「金融庁 AI官民フォーラム」（第３回）議事要旨

日時：令和７年11月5日（水曜）10時00分～12時00分
場所：オンライン

事務局説明

本日はデータ利活用に際しての個人情報保護と、AIモデルの適切な運用やリスク管理に関する論点について取り上げる。
個人情報保護については、有識者からのプレゼンテーションを通じて、例えば、個人情報を学習データとして扱う場合やプロンプトとして入力する場合にどのような規律がかかるのかといった論点を確認する。
AIモデルの運用やリスク管理については、これまでのフォーラム等において、AI推進が進まない理由の一つとしてどのようなリスク管理を行えばよいかが分からないことが挙げられており、リスク管理の在り方をある種の協調領域として会社間で知見を共有してはどうかといったご意見があった。本日は、金融機関から具体的な取組みや検討の事例共有を頂いた上で、パネルディスカッションを行う。

プレゼンテーション

金融分野におけるAI利用と個人情報保護（高松氏）

個人情報保護法の論点を検討するに際し、どのような利用を念頭に置くのかを意識することが重要。マーケティングや信用スコア、不正検知といった、顧客情報を詳細に分析し、顧客に対する評価・判断を伴う「深い」利用と、従来業務・事務の効率化・簡素化などの文脈で顧客情報を扱う「浅い」利用では、法的な検討の深度も異なる。
「開発・学習・利用」、「外部との連携」、「実務利用時」の３点に分け、各論を紹介する。
まず、「開発・学習・利用」については、個人情報の利用目的の明示が論点となる。この点、個人情報保護法のQ&Aでは、統計データへの加工自体を利用目的とする必要はないとされており、一般的・汎用的な分析について確認的に言及したものと捉えられている。個別事情にはよるものの、AIの開発・学習についても、このQ&Aの趣旨に鑑み、利用目的への明記は不要と整理できると考えられる。なお、足元の個人情報保護法改正の議論では、AIによる開発・学習について個人情報の第三者提供の同意取得義務の緩和等についても議論されている。
また、「浅い」利用に関しても利用目的の明確化が必要かという論点について、利用目的の特定を考えるにあたっては、一般に、情報の取扱いを顧客が合理的に予測・想定できるかが重要なポイントとなる。したがって、チャットボットのように顧客において認識可能なものや、従来業務の単なる自動化であれば、合理的に予測・想定可能と評価できると考えられる。
次に、「外部との連携」に関しては、AI利用の場合は個人情報の分析等の処理を行う場合が多いため、連携先への個人情報の取扱いの委託に該当する場合が多いと考えられる。この場合、委託先管理や追加学習等の独自利用の制御などの対応が必要となる点に留意が必要である。そうした措置の例示としては、AIディスカッションペーパーの31ページの対応例が参考になる。
もう１点、外国にサーバーを置くAIプラットフォームを利用する場合、越境移転規制の適否は、サーバー所在地ではなくAI事業者の所在地が外国か否かを軸に検討することとなる。その上で、外国であるとして越境移転規制の適用を受ける場合には基準適合体制の確認を、そうでない場合でも海外サーバーを利用する場合には外的環境の把握等の対応を要する。
最後に、「実務利用時」の論点として、「深い」利用を検討する場合のセンシティブ情報に関する整理や、プロファイリングの当否といった論点がある。スキームが成り立たなくなる可能性があるので、ビジネス設計段階から検討を要する事項である。

PETs(Privacy Enhancing Technologies)のご紹介（竹之内氏）

プライバシー保護に関する技術は様々存在し、個人情報保護等に役立てることができる。例えば、個人を特定できないように属性を曖昧にする「匿名化」や、情報を別の符号に置き換える「仮名化」、データを暗号化したまま処理する「秘密計算」、複数の集計結果からの個人特定をノイズ付与で防ぐ「差分プライバシー」、元の特徴を維持した別の疑似データを生成する「合成データ」や、データを収集せずに学習結果のみを統合する「連合学習」などがある。
こうした技術は、個人情報保護法における技術ガバナンスや、不正検知などでの複数の金融機関等の間でのデータ連携、AI活用時のデータ漏洩等のリスク低減などに活用することができる。ユースケースに応じて適切な技術の適用を検討すべきである。

大和証券グループにおける生成AI活用の取組み及び生成AI活用に向けた規制上の論点（板屋氏）

当社では、生成AIを導入し使ってみるフェーズ、活用態勢やガバナンス態勢の整備を進めるフェーズを経て、現在は生成AIを社内外のビジネスで活用するフェーズに入っている。特に、2025年度は、AIエージェントをあらゆる業務や顧客向けサービスに拡大していこうとしている。デジタル推進部が各部門のハブとなって案件を進めることで、最新テクノロジーの活用やリスクコントロールの方法を共有しやすく、スピード重視で新しい取組みを進めやすい態勢を作っている。ガバナンス面では、AIガバナンス委員会を設置し、生成AIを活用したサービスを導入する際のチェックリストの策定やサービスリリースの審議、国内外の動向調査や社員研修等を議論している。
チェックリストに基づくリスク評価・対策について、まずシステム設計の観点では、AIが不適切な出力をしないようコンテンツフィルタリング機能を使うことや、プロンプトによる攻撃をブロックするための対策を講じることが挙げられる。次に、サービス設計の観点では、特にサービス導入期において、AIによるサービスと人間によるサービスを利用者が選択できるようにしていくことや、AIの適用領域を徐々に広げるようにすることが挙げられる。また、モニタリングの観点では、AIを活用したサービスに関するモニタリング態勢の検証や、リリース前にKPIを定めたテストの実施などがある。
AIの技術革新に日本の金融機関が取り残されないため、AIの特性を踏まえて必要な法令・ガイドライン等の見直しを含めて検討することが重要であり、大きく４点の課題を認識している。
まず、生成AI等で顧客との会話データを分析する場合、会話の中に機微情報が含まれる可能性があり、機微情報の取得・利用・第三者提供を原則禁ずる「金融分野における個人情報保護に関するガイドライン」に抵触する可能性がある。
会話データの中には法人関係情報が含まれる可能性もあり、そのようなデータを分析対象としてよいのか、また分析担当にアクセス権限を付与してよいのかという問題に直面する。適切な情報管理体制について踏み込んだ解釈があるとよい。
さらに、会話データは一般的に非公開情報となるので、グループ内のシステム会社に会話データを提供してAIモデル開発を委託すると情報授受規制に抵触する。本来の規制趣旨に照らして、例外事項として整理されるとよい。
また、生成AIの活用が金融商品取引の勧誘や広告に該当するのか、その場合に外務員登録や広告規制をどう捉えていくのかも論点になりうる。

生成AIを顧客向けに活用する上での課題や留意点（藤井氏）

当社では2024年4月にAIのCoEを発足させ、今年4月には体制を拡充して全社的なAI活用を牽引している。業務適用の推進やイノベーション創出、R&Dといった攻めの部分と、ガバナンスや各種規程類の整備といった守りの部分の両面から生成AIの活用を推進している。
生成AIの開発はどんどん試していく必要があり、外注に頼るとスピード感が出ないことから、出来るだけ開発を内製化する体制を整えている。また、AIエージェントを効率的な運用・管理するための基盤を構築中。
2023年6月に社内にAIチャットを導入したことが生成AI活用の始まり。その後に社内向けに翻訳やスライド作成等を行うアプリケーションを導入した。去年から今年にかけては、コールセンターにおける一部の顧客対応や営業支援など、顧客と間接的に対峙するシステムへの生成AIの組込みを始めている。
昨今のAIの高機能化を踏まえ、例えば、顧客へのコンサルティング等を生成AIに任せるような高度なサービスを提供する未来を展望すると、金融機関に求められる顧客保護の責務や、AI活用における課題・留意点は多く存在する。
生成AIの技術的な特性として、不確実性・ハルシネーションや透明性の欠如、理解・意図の欠如という弱点が存在する。一方で、金融機関には、適合性の原則や説明責任、そして顧客本位の業務運営といった顧客保護の責務がある。金融機関としての責務に照らせば、AIの弱点に対して適切なコントロールを及ぼしていくことは、高度なサービスを提供する前提条件になると考える。
AIによる自律的な投資助言・運用相談サービスを例にすると、AIが顧客属性を正確に把握・理解することができず、結果的に不適切な商品を提案する懸念があり、適合性の原則への抵触が問題となる。これに対しては、AIの思考プロセスを可視化して判断理由を平易な言葉で説明すること、チャット等を通じた双方向のコミュニケーションで理解を促すこと、複数の代替案を提示すること、有人対応へのエスカレーションパスを設定することなどの対応が考えられる。
次に、AIは意図せずに将来の値上がりを保証するような表現を出力するリスクがあり、断定的判断・不実告知の懸念が生じる。これに対しては、例えばRAGを用いて信頼性の高い情報ソースを参照させたり、「必ず儲かる」といったキーワードにフィルタリングを設けるなど、重層的なガードレールを設定することが求められる。回答内容を検証する別のAIにより二重チェックすることも考えられる。
また、今のAIでは表情などから理解度を推認することは難しいため、顧客の理解が不十分なまま対話が進んでしまい、説明責任を適切に果たせない懸念がある。テキストのみならず動画や図解などにより直感的な顧客理解を促すことや、事後のモニタリングの重要性が増すと考えられる。何よりも、最初に顧客のリスク許容度を特定した上で相談に応じるなど、会話のプロセスを管理する設計が求められる。
これら３つの課題に共通する論点として、最終的に顧客が理解した・承認したというボタンを押したという事実をもって金融機関が果たすべき責務が全うされたことになるのか、重く考えねばならない。
顧客本位の業務運営の観点では、AIの顧客対応により、顧客よりも金融機関の利益を優先したと受け止められる可能性がある。取り得る対策としては、推奨ロジックの文書化や第三者レビューが考えられる。さらに、AIが特定の商品ばかり推奨していないかを客観的な数字でチェックするなど、KPIを用いてモニタリングすることが考えられる。
また、顧客の年収・資産などの情報が不適切にAIの学習データに用いられないよう、個人情報保護法が求める安全管理措置等をとることが必要。
以上のとおり、顧客保護を実現する上では、生成AIの不確実性に対応するための厳格な設計、顧客属性に応じたリスクベースの対応、継続的なモニタリングと改善、組織・ガバナンス体制の構築が重要な前提条件となる。

さらなる生成AIの利活用に向けての官民一体となった取り組み（二見氏）

当社では、適切なAI活用を推進するために、リスク管理態勢の強化という「守り」と、積極的なAI利活用という「攻め」のバランスを取った体制を構築している。2023年に全社員が生成AIを利用できる環境を構築し、文章の要約等の日々の業務に活用している。2024年には、代理店の募集人が生成AIを利用できる環境を整備し、顧客対応の効率化につなげた。そして、今年８月からは、顧客からの問い合わせや住所変更等に生成AIを組み合わせたアバターが対応するサービスを開始している。
生成AIの更なる活用に向けた課題として、ハルシネーションなどの技術面や、社会的受容度、AIを前提としていない規制などが挙げられる。このうち、AIへの社会的受容度については、金融関連業務におけるAI活用のベストプラクティスの共有等を通じて醸成していく必要がある。当社におけるAIサービス開発時の検討ポイントを８点ご紹介したい。
１点目は、AIリスク管理態勢の強化である。当社ではアフラックグループとしてのグローバルなAIに関するポリシーの下、日本としてのAIリスク管理規程等を整備するとともに、AIリスクを議論する会議体を設置している。AIのリスク管理については、リスクに応じて異なる会議体で審議・報告するというリスクベースアプローチを採用している。また、AIの導入前だけでなく、導入後もインシデントや新たなリスクの高まりをとらえ緩和策を追加するなど、ライフサイクル全体でリスクを適切に管理している。
２点目は、AIリスクの顧客への周知・啓発である。顧客に生成AIサービスの利用前に注意喚起情報を提示した上で同意を取得するとともに、AIによる回答の都度、回答の出典元や回答に誤りが含まれる可能性がある旨を表示している。
３点目は、ハルシネーションへの対策である。RAGによる回答範囲の制限やより高度なLLMの選択、ファインチューニングなどの対策により、ハルシネーションを抑えていく。
４点目は、不適切な発言の制御である。他社の保険商品との優劣などについては、ブラックリストとして独自に回答制限を加えている。
５点目は、誤回答発生後のリカバリー策である。現在、顧客との会話ログを人間が全件モニタリングし、AIの回答に訂正が必要な場合は、顧客へ連絡するとともに、システムの改善につなげるPDCAをまわしている。今後、モニタリングの担い手を人間からAIに移行し、負荷を軽減していく予定である。
６点目は、人間らしさの追求である。例えば、音声を一度テキストに変換せず、音声のまま伝達する技術を利用することで、応答の遅延による不自然さ等を回避することが可能となっている。
７点目は、現行法制度の下での保険募集への生成AIの活用である。保険募集に資格が求められる現行制度の下であっても、生成AIが募集プロセスの一部をサポートすることで、募集人の募集活動の効率化を実現している。
８点目は、センシティブ情報の取扱いである。生成AIのユースケースによってはセンシティブ情報の利用が必要となるが、情報漏えいや目的外利用等のリスクに対応するため、専用クラウド環境による第三者からのアクセス制御、クラウド事業者に対する委託先としての適正評価や定期的な監査の実施、センシティブ情報の入力を可能とする業務の限定などの対策を講じている。

パネルディスカッション

島崎参事官（モデレーター）

ここまで、個人情報保護に関して制度面・技術面からお話をいただいた上で、顧客向けのAI活用を念頭に、金融機関３社から取組事例を共有いただいた。取組事例としては、例えばAIモデルの使い方やガードレールの設定といった技術的な工夫もあれば、有人対応でのフォローアップやリスクに応じたエスカレーションなど実務的な工夫のご紹介もあった。また、制度の解釈も継続して議論すべきとのご意見もあった。
金融機関３社のお話を踏まえ、自社の取組みや工夫と比較して、類似している点や異なるアプローチを取っている点などがあればご教示いただきたい。

磯和氏

当社では2023年７月にAIの社内利用を開始し、2024年に「責任あるAIチーム」を立ち上げた。このチームでは、リスク、データマネジメント、システム、セキュリティー、コンプライアンスの５点をカバーし、AIリスクの審査を担っている。現場に近い部署からAI活用の案件が次々に出てきており、多数の審査を手掛けている。
この結果、審査のノウハウは徐々に積みあがってきており、今後は期中管理にも注力する。問題となるのは案件の多さで、期中管理を含めて人間の手で行うことの難しさを感じており、大手SIerやスタートアップと連携しながらAIのリスク審査自体にAIを活用するという実証実験も行っている。こうした大量の審査をどのように行っているのか、他社の工夫があればお伺いしたい。

江見氏

プレゼンテーションされた３社のお話を聞いて、AIを個別施策ではなく経営テーマとして位置付けている点や、推進体制の在り方、足元の問題意識など、当社と驚くほど類似していると感じた。
推進体制について、「攻め」と「守り」を同時に進めるというお話があったが、当社はこれらに「データ」を加えて三位一体で推進しているところに特徴がある。また、AIは技術進展が非常に速いため、AI案件については、案件の立ち上げのタイミングからシステムや二線の関係者が一緒になって案件を作り上げたり、リスクリターンが合わない案件は早期に撤退したりと、アジャイルで取り組んでいることも当社の特徴。
足元の論点としては、顧客サービスへのAI活用やAIエージェントの活用。これまで、ハルシネーションにはhuman in the loopで対応することが多かったと思うが、AIを顧客向けに直接活用するとなると、別の対策が必要となる。他方で、ハルシネーションのリスクをゼロにすることはできない。人間もミスをしないわけではないので、社会としてAIのミスとどのように付き合っていくかの共通理解を醸成していくことが重要である。
AI案件の審査については、簡単なものについては現場判断に委ねつつ、一定の目線を超えた案件はCoEで審査している。リソース面での問題は生じていないが、現状は一線と二線が一体的にリスク評価を行っているところ、今後どこかで一線・二線をはっきり分けるべきかが論点かと感じている。

生田目氏

当社の推進体制も方向性は類似。その上で、当社は海外展開が多いため、海外と一貫したガバナンスを構築することが大きな課題となっている。海外部門の情報をリアルタイムで把握できるような体制の構築に取り組んでいる。
AIガバナンスは経営としての命題であるというメッセージに強く共感する。AIは固有のテクニカルな問題ではなく、経営としてのアカウンタビリティを果たす上でも重要であると認識すべき課題になっている。また、AIガバナンスは、人間の活動に対するガバナンスやITガバナンスとは異なる性格を持っていることの認識を深めなければならない。ITのような単純な情報処理とは違い、AIはアウトカムのレンジを予見することが極めて難しく、無謬ではないという特徴があるので、これらを踏まえたガバナンス体制が必要となる。さらに、事前に予見できないからこそ、継続的なモニタリングが重要となる。その際、二線・三線のリスク感性は引き続き重要だが、リスクを最初にキャッチするであろう一線のリスク感性を育んでいくことも必要だと感じている。

長谷川氏

AI利用に関する社内の審査については、顧客向けにAIを活用するようなリスクの高いものはしっかりとした事前審査を行いつつ、社内の業務効率化にとどまる活用であれば各部署でチェックリストを基に判断するというリスクベースの対応を行っている。
また、AIのリスクをAIで審査するというお話があったが、方向性はその通りだと思う。例えば、金融商品の販売・勧誘に関する広告審査はAIで対応していくことが現実解だと感じている。
AI利活用を進めようとするとアジャイルな対応が求められる。アジャイルな開発が現場でどんどん進んでいくので、そのモニタリングの在り方についても検討を進めている。

藤井氏

生成AIの利用自体は簡単に出来るが、そのリスク管理とともに、顧客のユーザー体験も重要な考慮事項。例えば、各種届出等の手続きが簡単に行えると顧客利便は高まるが、そのためにはフロントサイドの自動化だけでは不十分で、裏にある手作業のプロセスも同時に見直す必要がある。
今後、現場からのAIエージェントのニーズが増えてくると、似たようなAIエージェントが社内に氾濫しないか危惧している。そこで、どのようなAIエージェントがどのくらい必要になるのかをまとめたマップのようなものの作成に先んじて取り組んでいる。こうしたものでAIエージェントのインベントリー管理ができていれば、現場からニーズが出てきた際に、既にあるAIエージェントを案内できる。さらに、AIエージェントのパフォーマンスの監視、ライフサイクルとコスト管理、インベントリー管理、権限管理の４つの要素を統合的に管理するプラットフォームを構築する構想も進めている。

二見氏

業界は違えど、金融という括りで見ればAIガバナンスに共通する点が多いと感じる。
「攻め」と「守り」に加えて「データ」が重要というご指摘はその通り。AIはデータが主役になるが、当社でもまだまだ紙でのやり取りが多く、特に10年～20年前の情報をどのようにデジタルデータとして取り込んでいくかが課題の１つとなっている。
AI活用の提案が現場から多く出てくるというのは素晴らしいこと。当社ではどちらかと言えば現場よりもITデジタル部門からの提案が多いのが実態。
また、一線のリスク感度が重要になるという点もご指摘のとおり。二線・三線も重要だが、一線がリスク感度を上げるとともに、活用方法や効果をしっかり見極められることが必要。

島崎参事官（モデレーター）

AIの活用に関心を持つフェーズから、実装を本格的に検討するフェーズに移ると、具体的にどういう体制整備を行うべきか、あるいはどのような制度解釈になるのか、といった課題が具体的に意識されるものと考えられる。
この点、本日ご紹介いただいたように、各社からご知見やお考えを共有いただき、業界全体として体制整備や制度対応の目線のようなものを作っていくことにも意義があると思うが、こうした取組みを含め、AI活用を後押しするために今後どのような取組みを行うことが有効と考えられるか。

藤井氏

AIモデルの進化は早く、顧客への応答の適切性を確保するためにガードレールなどを工夫しても、数年でAIモデルが変わって再開発になることも考えられる。そうした環境を前提として、様々なことをテストできるサンドボックスのようなものがあると良い。また、ガイドライン等の解釈について、金融業界全体として議論する場があるとよい。

二見氏

AI官民フォーラムでは金融業界全体の様々な知見・経験に触れることができ、参考になっている。他方、生命保険業界に特有の課題もあるので、業界ごとに課題やチャレンジについて具体性のある実践的な議論を深めることも有益である。

生田目氏

AI活用におけるリスクの線引きは難しい。リスクの考え方について各金融機関の知見を共有することで、リスクの線引きの明確化を図ることが望ましい。

江見氏

AIの技術自体が進化することで、目指すべきガバナンスの在り方も変わり得る。その前提では、継続的に具体的な取組事例を積み上げて、様々な取組みを模索していく必要があると考えられる。各社が知見を持ち寄って目線をあわせていくことが非常に重要。
また、データの取扱いの外部委託やクロスボーダーのユースケースを考えると、海外のルールや社会的受容度を意識する必要性が出てくる。そうしたグローバルな見方をどのように取り込んでいくかは１つの論点である。

長谷川氏

過去インターネット取引が出てきた際には、各業界でガイドラインや留意事項が作られた。AIで顧客向けサービスを提供するにあたっても、同じようなガイドラインを作っていくことが望ましい。
先日、各社のデータ活用部門のみならず、コンプラ部門も交えてディスカッションする機会があったが、各社のリスク感覚が分かり非常に参考になった。ガイドライン等の検討に際しては、ビジネス部門、コンプライアンス部門、IT部門が混成で議論することが望ましいと考えられる。

磯和氏

体制整備の標準的なプレーブックや制度解釈のガイドラインを作るという方向性に同意。
技術の進展によりシステム開発やデータ整備の在り方も変化しており、捉えるべきリスクの所在がこれまでの業務よりも広がっていることを認識する必要がある。

島崎参事官（モデレーター）

技術進展によりリスクが変化しうる一方で、技術によるリスク対応が可能となり得るというご指摘や、業態横断的な取組みに加えて、業態ごとにも議論を深めていくべきではないかという前向きなご示唆を頂いた。本日は皆様から大変貴重な話を頂き感謝。

（参考）開催実績

問合せ先

電話受付
- 受付時間：平日10時00分～17時00分
- 電話番号：０５７０－０１６８１１（ＩＰ電話からは０３－５２５１－６８１１）
ウェブサイト受付

（注）金融行政等に関する一般的なご質問等は金融サービス利用者相談室で承ります。

所管

総合政策局リスク分析総括課暗号資産・ブロックチェーン・イノベーション参事官室／イノベーション推進室（庁内用2277）

サイトマップ

金融庁についてページ一覧を開きます: 組織

大臣・副大臣・政務官

金融庁の概要

金融庁の改革

所管の法人

予算・決算

政策評価

採用情報
報道・広報ページ一覧を開きます: 報道対応

報道発表資料

記者会見

大臣談話等; 広報活動

アクセスＦＳＡ（広報誌）

白書・年次報告

職員による講演等

職員による寄稿等

利用者の方へ

注意喚起情報

業界団体との意見交換会において金融庁が提起した主な論点

よく閲覧されているページ
政策・審議会ページ一覧を開きます: 基本方針等

金融行政方針

政府方針における金融庁関連の施策; 政策テーマ・施策

政策テーマ等一覧（金融行政方針との関連）

政策テーマ等一覧（全体）; 審議会・研究会等

審議会・研究会等一覧; 研究・調査

金融研究センター
法令・指針等ページ一覧を開きます: 所管法令等; 検査・監督の基本方針等

基本方針・ディスカッションペーパー一覧; 監督指針・事務ガイドライン

監督指針一覧

事務ガイドライン（第三分冊：金融会社関係）一覧; 告示・ガイドライン・Ｑ＆Ａ等

告示・ガイドライン・Ｑ＆Ａ・法令解釈事例集一覧; 金融上の行政処分等
金融機関情報ページ一覧を開きます: 全金融機関共通; 預金取扱金融機関（銀行等）関連; 保険会社関連; 金融商品取引業者等関連; 金融会社関連
国際関係情報ページ一覧を開きます: 国際関係の取組み

国際金融センター

金融庁グローバル金融連携センター（GLOPAC）

監査監督機関国際フォーラム（IFIAR）事務局への活動支援; 国際基準設定主体等の公表資料等

金融安定理事会（FSB）

バーゼル銀行監督委員会（BCBS）

保険監督者国際機構（IAIS）

証券監督者国際機構（IOSCO）

金融活動作業部会（FATF）

その他
アクセスＦＳＡ（広報誌）

ページの先頭に戻る