金融業界でAI活用が加速するなか、ハッキングやボイスフィッシングといったデジタルリスクへの備えが重要課題になっている。金融委員会は10日、AI時代の新たな脅威に対応するため、金融機関に内部統制と顧客保護体制の見直しを求めた。ネットワーク分離規制を緩和してAI導入を後押しする一方で、セキュリティ対策の強化も並行して進める考えだ。

同委員会は同日、ソウルの銀行連合会で、イ・オクウォン委員長主宰の「AI時代ハッキング・ボイスフィッシング対応懇談会」を開いた。チョ・ヨンビョン銀行連合会長のほか、KB、Shinhan、Hana、Woori、NongHyupの主要5金融持株会社、金融監督院、金融保安院、警察庁、民間専門家らが出席した。

金融業界では、業務自動化や生成AIの導入が広がる一方、サイバー攻撃や金融詐欺のリスクも高まっている。金融委員会は、AI活用の拡大を進めるには、技術導入だけでなく、セキュリティや顧客保護の枠組みをあわせて整える必要があるとみている。

とりわけ警戒しているのは大きく2点だ。1つは、最先端AIが脆弱性の発見にとどまらず、サイバー攻撃の立案や実行に悪用される可能性があること。もう1つは、音声変換AIやディープフェイク、悪性アプリのインストール誘導などを使ったボイスフィッシングが広がり、従来の対応体制だけでは新手の犯罪を十分に防ぎきれなくなるおそれがあることだ。

こうした状況を踏まえ、金融委員会はセキュリティ分野でのAI活用を広げる方針を示した。まず、セキュリティ脆弱性の点検にAIを使えるよう、ネットワーク分離規制の例外適用を迅速に認める。点検を通じて確認された対応手順は、金融業界全体で共有する計画だ。

さらに、セキュリティとAIの運用能力を備えた金融会社を対象に、ネットワーク分離規制を全面的に解除する案についても、年内の実施を目指す。

もっとも、規制緩和は金融会社の責任を軽くするものではない。内部ネットワークと外部ネットワークの分離を一部緩和する以上、AI活用の拡大に先立って、セキュリティテスト、アクセス制御、IT資源の管理、インシデント対応シナリオといった基礎的な管理体制を整える必要がある。

ボイスフィッシング対策も主要テーマとなった。金融委員会は、昨年10月に銀行業界を中心に立ち上げたボイスフィッシング情報共有・分析・AIプラットフォーム「ASAP」を高度化し、通信情報や捜査情報まで共有範囲を広げる方針だ。

犯罪類型ごとのAIパターン分析を通じて不審口座を早期に検知し、新手のフィッシング犯罪でも迅速に口座凍結ができるよう、関連ガイドラインも整備する。

あわせて、金融業界の責任を強化し、被害者救済の実効性を高めるため、ボイスフィッシングを巡る無過失責任制度の導入も急ぐ考えを示した。制度が導入されれば、金融会社には異常取引の検知だけでなく、事故の予防、顧客への案内、事後補償に至るまで、より高い水準の管理が求められることになる。

対応の単位が個社では収まりにくい点も課題だ。AIを悪用したハッキングやボイスフィッシングは、銀行単体のシステムや営業領域にとどまらず、カード、保険、証券を含む金融グループ全体の顧客接点に広がる可能性があるためだ。

このため金融当局は、主要5金融持株会社に対し、持株会社レベルでの対応強化を求めた。模擬ハッキングや危機シナリオ別の対応計画、セキュリティ専任組織の整備、グループ会社間での不審取引情報の共有体制などを、グループ単位で構築すべきだとしている。

主要5金融持株会社も対応を急いでいる。各社は、AIベースのセキュリティ監視や模擬ハッキングソリューションの導入、セキュリティ専任組織の新設、AIを活用した高度な異常取引検知システムの構築を進めていると説明した。

ボイスフィッシング被害を補償する保険など、事後救済の手段も検討されるなか、金融業界のデジタルリスク管理は、予防、検知、補償を一体で整える方向に広がりつつある。

金融業界からは、AI導入の加速とリスク管理の強化が同時に求められているとの見方が出ている。AI活用の拡大は生産性向上とサービス革新のために欠かせない一方、ハッキングやボイスフィッシングの事故が発生した場合には、金融会社の責任を問う声が一段と強まる可能性があるためだ。

イ・オクウォン委員長は「高い能力と資源を備えた金融会社ほど、従来の方式から果敢に脱却し、市場を先導しながら成功事例を積み上げるべきだ。それが他の金融会社にとっても安心して革新に踏み出す道しるべになる」と述べ、「AIによる体質改善に勇気を持って取り組んでほしい」と呼びかけた。

金融業界関係者は「今後、金融会社のデジタルリスク管理は、単なるITセキュリティ部門の対応を超え、グループ全体の内部統制と顧客保護を一体で担う重要課題になる」と話した。