません。本当に問われるのは、どの業務がどのAIに依存しているかを把握し、止まったときの代替手段を用意し、説明責任を果たしながら使い続けられる体制があるかどうかです。
出典(ニュース・データソース)
本文中の事実・数値・引用の出典です。
- Innovative Group「Claude Fable 5 and Mythos 5 launch」(Fable 5の料金)innovativegroup.io
- Finout「OpenAI vs Anthropic API Pricing Comparison (2026)」(料金・トークン消費)finout.io
- byteiota「OpenAI Model Retirements 2026」(モデル寿命の短縮)byteiota.com
- OpenAI「Retiring GPT-4o and older models」(GPT-4oの退役)openai.com
- Investing.com「The AI Token Pricing Crisis」(Uberのコスト急増)investing.com
- CIO「Tokenmaxxing: When AI adoption metrics go bad」(トークン水増し)cio.com
- Mission Cloud「What Tokenmaxxing and a $500M Mistake Reveal About AI Governance」missioncloud.com
- CloudZero「Cloud Resilience Before The Next AWS Or Azure Outage」(クラウド障害)cloudzero.com
- Easy Redmine「Cloud outages in 2025 exposed risk」(Azure障害の損失額)easyredmine.com
- LiveWyer「Lessons from AWS, Azure, and Cloudflare’s failures」(共通依存の罠)medium.com
- Legiscope「EU AI Act Timeline: Key Dates and Deadlines」(制裁金)legiscope.com
- Data Center Knowledge「AI Chip Export Controls」(AI拡散規則)datacenterknowledge.com
- The Regulatory Review「The US Regulates AI with Export Controls」(データ主権)theregreview.org
参考文献(一次情報・推奨リソース)
AIのリスク管理・ガバナンスをより深く理解したい方に向けた、一次情報と推奨リソースです。
- NIST「AI Risk Management Framework(AI RMF)」——米国立標準技術研究所による、AIリスク管理の事実上の標準枠組み。Govern/Map/Measure/Manageの4機能で整理されており、本記事の考え方の土台になります。nist.gov
- ISO/IEC 42001:2023「AI management systems」——AIマネジメントシステムの世界初の国際規格(認証取得が可能)。第三者サプライヤー監督や変更管理を含み、規制産業に特に有用です。iso.org
- EU AI Act「Implementation Timeline」(欧州委員会・公式)——施行スケジュールと義務の発効日を確認できる一次情報。europa.eu
- Congressional Research Service「U.S. Export Controls and China: Advanced Semiconductors」——米議会調査局による輸出管理の基礎資料。地政学リスクの背景理解に。congress.gov
- OpenAI「Deprecations」(公式)——モデルの提供終了予定の公式一覧。AIを業務に組み込む場合はブックマーク推奨。developers.openai.com
- Anthropic「Claude Fable 5 and Claude Mythos 5」/「Statement on the US government directive」(公式)——本記事の起点となった公開と利用停止の一次発表。公開/停止
本記事の調査・執筆の一部にAIツールを活用しています。掲載情報は2026年6月時点のソースに基づいており、内容は変更される場合があります。正確性の確保には最善を尽くしていますが、完全性を保証するものではありません。本記事の情報をもとに意思決定される場合は、公式ソース等での確認を含め、ご自身の判断と責任においてご利用ください。
タグ:生成AI, 経営リスク, BCP, ベンダーリスク管理, 重要サプライヤー, AIガバナンス, 変更管理, 地政学, トークンコスト, データ主権
北海道・帯広市出身。国際関係学を専攻し、アメリカとスウェーデンへの留学経験、マレーシア、スイス、中国、フィリピンなど複数の国での勤務・生活経験を持つ。現在はグローバルに展開する医療機器メーカーにおいて国際プロジェクトマネジメントを専門とし、異文化間の業務遂行と組織運営を主たる領域としている。
製造業での経験に加え、150を超える国・地域から35,000名が参加した2015年の第23回世界スカウトジャンボリーでは、大会主要責任者として参加各国との折衝、世界スカウト機構(WOSM)との窓口、およびリスク対応などを担った。以前は東日本大震災をはじめとする国内各地の自然災害において、災害ボランティアセンターの立ち上げ・運営支援にも携わった。
旅行・生産性・テクノロジー・グローバルキャリアをテーマに、自身の学習と思考の整理を兼ねて書いているブログです。内容が読んでくださる方の参考になれば幸いです。
hiroshi.todayをもっと見る
購読すると最新の投稿がメールで送信されます。