金融会社の生成型人工知能(AI)に関するセキュリティテストおよびパッチの過程で軽微なシステム障害が発生しても、迅速に復旧すれば当該金融会社と担当役職員は制裁を免除されることになる。Anthropicの「Mythos」などフロンティアAIの登場でサイバーセキュリティ脅威が高まったことを受け、金融圏の積極的なセキュリティ対応を促す趣旨である。
金融委員会は先月30日に免責審議委員会を開き、「AIセキュリティのテスト・パッチ過程で発生したシステム障害に対する免責措置」を議決したと2日に明らかにした。また金融会社を対象に「フロンティアAIのセキュリティ脅威に対する金融分野の対応ガイドライン」も配布した。
これにより金融会社は、セキュリティ目的のAIを活用してテストを行ったり、金融委員会・金融監督院・金融保安院などが周知したセキュリティ脆弱性に対応してセキュリティパッチを実行する過程でシステム障害を起こしても、制裁の対象から除外される。
ただし金融会社は、システム障害が発生した直後に迅速な復旧と消費者保護措置を履行しなければならない。事前テストや被害拡散防止などを盛り込んだ作業計画書も用意する必要がある。免責の可否は、システム障害の軽重や復旧措置、消費者保護措置などを総合的に考慮して判断する。故意がなく、金銭的被害が1億ウォン未満で、システム障害の時間が4時間以内、顧客情報の流出が1万件未満である場合などが基準となる。信用情報法上の個人信用情報が流出した事故は免責の対象から除外される。
金融委員会は、金融会社がAIのセキュリティリスクに積極的に対応できるよう、6分野の対応要領を盛り込んだガイドラインも配布した。ガイドラインには、経営陣の責任強化、脆弱性およびパッチ管理、資産・サプライチェーン管理などが含まれた。
金融委員会の関係者は「今後もフロンティアAIに関する国内外の状況変化を反映し、柔軟かつ迅速にガイドラインを補完していく」と述べた。