金融監督院は金融業界がAIを健全に活用できるよう、金融分野のAIリスク管理フレームワークを策定したと15日に明らかにした。今回のフレームワークは法的強制力のない自主的なガイドラインであり、金融会社が自社の状況と技術の成熟度に応じて選択的に適用できるよう設計した。
フレームワーク上、金融会社はAIリスク管理のための意思決定機構と専任組織を構成し、関連する内部規程を整備してAIシステムの企画、開発、運用の全過程で発生しうるリスクを体系的に管理しなければならない。これにより明確な責任所在に基づいて牽制と均衡が機能する管理体制を確立する必要がある。
AI関連の意思決定機構は、AI倫理原則と内部規程の制定および改定、リスク管理および消費者保護政策の策定、高リスクAIサービスの承認など主要事項を審議し議決する役割を担う。とりわけ最高経営責任者(CEO)がAI関連の事業戦略とリスクを明確に認識できるよう、意思決定機構はCEOに対して定期的に関連事項を報告しなければならない。責任構造図を導入した金融会社の場合、AIに関する内部統制とリスク管理の責任を明確に反映する方策も併せて検討するようにした。
また金融会社は、AI導入と開発を推進する組織から独立したリスク管理専任組織を設置し、AI関連業務全般を統制し管理しなければならない。同組織はAIリスクの認識と測定、評価などリスク管理全般を総括し、AI基本法を含む関連法規の遵守状況を管理・監督する役割を担う。
金融会社はAI倫理基準を基盤としてAIリスク管理規程や指針などの内部規程を策定し、これを具体化した業務マニュアルを整備しなければならない。内部規程にはAIガバナンス構造、リスクの認識と測定、高リスクAIの統制、AIシステムの企画と開発、運用と活用手順、セキュリティと消費者保護、法規違反時の処理手順などを含める必要がある。
AIは業務を補助する手段であるため、金融会社は最終的な意思決定と責任を役職員が負うよう規定しなければならない。標準化されたマニュアルを通じてAI導入と活用の全過程を管理し、部門間の役割と責任を明確にして潜在的なリスクに対応すべきだ。
金融会社はAIリスク評価体制も別途整備しなければならない。金融会社は適法性、信頼性、消費者保護、セキュリティ性など金融AI7大原則のうち定量的要素を中心に、リスクベース・アプローチの総合評価体制を構築すべきだ。これによりAIサービス別にリスクを認識し測定した後、リスク低減措置と残余リスク評価を経て最終的なリスク等級を算定しなければならない。
リスク評価の過程では、金融消費者保護法とAI基本法など関連法規の違反可能性、データとモデルの品質とバイアス、説明可能性と性能、消費者権利の侵害有無、セキュリティと安定性などを総合的に考慮する。これらの評価を通じて各AIサービスのリスク水準を体系的に分類し管理するようにした。
金融会社はリスク評価の結果に応じて、AIサービスのリスク水準別に差別化した統制・管理も実施しなければならない。低リスクのサービスは承認手続きや文書作成などを簡素化できるが、高リスクのサービスは発売前のリスク低減措置の検証と運用段階でのモニタリングを強化すべきだ。
AIサービスのリスク水準が変更される場合には再評価を実施し、高リスクのサービスはAI倫理委員会の事前承認と事後検証、第三者評価などを行うようにした。とりわけ金融安定性の毀損や消費者権益侵害の懸念が大きい超高リスクAIの場合、意思決定機構を通じて発売の可否自体を再検討するようにした。同時に金融会社はモニタリングと事後管理、文書化と役職員教育、監督当局との情報共有など、リスク統制のための内部統制手続きを着実に履行しなければならない。
金融監督院は業態別の協会を通じて金融分野AIリスク管理フレームワークを配布し、説明会と懇談会を通じて金融業界の意見を収れんする計画だ。その後、今年第1四半期中に最終案を確定して施行し、模範事例の拡散と導入会社に対する実態点検を通じて、金融業界のAIガバナンスとリスク管理体制が内部統制システムに定着できるよう支援する方針である。