金融庁「金融機関における生成AI」指針を実務レベルに落とす

金融庁の生成AI対応の全体像

金融庁は2024年3月、「金融分野におけるAIに関するディスカッション・ペーパー」（以下、AIディスカッション・ペーパー）を公表し、生成AIを含むAI全般について「リスクベース・アプローチ」「人間関与（Human-in-the-Loop）」「説明責任」を3本柱として掲げた^[1]。これは同庁「ITガバナンスに関する対話のための論点・プラクティスの整理」の延長線上にあり、トップのコミットメント、IT戦略との整合、データガバナンスの3層を要求する点で一貫している^[2]。

2024事務年度の行政方針では、生成AIが業務効率化だけでなくリスク管理高度化・顧客対応へ拡張しつつあることが示され、金融庁自身もモニタリングにAIを活用する姿勢を明示している^[3][4]。同時に、ハルシネーション・データ漏えい・著作権・差別的出力という固有リスクを名指しし、検査・監督基本方針の枠組みで対話を深める方針を取っている^[5]。バーゼル銀行監督委員会（BCBS）も2024年「Digitalisation of finance」報告で、AI／機械学習モデルをオペリスク・サードパーティリスク・モデルリスクの3軸で監督対象と整理しており、金融庁の指針も国際潮流に沿っている^[6]。

指針の主要論点：6つの実務ドライバー

AIディスカッション・ペーパーおよびITガバナンス対話文書から、実務直結の論点を6点に整理する^[1][2]。

1. 用途分類とリスクベース・アプローチ：用途を内部効率化／リスク管理高度化／顧客接点に分類し、顧客接点・与信・AML判断ほど高リスクと位置づける。
2. データガバナンス：学習・推論データの権利関係・機微情報・越境移転を個情法・銀行法施行規則と整合させる。
3. モデルリスク管理（MRM）：日銀MRM原則（2021年）^[7]を生成AIに拡張し検証独立性・継続モニタリングを要件化。
4. サードパーティリスク管理：基盤モデル提供事業者への依存をクラウド外部委託ガイドラインの枠組みで管理^[8]。
5. 説明責任と顧客説明：金商法37条・銀行法12条の2の説明義務をAI判断にも適用。
6. インシデント対応：プロンプトインジェクション・出力誤り等を「システム障害等報告」の対象として整理^[9]。

重要なのは、金融庁が「禁止事項リスト」ではなく「対話を通じた実態把握」を重視している点。現場が稟議で書くべきは「使ってよいか」ではなく「どのような統制で監視しているか」であり、その粒度が監督対話の質を決める。

三線防衛（Three Lines of Defense）との接続

生成AIガバナンスを既存のリスク管理体制に接ぎ木するうえで、最も実装しやすいのは三線防衛モデルへのマッピングである。バーゼル委員会および金融庁ITガバナンス文書も、これを暗黙の前提として記述している^[2][6]。

第1線（事業部門）はユースケースのオーナーとしてプロンプト設計・出力検証・利用ログ保全を担い、AIの回答案は「最終判断の補助」として扱うルールを徹底する。第2線（リスク・コンプラ）はAIガバナンス委員会を新設し用途登録・事前審査・継続モニタリングを行う。日銀のMRM原則に倣い検証担当を開発担当から独立させる^[7]。第3線（内部監査）はAIガバナンス枠組みの設計・運用の有効性、特に独立検証の実効性を年1回以上監査する。

SMBCはAI倫理原則とAIガバナンス委員会を整備しグループ全体の利用統制を進めている^[10]。MUFGは社内向け生成AI基盤を全行展開し利用ガイドラインと監査ログを統合運用^[11]。みずほは富士通・Microsoftと協業し、業務コードのリファクタリングや稟議書ドラフトに生成AIを適用している^[12]。

顧客説明・透明性の実務

金商法第37条の3および第38条は契約締結前交付書面と禁止行為を、銀行法第12条の2は預金者保護のための説明義務を定める。生成AIが顧客対応や商品提案に関与する場合、これら既存規制の枠内で「AIが関与した事実」「人間の最終判断者」「説明根拠」の3点を明示することが求められる^[13][14]。

実務上の論点は3点。第一にチャットボット・FAQの一次回答にAIを用いる場合、ハルシネーションが顧客の金融判断ミスを誘発しないよう、商品スペック・手数料・リスクの定量情報は決定論的データソース（マスタDB）から取得し、AIには文章整形のみを担わせる構造がスタンダードとなっている。第二に与信・保険引受モデルにLLMを組み込む場合、利息制限法・割賦販売法・保険業法の趣旨に照らし、不利益処分の根拠を人間がレビュー可能な形で残す。第三にAML/CFT領域では犯収法・FATF勧告に基づき、AIスクリーニング結果は最終的に有資格者の判断として記録する^[15]。これは金融庁AML/CFTガイドラインのリスクベース・アプローチと整合する^[16]。

主要金融機関の運用事例

主要邦銀・証券・保険の公表事例からは3パターンが読み取れる。(1)社内汎用チャット型はMUFG・SMBC・みずほが先行し、行員の業務効率化を主目的に全社展開している^[10][11][12]。(2)業務特化型は野村ホールディングスが投資情報要約・リサーチ下書き、大和証券グループがコールセンター応対支援で導入を公表している^[17][18]。(3)コードアシスト型はシステム開発内製化と並行し、各行でGitHub Copilot等を統制下で導入する流れが定着しつつある^[19]。

注目すべきは、いずれの事例でも「閉域接続」「ログの完全保全」「機微情報のマスキング」「外部送信の遮断」がベースライン要件となっている点である。これは金融庁「クラウドサービス利用事例集」^[8]および「主要行等向けの総合的な監督指針」^[20]の外部委託管理要件を、AI基盤利用に拡張した形で実装されている。

生成AIガバナンス・チェックリスト5項目

1. 用途台帳とリスク格付け：全社の生成AIユースケースを台帳化し、低／中／高でリスク格付け。高リスク（顧客接点・与信・AML）は事前審査必須。
2. 独立検証体制：モデル開発と独立した第2線が、性能・公平性・ハルシネーション率を四半期ごとに評価し、リスク委員会へ報告。
3. データ統制：学習・推論データの分類（公開／社外秘／個人情報／機微情報）を実装し、機微データはAIに渡さない、または完全マスキング。
4. サードパーティ統制：基盤モデル提供事業者との契約に、データ非学習化・所在地・監査権・終了時データ削除を明記。クラウド外部委託ガイドライン準拠。
5. インシデント対応プレイブック：プロンプトインジェクション・出力誤り・情報漏えい時の検知・封じ込め・当局報告フローを年1回机上演習。

打ち手：6か月で実装する最短ルート

CEO・CROを共同オーナーとする「AIガバナンス委員会」を立ち上げ、第1か月で社内アンケートとシャドーIT棚卸しを行う。第2か月で用途台帳の初版とリスク格付け基準を策定、第3か月で高リスク用途の事前審査ワークフローを社内ITに組み込む。第4か月で独立検証チーム（MRM部門との兼務可）と検証手順書を整備、第5か月で外部委託契約の棚卸しと再交渉、特に学習データ非利用条項を確認する。第6か月で内部監査による有効性検証を実施し取締役会へ報告。金融庁との定期対話に台帳と検証報告書を提示できる状態を作ることがゴールとなる^[2][4]。

結論：3つのテイクアウェイ

1. 禁止ではなく統制：金融庁は生成AIの利用を制限せず、リスクベースで統制された利用を求めている。「使わない」は監督上の正解ではない。
2. 既存枠組みの拡張：MRM原則・クラウド外部委託ガイドライン・AML/CFTガイドライン・三線防衛のいずれも生成AIへ適用可能であり、ゼロから新フレームワークを作る必要はない。
3. 対話の粒度がすべて：監督との対話で問われるのは、用途台帳・独立検証・インシデント対応の具体性。理念ではなく実装の解像度が監督評価を決める。

経営者視点：競争優位とリスクの両立

経営トップにとって、生成AIガバナンスは「コストセンター」ではなく「競争優位の前提条件」である。規制業種であるがゆえに、ガバナンスを先に整えた者が高リスク領域（与信・引受・AML・トレーディング）にAIを安全に展開でき、収益機会を取りに行ける。逆にガバナンス未整備のままシャドーITが蔓延すれば、情報漏えい・行政処分・レピュテーション毀損の3点セットがバランスシートを直撃する。経営者が問うべきは「我が社はどのユースケースで競合より速く・安全にAIを実装できるか」であり、CIO・CRO・CCOを横串で動かすガバナンス委員会の実効性こそが鍵となる。バーゼル委員会と金融庁の論調はいずれも「責任ある革新」に収斂しており、ガバナンスとイノベーションは相互強化の関係にある^[1][6]。中期経営計画にAI投資KPIを掲げる金融機関は増えているが、同時にガバナンスKPI（用途台帳カバー率、独立検証完了率、インシデントゼロ日数等）を取締役会報告に組み込むことこそ、当局・株主・顧客に対する真の説明責任である。

参考文献

1. 金融庁「金融分野におけるAIに関するディスカッション・ペーパー」2024年3月 https://www.fsa.go.jp/news/r5/sonota/20240311/20240311.html
2. 金融庁「金融機関のITガバナンスに関する対話のための論点・プラクティスの整理」 https://www.fsa.go.jp/news/r1/ginkou/20190621.html
3. 金融庁「2024事務年度 金融行政方針」 https://www.fsa.go.jp/news/r6/20240830/2024_giyousei_houshin.html
4. 金融庁「金融モニタリングレポート」（最新版） https://www.fsa.go.jp/news/r5/20240630_monitoring/monitoring.html
5. 金融庁「金融検査・監督の考え方と進め方（検査・監督基本方針）」 https://www.fsa.go.jp/news/30/wp/wp_revised/wp_revised.html
6. Basel Committee on Banking Supervision “Digitalisation of finance” 2024 https://www.bis.org/bcbs/publ/d575.htm
7. 日本銀行「モデル・リスク管理に関する原則」2021年11月 https://www.boj.or.jp/finsys/c_aft/aft211112.htm
8. 金融庁「金融機関のクラウドサービス利用に関する事例集」 https://www.fsa.go.jp/news/r2/ginkou/20210630/20210630.html
9. 金融庁「金融機関におけるシステム障害等報告」 https://www.fsa.go.jp/policy/system_riskanalysis/system_riskanalysis.html
10. 三井住友フィナンシャルグループ「AI倫理原則」 https://www.smfg.co.jp/sustainability/group/ai_ethics/
11. 三菱UFJフィナンシャル・グループ「生成AI活用に関する取組み」 https://www.mufg.jp/dam/pressrelease/2023/pdf/news-20230705-001_ja.pdf
12. みずほフィナンシャルグループ「生成AIを活用したシステム開発への取組み」 https://www.mizuho-fg.co.jp/release/index.html
13. 金融商品取引法 https://elaws.e-gov.go.jp/document?lawid=323AC0000000025
14. 銀行法 https://elaws.e-gov.go.jp/document?lawid=356AC0000000059
15. FATF “Opportunities and Challenges of New Technologies for AML/CFT” https://www.fatf-gafi.org/en/publications/Digitaltransformation/Opportunities-challenges-new-technologies-for-aml-cft.html
16. 金融庁「マネー・ローンダリング及びテロ資金供与対策に関するガイドライン」 https://www.fsa.go.jp/news/r3/20210219/20210219.html
17. 野村ホールディングス「生成AIの業務活用」 https://www.nomuraholdings.com/jp/news/
18. 大和証券グループ「コンタクトセンターでの生成AI活用」 https://www.daiwa-grp.jp/about/group/release/
19. 金融情報システムセンター（FISC）「金融機関等のシステム監査基準」 https://www.fisc.or.jp/publication/disp_target_books.php?id=66
20. 金融庁「主要行等向けの総合的な監督指針」 https://www.fsa.go.jp/common/law/guide/city.html