コンテンツに移動
金融サービス

銀行業界における責任ある生成 AI を支える 4 つの柱

2023年12月5日
Google Cloud Japan Team

※この投稿は米国時間 2023 年 11 月 18 日に、Google Cloud blog に投稿されたものの抄訳です。

銀行業の未来には、新しい「生成」の可能性が広がっています。メディアでは、生成 AI が金融業界を根本から変えていくという大げさな記事がよく見られますが、実際はそう単純な話ではありません。

Google Cloud は、生成 AI は銀行業界を銀行と顧客の双方にとってより良いものに変えていく力があると、楽観的に見ています。また、責任ある方法でそれを達成できると考えています。

しかし、このイノベーションが適切な方向に発展し、実用化されるために、やっておかなければならないことがあります。今は、基盤づくりの段階であり、責任ある生成 AI を支える柱について銀行業界全体で議論をすべきときです。

なぜなら、大手銀行システムのような規制対象の業界において生成 AI の活用を話題にすると、その正確性やセキュリティを懸念する声が特に強まるからです。金融業界では、どんなエラーからでも波紋が広がって、顧客や規制機関からの新たな監視の種となる可能性があります。このようなシナリオや望ましくない結果を回避できるよう、今のうちに十分に時間をかけて基盤作りをしておきましょう。

まず、生成 AI のリスクについて理解することが重要です。銀行やテクノロジー プロバイダは、これらのリスクを甘んじて受け入れるのではなく、互いに連携してリスク対策をとることができますし、そうすることが義務でもあります。こうした対策は、生成 AI を導入するうえでの大前提であり、この前提を満たすことによって、生成 AI がもたらしてくれる大きな機会(生産性の向上や、時間の大幅節約、カスタマー エクスペリエンスの改善、規制機関やコンプライアンス要件への対応強化など)を視野に入れることが可能となります。Google は実際のところ、生成 AI は、関係するあらゆる人にとって安全かつ効率性の高い銀行システムをもたらしてくれるものだと考えています。

本シリーズの第 1 回目となるこの投稿では、銀行業界の生成 AI の基礎となる 4 つの重要な柱(説明可能性規制プライバシーセキュリティ)を取り上げて、それぞれについて掘り下げていきます。

#1: 説明可能性

たとえば、あなたがアナリストとしてなんらかの調査を進めている、またはコンプライアンス担当者として不審な行動の特徴を捉えようとしているといった状況を想像してみてください。こうした業務では、調査結果の裏付けとして証拠を示す必要がありますが、それだけではなく、それらの証拠を簡単に見つけ出せることや、正確性を保証できることが重要となってきます。そのためには、AI と人間の知性を組み合わせる必要があります。また、生成 AI の使用については、よく考え抜いたうえでのリスクベースのアプローチが求められます。

幸い、Google は AI の説明可能性に向けて大きな前進を遂げています。

新世代の生成 AI ツールでは、大規模モデル(大規模言語モデル(LLM)やマルチモーダル LM)を特定のデータコーパスにダイレクトすることが可能です。また、結果を生成する過程で、関連書類や根拠を示すことができます。つまり、AI が生成した判断結果や評価に必ず、注釈や裏付けデータへのダイレクト リンクが付けられます。

もちろん、生成 AI による説明を絶対的な真実として受け入れる必要はありません。特に、銀行業のような重要性の高い業務では、慎重な姿勢が求められます。たとえ説明可能なモデルであっても、人間による検証が欠かせません。生成 AI の使用について、堅牢なリスク管理手順を定めるとともに、このような検証作業を必ず含める必要があります。

生成 AI は多くのメリットをもたらしますが、すべての状況に適しているとは限りません。銀行は、リスクベースの分析を実施して、生成 AI の使用が適しているケースと適していないケースを見極める必要があります。どんなツールについても言えることですが、適切な人々が適切な状況で使用することによって、ツールの安全性を保ちながら最大の効果を得ることが可能となります。

#2 規制

AI は今後の経済発展のために欠かせないものであり、現在そして将来の世代の人々が、豊かで、健全かつ安全で、サステナブルな世界で暮らすことを可能にしてくれます。このような AI の利点を活かせるよう、政府、民間企業、教育機関や、その他の関係機関が連携して取り組んでいくことが重要です。

AI システムは、責任をもって開発、導入しないと、社会問題を増幅させる恐れがあります。こうした課題に対処するには、複数の機関で連携してガバナンスに取り組んでいく姿勢が必要です。たとえば、基準を設けたり、ベスト プラクティスを共有したりするほかに、規制が必要となる場合もあります。具体的には、リスクが特に高そうな AI システムには、その用途に特化したリスク評価を専門家が行うように義務付けるといった方法が考えられます。

多くの国や国際機関が、すでに行動を起こしています。たとえば、OECD は AI ポリシー監視機関を設置し、分類フレームワークを整備しました。英国は、イノベーションを支援しながら AI 規制に取り組む方針を強化しましたし、欧州は AI 法令の整備を進めています。シンガポールは AI 検証フレームワークを、ブラジルの上下両院は AI 法案を、カナダは AI およびデータ法令をそれぞれ打ち出しました。米国では、NIST が AI リスク管理フレームワークを、AI 国家安全保障委員会と国家 AI 諮問委員会がそれぞれ報告書を公開しています。

銀行業界における生成 AI の将来的役割を把握することがそもそも困難であるのに加えて、規制がある程度明確化されているならまだしも、今はまだ不確定な部分が多く残っています。そのため、モデルやアプリケーションの開発者は、規則の変更や新たな規制案に十分に注意する必要があります。

Google は、銀行のお客様を支えるような形で AI イノベーションの法整備が進むよう、政策立案者と連携した取り組みを行っています。具体的には、AI イノベーションはもちろん、責任ある AI 導入を促進するような規制や方針を後押ししています。同時に、それに見合ったプライバシー法を採用、維持するように働きかけており、個人情報の保護や、国をまたいだ信頼性の高いデータフローの確立に努めています。

ここ数年、世界中の連邦金融規制機関は、金融機関の AI 利用について調査を進め、既存のモデルリスク管理(MRM)ガイダンスをあらゆるタイプの AI 向けにアップデートする可能性を検討してきました。既存の MRM ガイダンスの適用に関する Google の見解は、数か月前のブログ投稿で紹介しています。

米国商務省の NIST(National Institute of Standards and Technology)は、生成 AI の公開ワーキング グループを設置し、既存の AI リスク管理フレームワークを生成 AI にあてはめることに関するガイダンスを提供しました。米国議会も、生成 AI のさまざまなリスク因子に対処するために各種法案を打ち出していますが、これはまだ発展途上の段階です。

規制を整備することで、信頼性の高い業界手順や国際基準に沿って AI 技術が開発、導入されるように徹底できるケースもあれば、AI のメリットやリスク、その管理方法をしっかりと把握するための基礎研究が必要になる場合もあるでしょう。新しい技術イノベーション、たとえば解釈可能性などの開発、導入が必要になる場合もあるかもしれません。NIST の例のように、新しいグループや、組織、機関の設置が必要になるケースもあるでしょう。

また、業界ごとの規制については、各業界の規制機関が既存の監督、適用制度を見直して、AI システムに対応するようにアップデートするのが適切だと考えます。具体的には、既存の機関が AI の使用にどう関わってくるのかや、国際的な標準規格(ISO 42001 シリーズのような複数団体が関わっている規格など)を活用して AI システムのコンプライアンスを示す方法を検討する必要が出てくるでしょう。EU では、規制機関に対して定期的なレポート発行を義務付けており、規制される側とする側の両方で能力的に無理が生じていないかどうかをチェックする仕組みを設けています。これにより、規制に従うことが困難なケースや、効果的な監視が難しいケースを特定することが可能です。

#3: プライバシー

生成 AI は LLM に大量のデータを学習させることが前提であるため、生成 AI の発展にデータは欠かせません。しかし、データは往々にして個人やその行動に紐付けられますし、組織の機密データや、非公開データもあります。銀行が生成 AI を導入するにあたって、こうしたデータへのアクセスは最大の懸念の一つです。

この困難な問題にどう対処すればよいのでしょうか。重要なデータの保護について妥協することなく、十分な量の正確なデータをモデルに与えることを可能にする方法はあるのでしょうか。

その答えは、透明性にあります。適切なデータ ガバナンス手順、プライバシー デザインの原則、プライバシー保護を組み込んだアーキテクチャ、既存のツールを組み合わせれば、センシティブ データを匿名化、マスキング、難読化したうえで、AI システムやモデルに入力することが可能です。エンタープライズ仕様の生成 AI を使えば、銀行はデータの保存場所や使用方法を常時制御することができます。銀行側でファイン チューニングしたデータは、銀行専用のインスタンス内に保存され、LLM には反映されません。また、銀行データを使って学習、ファインチューニングしたモデルは、銀行専用のインスタンスの適応レイヤに保存されます。Google は、許可を得ずにお客様のデータを Google 所有モデルのトレーニングに使用することはありません。つまり、銀行側でファイン チューニングしたデータは、銀行が所有権をもつ、ということです。

#4: セキュリティ

あらゆる業界について言えることですが、特に金融サービスにおいては、生成 AI のセキュリティを厳重に守り、データ漏洩や不正行為を防止することが重要です。

まずは、さまざまなレベルで議論を行って、妥当なセキュリティ要件を確立する必要があります。それが、AI モデルのリスクに関する誤解をなくすことにもつながります。たとえば、クラウドやサイバーセキュリティの分野の専門家や組織を見つけて連携することで、より適切なセキュリティ要件を設けられます。銀行業界は、各種政府機関との対話を促進するという建設的役割を担っています。

セキュリティに関する主な問題は、一般向け LLM とエンタープライズ向け LLM の違いに由来しています。機密データや知的財産を外部の一般向け LLM にアップロードすると、その情報を取り戻したり制限したりするのは非常に困難です。一方、社内開発したエンタープライズ向け LLM の場合は、責任を負うエンタープライズ内にデータが収められるため、リスクを最小限に抑えられます。

今後の動向として、生成 AI を利用した新機能の開発によって、銀行のサイバーセキュリティ対策にも影響が及ぶことが予想されます。攻撃側と防御側の両面で、生成 AI が利用される状況は免れないでしょう。生成 AI のモデルやツールの特性を理解しておくことは、防御を強化するうえでけっして無駄にはなりません。

銀行のような規制の厳しい業界で生成 AI を活用するにあたっては、業界内の私たちが、建設的な方法で対話を進めていく役割を担っています。ここで「対話」と表現したのには、生成 AI 技術のプロバイダ間で連携や議論を進めることが大切である、という意味が込められています。互いに教え、学び合うことで、目の前に立ちはだかる課題に対処することが可能となるでしょう。

生成 AI が世論を突き動かすなかで、こうした対話を行うことは大きな意義があります。生成 AI が銀行業界において前向きな変革の推進力になりうるということを世間に伝えていく必要があります。そのためにまずは、説明可能性、規制、プライバシー、セキュリティという基本的な柱を確立していくことが、ともに前進するための重要なステップとなるでしょう。

ー 規制業界担当マネージング ディレクター Zac Maufe

ー グローバル リテール バンキング ソリューション担当マネージング ディレクター Toby Brown

投稿先