豪州健全性規制庁（APRA）は、銀行などの金融機関で人工知能（AI）の活用が急速に広がる一方、ガバナンスやサイバーセキュリティ、オペレーショナル・レジリエンス（業務の復元力）に関する態勢整備が追い付いていないとして警鐘を鳴らした。取締役会の技術理解の不足や特定ベンダーへの依存も主要な課題として示した。

フィンテック系メディアのFinextraによると、APRAは4月30日（現地時間）、業界向け書簡を公表した。AI活用の規模、スピード、複雑さが増すのに対し、ガバナンス、リスク管理、アシュアランス、オペレーショナル・レジリエンスの枠組みが十分に整っていないと指摘した。

この書簡は、APRAが2025年末に実施した重点的な監督レビューを踏まえたもの。金融機関のAI導入と統制の実態を点検した結果、高機能化したAIの普及が新たな財務面・業務面の脆弱性を生んでいると判断した。

特に問題視したのがサイバーセキュリティ態勢だ。変化のスピードに対応し切れておらず、脆弱性の発見から是正までの対応速度についても、AIの進展で強まった脅威に見合う水準まで引き上げる必要があるとした。

APRAは、最先端のAIモデルがサイバー攻撃リスクを一段と高める可能性にも言及した。Anthropicの「Claude」や「Mithos」のようなモデルが、悪意ある行為者による脆弱性探索能力を高めかねないとし、サイバー攻撃の頻度、速度、規模が拡大するとの見方を示した。

取締役会の備えの不十分さも浮き彫りになった。多くの取締役会はAIの潜在的な利点には強い関心を示す一方、AIリスクや監督上の論点について経営陣に踏み込んで問うだけの技術的理解を欠くケースが多かったという。

テレーズ・マッカーシー・ハーキーAPRA委員は「これほど強力な技術のリスクを無視することはできない」と述べ、リスクは組織内部での利用にとどまらず、悪意ある外部の行為者による悪用にも及ぶと指摘した。

サプライチェーンと業務運営面の脆弱性も確認された。複数のAI活用領域で単一ベンダーへの依存が過度に高い金融機関があり、緊急時対応計画にも不備があったという。

さらに、AI機能がより広範なソフトウェアプラットフォームや開発ツールに組み込まれることで、モデルがどこで、どのように学習・更新され、どのような制約の下で動作しているのかが見えにくくなっている点も問題視した。こうした不透明さが、企業によるリスクの十分な評価・管理を難しくしているとした。

既存の管理枠組みやアシュアランスの手法も、AIへの対応としては不十分だとの見方を示した。APRAは、現行の管理態勢が断片的で、AIに求められる水準の検証を十分に行えない可能性があると指摘した。

マッカーシー・ハーキー委員は、監督の過程で確認した中核的な課題として「AI導入は加速し続けているが、安全に統制するためのシステムとプロセスが追い付いていない」と述べた。企業は、脆弱性の特定やパッチ適用の速度も、AIが加速させる脅威に対応できる水準まで大幅に高める必要があると強調した。

一方でAPRAは、現時点で追加規制を導入する方針は示していない。金融機関に対し、活用する技術の強力な能力と、それを監視・統制する自社の能力とのギャップを縮める改善を求めた。

銀行業界では今後、取締役会レベルでの技術理解の底上げ、ベンダー集中の緩和、AIを組み込んだソフトウェアの点検強化が主要課題となる。