サードパーティリスク対応の深化（AIと生成AI）

　かねて監督指針で外部委託管理として仔細に要件が定義されていたものが、2024年10月4日に公表された「サイバーセキュリティガイドライン」により、ルール化された。

　とりわけハードウェア、ソフトウェアそれぞれの構成部品や供給企業、製造企業の捕捉と管理、これに加えてシステム運用や現送、ATM機器の保守などを担うメンテナンス企業にまで及ぶリスク管理が求められる時代に突入する。

　サイバーセキュリティガイドラインではソフトウェアを対象とする「SBOM（ソフトウェア部品表）」対応として知られるが、それだけではない。

　基盤となる制御を担うOSのみならず、判断機能を担う目的で組み込まれるケースが増加しているAIも注目を浴びている。

　業務フロー改善や効率化を目的にRPAが活用されるようになり久しいがその際、同時にAIが組み込まれるケースが多い。AIは名の知れた企業が提供しているものであっても、外部のベンダーが製造したものをソフトウェアに組み込み、金融機関に提供する場合がある。

　こうしたAIに思わぬ動作を行うモジュールが実装されていた場合、金融機関の顧客情報や重要情報が蓄積（タンキング）されたり、保守を装ったタイミングで情報が吸い上げられたりするなどして外部に漏えいされる可能性も否定できない。

　より高度な生成AIについてもオープンネットワークの環境下で職員が個人利用した結果、業務に係る機密情報などが外部化され得るだろう。

　さらにそこからもたらされる「必ずしも正確とは言えない情報」を職員が業務に利用するなどした結果、金融機関業務に影響を与えることも考えられる。

　生成AIは内容の正誤を判断して回答しているものではなく、クローリングを駆使して統計的見地から探索された結果を回答しているに過ぎない。

　時に事実と異なる情報を出力することがあるため、これを「ハルシネーション」と呼んでいる。つまり、出力された結果を無造作に受け入れることが現時点では難しい。


　とりわけ、専門分野に関する情報は相応の学習セットによる事前学習が必要であり、この過程で一般的に流通する情報はまだしも、金融機関の内部情報を教え込んだ場合には、不意の内部情報の外部化リスクが表出することになる。

　もちろん、金融機関が管理下においた正規利用の生成AIをクローズドネットワークの環境下で利用した場合でも、外部企業によるメンテナンス機会やソフトウェアアップデートをきっかけに、金融機関の内部情報が外部化するリスクもある。

　また、生成AI利用に際しては、AIを誰が開発し、提供しているのかも重要となる。開発者によっては、単なるハルシネーションのほか、AIが開発者（企業）が属する特定国に都合のよい情報を意図的に導出するリスクの可能性も否めない。 【次ページ】金融庁やEUが示す「AIへの備え」