2025年10月、G20の枠組みで各国の中央銀行と金融監督当局を調整する金融安定理事会(FSB)が、報告書「Monitoring Adoption of Artificial Intelligence and Related Vulnerabilities in the Financial Sector」を公表した。FSBは世界的な銀行規制やサイバー監督の基準を策定してきた公的機関である。今回の報告書は、AIの急速な普及を金融政策の視点で監視可能にするため、AIを金融安定の「監督対象」として制度に組み込む方法を設計した点に特徴がある。調査には19か国・28機関が参加し、監督当局・金融機関・技術企業へのヒアリング結果をもとに分析が行われた。
AIが生み出す四つの脆弱性
FSBはまず、AI導入がもたらすリスクを四つの構造的な脆弱性として整理する。
第一は、第三者依存と提供者の集中。 クラウドやAIモデル提供者が少数の企業に集中し、障害や契約変更が発生した場合、複数の金融機関が同時に影響を受ける。これは「供給側の集中(supply-side concentration)」と呼ばれ、サイバーリスクや業務停止リスクを同時に増幅する。
第二は、市場相関の増幅。 多くの金融機関が同じAIモデルやデータを用いれば、市場の動きが一方向に偏り、価格変動が連鎖する。AIが取引判断を標準化するほど、システム全体が同じミスを犯す危険が高まる。
第三は、サイバーリスクの拡大。 AIを用いた攻撃やAIモデル自体への「データ投毒」が起きると、同一の外部基盤を利用する複数の金融機関に波及する。AIを介したリスクは、もはや情報セキュリティの問題ではなく、金融システムの安定性そのものを左右する。
第四は、モデルリスクとガバナンス不備。 AIモデルは説明可能性が低く、検証責任の所在が曖昧になりやすい。内部統制の枠組みが追いつかないまま自動化が進めば、誤判断を検知できず、リスクが組織内に蓄積する。
FSBはこれらを、個別の事故ではなく、AIが金融のインフラ層に組み込まれた結果生じる「依存の体系」として捉える。AIはもはやツールではなく、金融システムの土台を再構成する要素になっているという前提である。
脆弱性をどう観測するか ― 監督手法と指標の設計
AIがどこまで浸透し、どの部分にリスクをもたらしているのか。それを可視化するために、FSBは各国の監督実務を比較し、三つの監視手法を整理している。
監督報告は、金融機関にAI利用状況を定期的に報告させる制度で、英国や日本、スイスなどが導入している。
サーベイ調査は、自己申告ベースで導入の範囲や管理体制を把握する方法である。
アウトリーチは、当局・金融機関・AI企業・研究者の間で定期的に対話を行い、リスクと動向を共有する枠組みで、英国のPublic-Private Forum on AIがその典型である。
こうした取り組みは進んでいるものの、AIの定義や分類が国によって異なり、収集データの比較ができないという課題が残る。FSBは、「監督対象としてのAI」を定義するためには、報告制度とサーベイ、アウトリーチを単発的ではなく相互補完的に組み合わせる必要があると結論づけている。
データ収集の設計に関しては、五つの原則が示された。①リスクとの整合性(何を測るのかを明確にする)、②代表性(大手だけでなく中小も含む)、③既存制度との整合(他の監督報告と矛盾しない)、④タイムリーさ(変化の速さに追いつく)、⑤負担の最小化(報告コストの抑制)である。特に問題になるのは、AIサービスの「重要性(criticality)」をどう測るかである。単にAIを使っているかどうかではなく、それが停止した場合に業務継続が不可能になるかどうか――この基準の明確化が監視設計の核心に置かれている。
FSBはこうした原理を踏まえ、脆弱性ごとのモニタリング指標体系を作成した。AI採用状況を示す指標には、ユースケース台帳、モデル別導入比率、AI関連特許数、求人数、R&D支出比率がある。第三者依存と集中を測る指標には、外部AIサービスの比率、重大インシデント報告、重要AIサービス登録簿、単一提供者への依存度、代替可能性(スイッチングコストなど)が挙げられる。市場相関では、同一モデル・同一データ利用率、AI導入と市場ボラティリティの関連性が分析対象となる。サイバーリスクでは、AI関連攻撃や障害の件数、AIによる防御システム導入率が指標化され、モデルリスクでは、AIモデルの比率や説明可能性の検証件数、人間の関与度(human-in-the-loop)の比率などが挙げられる。さらに生成AIによる詐欺・偽情報も監視対象に追加された。AI生成コンテンツが市場の信認を損なう経路を監督指標に組み込むのは初めてである。
生成AIと依存構造の可視化
FSBは後半で、生成AI(GenAI)を題材に供給網の集中構造を分析する。生成AIは単一の技術ではなく、五層のサプライチェーンとして構成される。ハードウェア層ではGPUなどの演算チップが少数企業に集中し、供給制約が上流から全体を制約する。計算基盤層では主要クラウド事業者が演算資源を支配し、契約や移行コストが高い。訓練データ層ではデータ集約・管理を担う企業が限られ、アクセス権と契約関係が固定化している。基盤モデル層では、学習コストと知的財産権が参入障壁となり、大規模モデル開発がごく一部の企業に限られる。最後のアプリケーション層では、AIを金融や保険業務に統合するプラットフォームがネットワーク効果で支配的地位を強める。FSBは、この五層が垂直統合されることで「少数の企業がAI供給網全体を支配する構造」が生まれていると指摘する。
この集中を測るために、FSBは四つの評価軸を設定した。重要性(業務継続に不可欠か)、集中(特定提供者に依存する度合い)、代替可能性(他の手段への切替が可能か)、波及性(障害がどこまで連鎖するか)である。監督当局はこれらを踏まえ、重要AIサービスの登録簿を整備し、提供者シェアや代替コスト、障害時の切替時間を定量的に把握する必要がある。FSBは特に、クラウドやモデル開発におけるn次委託(nth-party)依存――契約上は直接関係しない下請け層のリスク――を監視対象に含めるべきだと警告する。
まとめ ― 監督の射程が拡張する
FSBは結論で、AI導入の監視を「金融機関単位」から「供給構造単位」へと転換する必要を明示した。各国当局はモニタリング指標に基づいてデータを収集し、相互に共有し、監督にAIを活用して異常を早期に検知する体制を整備すべきだとする。監督当局自身もAIを監視ツールとして活用することで、報告遅延やデータ欠落を補完する。さらにFSBは、バーゼル委員会(BCBS)や証券監督者国際機構(IOSCO)、保険監督者国際機構(IAIS)と連携し、AI関連リスクの国際的な分類と定義の統一を進める方針を示した。
報告書が描くのは、金融安定の概念がクラウドやチップ、データ、モデルといった非金融的基盤にまで拡張される未来像である。AIは単なる技術革新ではなく、金融の依存構造そのものを変える新しいインフラとなりつつある。FSBはその変化を制度として監視するための第一歩を示した。
コメント