AI Act・NIS2・DORA ― 欧州3法が重なる金融機関のAIリスク

AI Act・NIS2・DORA ― 欧州3法が重なる金融機関のAIリスク

2025年1月17日、DORAの適用が始まり、欧州金融機関は「ICTリスクをガバナンスで証明する」フェーズに突入した^[1]。並行してNIS2指令の国内法化が進み^[2]、EU AI Actは2025年2月の禁止条項発効を皮切りに、2026年8月の高リスクAI本格適用へ段階施行される^[3][4]。信用評価モデル、保険査定AI、AMLアルゴリズムは3法が同時に網をかける「規制の交差点」に立つ。本稿は法務・CISO向けに3法の関係、ICTサードパーティ管理、日本企業への波及を整理する。

3法の関係性 ― 同じAIに3つの規制が重なる

EU AI Act、NIS2、DORAは立法目的・所管が異なるが、金融AIには「同一対象を多角的に規律する」構造を持つ^[5]。AI Actは製品安全規制の系譜にあり、AIシステム自体のリスク管理（バイアス、透明性、人間の監督）を求める^[3]。NIS2はサイバーセキュリティ指令強化版として保護義務を「重要・必須エンティティ」に課す^[2]。DORAは金融セクター固有のICT運用レジリエンス規則として、ICTリスク管理・インシデント報告・耐性テスト・サードパーティ管理・情報共有の5本柱を要求する^[1]。注目すべきはDORAがNIS2に対しlex specialis（特別法）として位置付けられる点で^[6]、NIS2第4条はセクター別の同等以上要件があればそちらが優先することを規定し、DORA前文(28)もこれを明確化する^[1][2]。金融機関はICT領域でDORAを主軸に運用しつつ、AI設計段階でAI Actを、ガバナンス枠でNIS2を援用する三重構造を持つ。

DORAの主要要件 ― 2025年1月17日以降の必須義務

DORAは2022年12月成立、2025年1月17日から欧州金融機関2万社超に直接適用される^[1][7]。中核要件は5領域。(1) ICTリスクマネジメント枠組（第5〜16条）― 経営機関が最終責任を負う^[1]。(2) インシデント管理・分類・報告（第17〜23条）― 「重大ICTインシデント」は検知から24時間以内の初期通知、72時間以内の中間報告、1か月以内の最終報告が原則で、Commission Delegated Regulation 2024/1772が分類基準（影響顧客数、データ損失、経済的影響、中断時間）を詳細化した^[8]。(3) デジタル運用レジリエンステスト（第24〜27条）― 重要機能エンティティは3年に1回TLPT（Threat-Led Penetration Testing）を実施する^[1]。(4) ICTサードパーティリスク管理（第28〜44条、後述）。(5) 情報共有の任意取り決め（第45条）。CTPPにはESAが直接、売上高最大1%／日の罰金を科せる^[1]。

NIS2の主要要件 ― Essential / Important Entityの線引き

NIS2指令（2022/2555）は2024年10月17日が国内法化期限だったが、複数加盟国で立法が遅延し2025年時点でも適用ばらつきがEU全域の実態である^[9]。対象は旧NISから大幅拡張され、Annex I該当の大企業・中規模をEssential Entity（EE）、Annex IIまたは高重要度の中規模をImportant Entity（IE）に区分する^[2]。金融機関は銀行・金融市場インフラがAnnex IのEEに位置付けられるがICT領域はDORAが優先するためNIS2中心義務（第20〜23条）はDORA要件に吸収される^[6]。NIS2固有の論点は、(a) 経営層の個人的責任（第20条：management bodyのリスク管理対策承認・監督義務、研修受講義務）、(b) サプライチェーンセキュリティ（第21条第2項(d)）、(c) Significant incidentの早期警告24時間／通知72時間／最終報告1か月の二段階報告である^[2]。罰金はEEで最大1,000万ユーロ又は売上高2%、IEで最大700万ユーロ又は1.4%（いずれか高い方）^[2]。

AI Actとの交差点 ― 信用評価・保険査定の高リスク指定

EU AI Act（Regulation 2024/1689）は2024年8月発効、禁止AI条項2025年2月2日、GPAI義務2025年8月2日、高リスクAI本格適用2026年8月2日と段階施行される^[3][4]。金融機関に決定的なのはAnnex III第5項が以下を高リスクAIに明示指定している点である^[3]。

• 第5(b)項：自然人の信用度評価および信用スコア算出に用いるAIシステム（金融詐欺検知目的を除く）
• 第5(c)項：生命保険・健康保険のリスク評価および価格設定に用いるAIシステム

該当時は第8〜15条のリスクマネジメント・データガバナンス・技術文書・記録保持・透明性・人間の監督・堅牢性・サイバー要件を満たし、第16条以降のプロバイダ義務（適合性評価、CEマーキング、登録）と第26条のデプロイヤー義務（FRIA、第27条）が課される^[3]。制裁は最大3,500万ユーロ又は売上高7%（禁止AI違反）、1,500万ユーロ又は3%（高リスク違反）とGDPRを上回る^[3]。第9条第9項はCRD IV下の信用機関がAI Actのリスク管理を既存内部統治に統合できるとし、第26条第5項はFRIAをDORA枠組と接続できる^[3]。ESAsはJoint Committeeで重複最小化ガイドライン整備を進めており、外部GPAIを信用評価に組み込む銀行への技術文書流用基準が論点である^[10][11]。

ICT Third Party Risk Managementの実装

3法の交差で実務負荷が最大なのがICTサードパーティリスク管理である。DORA第28条は契約前デューデリジェンス、契約必須条項（第30条）、契約レジスターの維持・当局への定期報告を義務付ける^[1]。Commission Implementing Regulation 2024/2956はレジスター項目をテンプレート化し（LEI、サービス分類、データ所在地、サブコン連鎖等）、年1回の所管当局提出を定めた^[12]。「重要又は重大な機能」を支えるサービスは第30条第3項で出口戦略・移管計画・代替プロバイダ確保が必須となる。CTPP（典型例はハイパースケールクラウド）にはLead Overseer体制下で直接的監督権限が及ぶ^[1]。AI Act観点では外部GPAI調達時、第25条が「value chain」沿いの責任配分とサブコンポーネント提供者からの情報提供義務を規定する^[3]。実務上はDORAレジスター「サービス記述」項目に組み込みAIモデルの出所・学習データ特性・適合性評価状態を併記する運用が欧州大手銀で先行している^[10]。

日本企業の欧州子会社・サービスへの影響

日本のメガバンク・大手生損保はロンドン、ルクセンブルク、フランクフルト、ダブリンに欧州子会社を持ち、現地法人はDORA・NIS2の直接適用対象となる^[7]。AI Actは域外適用条項（第2条）を持ち、EU内ユーザーにAIシステムのアウトプットを提供する場合は設立地を問わず適用される^[3]。日本本社の与信モデルを欧州拠点で使用する、あるいは保険会社がEU市場向けにオンライン保険を販売する場合、本社・現地法人の双方が義務を負う。金融庁は2024年12月の「金融分野におけるAIの利活用に関するディスカッションペーパー」で、AI Act動向を踏まえつつ信用評価AI・保険引受AIへの説明可能性・公平性要請を整理した^[13]。「金融分野におけるサイバーセキュリティに関するガイドライン」（2024年10月改訂）はレジリエンステスト・サードパーティ管理・インシデント報告枠組をDORA・NIST CSF 2.0と整合させる方向で改訂され^[14]、日本国内基準と欧州基準の同時遵守を見越したガバナンス設計が現実的要請となる。

5項目チェックリスト

1. 適用主体マッピング：欧州子会社・支店ごとにDORAエンティティ分類、NIS2のEE/IE区分、AI Actのプロバイダ／デプロイヤー区分を整理。
2. レジスター整備：DORA第28条のICT契約レジスターを2024/2956テンプレートで整備しAIモデル供給チェーン情報まで紐付けたか。
3. インシデント報告体制：DORAの24/72時間／1か月、AI Act第73条のserious incident報告15日（重大事案7日／2日特則）、NIS2の早期警告24時間を一元化したCSIRT運用が整っているか^[1][2][3]。
4. 高リスクAIの棚卸：信用評価・保険査定・AML・採用などAnnex III該当AIを棚卸し、適合性評価ロードマップを策定したか。
5. 経営機関の関与証跡：DORA第5条・NIS2第20条のmanagement body責任を満たすため取締役会議事録・研修記録・予算承認証跡を残しているか。

打ち手 ― 統合GRCを軸に重複を排する

3法を別々に運用すると技術文書・リスク台帳・契約レビュー・テスト計画の重複で年間数千時間のコンプラ工数が発生する^[10]。打ち手は4点に集約される。(1) 統合GRCで「リスク」「コントロール」「証跡」を共通分類化し3法コントロールIDを多対多マッピング、(2) ICT契約を3法共通条項テンプレート化し監査権・再委託制限・出口計画・モデル説明性を一本化、(3) インシデント運用を「one-trigger, multi-report」化、(4) 高リスクAIのFRIAをDORAのbusiness impact analysisと統合し年次更新を揃える^[10][11]。

「DORA、NIS2、AI Actは別個の規制ではなく、同一の『デジタル信頼』というEU戦略を支える3本柱である。金融機関はこれらをコスト負担ではなく、欧州市場のライセンス・トゥ・オペレートと捉え直す必要がある。」 ― ESAs Joint Committee, 2024年実装フィードバック報告書より要旨^[11]

結論 ― 法務・CISOへの3点メッセージ

1. DORAを基礎レイヤーに据える：金融ICTについてはDORAが特別法として優先するため、NIS2要件はDORAコントロールに吸収マッピングし、二重運用を避ける。
2. AI Act適用は「2026年8月」を逆算する：信用評価・保険査定AIは高リスクAIに直撃する。適合性評価・FRIA・登録準備に12〜18か月を要するため、2025年内のギャップ分析着手が現実的なデッドラインである。
3. サードパーティ管理を統合の起点にする：DORAレジスター、AI Actバリューチェーン情報、NIS2サプライチェーンセキュリティを一つのデータモデルに統合し、契約管理を3法対応の「ハブ」とする。

経営者視点 ― 規制対応を競争優位に変える

欧州3法対応はCFO・CRO・CISOが連名でボードに諮るべき戦略議題である。グローバル金融機関のDORA初期対応コストは平均5,000万〜1.5億ユーロと試算され^[10]、AI Act・NIS2を別建てで進めれば1.5〜2倍に膨張するため統合GRC投資の事業ケースは明確である。ICTサードパーティ再交渉はベンダーロックイン解消の好機となり、DORA第30条の出口戦略は結果としてクラウド集中リスクを下げTCO最適化に寄与する。AI Actの透明性義務（第13条）と人間の監督（第14条）は社内AIガバナンスを底上げし、差別的与信・誤った保険拒否などレピュテーション事案予防という形でリスク調整後リターンを改善する。日本本社の取締役会には欧州子会社のDORA違反が連結業績・グループブランド・金融庁との関係に波及するリスクを共有し、グループ統合リスクアペタイトに反映させるべきである。規制を「守るべきハードル」ではなく「設計図」として読み込めば、欧州3法はAI時代の金融機関の経営羅針盤となる。

参考文献

1. Regulation (EU) 2022/2554 (DORA), OJ L 333, 27.12.2022
2. Directive (EU) 2022/2555 (NIS2 Directive), OJ L 333, 27.12.2022
3. Regulation (EU) 2024/1689 (Artificial Intelligence Act), OJ L, 12.7.2024
4. European Commission, “AI Act enters into force – Application timeline”, DG CNECT, 2024年8月
5. EBA, “Guidelines on ICT and security risk management under DORA”, EBA/GL/2024/01
6. ENISA, “NIS2 and DORA: Sectoral lex specialis analysis”, 2024年6月
7. ESAs (EBA/ESMA/EIOPA), “Joint statement on DORA application from 17 Jan 2025”, JC 2024 91
8. Commission Delegated Regulation (EU) 2024/1772 on classification of major ICT-related incidents
9. ENISA, “NIS360: 2024 Status Report on NIS2 Transposition”, 2025年3月
10. Deloitte EMEA, “DORA, NIS2 and the AI Act: Mapping overlaps for financial institutions”, 2024年10月
11. ESAs Joint Committee, “Feedback on DORA implementation and interplay with AI Act”, JC 2024 78
12. Commission Implementing Regulation (EU) 2024/2956 (ITS for register of information under DORA)
13. 金融庁「金融分野におけるAIの利活用に関するディスカッションペーパー」2024年12月
14. 金融庁「金融分野におけるサイバーセキュリティに関するガイドライン（改訂版）」2024年10月
15. EIOPA, “Supervisory Statement on the use of AI by insurance undertakings”, 2024年9月
16. ESMA, “Public Statement on the use of AI in retail investment services”, ESMA35-1735169477-1834, 2024年5月