Risk Management
【Web特別版】
7月号
- 製品安全報告を迅速化することの重要性
- 海外紛争が従業員リスクとなる時
- 最近の出版をめぐる論争が、企業におけるAI利用ポリシーの必要性を浮き彫りに
- 行政措置がウォール街のAIコンプライアンスに及ぼす影響
行政措置がウォール街のAIコンプライアンスに及ぼす影響
サラ・ラザク・サリス、マティ・モーティモア、ケイラン・カバラウイ
(訳:鈴木英夫)[*]
あなたの会社のコンプライアンス体制はAIの進化に追いついているか
人工知能(AI)は、アルゴリズム取引やポートフォリオ最適化から、顧客オンボーディング*)、コンプライアンス監視、投資アドバイス生成に至るまで、金融サービスを根本から変革しつつある。証券会社や投資顧問会社は、事業のほぼすべての機能にAIと機械学習ツールを導入している。
*)訳者注:「顧客オンボーディング(Customer Onboarding)」とは、新しい顧客が口座開設やサービスの契約を申し込んでから、実際に取引を開始(利用が定着)するまでのプロセス全体を指す言葉。具体的には、本人確認・審査、初期設定・ガイド、口座に入金する、最初の取引を行うといった「実際の利用」に至るまでを、ナビゲーションやチュートリアルでサポートを行う。
しかし、ウォール街がAIの導入を急ぐ一方で、連邦証券規制当局は取り締まりを強化している。米国証券取引委員会(SEC)と金融業規制機構(FINRA)は、不正防止規定、受託者責任、監督規則、帳簿記録要件、マーケティング規則といった既存の法的義務が、AIを活用した行為にも適用され、新技術に対する規制上の猶予期間はないことを明確にしている。SECはAIおよびアルゴリズムシステムを直接的に対象とした重要な執行命令を発令し、FINRAは自動化ツールが根本的な違反行為の中心となった事案において、監督およびマネーロンダリング対策(AML)の不備を指摘している。両機関とも、生成型AIを継続的な調査の優先事項としている。
金融サービス関連の企業は、こうした新たな規制執行状況を精査することで、AI関連の取り締まりで次に注目を集める事態を避けるために、どのような対策を講じるべきかをより深く理解できる。
規制執行の現状
証券業界におけるAI規制を理解する上でまず重要なのは、規制当局がAIに関する新たな枠組みを構築したのではなく、既存の枠組みを適用し、さらに重要なことに、それを強制しているという点を認識することである。
FINRAの規則は技術的に中立である。監督、コミュニケーション、記録保持、公正取引に関する既存の義務は、他のツールや技術と同様に、AIにも適用される。企業は、AIシステムが目新しいとしても、既存のコンプライアンス義務が適用されない理由として主張することはできない。規制の枠組み自体は新しいものではない。新しいのは、企業がAIを導入する度合いであり、それによって自社のコンプライアンス体制がAIの進化に追いついているかどうかが試されているということだ。
AIウォッシング、ガバナンスの不備、自動化環境における監督・管理に関する次の事案は、規制リスクが最も高い分野を浮き彫りにしている:
AIウォッシング:デルフィア(米国)社の事案
SECの命令によると、投資顧問会社デルフィアは、2019年8月から2023年8月にかけて、規制当局への提出書類、広告、ソーシャルメディア上で、「顧客の支出データやソーシャルメディアデータを分析して投資助言に役立てるためにAIと機械学習を使用している」と虚偽の表示を行っていたとされる。実際には、そのようなデータは一切使用されていなかった。2021年7月のSECの調査において、デルフィア社はこの事実を認め、虚偽表示を訂正することに同意した。しかし、命令では、重大な誤解を招く表示が2023年8月まで継続していたとされた。さらに、同社は広告の正確性に関する適切な方針や手続きを欠いており、ソーシャルメディアのレビュープロセスも全く存在しなかった。(SECの)命令では、投資顧問法およびマーケティング規則の複数の条項に対する意図的な違反を認定した。デルフィア社は譴責処分を受け、22万5000ドル(約3400万円)の民事制裁金の支払いを命じられた。
この事例は、SECへの義務的な開示文書、ウェブサイト、プレスリリース、またはソーシャルメディア上のコミュニケーションにおけるAIに関するあらゆる主張が、投資顧問法の詐欺防止規定の対象となることを示している。SECの執行担当者は、AIに関する主張と現実との乖離を詐欺として扱うだろう。
アルゴリズムガバナンスの不備:Two Sigma Investments, LPに関する訴訟
米国証券取引委員会(SEC)の命令書によると、Two Sigma社は2019年3月以降、多数の従業員がライブトレーディングモデルのパラメータを保存するデータベースへの無制限の読み書きアクセス権を有しており、レビューや承認なしに不正な変更が可能であったことを認識していたにもかかわらず、従業員からの警告を無視し、長年にわたりこの脆弱性を是正しなかったとされている。2021年11月から2023年8月にかけて、あるモデラー*)がこのアクセス権を悪用し、14のライブトレーディングモデルに不正な変更を加えたとされている。その結果、一部のファンドは4億ドル以上も運用成績が上回り、他のファンドは約1億6500万ドルの運用成績の悪化を招いた。Two Sigma社は影響を受けたファンドに対し、約1億6500万ドル(約247億円)を自主的に返済した。
*)訳者注:「モデラー(Modeler)」とは、金融市場の動き、資産価格、あるいは予測不可能なリスク(自然災害や信用リスクなど)を予測・評価するための数理モデルを構築・開発・運用する専門職や担当者のこと。
また、この命令書では、Two Sigma社の退職合意書において、「退職金を受け取るために退職する従業員が政府機関に苦情を申し立てないことを表明する」ことを義務付けており、これは内部告発者の情報提供を妨害することを禁じる規則21F-17(a)に違反すると指摘している。約300人の従業員がこれらの合意書に署名していた。命令書では、投資顧問法およびその他の規則に対する複数の意図的な違反を認定した。両当事者は4500万ドル(約67億円)の民事制裁金の支払いを命じられた。
企業にとっての教訓は、「アルゴリズムシステムの既知の脆弱性は必ず是正されなければならない」ということである。AIガバナンスにも受託者責任が適用される。企業はさらに、SECへの情報提供を阻害する可能性のある条項がないか、雇用契約書を見直す必要があるのだ。
検証モデルの失敗事例:Brex Treasury LLC事件
Brex Treasury社は、口座開設申請の審査に機械学習モデルを導入し、申請者にスコアを付与して不正チェック結果の評価方法を決定していた。しかし、FINRA(米国金融業規制機構)の承認・免除・同意書(AWC)*)によると、同社は当初、ベンチャーキャピタル支援企業や中堅企業といった既存顧客基盤のデータを用いてモデルを開発し、その後、中小企業顧客を含むより広範な顧客層に適用しようとしたものの、モデルの設計・テスト・検証に関する適切な方針や手順を確立していなかったとされた。
*)訳者注:AWC(Letter of Acceptance, Waiver and Consent) とは、FINRAが証券会社やその登録代表者(ブローカーなど)の規則違反を調査した結果、正式な規律処分手続き(裁判、公聴会)に進む前に、双方の合意によって問題を早期に解決するための和解プロセス、或いはその申立書のこと。
その結果、規制当局のAWCは、同社が不正行為の疑いのある重大な兆候(不正操作の可能性が指摘されていた口座を含む)があったにもかかわらず、自動的に口座を承認していたと主張した。AWCはさらに、2020年から2021年にかけて、Brex Treasury社が数百件の不正の疑いのある口座を承認し、これらの口座は預託資金を用いて1,500万ドルを超える取引を試みたものの、決済に失敗したと主張した。
同社はFINRAの規則2件に違反したと認定され、Brex Treasury社は譴責処分と90万ドル(約1億4千万円)の罰金処分に同意した。
この事例は、「ある集団で学習させた機械学習モデルを、厳密なテストと検証なしに、実質的に異なる集団に適用することはできない」という点を浮き彫りにしている。FINRAは、サードパーティ製AIツールの管理を怠ったとして、ベンダーではなく企業を追及する方針である。
アルゴリズムの誤りと未登録の監視機能:Interactive Brokers LLC事件
FINRAのAWCによると、Interactive Brokers社は証券貸付アルゴリズムを更新した際に、実際には実現しなかった貸付金の回収状況を想定した運用を行い、結果として、該当証券における分別管理不足を800回以上も意図せず発生または増加させ、その損失総額は約3,000万ドル(約45億円)に上るとされている。
AWCによれば、同社の書面による監督手順が、早期リターンによって生じた損失の特定や解決方法について規定しておらず、また、損失の原因となる問題を検出するシステムも欠如していたと指摘している。特に重要なのは、登録されていない人物が同社の証券金融事業のソフトウェア開発を主導・監督し、約20名の登録されていない従業員からなるチームを統括していたこと、そして、登録者の直接的な関与なしにアルゴリズムの更新を考案・承認していたことである。Interactive Brokers社は、譴責処分と47万5000ドル(約7100万円)の罰金に同意した。
ここでの重要な教訓は、アルゴリズムは登録者の監督を必要とする機能を果たすため、その設計・修正・承認には登録者が関与しなければならないということである。書面による監督手順には、アルゴリズムのエラーをどのように特定し、解決するかを明記する必要がある。
説明可能性とガバナンスの課題
引用されたCSE事案に共通する問題点は、「AIシステムが行っていることと、コンプライアンス部門が把握・検証・説明できることとの間にしばしば存在する可視性のギャップ」である。機械学習モデルの中には、予測や結果の生成方法を説明することが困難、あるいは不可能なため、「ブラックボックス」と呼ばれるものもある。これは、自律的な意思決定機能を備えたアプリケーションにおいて特に懸念される点だ。規制の対象となる状況では、モデルが事実として提示される不正確な情報を生成する「幻覚」や、限定的または代表性のない訓練データによって出力が歪められる「バイアス」といった問題によって、これらの課題はさらに複雑化する。
第三者ベンダーを利用する企業にとって、アウトソーシングは規制上の責任を移転するものではない。企業は、業務や機能を第三者にアウトソーシングしても、適用されるすべての証券法、規制、およびFINRA規則の遵守に関する最終的な責任から免除されるわけではない。企業は、第三者ベンダーに対して初期および継続的なデューデリジェンスを実施し、ベンダー製品がAIをどのように利用しているかを評価し、契約に企業または顧客データの不正利用に対する適切な保護措置が含まれていることを確認する必要がある。
AIエージェント(事前定義されたルールなしにタスクを自律的に計画・決定・実行できるシステム)は、監督上の複雑さを著しく増大させる。FINRAは、無制限の自律性、スコープクリープ*)、監査可能性の課題、データ機密性に関する懸念など、主要なリスクを特定している。AIエージェントを導入する企業は、明確なガードレール、ヒューマン・イン・ザ・ループによる監視プロトコル、およびアクセス制御を最初から確立する必要があるのだ。
*)訳者注:スコープ・クリープ(Scope Creep)とは、プロジェクト管理の用語で、「当初定義したプロジェクトの範囲(スコープ)が、正式な手続きや承認を経ないまま、なし崩し的に拡大・肥大化していく現象」のこと。気づかないうちにジワジワと作業が増え、プロジェクトが制御不能になっていく様子を表している。
さらに、FINRAの2026年の年次規制監督報告書には、生成型AIに関する専用セクションが設けられた。これは、AIコンプライアンスがもはや新たな課題ではなく、恒常的な規制上の優先事項となっていることを示している。
FINRAが確認したユースケースの中で、企業は効率性の向上、特に社内プロセスと情報検索に関して、生成型AIソリューションの導入がある。中でも、生成型AIの最も一般的なユースケースは、要約と情報抽出だ。しかし、こうした一見社内的なユースケースであっても、重大な規制上の影響を及ぼす可能性がある。
生成型AIを利用した不正行為とは、攻撃者がこの技術を悪用して偽コンテンツ、なりすましサイト、偽造身分証明書、ディープフェイク音声・動画、ポリモーフィックマルウェアなどを生成する行為を指す。詐欺師は生成型AIを用いて金融口座にアクセスし、無防備な投資家の名義で新規口座を開設する。企業は、AIが自社(のスタッフ)が悪用する可能性だけでなく、自社に対して悪用される可能性も考慮に入れたAIガバナンスを構築する必要があるのだ。
AIガバナンスを改善せよ
企業は、コンプライアンス体制がAIの利用状況に追いついているかどうかを確認するために、監査や行政措置を待つべきではない。皮肉なことに、監査や行政措置で最も優れた結果を出す企業は、必ずしも最も技術的に高度な企業ではない。むしろ、コンプライアンス上の問題点を事前に特定し、それに対応するための適切なインフラを構築した企業なのだ。積極的な見直しでは、少なくとも以下の項目に取り組むべきである:
AIインベントリを維持せよ:使用中のすべてのAIツールの最新のインベントリを維持すること。これには、ツールの機能、データ入力、AIが情報を提供する意思決定、および関連する規制上の義務が含まれる。企業は、ツールの導入、変更、または新規顧客層への適用が行われるたびに、インベントリを更新する必要がある。
すべてのAIに関する主張を法的表明として扱え:企業がAIに関して行うすべての表明(提出書類、マーケティング、顧客コミュニケーション、ソーシャルメディアなど)は、不正防止基準の対象となる。企業は、AI関連の表明すべてについて、明確な審査および承認プロセスを実施する必要がある。
文書化された監督手順にAIガバナンスを組み込め:監督手順書には、規制対象機能で使用されるすべてのAIシステムについて、モデル設計・テスト・検証・アクセス制御・変更承認、およびエラー解決を規定する必要がある。
ベンダーに対する適切なデューデリジェンスを実施せよ:企業は、ベンダーのAIツールがどのように構築され、トレーニングされているかを積極的に評価し、契約上の保護措置を見直し、導入前にツールが自社の規制上の義務および顧客層に適していることを検証する必要がある
アルゴリズム機能に対する登録された監督を確保せよ:アルゴリズムが登録された監督を必要とする機能を実行する場合、登録された担当者がその設計・変更・承認に関与する必要がある。登録されているか否かにかかわらず、規制対象のアルゴリズムシステムに対する権限を持つ人物を監査することは極めて重要だ。
記録保持義務に対応せよ:AIツールは新たな種類の記録を生成する可能性がある。企業は、チャットボットの通信、プロンプトログ、モデル出力など、AI関連の記録が適用される規則に従って取得および保持されていることを確認すること。
サイバーセキュリティおよびプライバシー管理を見直せ:企業は、AIの導入時および脅威アクターが企業とその顧客に対してAIを悪用する場合の両方において、サイバーセキュリティプログラムがAI特有のリスクに対応しているかどうかを評価する必要がある。
内部告発者の権利遵守のために雇用契約書を精査せよ:企業は、退職合意書、秘密保持契約書、その他の雇用関連文書に、従業員がSEC(米国証券取引委員会)と連絡を取ることを妨げる条項がないことを確認せよ。
コンプライアンス上の喫緊の課題
近年の行政・強制事例は、AI技術の成熟を待つことなく法規制が強化されていることを示している。SECはAI関連の重大な執行命令を発令し、FINRAはアルゴリズムツールが中心的な役割を果たした事例において監督不行き届きやAML(マネーロンダリング対策)違反を指摘している。また、2026年の年次規制監督報告書では、生成型AIが現在の監督上の優先事項として取り上げられている。
これらの事案から得られる教訓は、技術的な失敗ではなく、ガバナンスの失敗であったということだ。リスクは技術そのものではなく、既存の法律で長らく求められてきたガバナンスの欠如にある。AIがウォール街全体に浸透するにつれ、コンプライアンスもそれに併せて進化しなければならない。そうしない企業は、規制当局による措置の次の標的となることになる。
トピック
サイバーセキュリティ、人工知能、コンプライアンス、法的リスク、規制、テクノロジー
*)注意事項:この記事は、”How Regulatory Enforcement Is Shaping AI Compliance on Wall Street,”
Sarah Razaq Sallis , Matti Mortimore , Keilan Kabalaoui | June 30, 2026, RIMS Risk Management Site (https://www.rmmagazine.com/articles/article/2026/06/30/how-regulatory-enforcement-is-shaping-ai-compliance-on-wall-street)
をRIMS日本支部が翻訳したものであり、原文と訳文に差異がある場合には原文を優先します。
サラ・ラザク・サリスは、ハッシュ・ブラックウェルのパートナーであり、同事務所の証券・商品規制・執行グループの共同リーダー。マティ・モーティモアは、ハッシュ・ブラックウェルのバーチャルオフィス「ザ・リンク」のアソシエイト。ケイラン・カバラウイは、ハッシュ・ブラックウェルのアソシエイト。
鈴木英夫はRIMS日本支部の主席研究員。