{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
1. AIディスカッションペーパー1.1版の位置付け
2026年3月、金融庁はAIディスカッションペーパー(以下、本DP)の第1.1版を公表しました。本DPは、130社へのアンケートやAI官民フォーラムでの議論を踏まえた「初期的な論点整理」であり、特定の対応を直ちに求める規制文書ではないと明記されています。一方で、規制文書ではないものの、内部監査部門長や担当者にとって本DPは、金融庁が今後の対話で何を問い、どこに関心を寄せるかが網羅的に示された文書であり、監査計画の策定やリスクアセスメントにおける最良のインプットとなります。
本DPが紹介する多様なユースケースは、AIが金融機関の業務効率化やサービスの高度化に大きく貢献し得ることを示しています。内部監査の際も、こうした機会を企業が最大化できるよう、ガバナンスとリスク管理の実効性の視点をもって監査やモニタリングを実践することが重要になります。
1.1版で特に注目すべきは、環境変化の加速が明確に反映された点です。2024年11月の実態調査の時点ではほとんど行われていなかった顧客向けサービスへの生成AIの利用が、「範囲・条件を絞ったサービス提供又はその検討が行われる段階」にまで進展したことが示されています。AIの活用領域が社内利用から顧客接点へと急速に広がる中、内部監査においてもこの変化を直視する必要があります。
2. AIガバナンス態勢に関する主な論点
本DPが示すAIガバナンスの論点は、内部監査部門がAIガバナンスの有効性を評価・検証する上での重要な視座となります。ここでは3つの柱を取り上げます。
第一に、経営陣の主体的な関与です。本DPは「経営陣の問題意識が高い先ほど導入が進んでいる」傾向を指摘しています。CIO(Chief Information Officer)主導でAI利用の体制を構築している企業、海外担当役員も含めたグループ横断のタスクフォースを設置した企業、外部有識者を招いたアドバイザリーカウンシルを開催している企業などの事例が紹介されています。内部監査としては、自社の経営陣のコミットメントが形式的な承認にとどまっていないか、実質的な関与として機能しているかを検証する視点が求められます。
第二に、社内ルールの整備状況です。本DPによれば、「まずは生成AIの導入・利用に焦点を当てた社内ルールを優先的に整備し、それを発展させて従来型AIにも適用を広げるアプローチ」が目立っています。一方、「AIガバナンス指針」を策定・公表し、指針に合致しているかを確認するためのチェックリストの運用を導入しているグローバル金融グループの事例も示されています。内部監査としては、自社のルールが従来型AI・生成AIの双方をカバーしているか、網羅性を確認すべきでしょう。
第三に、アジャイル・ガバナンスの視点です。AI官民フォーラムでは、技術進展が著しく不確実性が高い領域にあっては「達成すべきゴールを明確化した上で、ライフサイクルを通じてリスクマネジメントを行うアジャイルなガバナンスが必要」との指摘がなされています。ルールが「一度作って終わり」になっていないか、環境変化に応じた見直しのPDCAが回っているかは、内部監査にとって極めて重要な着眼点です。
3. 3線モデルと内部監査の役割
本DPには、3線モデルの各線がAIガバナンスにおいてどのような役割を果たすかについて、示唆に富む記述があります。
1線・2線の連携について:本DPは、出力データの検証・評価に係る仕組みやルールを「第1線と第2線が連携して策定し、企画・開発段階での検証を行うと共に、運用フェーズにおいては人の目とシステムの双方で出力データを常時モニタリングする態勢の構築を検討している」事例を紹介しています。また、AI官民フォーラムではリスクベース・アプローチの重要性が指摘され「社内の業務効率化などのリスクの低いAI利用については、チェックリストに基づく現場判断に委ねつつ、顧客向けにAIを活用するようなリスクの高いAI利用については、専門部署で事前審査を行っている事例」が共有されています。
内部監査への直接的な言及として:本DPは、多面的なリスクに対応するため「セキュリティ部門だけでなく法務・コンプライアンス部門やモデル・リスク管理部門と連携し、定期的に脆弱性診断やペネトレーションテストを実施する、リスクに応じて内部監査部門による監査を実施する」ことの必要性を明確に述べています。これは金融庁が内部監査に期待する役割を直接示した記述であり、内部監査担当者として見逃すことのできない箇所です。
これらの本DPの記述を踏まえ、筆者は、第3線としての内部監査固有の付加価値は以下の3点があると考えます。第一に、1線・2線が構築したAI関連コントロールの設計の妥当性と運用の有効性を独立的に検証する役割です。第二に、AIのライフサイクル全体を横断的に俯瞰できるポジションにあることです。さらに、1線・2線の管理が及びにくい領域への切り込みも期待されます。本DPも「従業員個人や業務部門が組織の許可を得ずに外部のAIサービスを使用する『シャドーIT』の利用が増加する可能性」に警鐘を鳴らしており、こうした領域こそ内部監査の独立性が最も発揮される場面と言えます。
4. 本DPから導くAIに係る内部監査の重点テーマ
ここでは本DPの課題整理を内部監査の観点で整理し、実務に活用できる監査論点マップとしてご紹介します。なお、以下はあくまで本DPの論点を監査の観点から整理したものであり、全てを一律に監査対象とすべきという趣旨ではありません。本DP自身も「言及された課題に全て対応しなければAIを導入してはならないといった趣旨ではない」と明記しています。自社のAI利活用の状況やリスクの程度に応じて、優先順位を付けて取り組むことが重要です。
(A)全社的な体制に係る監査テーマ
- データ管理
本DPでは学習データの品質管理やデータベース設計が共通の課題として挙げられており、AI官民フォーラムでも「質の高いデータが回答の有用性に直結する」ことが改めて強調されています。データガバナンスの整備状況は監査の基本テーマとなります。 - 人材・教育
「AI専門人材が少なくテーマ設定や分析設計で行き詰まる」、「生成AIは利用者の範囲が広くなるため社内教育がより重要」といった課題が多数寄せられています。専門人材の確保・育成計画や、全社的なリテラシー教育の実施状況を確認すべきです。 - サードパーティ管理
外部ベンダーへの依存度が高まる中、責任分界点の明確化や特定プロバイダーへの集中リスクが論点となります。ベンダー選定プロセスや契約上の権利保護(知的財産権の帰属等)も監査の着眼点となるでしょう。 - 情報セキュリティ
入出力情報の管理環境、プロンプトへの機密情報入力制限、シャドーIT対策の実施状況を確認したいところです。本DPでも、組織の許可を得ずに外部のAIサービスを使用する「シャドーIT」の利用増加の可能性が指摘されており、AI利用の実態把握と管理態勢の整備が求められます。 - サイバーセキュリティ
AIの導入は、プロンプトインジェクションや学習データの汚染といったAI固有のサイバー攻撃の機会を新たに生み出します。本DPでも、セキュリティ部門だけでなく法務・コンプライアンス部門やモデル・リスク管理部門と連携した対応の必要性が指摘されています。定期的な脆弱性診断やペネトレーションテストの実施状況、AI固有の脅威シナリオへの対応態勢を確認すべきです。 - モデル・リスク管理
AIモデルのインベントリ管理、本番適用前の検証プロセス、継続的なパフォーマンスモニタリングが重要な着眼点です。特に生成AIは「同じ入力に対して異なる結果が出力されうる」特性を持ち、従来と同様の方法では管理しきれないとの声も紹介されています。
(B)個々のAIシステムに係る監査テーマ
- 説明可能性
AIの推論過程の文書化や第三者によるレビュー体制等が求められます。本DPでは「ディープラーニング等のモデルを利用すると、結果の出力過程がブラックボックス化してしまい、内部監査上の対応が困難なことがある」との声も紹介されています。ユースケースやリスクに応じて、必要かつ技術的に可能な範囲で金融機関等から顧客や社員など関連するステークホルダーへ情報提供を行っていくことが重要です。 - 公平性・バイアス
学習データやプロンプト、参照データに起因する偏りが、特定の属性を持つ顧客に対する不公平な処遇につながるリスクがあります。バイアスについては、評価指標や監査プロセスの確立自体が課題であるとの声がある中、内部監査として検知の仕組みの有無を少なくとも確認しておく必要があります。 - ハルシネーション
RAG等の対策の有効性や、人間によるレビュープロセスの設定状況が主な着眼点です。ハルシネーションの影響がゼロにはならないとの前提に立った業務プロセス設計がなされているかを検証すべきです。 - 個人情報保護
生成AIにより最も課題が難化した分野であり、プロンプトへの個人情報入力の管理や、生成AIサービス提供者の委託先としての管理が主な着眼点となります。
これらの監査テーマと着眼点を一覧で整理すると、以下図表1のようになります。
図表1:本DPから導くAI監査の論点マップ
(参考)実務的なフレームワークの活用
上記の監査テーマを具体的な監査手続に落とし込む際には、外部のフレームワークが参考になります。ISO/IEC42001(AIマネジメントシステム)は、AIリスクの特定・評価・対処をマネジメントシステムとして体系的に運用するための国際規格であり、組織全体のAIガバナンス態勢やライフサイクル管理の網羅性をチェックする枠組みとして有用です。また、CRI(Cyber Risk Institute)のFS AI RMF(Financial Services AI Risk Management Framework)は、NIST(National Institute of Standards and Technology:米国立標準研究所)AI RMFを金融セクター向けに具体化したプロファイルであり、本DPが挙げる論点(モデル・リスク管理、公平性、説明可能性、データ管理等)と対応関係が明確なため、個別の監査プログラムの設計において実践的な参照先となります。
いずれも本DPが特定のフレームワークの採用を求めているわけではありませんが、自社のAIリスク管理態勢の成熟度を客観的に評価する物差しとして活用を検討するとよいでしょう。
5. 今後注視すべき動向
金融庁は、規制の適用明確化の要望が多い分野として個人情報保護、ITガバナンス、モデル・リスク管理、サイバーセキュリティを挙げ、既存の枠組みでリスクに十分対応できているかを今後検証していく方針を示しています。本DPには「重大な規制上のギャップが特定された場合には、法令上の対応も排除されるものではない」とも明記されています。
金融安定理事会(FSB)等の国際的な議論の進展や金融庁自身のAI活用の高度化も、当局との対話の質を変え得る要素として注視すべきです。内部監査としては、これらの動向を監査ユニバースやリスクアセスメントに継続的に反映するプロセスを確保しておくべきです。
6. 内部監査部門としての対応の方向性
最後に、本DPを踏まえた内部監査部門としての対応の方向性を整理します。
第一に、自社のAI利活用の現状とのギャップ分析です。前章の監査論点マップをベースに、自社ではどの領域の対応が進んでおり、どの領域に課題があるかを可視化することが出発点となります。
第二に、監査計画へのAI関連テーマの組み込みです。ギャップ分析の結果を踏まえ、次回の監査計画にAIガバナンスやAI固有のリスク(ハルシネーション、バイアス、シャドーIT等)に対応した監査テーマを組み込むことを検討すべきです。
第三に、監査人自身のAIリテラシー向上です。本DPが指摘する人材育成の課題は、内部監査にも当てはまります。従来型AIと生成AIの違い、ハルシネーション、バイアスといった基礎概念は、もはや監査人の必須リテラシーです。
本DPは繰り返し「リスクを恐れて過度に委縮することなく、積極的にチャレンジしていくことが期待される」と述べています。内部監査の役割は「AIを止める」ことではありません。リスクをコントロールしながらAIの果実を最大限享受できるよう、ガバナンスとリスク管理の実効性を高めること、そしてAI活用の健全な発展に能動的に貢献する姿勢を打ち出していくことが、これからの内部監査部門に求められる役割と考えます。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
