金融当局が動いた ── FSB会合・銀行テスト延期、Mythosが突きつけた金融安定リスク

Regulators Step In — FSB talks, delayed bank tests, a financial-stability risk
Photo: Pexels (free stock)

2026年5月、Anthropic製フロンティアモデル「Claude Mythos Preview」が大量の脆弱性を自律的に発見・悪用したことを受け、金融監督当局が具体的な行動に移った。Anthropicは金融安定理事会(FSB)との会合に同意し、Bloombergは規制当局が米銀のサイバー攻撃耐性テストを延期させたと報じた。AIが金融安定リスクとして当局の正式な議題に上がったことを示す、注目すべき動きといえる。

FSBとの会合と、その要請者

2026年5月18日、PYMNTSはAnthropicがFSBとの会合に同意したと報じた。会合を要請したのは、FSBメンバーであるイングランド銀行総裁アンドリュー・ベイリーとされる。FSBはG20諸国の財務当局・中央銀行・証券規制当局で構成される国際的な金融監視機関であり、その要請はAI企業に対するシグナルとして重みを持つ。Mythosに関してはAnthropic CEOの「危険な瞬間」警告がすでに広く報じられており、FSBの動きはその文脈とも連動している。なお、FSBが民間のAI企業に直接ブリーフィングを求めるのは異例であり、AIの脆弱性発見能力が金融システム全体のリスク評価に影響しうると当局が判断し始めた表れと読むことができる。

「金融安定リスク」としてのAIサイバー

国際通貨基金(IMF)はAIに起因するサイバーリスクを金融安定上の問題として警告しており、FSBは金融分野におけるAI導入の「健全な慣行(sound practices)」に関する報告書を2026年6月に公表する予定とされた(The Decoder報道)。Bloombergは5月19日、Mythosを受けて規制当局が米銀のサイバー攻撃耐性テストを延期させたと報じた。また、MythosへのアクセスはAmazon・Microsoft・JPMorgan Chase等に限定されており、ホワイトハウスの要請による安全保障上の配慮があると報じられている。この「限定アクセス」の構図自体が、当局によるリスク管理の一形態として機能している点は見落とせない。規制当局が銀行のテスト日程を変更するという措置は、AIサイバーリスクが既存の金融監督フレームワークの想定を超え始めていることを示唆している。

日本の金融・規制環境への含意

今回の動きが日本の金融規制に直接波及するかについては、2026年5月時点で金融庁やFISCが具体的な措置を講じたとの確認はされていない。ただし、FSBはG20の金融監督方針に実質的な影響力を持つため、FSBが金融AIの「健全な慣行」報告書を公表すれば、金融庁のモニタリング方針やFISCのガイドライン改訂の参照点となる可能性はある。独自の見立てとして付け加えれば、日本の主要金融機関がMythosへの直接アクセスを持たない現状であっても、海外当局の議論の枠組みが輸入される形で国内の監督対話に組み込まれるシナリオは現実的だ。経営層は「海外の話」として切り離すのではなく、当局との対話準備という観点から動向を注視する姿勢が求められる。

規制の速度は、リスクが可視化された翌日から始まる。

Omamori AI の結論

  1. 事実: AnthropicはFSBとの会合に同意し(PYMNTS・5月18日報道)、Bloombergは規制当局が米銀のサイバー攻撃耐性テストを延期させたと報じた(5月19日)。IMFもAI起因のサイバーリスクを金融安定上の問題として警告している。
  2. 判断軸: FSBが民間AI企業に直接ブリーフィングを求めた事実は、AIサイバーが「IT部門の問題」から「金融システム全体のリスク管理課題」へと位置づけが変わりつつあることを示す指標として扱うべきだ。ただし国内規制への具体的波及については引き続き情報を精査する必要がある。
  3. 打ち手: 金融機関のCISOおよび情報システム担当者は、FSBが予定する「健全な慣行」報告書の内容を確認し、自社の当局報告体制・AIリスク評価プロセスとの整合を事前に検討しておくことが現実的な準備となる。

経営者視点で考えるべきこと

規制当局がAIサイバーを金融安定の論点として正式に据えた以上、金融機関にとってこの問題は技術部門だけの所管では収まらなくなりつつある。サイバー耐性テストの延期という措置が示すように、当局はテストの前提となるリスクモデル自体の見直しを迫られている。経営層が考慮すべきは、自社のサイバーインシデント対応計画が「AIによる脆弱性発見の加速」という前提を組み込んでいるか、そして当局からの照会・報告要請に対応できる体制が整っているか、という二点だ。技術的対策と規制対応の両輪を、今から経営課題として同時に射程に入れることが求められる。

出典:
PYMNTS(2026年5月18日)「Anthropic Will Update Regulators on Mythos Cyber Vulnerability Findings」: https://www.pymnts.com/cybersecurity/2026/anthropic-will-update-regulators-mythos-cyber-vulnerability-findings/
Bloomberg(2026年5月19日)「Anthropic Mythos AI Model Prompts Regulators to Delay US Bank Cyberattack Tests」: https://www.bloomberg.com/news/articles/2026-05-19/anthropic-mythos-ai-model-prompts-regulators-to-delay-us-bank-cyberattack-tests
The Decoder「Anthropic to Brief Global Financial Regulators on Cyber Flaws Found by Claude Mythos」: https://the-decoder.com/anthropic-to-brief-global-financial-regulators-on-cyber-flaws-found-by-claude-mythos/

SHARE 𝕏 in f

あわせて読みたい