主なポイント:
- 中国NFRA、銀行・保険会社にAIアプリのリスクレベル分類を命令
- 氏名やID番号を含む個人データ、生成AIトレーニングへの使用を禁止
- 融資・引受審査における高リスクAI利用にはリスク委員会の承認が必要
- 大手金融機関は中小銀行とAIインフラを共有する義務
戻る
中国NFRA、銀行・保険業界にAIのガードレールを義務付け
中国の銀行規制当局は金融機関に対し、AIアプリケーションをリスクレベルに応じて分類し、モデルトレーニングへの個人データ使用を禁止するよう命じた。これは世界の金融業界における人工知能に関する最も規範的な枠組みの一つとなる。
国家金融監督管理局(NFRA)は月曜日、銀行業・保険業向けにAIの安全な開発と応用に関する指導意見を発表し、中国の金融セクター全体にわたるガバナンス体制、リスク分類システム、データプライバシー保護を義務付けた。これらのルールは、NFRAの監督下にある全ての政策銀行、商業銀行、保険会社、資産運用会社、金融持株会社に適用される。
「取締役会または指定された委員会は、AIの開発と応用管理に責任を負い、開発計画を策定し、部門横断的な協調メカニズムを構築するものとする」とNFRAは同局ウェブサイトに掲載した文書で述べている。金融機関は統括部門を指定し、AIの導入とリスク管理能力を一致させるための人材パイプラインを構築しなければならない。
本規制は2段階のリスク分類システムを創設する。資金取引、資産評価、与信審査、保険金請求、リスク管理に関わるAIアプリケーション、または顧客の利益や金融契約に直接影響を与える生成AIの使用は「高リスク」に分類され、導入には金融機関のリスク管理委員会の承認が必要となる。これらの高リスクアプリケーションには、重要な意思決定ポイントにおける人間による監視および介入メカニズムと、バックアップシステムまたは手動による代替手順を準備しなければならない。
データプライバシーとインフラに関する義務
NFRAは、既存のサイバーセキュリティ法を超える厳格なデータプライバシールールを課した。氏名、国民ID番号、電話番号、銀行口座番号を含む個人データは「生成AIモデルのトレーニングおよび最適化に使用してはならない」と規制当局は述べ、銀行や保険会社が導入を急ぐ大規模言語モデルから顧客データを効果的に遮断した。金融機関は安全対策を構築し、コンテンツフィルタリングとデータマスキングを実施し、データポイズニング攻撃を防止しなければならない。
インフラ面では、NFRAは金融機関に対し、グリーン技術を活用した「自律制御可能な」計算能力基盤の構築を指示し、大手銀行が中小銀行に計算サービスを提供することを奨励した。また規制当局は、機関間でのモデル共有を可能にするModel-as-a-Serviceプラットフォームを含む、業界全体のAIアプリケーションインフラの構築を推進した。この指令は、AIイノベーションと「AI+」アクション戦略を優先する中国の第15次五カ年計画に沿ったものだ。
本規制はサプライチェーンリスクにも対応している。金融機関は、個別のテクノロジーベンダーへの過度な依存による集中リスクを管理し、オープンソースコンポーネントの台帳を維持し、コード監査と脆弱性スキャンを実施しなければならない。外部の生成AIモデルは、導入前に中国サイバースペース管理局への登録が必要となる。
規制が中国の金融AI市場に与える意味
この枠組みは、コンプライアンスコストとビジネスチャンスの両方を生み出す。NFRAのデータによると、中国の銀行セクターの総資産は約417兆元(57.6兆ドル)に達し、世界で最も大きなAIインフラのアドレス可能市場の一つとなっている。大手金融機関に中小銀行とのAI能力共有を義務付けるこの命令は、業界全体で新たなテクノロジー調達の波を引き起こす可能性がある。
また本規制は、AI主権を求める世界的な動きの広がりを反映している。NFRAが強調する「自律制御可能な」技術は、Sarvam AIが最近インドの言語とエンタープライズユースケース向けのフルスタックAIを構築するために2億3400万ドルを調達(評価額15億ドル)したインドの動きや、国家安全保障上の懸念を理由に政府がAnthropicに対し最新モデルへの外国人のアクセス停止を命じた米国の動きと類似している。
テクノロジーベンダーにとって、本規制は二極化した市場を創出する。HuaweiのAscendコンピューティングプラットフォームやBaiduのPaddlePaddleフレームワークを含む国内のAIインフラプロバイダーは、国産技術推進の追い風を受ける一方、外資系クラウドプロバイダーは追加のコンプライアンス障壁に直面する。NFRAのサプライチェーンリスク管理と集中度制限の要件は、単一の外資系ベンダーへの依存を事実上抑制するものだ。
NFRAは、AI規制政策に関する年次評価メカニズムを確立し、モニタリングおよび早期警告システムを構築すると述べている。一般向けまたは高リスクのアプリケーションに生成AIを使用する金融機関は、規制当局への報告義務を負う。次のコンプライアンスマイルストーンは、リスク分類システムとデータガバナンスフレームワークの実施であり、金融機関はNFRAが今後発表する実施ガイドラインに定められた期限内にこれを完了しなければならない。
※本記事は情報提供のみを目的としており、投資助言を構成するものではありません。
