金融委員会のイ・オグォン委員長は10日、十分なAI・セキュリティ能力を備えた金融機関を対象に、網分離規制の全面緩和方針を早期に具体化し、公表すると明らかにした。AIを使ったサイバー攻撃が高度化するなか、従来の網分離を軸とした閉鎖型の防御体制だけでは対応に限界があると判断した。
イ委員長はこの日、「2026年 情報保護の日」記念行事であいさつし、「もはや過去のようにネットワークを遮断し、接続を制限したうえで事後対応に頼る方式では、AI攻撃の速度に追いつけない」と述べた。
そのうえで、攻撃側がAIで脆弱性を探し、攻撃経路を組み立てている以上、防御側もAIを活用して異常の兆候をより迅速に検知し、脆弱性を確認して即応しなければならないと強調した。
金融委員会は6月から、AIセキュリティテストに向けた網分離規制の緊急緩和措置を実施している。今後は、より多くの金融機関が参加できるよう、対象要件や運用内容を柔軟に見直す計画だ。
あわせて、金融機関がAIセキュリティテストやセキュリティパッチの適用を進める際の負担を軽減するため、免責措置やガイドラインも整備した。軽微なシステム障害の発生を懸念して、セキュリティ点検や緊急パッチの適用が遅れる事態を防ぐ狙いがある。
イ委員長は、十分なAI・セキュリティ能力を備えた金融機関に対する網分離の全面緩和方針についても、早期に具体策を示す考えを改めて示した。
網分離規制の見直しは、金融分野におけるAI活用の拡大と、セキュリティ体制の転換を進めるうえでの中核課題と位置付けられる。金融委員会は今後、対象基準や適用要件、管理体制などを後続策に盛り込む見通しだ。
一方で、金融委員会はサイバー事故に対する責任強化も並行して進める。懲罰的課徴金と履行強制金の導入、最高情報セキュリティ責任者(CISO)の権限強化、消費者向け開示の拡大などを盛り込んだ「電子金融取引法」改正案について、国会での成立を目指す方針だ。
高度化するハッキング犯罪への対応に向けては、「デジタル金融安全法」の制定準備も進める。金融セキュリティの死角を減らし、金融機関に平時からの情報保護管理と継続的な投資を促す考えだ。
イ委員長は金融業界に対し、CEOと取締役会のレベルでセキュリティ投資と意思決定に取り組むよう求めた。
イ委員長は「継続的で十分なセキュリティ投資と人材確保、ハッキングに備えた常時監視、模擬訓練など、セキュリティ業務全般に対するCEOと取締役会の関心、そして積極的な意思決定こそが、現場の実質的な変化を導く鍵になる」と述べた。