コラム
AIディスカッションペーパー(第1.1版)「金融機関等におけるAIの活用実態と健全な利活用の促進に向けた初期的な論点整理」を読む
先日最終回を迎えたAI官民フォーラムを踏まえて、AIディスカッションペーパー(第1.1版)が公表されました。
https://www.fsa.go.jp/news/r7/sonota/20260303/aidp_version1.1_summary.pdf
今回はディスカッション・ペーパー1.0との差分AIディスカッションペーパー(第1.1版)(第1.0版からの修正点付き) から、重要な点を読みたいと思います。
1 説明可能性の担保
AIを金融機関が重要な判断に用いる場合の規範(メルクマール)が示されています。
①AIの性質に応じて
②どのようなデータで学習したか
③RAG等を利用する場合どのようなデータを参照したか
④どのようなプロンプトが与えられたか
⑤出力結果の記録とモニタリングが機能しているか
「与信判断など、その影響(リスク)に照らして重要な判断にAIを用いる場合、当該AIの性質に応じて、どのようなデータで学習したか、RAG等を利用する場合どのようなデータを参照したか、どのようなプロンプトが与えられたか、出力結果の記録とモニタリングが機能しているかといった観点から、金融機関自身が判断の合理性を検証・説明できるようにする必要がある。 」(34p)
2 個人情報保護
個人情報保護関係では、以下の4つの論点について詳細が語られています。
- 学習データとして自社の顧客情報を含む個人情報を扱う場合
- 生成AIの利用時に顧客情報等の個人情報を含むプロンプトを入力する場合の規律の適用関係
- AIモデルの開発や学習を外部ベンダーに委託する際における規律の適用関係
- 海外にサーバーを置く生成AIプラットフォームを利用する場合における規律の適用関係
① 学習データとして自社の顧客情報を含む個人情報を扱う場合
「AIモデル開発のための学習データとして利用することを利用目的として明示することを要するかが論点となるが、「「個人情報の保護に関する法律についてのガイドライン」に関するQ&A」において、統計データへの加工を行うこと自体を利用目的とする必要はないとされていることが参考となり、個別事情にはよるものの、AIの開発・学習についても、このQ&Aの趣旨に鑑み、利用目的への明記は不要と整理できる場合がありうる。一方、AIの利用(推論)を利用目的として明示すべきかについては、当該取扱いを顧客が合理的に予測・想定できるかが重要なポイントとなる。チャットボットのように顧客が認識可能なものや、従来業務の単なる自動化は、予測・想定可能と評価できる場合が多いと考えられる。 」(38p)
この学習データとしての利用を利用目的に掲げるべきかについて、重要な記載と思われます。
顧客が合理的に予測できるかがカギとなりますが、従来業務の単なる自動化については予測・想定可能と整理される場合が多いとされました。
②生成AIの利用時に顧客情報等の個人情報を含むプロンプトを入力する場合の規律の適用関係
「通常、生成AIサービスは、プロンプトとして入力された顧客情報等の個人情報を用いて分析等の処理を行うことから、生成AIサービスの提供者を個人データの取扱いの委託先として管理する必要がある。サービスの選定・契約締結に当たっては、金融機関が委託に伴って提供する個人データが、当該金融機関の指示なく追加学習に使用されないこと等を確認する必要がある」(39p)
AIが個人情報を用いた分析処理を行うことから、追加学習についての配慮が求められることになります。
③AIモデルの開発や学習を外部ベンダーに委託する際における規律の適用関係
「AIモデルの開発等を外部委託する場合に、当該開発等に必要な個人データの取扱いを含めて委託する場合には、必要かつ適切な委託先管理が必要である。 」(39p)
金融機関からの外部委託先管理はこれまでも厳格でしたが、さらにAIモデルの開発等にについても個人データの取扱いを含めて適切な管理が求められます。
④海外にサーバーを置く生成AIプラットフォームを利用する場合における規律の適用関係
「いわゆる越境移転規制(個人情報保護法第28条第1項)は、受領者が「外国にある第三者」である場合に適用されるものであり、サーバー所在地ではなくAI事業者の所在地を軸に検討することとなる。もっとも、いわゆる基準適合体制(個人情報保護法施行規則第16条等)や安全管理措置としての外的環境の把握においては、サーバーの所在地を考慮する必要がある。」(39p)
これは重要な視点です。以下のとおり判断の仕方が示されました。
- 越境移転規則については、サーバー所在地ではなく、AI事業者の所在地を元に受領者を判断する
- 基準適合体制や安全管理措置としての外的環境の把握はサーバー所在地
3 規制対応
証券会社の事例ですが、以下の事例が具体的に検討されました。
例えば、証券会社が、顧客属性や過去の取引データ等に加えて、顧客との会話データ等を生成AIにインプットした上で、生成AIの出力を営業員による営業支援に活用したり、生成AI が直接顧客に投資商品を推奨するサービスを提供したりすること(40p)
この中では、会話データをデータサイエンティストに渡すこと(アクセス権限を付与する事)が、法人関係情報の管理態勢として適当かという論点が重要です。金融機関には
- AI・データ利活用の目的や態様
- 情報管理手続
を具体的に特定する必要があるとされました。
「会話データ等を分析する者(データサイエンティスト等)にアクセス権限を付与することをもって直ちに法人関係情報を適切に管理する態勢が整備されていないと判断されるものではないが、管理態勢の適切さは個別具体的な事案に即して実質的に判断する必要があり、まずは、金融機関においてAI・データ利活用の目的や態様、情報管理手続等を具体的に特定する必要がある。その上で、今後のAI活用の進展によりAIのユースケースがより明確なものとなり、それに伴って法人関係情報の管理態勢のあり方についてAI特有の論点が具体化されることも見据え、業界内でも、プラクティスの共有や考え方の整理を進めようとする動きが出始めている。」(40p)
つぎに保険との関係で非常に示唆的なのが、生成AIベースのシステムが顧客に直接金融商品の推奨等を行う場合の規制のあり方です。
「金融商品取引法上の行為規制が適用される「勧誘」とは、一般に、金融取引への誘引を目的として特定の利用者を対象として行われる行為と解されており、AIを活用する場合においても同様の考え方が妥当するものと考えられる。AI活用の「勧誘」への該当性は、個別具体的な事案に即して実質的に判断する必要があり、まずは、金融機関においてAI・データ利活用の目的や態様、顧客への働きかけの内容等を具体的に特定する必要がある。
その上で、今後のAI活用の進展によりAIのユースケースがより明確なものとなり、それに伴って「勧誘」への該当性についてのAI特有の論点が明らかになった場合には、AIが投資家の判断に与える影響やAIへの営業担当者等の関与の度合いなどを踏まえ、具体的な検討を行うことが考えられる。
既存の法令等はAIなど特定の技術を利用しているか否かに関わらず適用されるものであるが、証券分野以外においても、AIの活用を考えた際に論点となりうる規制対応上の検討事項については、今後のAI活用の進展により事業者による具体的なAIのユースケースの特定や論点の深度ある検討が進められ、当局・事業者団体がオープンに対応することにより、個別の論点ごとに解釈や目線の提示、業界レベルでの知見共有やプラクティス形成が進展していくことが期待される。」(41p)
この論点は、AIを活用したレコメンドの「保険募集行為の該当性」とパラレルに考えることができます。
AIに入力された情報に直接合致する検索結果が表示されるのか、入力条件に直接合致する商品にとどまらず、関連商品を提示したり、特定の商品を提示するような場合には、受動的な表示にはとどまらず、「推奨」に該当し、保険募集行為に該当する可能性が高まります(細田浩史「保険のデジタル化と法」(160p)参照)。
今後、事業者がAIを活用して直接金融商品(保険商品)を提示する場合に、広告にとどまるのか、保険募集行為に当たるのかという判断において非常に重要な記載と解されます。
執筆者プロフィール
-
株式会社Hokanグループ 弁護士/パブリック・アフェアーズ室長
兼コンプライアンス室長
2008年慶應義塾大学法科大学院卒業、2009年弁護士登録(東京弁護士会)。都内法律事務所・損害保険会社・銀行を経て、株式会社hokanに入社。平成26年保険業法改正時には、保険会社内で改正対応業務に従事した経験を持つ。「「誠実義務」が求める保険実務におけるDXの方向性(週刊金融財政事情 2024.9.17)」、「実務担当者のための今日から始める保険業法改正対応」(保険毎日新聞 2025.5.15~7.3)等を執筆。
hokan®︎の資料はこちら!