金融当局がセキュリティ目的の人工知能(AI・Artificial Intelligence)活用のために金融会社10社を選定し、ネットワーク分離(金融会社の社内外通信網の分離)規制を1年間緩和する。この金融会社はこの期間に内部統制方策を整備し、グローバル認証を受けた高性能AIとサービスとしてのソフトウェア(SaaS・Software as a Service)を導入してセキュリティ脆弱性テストを実施する。
23日金融当局によると、金融委員会は最近、1次のネットワーク分離規制緩和の対象に選ばれた金融機関にこの内容の不処置意見書を発給した。金融当局は最近、シナン・ハナ・ウリなどの大手銀行とカカオバンク、KB証券、NH投資証券、サムスン火災、ハンファ生命など10の金融会社を「セキュリティ目的AI・SaaS活用テスト」1次金融機関として選定した。
先立って金融委は、総資産10兆ウォン以上、常時従業員数1000人以上の金融会社49社のうち、AIとセキュリティ能力が優れた金融会社10社を優先選定してネットワーク分離規制を緩和することにした。米国Anthropicの「Mythos」のような高性能AIが金融機関へのサイバー攻撃に悪用され得るとの懸念が提起され、韓国の金融会社もAIを活用したセキュリティ能力を備える必要性が高まったためである。
金融当局は「最近の高性能AIモデルにより高度化・知能化したサイバー脅威に対し、政府および関係機関の協力の下で迅速かつ効果的な対応方策を用意するため、ネットワーク分離を例外的に適用する必要性が認められる」と述べた。
不処置意見書によると、金融会社はISO 27001、SOC 2、CSAP、FedRAMPなど国際・国内認証を取得したAI・SaaSサービスのみ導入できる。AI・SaaSの情報保護統制のための常時の管理・体制を確保し、接続・利用履歴、管理者活動、異常行為などに対するモニタリングおよびログ記録を1年以上収集・保存しなければならない。AI・SaaSサービスに関連するセキュリティ事故および障害への対応手順も策定しなければならない。
金融会社はAI提供事業者がインフラ、セキュリティ、アップデートを代わりに管理するマネージドAI(Managed AI)のみ使用できる。特に金融会社が利用したデータをAIモデル学習に使用しないよう、「未学習約定」を必ず締結しなければならない。接続端末および利用者・管理者を登録・管理し、AI・SaaS管理者アカウントには多要素認証方式を適用しなければならない。個人信用情報、固有識別情報など重要情報の入力・処理・外部送信・流出の有無をモニタリングする統制システムも整備しなければならない。
金融当局はこれらの金融会社に対し1年間、セキュリティ目的AI・SaaSのネットワーク分離規制の例外を適用し、その後テスト結果を踏まえて規制の全面解除を検討する。1次に選定した金融会社の事例を蓄積した後、今四半期中に2次の対象も選定する方針だ。