※本記事は、SIFMAおよびSIFMA資産運用グループが2025年3月13日に発表した「国立科学財団AIアクションプラン開発に関する情報提供要請への回答」と、その添付資料である2024年9月発行のホワイトペーパー「Promoting Investor Success, Industry Innovation, and Efficiency with AI(投資家の成功、産業イノベーション、AIによる効率性の促進)」の内容を基に作成されています。元の文書はSIFMAのウェブサイト(https://www.sifma.org/ )でご覧いただける可能性があります。本記事では、レポートの内容を要約・整理しております。なお、本記事の内容は原文書の見解を正確に反映するよう努めていますが、要約や解釈による誤りがある可能性もありますので、正確な情報や文脈については、オリジナルの文書をご参照いただくことをお勧めいたします。また、SIFMAの公式ウェブサイトや関連リソースもご参照ください。
1. エグゼクティブサマリー
1.1. SIFMAの立場と背景
私たち証券業金融市場協会(SIFMA)およびアセットマネジメントグループ(SIFMA AMG)は、国立科学財団(NSF)のフェイサル・ドスーザ氏宛てに、科学技術政策局(OSTP)のAIアクションプランに関する情報提供要請に対する回答として本書を提出いたします。
SIFMAは、米国および世界の資本市場で活動するブローカー・ディーラー、投資銀行、資産運用会社を代表する主要な業界団体です。我々は会員に代わって、個人および機関投資家、株式・債券市場、関連する商品やサービスに影響を与える法律、規制、およびビジネスポリシーについて提言を行っています。また公正かつ秩序ある市場、情報に基づく規制遵守、効率的な市場運営と回復力を促進するための業界調整機関としての役割も果たしています。
SIFMA AMGは資産運用コミュニティを結集し、米国およびグローバルな政策に関する見解を提供し、業界のベストプラクティスを創出しています。SIFMA AMGの会員は、グローバルな運用資産の50%以上を管理する米国およびグローバルな資産運用会社を代表しています。SIFMA AMG会員企業のクライアントには、何千万人もの個人投資家、登録投資会社、基金、公的・私的年金基金、UCITS、ヘッジファンドやプライベートエクイティファンドなどの私的ファンドが含まれています。
私たちSIFMAは、AIが米国の投資家、金融市場、金融機関に多くの利益をもたらし、今後も提供し続けると考えていますが、AIに対する不必要な法律や規制の影響が、米国の金融市場の競争力に取り返しのつかない否定的な影響を与えることを懸念しています。AIが金融業界で適切に活用されるためには、バランスの取れた規制アプローチが必要であり、ただ規制を追加するのではなく、リスクベースかつ技術中立的な視点から既存の枠組みを評価することが重要だと考えています。
1.2. AI技術が米国の投資家、金融市場、金融機関にもたらすメリット
AIおよび関連技術は、金融サービス業界のさまざまな分野ですでに活用されており、金融機関と投資家の双方に大きなメリットをもたらしています。金融サービス企業はAIを活用して、大量のデータをより効率的かつ正確に分析し、市場動向を予測し、リスクを特定し、最適な投資戦略を考案しています。このようなAIの利用は、特定の金融サービスや商品へのアクセス拡大、コスト削減、顧客サービスおよびリスク管理能力の強化など、投資家に多くの利益をもたらしています。
金融サービス業界では、不正検知、データ分析、リスク管理、投資分析、コンプライアンス、サイバーセキュリティなど、さまざまな用途ですでにAIが活用されています。例えば、AIシステムは大量の取引データをリアルタイムで分析し、不審なパターンを検出することで不正行為を防止したり、市場データから洞察を抽出して投資戦略を最適化したりすることができます。また、AIを活用した顧客サービスシステムは、投資家からの問い合わせに24時間対応し、パーソナライズされた金融アドバイスを提供することも可能になっています。
現在活用されている能力と、これから認識される可能性のある能力に基づいて、AIは金融サービス業界をさらに変革し、投資家に広範な利益をもたらす可能性を秘めています。この可能性を最大化するためには、AIの責任ある利用を促進することを目的とした法的または規制上の対応が必要です。技術の進歩には潜在的なリスクが伴う可能性がありますが、これらのリスクはイノベーションを抑制することなく適切に対処することができると私たちは考えています。
1.3. 不必要な法規制がもたらす競争力への悪影響についての警告
私たちSIFMAは、新たな法律や規制は、既存の要件ではカバーされていない具体的なリスクに対処し、それを最小化するように設計されるべきだと考えています。これまでのところ、金融機関によるAIの利用に関連して、既存の法律や規制ではカバーされていないリスクは特定されていません。そのようなリスクが現れるまで、新たな法律や規則はAI技術の発展を不必要に妨げることがないよう、慎重に検討されるべきです。
特に懸念されるのは、AIの開発と利用を管理しようとする州の法律や規制の増加です。これが、(1)何十年にもわたって使用されてきたAIアプリケーション(非生成的AIアプリケーションを含む)の継続的な使用、および(2)新しいAI技術または新しいAIのユースケースの開発や展開の能力を著しく阻害する可能性があります。プライバシー法で明らかなように、矛盾する州法は米国における責任ある技術開発の障害となり得ます。したがって、州のAI法を先取りする連邦法を支持しています。
過度に制限的なアプローチは、企業がAIのような新技術を米国市場向けに革新したり創造したりすることを思いとどまらせるリスクをもたらし、より柔軟なアプローチを採用している他の国や地域が、新技術を開発する企業にとって好ましい目的地となる可能性があります。また、分断されたAI規制の状況は、複数の規制体制の対象となる企業に大きなコンプライアンス上の課題をもたらします。さまざまな法域(国内および世界)、および重複する管轄権を持つ規制当局が、それぞれ独自のAI固有の法律、規制、フレームワークを採用しているか、または採用しようとしていますが、これらの要件の内容と範囲は広く異なる場合があります。
金融サービス業界においてAI利用に関連するリスクを管理するためには、既存の原則ベースで技術中立的な法的・規制的フレームワークを適用することが重要です。新興技術に対処するのに効果的であることが証明されている既存のフレームワークに依拠することで、AI関連リスクを管理する一貫したアプローチを確保し、技術革新を促進し、市場参加者への潜在的な利益を最大化することができます。
2. 既存の法律と規制の十分性
2.1. 金融機関におけるAI利用は既存の法規制で対応可能である主張
既存の法的・規制的フレームワークは、金融サービス業界におけるAIの使用に適用されます。したがって、これらの既存のフレームワークが対処できないギャップが特定された場合にのみ、追加の規制措置を検討すべきです。
政策立案者や規制当局は、金融サービス業界における技術開発に対応して法律や規制を開発してきましたが、これらのフレームワークは一般的に技術自体ではなく、行為や活動に適用されます。このような技術中立的なフレームワークは、新興技術の責任ある採用と使用を確保する上で効果的でした。すべての新興技術は新規のリスクについて評価する必要がありますが、AIの使用について、これらのフレームワークを不適切にするような本質的に異なる点はないと思われます。したがって、政策立案者は、さらなる法律や規制を検討する前に、既存の法律や規制がどのように適用され、金融サービス業界におけるAIの使用から生じる可能性のあるユニークなリスクに対処するために継続的に進化できるかを詳細に検討すべきです。
金融サービス企業にすでに適用されている既存の法的・規制的フレームワークの広範囲は、AIの使用にも適用されます。これらのフレームワークは、市場および投資家保護、ガバナンス構造、リスクのモニタリングと管理、サイバーセキュリティ、モデルリスク管理、第三者リスク管理、データプライバシー、運用の回復力とビジネス継続性などの分野に適用されます。これらの既存のフレームワークは一般的に、AIのような新興技術の使用に適用するための柔軟性を持って設計されており、使用される技術に関係なく、金融サービス業界で適用される可能性のある関連リスクを軽減します。
法律や規制に加えて、金融規制当局は新技術の責任ある採用を確保するためのガイダンスを発行しており、これもAIの使用に適用されます。例えば、連邦準備制度理事会、通貨監督庁、連邦預金保険公社がそれぞれ発行したモデルリスク管理に関する監督ガイダンスは、AIを含む新興技術に対処するためにすでに存在しています。
既存の執行メカニズムも、AIの使用に関連する行為に対処することが可能であることが証明されています。例えば、SECは投資アドバイスの提供に関連するAIの使用に関する虚偽および誤解を招く声明を行ったとして、いわゆる「AI-washing」ケースで投資顧問に罰則を課しています。このようなケースは、既存の法律や規制が規制当局にAI関連のリスクに対処し、違反に対して執行する必要なツールを提供していることを明確にしています。また、刑法も、詐欺や窃盗を実行するために使用する技術に関係なく、法執行機関や規制当局が不正行為者を追及することを可能にしています。
2.2. 新たなAI特有のリスクが特定されるまで新法規制は慎重に検討すべきという立場
法律や規制は、憶測的または仮説的な将来のリスクに基づくべきではありません。その代わりに、政策立案者や規制当局は、金融サービス企業がAIをどのように使用しているのか、そしてそれらの使用が既存の法的・規制的フレームワークでは対処されていない新しいリスクをもたらすかどうかを慎重に評価すべきです。
これを行うためには、政策立案者や金融規制当局は、金融サービス業界におけるAIの使用、利益、および潜在的リスクを理解するために、金融サービス企業と協力して作業するべきです。このアプローチにより、企業と規制当局は業界に新たなリスクをもたらす可能性のある新しい事実パターンを特定することができます。そのような新しいリスクが特定された場合にのみ、潜在的な規制措置を検討すべきであり、これには金融規制当局が規制上の期待についてさらなるガイダンスを提供することも含まれる可能性があります。それ以外の場合、政策立案者や規制当局は技術革新を抑制し、業界での新技術の採用を阻害するリスクがあります。
金融サービス業界との継続的な協力に取り組むことで、政策立案者や規制当局は、金融サービス企業がAIやその他の新興技術の開発と採用に自信を持てる環境を作り出す重要性と、セーフガードの必要性のバランスを取ることができます。
例えば、米国財務省の報告書によれば、「金融機関は、新興AI技術の広範な使用を採用することにゆっくりと移行しているようです」と指摘しています。また、財務次官のネリー・リャン氏も「企業はGenAIでの実験においては特に慎重に進み、同時に内部ガバナンスに変更を加えている」と述べており、金融機関が既存のリスク管理フレームワークに従ってAIの使用に取り組んでいることを示しています。
このリスクベースのアプローチに継続的に依存することは、AIを使用することの潜在的利益と関連するリスクのバランスを取るために必要な柔軟性を提供します。既存の規制で対応できない新たなリスクが特定されない限り、新たな規制は不要であり、むしろイノベーションを妨げる可能性があるというのが私たちの立場です。
3. 州レベルのAI法規制の懸念
3.1. 州ごとに異なるAI法規制が生み出す問題点
私たちSIFMAは、AIの開発と利用を管理しようとする州法規制の拡散が、SIFMAメンバーの(1)数十年にわたって使用されてきたAIアプリケーション(非生成AIアプリケーションを含む)の継続的な使用、および(2)新しいAI技術や新しいAIの使用事例を開発・展開する能力を深刻に阻害することを深く懸念しています。
各州が独自のAI法規制を導入すると、金融サービス企業には複数の問題が生じます。まず、企業は複数の州法に対応するためにコンプライアンス体制を構築する必要があり、これは経営資源の分散と多大なコスト増加につながります。また、州ごとに異なる要件に従うことは、システムの適応や変更を必要とし、AIの開発と実装のスピードを遅らせる可能性があります。
例えば、ある州ではAIシステムの透明性に焦点を当てた規制を導入し、別の州ではプライバシー保護を重視した規制を導入するかもしれません。さらに別の州では、AIシステムの検証やテストに関する厳格な基準を設ける可能性もあります。これらの規制が矛盾する場合、企業は最も厳しい規制に合わせて対応するか、州ごとに異なるシステムを構築する必要が生じます。どちらの選択肢も、技術革新を阻害し、コストを増加させるという結果をもたらします。
特に金融サービス業界では、州境を越えたサービス提供が一般的であり、AIシステムが州ごとに異なる規制に適合するよう調整することは非常に困難かつ非効率的です。これは最終的に顧客へのサービス提供にも影響を与える可能性があります。州ごとの規制の違いにより、企業はある州では提供できるサービスを別の州では提供できないといった状況に直面する可能性があり、これは市場の分断と不平等を生み出します。
このように断片化したAI規制の状況は、多くの規制体制の対象となる企業にとって大きなコンプライアンス上の課題をもたらし、これが金融サービス企業によるAIの活用を抑制し、最終的に市場参加者がその多くの利益を受けることを妨げる可能性があります。
3.2. プライバシー法で見られたような州間の矛盾した法規制の問題
私たちはプライバシー法の分野で明確に見てきたように、矛盾する州法は米国における責任ある技術開発の障害となる可能性があります。プライバシー法の領域では、カリフォルニア州消費者プライバシー法(CCPA)、バージニア州消費者データ保護法、コロラド州プライバシー法などの州法が相次いで制定され、企業は複数の異なるプライバシー基準への対応を迫られています。
これらの州法は同様の目的を持ちながらも、要件や対象範囲、執行方法などが異なるため、企業は州ごとに異なるコンプライアンスプログラムを構築する必要が生じました。これは時間とリソースの大幅な浪費につながり、特に中小企業に大きな負担を強いています。このような状況はAI規制においても同様に発生する可能性が高いと考えています。
例えば、ある州ではAIシステムに対して特定の透明性要件を課し、別の州では異なる種類の説明可能性を要求し、さらに別の州ではまったく異なるアプローチでAIのガバナンスを規制するかもしれません。企業がこれらすべての要件を満たそうとすると、リソースの分散、システム設計の複雑化、そして最終的には革新の停滞という結果をもたらします。
プライバシー法の経験から得られた重要な教訓は、技術規制においては国家レベルでの統一的なアプローチが不可欠だということです。州ごとに異なる規制枠組みは、企業にとって遵守が難しいだけでなく、消費者や投資家にとっても保護レベルの不均衡をもたらします。AIのような急速に発展する技術分野では、この問題はさらに深刻になる可能性があります。
現在、AIに関する州法の増加傾向が見られ、このままでは各州が独自のアプローチでAI規制を導入し、プライバシー法で経験したものと同様の複雑な規制環境が生まれる恐れがあります。こうした状況は避けるべきであり、一貫性のある連邦レベルのアプローチが必要だと考えています。
3.3. 連邦レベルでの州法優先の法律の必要性の主張
私たちSIFMAは、州のAI法を先取りする連邦法の制定を強く支持しています。AIに関する断片化した規制環境を回避するためには、連邦レベルでの統一的なアプローチが不可欠です。金融サービス業界は州をまたぐ取引が一般的であり、各州が独自のAI規制を制定すれば、企業は複数の異なる要件に対応する必要が生じ、これは多大なコストを伴い、イノベーションを抑制する結果となります。
連邦レベルでの州法優先の規定を含む法律は、企業に明確で一貫した規制環境を提供し、全米の消費者や投資家に均一な保護を保証します。消費者は居住する法域に関わらず同じレベルのプライバシー保護を受ける権利があり、デジタル化が進む世界では、州ベースの保護は非効率的、コスト高、そして実行不可能な場合もあります。
AIに関する連邦のプライバシー法は、法の矛盾やAI利用に関連する不当なコストや負担を避けるために不可欠です。この点に関して、米国上院の超党派AIワーキンググループも、こうした保護を提供する連邦プライバシー法を求めています。
連邦法による州法の先取りは、プライバシー法の分野で見られたような状況を避けるために重要です。複数の州が独自のプライバシー法を制定したことにより、企業は複雑で時に矛盾する要件のパッチワークに対応しなければなりませんでした。AIに関してもこれと同様の状況を避けるためには、連邦レベルでの一貫したアプローチが必要です。
また、各国政府や国際機関もAIに関する独自の規制を開発しており、米国企業はグローバルな事業展開においてこれらの規制にも対応する必要があります。米国内の規制が断片化されると、国際的な整合性を図ることがさらに困難になります。連邦レベルでの統一的なアプローチがあれば、米国は国際的なAI規制の議論においてもより強い立場で臨むことができます。
以上のように、AIに関する法規制は、州ごとの断片化ではなく、連邦レベルでの統一的かつ州法に優先するアプローチを採用すべきだと私たちは考えています。これにより、企業の規制遵守負担を軽減しつつ、消費者保護を確保し、AIによるイノベーションを促進することができます。
4. SIFMAホワイトペーパーの主要ポイント
4.1. 技術中立的なアプローチの重要性
私たちSIFMAのホワイトペーパー「投資家の成功、産業イノベーション、AIによる効率性の促進」では、金融サービス業界を管理する法律や規制は、活動と結果に焦点を当て続けるべきであると主張しています。この技術中立的なアプローチは、金融市場の安全性を犠牲にすることなく、業界内のイノベーションを奨励します。
技術中立的なアプローチとは、特定の技術そのものではなく、その技術を用いて行われる活動や結果に法規制を適用することを意味します。このアプローチの利点は、技術の進化にかかわらず規制枠組みが適用可能であり続けるという点です。政策立案者や規制当局は、金融サービス業界における技術開発に対応して法律や規制を発展させてきましたが、これらのフレームワークは一般的に技術自体ではなく、行為や活動に適用されてきました。
例えば、詐欺防止や投資家保護に関する既存の規制は、その活動がどのような技術を用いて行われるかに関わらず適用されます。SECによる「AI-washing」(AIを使用していると虚偽の主張をする行為)に対する執行措置は、既存の規制が新しい技術的文脈にも有効に適用できることを示しています。
技術中立的なアプローチはまた、イノベーションを促進します。特定の技術に特化した規制は急速に時代遅れとなり、技術の発展を妨げる可能性があります。対照的に、活動や結果に焦点を当てたアプローチは、企業が新しい技術を安全かつ責任を持って導入することを可能にします。
さらに、このアプローチは規制の予測可能性と一貫性を確保します。技術特有の規制は、複数の法域にわたって一貫して適用することが難しく、企業にとって複雑なコンプライアンス環境を作り出す可能性があります。技術中立的なアプローチは、すべての市場参加者に明確で一貫した規制環境を提供します。
私たちは、金融サービス業界におけるAIの使用に対する技術中立的なアプローチの継続が、イノベーションを促進しながら適切なリスク管理を確保するための最良の方法だと確信しています。このバランスの取れたアプローチにより、投資家、金融機関、市場全体がAIの利益を最大限に享受することができます。
4.2. 技術革新を促進する環境の維持
AIと関連技術は金融サービス業界のさまざまな用途ですでに利用されており、不正検知、データ分析、リスク管理、投資分析、コンプライアンス、サイバーセキュリティなどの分野で活用されています。これにより、金融サービス企業と投資家の双方に大きな利益がもたらされています。例えば、金融サービス企業はAIを使用して大量のデータをより効率的かつ正確に分析し、市場動向を予測し、リスクを特定し、最適な投資戦略を立案しています。こうしたAIの活用は、投資家に対して特定の金融サービスや商品へのアクセス拡大、コスト削減、顧客サービスとリスク管理能力の向上など、多くの利益をもたらしています。
現在提供されている機能と、まだ認識されていない可能性のある機能に基づいて、AIには金融サービス業界をさらに変革し、投資家に広範な利益をもたらす可能性があります。この可能性を最大限に引き出すためには、AIの責任ある利用を促進することを目的とした法的または規制上の対応が必要です。技術の進歩には潜在的なリスクが伴う可能性がありますが、それらのリスクはイノベーションを抑制することなく適切に対処することができます。
金融サービス業界でのAI活用を促進するためには、硬直的な規制よりも適応性のあるアプローチが必要です。過度に制限的なアプローチは、企業がAIのような新技術を米国市場向けに革新したり創造したりすることを躊躇させるリスクがあります。これにより、より柔軟なアプローチを採用している他の国や地域が、新技術を開発する企業にとって魅力的な目的地となる可能性があります。
技術革新と責任あるAI導入のバランスを取るためには、金融サービス業界と規制当局の継続的な対話と協力が不可欠です。規制当局は金融機関とともに、AIの使用、利益、潜在的リスクを理解するために協力すべきです。このアプローチにより、新たなリスクが識別された場合にのみ、適切な規制措置を検討することができます。そうでなければ、政策立案者や規制当局はイノベーションを抑制し、業界での新技術の採用を阻害するリスクがあります。
技術革新を促進する環境を維持することで、米国企業はグローバルな競争において優位性を保ち、投資家はAIの恩恵を最大限に享受できるようになります。
4.3. 「AI」の厳密な定義の不要性
私たちSIFMAは、規制アプローチにAIの厳密な定義を採用する必要はないと考えています。まず第一に、技術の進化する性質により、どのような定義も近い将来に時代遅れになる可能性が高いです。AIの定義を検討する場合、標準設定機関によって開発された広く受け入れられている定義を採用することをお勧めします。
例えば、米国国立標準技術研究所(NIST)のAIリスク管理フレームワーク(AI RMF 1.0)では、「AIシステム」を「一連の目的に対して、予測、推奨、または決定などの出力を生成し、現実または仮想の環境に影響を与えることができるエンジニアリングされた、または機械ベースのシステム」と定義しています。米国大統領府の行政命令14110も同様のAI定義を採用しています。
しかし、最終的には、政策立案者や規制当局が採用するAIの定義は違いを生じないはずです。なぜなら、既存の法律や規制は、金融サービス業界における規制対象行為に従事するために使用される技術に適用されるからです。技術中立的なアプローチを採用することで、特定の定義に依存する必要性が軽減されます。
AIの厳密な定義を避けることには複数の利点があります。まず、技術の進化に伴い、今日のAIに対する理解は明日には陳腐化する可能性があります。何が「AI」を構成するかについての厳格な定義は、イノベーションを制限し、規制の範囲外であることを主張するために技術的な抜け穴を作り出す可能性があります。
また、AIは連続体として考えるべきであり、伝統的な統計モデリングから高度な機械学習、そして生成AIまで幅広いアプローチが含まれます。これらの境界線はしばしば曖昧であり、厳密な定義は人為的な区別を作り出す可能性があります。
金融サービス業界における既存の規制は、使用される特定の技術ではなく、行為や結果に焦点を当てることで効果的に機能してきました。この技術中立的なアプローチは、AIが進化し続ける中でも維持されるべきです。厳密なAIの定義に依存するよりも、潜在的なリスクや結果に基づいた原則に焦点を当てることが、長期的には効果的な規制につながります。
4.4. リスクベースのアプローチの継続
新興技術のコンプライアンスを確保するために、金融サービス業界の企業は内部リスク管理フレームワークを開発しています。企業はこれらのフレームワークを継続的に見直し、更新して、AIなどの新興技術の使用に対応しています。その結果、フレームワークはAIの使用に関連する多くのリスクに効果的に対処しています。
企業の内部リスク管理フレームワークは、イノベーションの余地を残しながら不必要なリスクを減らすための強力な説明責任措置を提供します。これは企業に以下を要求することによって実現されています:(1)活動によってもたらされるリスクのレベルを評価する際に企業が考慮すべき特定のリスクを特定する、(2)リスク軽減のコントロールとプロセスを検討する、(3)受け入れられないリスクを伴い、追求すべきでない活動を特定する。
このような調整されつつも柔軟なアプローチの有効性は、金融サービス企業がAIの採用にどのように取り組んできたかによって示されています。規制当局自身も認識しているように、金融サービス企業は一般的に、特にリスクの高い使用事例に関しては、AIの使用を追求する際に慎重に進めています。米国財務省のレポートによれば、「金融機関は新興AI技術の広範な使用の採用にゆっくりと移行しているようです」と指摘されています。また、財務次官のネリー・リャン氏も「企業は特にGenAIでの実験では慎重に進み、同時に内部ガバナンスにも変更を加えている」と述べています。
AIの使用に関するガバナンス構造を確立すること(テストとコントロールを含む)により、金融サービス企業は既存のリスク管理フレームワークに従ってAIの使用に取り組んでいることを示しています。このリスクベースのアプローチに継続的に依存することで、AIを使用することの潜在的な利益と関連するリスクのバランスを取るために必要な柔軟性が提供されます。
さらに、既存の法律や規制は、金融サービス企業の経営陣が新たなリスクとそれが自社のビジネスにもたらす可能性のある影響を特定するのに最適な立場にあることを認識しています。企業はAIおよびその他の新興技術の使用に対処する方法を決定する際、この柔軟性を維持し続けるべきです。
このリスクベースのアプローチは、技術の急速な発展に対応し、金融サービス業界のイノベーションを促進しながら、適切なリスク管理を確保します。このバランスの取れたアプローチにより、投資家、金融機関、市場全体がAIの利益を最大限に享受することができます。
5. AI規制に関する政策立案者への提言
5.1. 連邦データプライバシー法の整備
私たちSIFMAは、連邦議会がAIへの立法的対応が適切であると判断した場合、データプライバシー、サイバーセキュリティに対処し、金融サービス企業による個人データ利用に関するセーフガードを確立する連邦プライバシー法を制定すべきだと考えています。AIモデルが使用するデータに関する懸念が提起されており、適切な法制度により、AIモデルとの関連での使用だけでなく、より広く金融サービス業界でも、消費者が適切なプライバシーと個人データ保護を確保できるようになります。
このような法律には強力な州法先取り条項が含まれるべきです。消費者は居住する法域に関係なく同じレベルのプライバシー保護を受ける権利があり、デジタル化が進む世界では、州ベースの保護は非効率的でコストがかかり、場合によっては実行不可能なことがあります。連邦プライバシー法は、データ規制に対するパッチワークアプローチを避けるために不可欠であり、それがなければAI利用に関連する法の矛盾や不当なコストや負担につながるでしょう。
米国上院の超党派AIワーキンググループも、2024年5月の報告書「米国におけるAI政策のロードマップ」において、こうした保護を提供する連邦プライバシー法を求めています。ワーキンググループは個人データ保護の重要性を認識し、AIの進展に伴う包括的な連邦レベルでの対応を推奨しています。
AIシステムがますます複雑になり、より多くの個人データを収集・処理するようになるにつれて、データプライバシー保護の重要性はさらに高まっています。AIの文脈では、以下の点を考慮した連邦法が特に重要です:
- トレーニングデータの収集と利用に関する透明性
- 個人データの保存と処理に関する明確な制限
- 個人が自分のデータの使用方法をコントロールする権利
- データ侵害や誤用に対する強力なセキュリティ要件
- 効果的な監督と執行メカニズム
連邦レベルでのデータプライバシー法は、消費者の権利を保護しながら、企業が革新的なAIソリューションを開発し続けることを可能にする一貫したフレームワークを提供します。州ごとに異なる規制へのコンプライアンスの負担を軽減することで、企業はよりよい製品やサービスの開発に資源を集中させることができます。
5.2. AIで生成された作品の著作権所有権の明確化
私たちSIFMAは、人工知能に関連する問題、特にAIによって生成された作品の所有権を扱うために、既存の著作権法を改正することを議会が検討すべきだと考えています。2023年に米国著作権局は、AIの支援を受けて作成された作品は、その作品に十分な「人間の著作性」が含まれている場合、「著作権で保護される可能性がある」と発表しました。
しかし、人間の著作性の要件は近年多くの課題の源となっています。人間の関与なしにAIによって生成された作品には一般的に著作権保護がないためです。これにより、既存の著作権法の下でAIの所有権が曖昧なままとなっており、この分野で確立された法的定義の範囲外にある方法で生成された創作物を反映するために、既存の著作権法を改正する必要性が示されています。
さらに、米国著作権局はAIによって提起された著作権問題と既存の法的保護の十分性を検討しており、これは立法的アプローチにおいて考慮されるべきです。例えば、2024年7月に発表された「著作権と人工知能、パート1:デジタルレプリカ」というレポートでは、無許可のデジタルレプリカに対する新たな連邦保護を求めています。
AIによって生成されたコンテンツの著作権に関する現行法の曖昧さを解決するためには、以下の点について明確にする法改正が必要です:
- AIモデルのトレーニングに使用される著作権で保護された素材の取り扱い方
- AI生成コンテンツの著作権保護の条件(人間の関与の程度や性質など)
- AIシステムの開発者、ユーザー、およびトレーニングデータの提供者の間での権利の配分
- AI生成コンテンツに関連する著作権侵害の判断基準
この分野の法的明確化は、金融サービス業界におけるAIの採用と使用に大きな影響を与えます。金融機関はますますAIを利用して市場分析レポート、投資推奨、リスク評価など、様々なコンテンツを生成しています。こうしたコンテンツの著作権状況が不明確であれば、イノベーションが抑制され、不必要な法的リスクが生じる可能性があります。
著作権法の明確化により、企業はAI技術をより自信を持って採用し、消費者は最終的に高品質な金融サービスからより大きな恩恵を受けることができるようになります。
5.3. 断片化したAI規制がもたらす遵守上の課題とイノベーション阻害への懸念
先に述べたAI特有の法律や規制が金融サービス業界におけるイノベーションを抑制する可能性についての議論は、異なる法域が矛盾した、または一貫性のないアプローチをAI規制に採用する場合、このリスクが増幅されることを強調しています。
断片化したAI規制の状況は、多くの規制体制の対象となる企業に大きなコンプライアンス上の課題をもたらします。国内外の多くの法域や、重複する管轄権を持つ規制当局が、それぞれ独自のAI特有の法律、規制、フレームワークを採用、または採用しようとしていますが、これらの要件の内容と範囲は大きく異なる場合があります。また、プライバシー法の場合と同様に、州法のパッチワークによってAIが規制される危険性も増しています。
この問題は、政策立案者や規制当局が金融サービス業界に対してAI特有の規制を導入すると、さらに悪化します。このような過度に制限的なアプローチは、企業が米国市場向けに新技術の革新や創造を躊躇するリスクをもたらし、より柔軟なアプローチを採用している他の国や地域が、新技術を開発する企業にとって好ましい目的地となる可能性があります。
これらの懸念は、金融サービス業界におけるAIの使用によってもたらされるリスクを管理するために、既存の原則ベースの技術中立的な法的・規制的フレームワークを適用することの重要性を強調しています。新興技術に対処するのに効果的であることが証明されている既存のフレームワークに依拠することで、市場参加者にとってAIのリスクを管理する一貫したアプローチを確保し、イノベーションを促進し、その潜在的な利益を最大化することができます。
効果的な規制アプローチの開発には、金融サービス業界、規制当局、政策立案者間の継続的な対話と協力が不可欠です。規制は技術の進化に合わせて柔軟に適応できるべきであり、低リスクのAIアプリケーションに不必要なリソースを費やすことは避け、高リスクのアプリケーションが意味のある形で検討され、効果的に緩和されるように協力すべきです。
このように、AIの規制に対しては一貫したグローバルなアプローチが重要であり、それによってイノベーションが促進され、同時に必要な保護措置も確保されます。断片化したAI規制の状況を避けることで、金融サービス企業はAIを最大限に活用し、消費者と市場全体に利益をもたらすことができるようになります。
6. 既存の機能別ポリシー領域とAIの関係
6.1. 市場・投資家保護
金融サービス企業がAIシステムを投資家へのサービス提供に関連して使用する場合、そのAIの使用はさまざまな市場および投資家保護法、規則、規制の要件の対象となる可能性があります。これらの規制はさまざまな領域に適用されますが、具体的には以下の分野が含まれます。
まず、取引活動における操作や詐欺に関する規制です。AIを使用した取引システムであっても、市場を不正に操作することや詐欺的な取引を行うことは禁止されています。例えば、SECは「AI-washing」ケースで投資顧問に罰則を課し、AIの使用に関する虚偽および誤解を招く声明を行ったことを問題視しました。これは既存の市場保護の枠組みがAI技術にも適用されることを示しています。
次に、取引前の管理と取引後の分析メカニズムに関する規制です。AIを用いた自動取引システムは、取引前のリスク管理と取引後の分析を確実に行うための措置を講じる必要があります。これには、異常な取引パターンの検出や取引制限の実施などが含まれます。
また、取引の変動性と市場の混乱を緩和するための規制も重要です。AIによる高頻度取引が市場の急激な変動や流動性の問題を引き起こさないよう、適切な安全措置を講じる必要があります。
投資家向け広告とエンゲージメントに関する規制も適用されます。AIが生成した投資家向けのコミュニケーションや広告は、誤解を招くものであってはならず、適切な開示を含む必要があります。FINRAの広告規制に関するFAQでは、「企業は、人間によって生成されたものであれ、AI技術によって生成されたものであれ、自社のコミュニケーションに責任を負う」と明記されています。
最後に、利益相反に関する規制も重要です。これには、投資アドバイスや推奨が投資家の「最善の利益」になることを確保することも含まれます。AIシステムを使用して投資アドバイスを提供する場合でも、レギュレーション・ベスト・インタレストなどの規制が適用されます。
これらの既存の市場・投資家保護の枠組みは、使用される技術に関係なく適用されるため、AIの導入においても企業は同じ基準を満たす必要があります。これにより、技術の進化に関わらず投資家保護が確保されます。
6.2. ガバナンス構造
金融サービス企業は、AIシステムのアプリケーションに関連するリスクを特定、理解、管理するための効果的なリスク管理ガバナンス構造を整備すべきです。これには、提案から展開、継続的なモニタリングまで、モデル開発サイクル全体の監視が含まれます。AIから生じるリスクは新規であるかもしれませんが、効果的なガバナンス構造の必要性は新しい概念ではありません。
効果的なガバナンス構造には、経営陣による監督、明確な役割と責任の定義、そしてAIシステムの開発と使用に関する包括的なポリシーとプロセスが含まれます。例えば、AIシステムを評価し承認するための専門委員会を設置したり、AIの使用に関連するリスクを監視するための特定の報告ラインを確立したりすることが考えられます。
金融サービス企業はすでに厳格な内部リスク管理フレームワークを持っており、これらは継続的に見直され、AIなどの新興技術の使用に対応するために更新されています。その結果、これらのフレームワークはAIの使用に関連する多くのリスクに効果的に対処しています。
財務省のレポートによれば、「金融機関は新興AI技術の広範な使用の採用にゆっくりと移行しているようです」と指摘されています。また、財務次官のネリー・リャン氏も「企業は特にGenAIでの実験では慎重に進み、同時に内部ガバナンスにも変更を加えている」と述べています。これらの見解は、金融サービス企業がAIの採用に対して責任あるアプローチを取っていることを示しています。
AIの使用に関するガバナンス構造(テストとコントロールを含む)を確立することで、金融サービス企業は既存のリスク管理フレームワークに従ってAIの使用に取り組んでいることを示しています。このようなアプローチは、AIの潜在的な利益とそれに関連するリスクのバランスを取るために必要な柔軟性を提供し、責任あるイノベーションを促進します。
6.3. リスクモニタリングと管理
AIからは様々なリスクが生じる可能性があるため、そうしたリスクが適切に特定され対処されるよう、効果的なリスクモニタリングと管理のフレームワークを整備することが重要です。しかし、AIの使用から生じる可能性のある新規のリスクもありますが、AI関連リスクの特定、対処、モニタリングは、企業の既存のリスク管理フレームワークと根本的に異なる必要はありません。
金融サービス企業のリスク管理フレームワークは一般的に、リスクの特定、評価、軽減、モニタリングのプロセスを含んでいます。これらの同じプロセスはAIに関連するリスクにも適用できます。例えば、モデルリスク管理フレームワークは、モデルの開発、検証、実装、使用とガバナンスに適用され、AIシステムを含み、モデルの説明可能性とデータの完全性を重要な考慮事項としています。
企業の内部リスク管理フレームワークは、イノベーションの余地を残しながら不必要なリスクを減らすための強力な説明責任措置を提供します。これらのフレームワークは通常、企業に以下を要求します:
- リスクの評価時に考慮すべき特定のリスクを特定する
- リスク軽減のコントロールとプロセスを検討する
- 受け入れられないリスクを伴う活動を特定し追求しない
この調整されつつも柔軟なアプローチの有効性は、金融サービス企業がAIの採用にどのように取り組んできたかによって示されています。企業はAIの使用に関するガバナンス構造(テストとコントロールを含む)を確立することで、既存のリスク管理フレームワークに従ってAIの使用に取り組んでいることを示しています。
このリスクベースのアプローチに継続的に依存することで、AIを使用することの潜在的な利益と関連するリスクのバランスを取るために必要な柔軟性が提供されます。AIリスクの特定と管理に対するこの構造化されたアプローチにより、金融サービス企業は責任を持ってイノベーションを追求しながら、潜在的な問題を事前に軽減することができます。
6.4. サイバーセキュリティ
金融サービス企業がAIシステムをビジネスプラクティスに統合することを検討する際、価値あるデータと運用上の重要性のサイバーセキュリティを考慮する必要があります。特に、データポイズニング、データ漏洩、データ完全性攻撃は、AIシステムがトレーニングとテストに使用されるデータに依存していることを考えると、特に注意すべき重要なリスクです。
AIの使用によってもたらされるサイバーセキュリティリスクに加えて、金融サービス企業は、脅威アクターがAIを使用して既存のサイバーセキュリティ脅威の発生率と洗練度を高める可能性についても認識する必要があります。例えば、AI生成のスピアフィッシングメッセージ、AI生成のディープフェイクを通じて実行されるソーシャルエンジニアリング攻撃、標的を絞ったサイバーセキュリティ攻撃と並行してGenAIを使用して偽情報キャンペーンを実施するなどが考えられます。
米国財務省の「金融サービスセクターにおける人工知能特有のサイバーセキュリティリスクの管理」レポートによると、「金融規制当局は一般的に特定の技術に関する規制やガイダンスを発行することはなく、代わりにAIを含む技術の使用とそれらの技術がサポートするビジネス活動に関する効果的なリスク管理、ガバナンス、コントロールの重要性に対処しています」と述べています。
AIのサイバーセキュリティリスクに対処するためには、既存のサイバーセキュリティフレームワークを拡張して、AI特有の脆弱性を含める必要があります。これには以下が含まれます:
- AIトレーニングデータの完全性を確保するための強力な措置
- AIシステムに対する敵対的攻撃を検出・防止するためのメカニズム
- AIの意思決定プロセスを監視するためのフレームワーク
- AIシステムのセキュリティ評価と脆弱性テスト
技術の進化に伴い、サイバーセキュリティリスクも進化し続けるため、金融サービス企業は潜在的な脅威を特定し対応するために常に警戒する必要があります。既存のサイバーセキュリティフレームワークは、新たなAI関連のリスクに対応するための基盤として役立ちますが、AIの特性に対応するために調整と拡張が必要かもしれません。
財務省レポートが強調するように、金融サービス企業はAIの使用に関連する固有のサイバーセキュリティリスクに対して、包括的かつ動的なアプローチを採用する必要があります。このアプローチには、徹底的なリスク評価、強力なデータガバナンス、継続的なモニタリングと検証が含まれます。
6.5. モデルリスク管理
従来のモデルリスク管理フレームワークは、AIシステムを含むモデルの開発、検証、実装、使用とガバナンスに適用可能であり、モデルの説明可能性とデータの完全性を重要な考慮事項としています。
連邦準備制度理事会、通貨監督庁、連邦預金保険公社が共同で発行したモデルリスク管理に関する監督ガイダンス(SR Letter 11-7、OCC Bulletin 2011-12、FDIC FIL-22-2017として知られています)は、金融機関におけるモデルの使用に関する基本的なフレームワークを提供しています。これらのガイドラインは、AIシステムを含む様々な種類のモデルにも適用可能です。
通貨監督庁は2021年8月に「モデルリスク管理バージョン1.0」という監督ハンドブックを発行し、更新されたモデルリスク管理ガイダンスを採用し、AIに特に対処しています。このような既存のガイダンスは、金融サービス企業がAIモデルに関連するリスクを効果的に管理するのに役立ちます。
モデルリスク管理の主要な要素には以下が含まれます:
- 堅牢なモデル開発プロセス:これには、明確に文書化された目的、適切なデータの使用、厳格なテスト、および定期的なパフォーマンス評価が含まれます。
- 独立したモデル検証:AIモデルを含むすべてのモデルは、開発者から独立したチームによって検証される必要があり、モデルの基礎となる理論的前提、数学的計算、コーディングの実装、およびパフォーマンスを評価します。
- ガバナンスと監視:モデルリスク管理には、明確に定義された役割と責任、および上級管理職の監視が必要です。
- 継続的なモニタリングと再検証:モデルは定期的に再評価され、業界の進化や市場条件の変化に対応して更新される必要があります。
- サードパーティモデルの包括的な審査:外部ベンダーから調達されたAIシステムを含むモデルも、社内で開発されたモデルと同じ厳格な基準で評価される必要があります。
モデルリスク管理フレームワークは、AIシステムの複雑さと不透明性が高まるにつれて、特に重要になっています。「ブラックボックス」のAIモデルは、説明可能性の課題をもたらし、これが効果的なリスク管理の障害となる可能性があります。既存のモデルリスク管理フレームワークは、これらの課題に対処するために進化し続けており、企業がAIシステムを責任を持って展開するための基盤を提供しています。
6.6. サードパーティリスク管理
サードパーティリスク管理は、金融サービス企業がAIシステム(一部または全体)をサードパーティベンダーから購入することを選択する場合、社内でAIシステムを構築する場合と比較して、特に重要です。
AI関連のサードパーティには、大きく分けて3つのカテゴリーがあります:(1)AIソフトウェアを提供するベンダー、(2)AI機能を含むソフトウェアのベンダー、(3)クライアントへのサービス提供に関連してAIを使用する可能性のあるその他の従来型ベンダーです。それぞれのカテゴリーに対するリスクと要件は若干異なります。
AIソフトウェアを提供するベンダーに関しては、金融機関はベンダーのAIモデルの開発プロセス、データソース、トレーニング方法、テスト手順を徹底的に評価する必要があります。これには、プライバシー、バイアス、説明可能性に関する懸念事項の評価も含まれます。
AI機能を含むソフトウェアのベンダーに関しては、金融機関はAIコンポーネントがどのように機能し、ソフトウェアの全体的なパフォーマンスと安全性にどのように影響するかを理解する必要があります。これには、AIの意思決定プロセスを監視し検証するための措置が含まれます。
クライアントへのサービス提供に関連してAIを使用する可能性のある従来型ベンダーに関しては、金融機関はベンダーのAI使用に関するポリシーと慣行を評価し、適切なセーフガードが整っていることを確認する必要があります。
効果的なサードパーティリスク管理には以下の要素が含まれます:
- 厳格なデューデリジェンスプロセス:これには、ベンダーの技術的能力、財務安定性、規制遵守、およびサイバーセキュリティ慣行の評価が含まれます。
- 包括的な契約上の保護:契約は、パフォーマンス基準、データ使用とプライバシーの制限、セキュリティ要件、監査権、および責任の明確な割り当てを規定すべきです。
- 継続的なモニタリングとレビュー:金融機関は、ベンダーのパフォーマンスと法令遵守を定期的に評価し、必要に応じて是正措置を講じるべきです。
- エスカレーションプロセス:重大な問題や懸念事項に対処するための明確に定義されたプロセスが必要です。
- 退出戦略:金融機関は、関係が終了した場合にデータとサービスを安全に移行するための計画を持つべきです。
サードパーティリスク管理は、AIの急速な普及と金融サービス業界の相互接続性の高さを考慮すると、特に重要です。効果的なサードパーティリスク管理フレームワークを確立することで、金融機関はAIソリューションの利点を享受しながら、関連するリスクを軽減することができます。
6.7. データプライバシー
多くの法域のデータプライバシー法における「個人データ」の広範な定義により、AIシステムに入力されるデータや関連するデータ(トレーニング、プロンプト、または参照データとして)には、そのような法律によって保護される個人データが含まれる可能性があります。
さらに、AIシステムは個人のデータを収集して使用したり、顧客サービスや不正検出などの目的で個人の行動を監視したりするために使用される可能性があります。これには、ウェブサイトやアプリの使用状況、位置情報、または音声データの監視が含まれる可能性があります。このような活動も、適用されるデータプライバシー法の要件の対象となる可能性が高いです。
金融サービス業界におけるAIの使用に関しては、以下のようなデータプライバシーの考慮事項が特に重要です:
- 透明性と同意:金融機関は、個人データの収集と使用、特にAIシステムによるデータ処理について、顧客に明確に通知し、適切な場合には同意を得る必要があります。これには、データがどのように使用され、どのような決定がAIシステムによって行われるかについての情報が含まれます。
- データ最小化:金融機関は、特定の目的に必要な個人データのみを収集し、処理すべきです。これは、AIシステムのトレーニングおよび運用データセットにとって特に重要です。
- データセキュリティ:金融機関は、AIシステムで使用される個人データを保護するための適切な技術的・組織的措置を講じる必要があります。これには、データの暗号化、アクセス制御、および定期的なセキュリティ評価が含まれます。
- データ品質と正確性:AI分析と意思決定の品質は、使用されるデータの品質に大きく依存します。金融機関は、AIシステムで使用される個人データが正確で最新であり、意図した目的に関連していることを確保する措置を講じるべきです。
- 個人の権利:多くのデータプライバシー法は、自分のデータにアクセスする権利、データの訂正や削除を要求する権利、およびAIを含む自動化された意思決定に異議を唱える権利など、個人に特定の権利を与えています。金融機関はこれらの権利を尊重し、個人がそれらを行使できる効果的なメカニズムを提供する必要があります。
- 越境データ転送:多くの金融機関はグローバルに運営しており、複数の法域にまたがってデータを転送する可能性があります。各国のデータプライバシー法に準拠するために、適切なデータ転送メカニズムを整備する必要があります。
AIの使用と個人データの処理の交差点でデータプライバシー要件を遵守することは、金融機関にとって複雑な課題となる可能性があります。しかし、強力なデータプライバシー慣行を維持することは、顧客の信頼を構築し、評判リスクを軽減し、規制上の問題を回避するために重要です。
6.8. 業務上の回復力とビジネス継続性
業務上の回復力に関する要件は、AIシステムによって完了される、またはAIシステムと関連して完了されるサービスを含む、サービスの安定性と信頼性を向上させるのに役立ちます。これにより、AIシステムが中断された場合、運用不能になった場合、または意図したとおりに動作しなくなった場合でも、金融サービス企業は引き続き運営することができます。企業がAIシステムの導入を検討する際、それらのAIシステムに関連した業務上の回復力の姿勢は重要な考慮事項です。
金融サービス業界におけるAIシステムの業務上の回復力とビジネス継続性に関して、以下の要素が特に重要です:
- システム冗長性と代替機構:金融機関は、AIシステムが失敗した場合にフォールバックオプションを持つべきです。これには、代替処理方法の維持や、手動でのオペレーション能力の保持が含まれる場合があります。
- 定期的なテストと演習:組織は業務中断シナリオを定期的にシミュレートし、AIシステムの機能停止や低下した性能の状況下でのレスポンスと復旧能力をテストすべきです。
- 明確に定義された回復手順:AIシステムの障害に対処するための詳細な手順と明確なエスカレーションパスが文書化され、関連するチームに周知されるべきです。
- データバックアップと回復能力:AIシステムで使用されるデータは定期的にバックアップされ、必要に応じて迅速に復元できるようにすべきです。
- サービスレベル合意:サードパーティのAIサービスプロバイダーと協力する場合、契約はアップタイムの保証、障害通知、および復旧時間目標を含むべきです。
- 変更管理プロセス:AIシステムの更新と変更は、潜在的な混乱を最小限に抑えるために、厳格なレビューと承認プロセスを経るべきです。
- 継続的なモニタリングと異常検出:金融機関はAIシステムのパフォーマンスと動作を常に監視し、潜在的な問題を早期に検出するシステムを持つべきです。
ビジネス継続性の観点から、金融機関はAIシステムへの依存度を評価し、それらのシステムが利用できない場合の運用の継続性を確保するための戦略を開発する必要があります。これは、金融サービスの提供における適切なレベルの人間の監視と介入を維持することを含みます。
AIシステムが金融サービス企業の運用においてより中心的な役割を果たすようになるにつれて、業務上の回復力の考慮事項はさらに重要になります。競争力を維持するためにAI技術を採用することと、サービスの連続性と顧客の信頼を確保するための頑健な業務上の回復力を維持することとの間の適切なバランスを見つけることが重要です。