生成AIの普及により、大小問わず多くの企業で生成AIの活用に係る検討が活性化しています。金融機関においても、個人作業の支援(メール作成など)から、社内業務の効率化(稟議書の作成など)、さらには重要な意思決定(顧客対応や融資の審査支援など)への活用が検討されています。生成AIの活用は、ビジネス上の重要なテーマとなっています。他方、生成AIの導入に伴い、権利侵害やハルシネーション(幻覚)などの新たなリスクが登場しています。AIに係るリスクが多様化、かつ複雑化しており、各国当局のAIに対する規制・ガイドライン策定の動きも活発化しています。
そのようななか、金融機関においては生成AIの潜在リスク(透明性・安全性・公平性など)に対し、責任を持って安心・安全で説明が可能な態勢を構築する「責任あるAI」(内閣府)の実現が今まで以上に強く求められています。
本稿では、従来のAIと比べた生成AIのリスクの特徴を踏まえ、金融機関において「責任あるAI」を実現するために必要となるガバナンスの要点について解説します。
目次
1.金融機関における生成AIの活用状況
【金融機関における生成AIの活用パターン】
| 活用パターン | 活用例 | |
|---|---|---|
| 個人作業の支援 | 議事録作成、壁打ち/アイデア出し、文案・メール作成、文章要約・翻訳 | |
| 社内業務の効率化 | 見込み顧客の作成 |
市場データ、業界動向、顧客プロファイル等をもとに、見込み顧客のリストを作成 |
| 事務処理の自動化 | 請求プロセス(書類の検証、評価、支払い計算など)等のさまざまな事務処理を自動化 | |
| 当局規制の対応 | 当局規制の変更内容と社内規定・マニュアル等を比較し、事務やシステムリスクにかかわる課題を導出 | |
| 顧客に影響を及ぼす意思決定 | 顧客満足度の向上 | 顧客プロファイル等をもとに最適な商品のレコメンデーションなど顧客オンボーディングプロセスを合理化し、顧客満足度を向上させる |
| 顧客対応の自動化 | AIを搭載したチャットボットの導入により、顧客に24時間365日のサポートを提供。事務処理支援、苦情対応等、ニーズに応じた迅速な対応が可能。 | |
| 不正取引の検知 |
取引データや顧客情報を分析し、不正取引の検知・防止 | |
2.従来のAIと生成AIとの違い
従来のAIの主な機能は、業務ごとに正規化された大量の学習データを用意し、そのデータに基づいて結果を予測することです。また、利用するには前提知識の取得やトレーニングが必要となります。
他方、生成AIの主な機能は、多様な目的のために文章や画像などを生成することです。生成AIには、膨大なデータを事前に学習することで構築された高性能な基盤モデルが備わっています。そのため、各業務にあわせて準備するデータ量は最小限で済みます。加えて、自然言語の投入によるモデリングが可能なため、利用者は最低限のトレーニングで直観的に利用することができます。
これらの違いにより、従来のAIでは導入の障壁であった多大な学習データの準備や、人材育成などに係るコストとスケジュールが、生成AIの発達により大きく低減されました。用途によっては即座に導入可能であるため、社内のあらゆる部門において、生成AIの活用を簡単に検討することができるようになり、将来想定されるユースケースが飛躍的に増加しつつあります。しかし、その生成AIの用途拡大に伴って、検討が必要な潜在リスクも増加しています。
3.生成AIの固有リスク
【生成AIに係る主な固有リスク】
| リスクの分類 | 主な固有リスク | リスクの概要 | 金融業界におけるリスク例 | 一般的なコントロール |
|---|---|---|---|---|
| 信頼性 | ハルシネーション (幻覚) |
事実と異なる不正確な情報が生成され、誤った業務判断につながり、企業の信頼を損なうリスク | 誤情報の拡散により顧客が誤った投資判断をするリスク |
|
| 透明性 | 説明責任 | 生成AIを用いたサービスにブラックボックスな箇所があり、説明責任を果たせないリスク | 生成AIによる与信判断に差別・偏見と見なされるロジックが含まれていないか説明できないリスク |
|
| 堅牢性 | セキュリティ | 生成AIに入力した個人情報や機密情報が漏えいするなど、セキュリティやプライバシーに係るリスク | 顧客情報、金融取引データ、財務データ、企業運営にかかわる機微情報が漏えいするリスク |
|
| 法令順守・ コンプライアンス |
法令違反 | 出力結果が著作権侵害など法令違反に該当するリスク | 生成AIにて作成した顧客への通知物(メルマガ等)が規制(金商法等)に抵触しているリスク |
|
4.AIに係る各国の法規制の動向
【生成AIに係る主な各国の法規制】
| 法規制の名称 | 国/地域 | 年月 | 概略 |
|---|---|---|---|
| AI事業者ガイドライン | 日本 | 2024年4月 |
|
| AI規制法 | EU | 2024年3月 |
|
| AIの開発や利用などに関する決議案 | 国連 | 2024年3月 |
|
| AIの安心、安全で信頼できる開発と利用に関する大統領令 | 米国 | 2023年10月 |
|
5.金融機関において「責任あるAI」の実現に必要なガバナンスの要点
生成AIのリスクに対する一般的なコントロールは第3章で記述したとおりですが、これだけでは不十分です。金融機関において「責任あるAI」を実現するためには、生成AIのリスクの特徴を踏まえたうえで対応すべき3つの重要なガバナンスの要点があります。
【生成AIのリスクの特徴と重要なガバナンスの要点】
| 生成AIのリスクの特徴 | 重要なガバナンスの要点 |
|---|---|
| リスクの変化が速い | 生成AIのリスクに継続的、俊敏、柔軟に対応するアジャイル・ガバナンスの構築 |
| ステークホルダが多岐にわたる | 生成AIを用いたライフサイクルに沿ったリスク管理態勢の整備 |
| リスクが複数の領域を横断する | 業務横断的なリスク管理体制の整備 |
(1)アジャイル・ガバナンスの構築
1つ目は、生成AIの活用により創出される新規サービスやそれらに伴うリスクについて、近い将来であっても正確な予測が困難であるという特徴です。理由として、生成AIに係る技術や顧客ニーズなど社外の環境変化が激しいことや、導入が容易であるため社内のあらゆる部門において生成AIの活用方法の継続的な試行が可能であることが考えられます。
そのため、社内外の環境変化をタイムリーに捉え、経営層の指示の下で経営ビジョンや自社のAIポリシーと生成AIの用途との整合性を確認することや、企業全体で開発や利用ルールなどの整備・評価・改善を継続的に行うアジャイルなガバナンス管理態勢を構築することが必要です。
【生成AIに対するアジャイル・ガバナンス】
出典:「AI事業者ガイドライン(第1.0版)」 (総務省・経済産業省、2024年4月)を基にKPMG作成
【生成AIを用いたサービスのライフサイクル】
出典:KPMG作成
(3)業務横断的なリスク管理態勢の整備
3つ目は、生成AIの活用に伴うリスクは、複数のリスク領域に跨りやすいという特徴です。たとえば、生成AIで作成した資料を用いてサービス提供を行う場合、ハルシネーション(誤情報の含有)や、セキュリティ(顧客情報の流出)に係るリスク、著作権侵害(他社情報の流用)に係るリスクの検討も重要です。また、外部の委託先企業のモデルを活用する場合は、既存のサードパーティーリスク管理の枠組みで対応可能かといった考慮も必要になります。
そのため、生成AIのリスクには複数のリスクカテゴリーに対し、ITやDXに係る部門、個人情報やセキュリティに係る部門、規制や倫理に係る部門などの関与による委員会の設立や、ワーキンググループを組成し、業務横断的な態勢で対応することが重要になります。
なお、生成AIのリスクに係る部門の責任範囲を明確にし、実効性を高める際には金融庁が公表した「モデル・リスク管理に関する原則」にて掲げられているモデル・リスク管理の態勢が参考になります。生成AIのモデルを活用するモデル・オーナー部門(1線)が当該モデルの手法や仮定を可視化し、モデルのリスクを評価します。また、可視化されることによりリスク管理部門(2線)や内部監査部門(3線)による当該リスクの客観的な検証が可能になります。
【モデル・リスク管理態勢】
出典:「モデル・リスク管理に関する原則」 (金融庁、2021年12月)を基にKPMG作成
6.おわりに
生成AIに対する金融機関の期待は高まり続けています。背景には、国内外の深刻な人材不足や、フィンテック企業など新しい競合との競争激化に伴う、業務の効率化・高度化の要請が進むことが考えられます。加えて、AML(アンチ・マネー・ローンダリング)やサイバーセキュリティ対策など、周辺業務の複雑化も増しており、金融機関において生成AIの活用は不可欠です。他方、多くの金融機関において生成AI活用やリスク管理に係るノウハウの蓄積は途上にあります。
そのため、金融機関は生成AIの活用について業務の優先度と、リスクの重要度の両方を見極めながら、適切に社内のリソースを配分して「責任あるAI」の実現に向けたガバナンス整備の推進が重要になります。
<参考資料>
総務省・経済産業省「AI事業者ガイドライン(第1.0版)(2024年4月)」
金融庁「モデル・リスク管理に関する原則(2021年12月)」
執筆者
KPMGコンサルティング
シニアマネジャー 石田 正悟
