7月7日、Politicoが「Big EU banks must set out AI risk plan, top ECB official」と題した記事を公開した。ECB(欧州中央銀行)の監督委員会がEU主要銀行に対してAIリスク対応計画の提出を義務付けたこと、そしてESRB(欧州システミックリスク委員会)と欧州委員会も同日に相次いで警告・方針を発表したことを伝えている。規制・監視・政策の三機関が一日に動いた「同時多発的な圧力」として、金融×AIリスク対応の文脈で注目に値する動きだ。
ECBが主要銀行にAIリスク計画の提出を要求
ECB監督委員会の議長クラウディア・ブッフ(Claudia Buch)は、EUの大手銀行CEOに宛てた書簡の中で、AIリスクへの対応強化を求めた。具体的には、内部システムの強化および外部テクノロジープロバイダーの適格性確認を盛り込んだアクションプランの策定を指示している。
期限は元記事(2025年7月7日公開)時点で2025年10月末とされていた。制裁措置は現時点では予定されておらず、提出は実質的に任意に近い形だが、ECBが各行の計画を横並びで比較・評価するという構造は事実上の規制圧力として機能する。書簡はあわせてインフラの近代化、インシデントレスポンスと復旧メカニズムの改善、危機管理体制の強化も求めている。
背景にあるAnthropicの「Mythos」とサイバーリスクの新局面
今回の指示の直接的な引き金のひとつとして、元記事ではAnthropicの新モデル「Mythos」への言及が含まれている。Mythosは前例のないサイバー能力を持つとされるモデルで、ブッフの書簡でも先進的AIモデルの能力上昇が具体的なリスクとして引用された。
書簡では次のように述べられている。
「新興AIモデルはソフトウェアの脆弱性を特定し、機能するエクスプロイトを前例のない速度で生成する能力を持っており、脆弱性の発見から悪用までのタイムラインを圧縮する。こうした動向は、銀行のICT(情報通信技術)システムの機密性・完全性・レジリエンスに対して、潜在的に深刻な影響を与え得る。」
ここで言う「エクスプロイト」とは、ソフトウェアの脆弱性を突いて不正アクセスや権限奪取を行うコードや手法のことを指す。「脆弱性の発見から悪用までのタイムラインの圧縮」という表現は、セキュリティエンジニアにとって特に重い指摘だ。これまで攻撃者が数週間かけて行っていた偵察・エクスプロイト開発のサイクルが、AIによって数時間・数分に短縮される可能性を示唆している。
ESRBも同日に「システミックリスク」警告を発出
同日、EUの金融リスク監視機関である**欧州システミックリスク委員会(ESRB)**も、フロンティアAIモデルに起因するシステミックなサイバーリスクに関する警告を公表した。
「システミックリスク」とは、金融システム全体に波及し得る構造的なリスクを指す概念で、特定の機関の破綻や障害が連鎖的に他機関・市場全体を揺るがす事態を意味する。ESRBはこうしたリスクを「システミックリスクの源泉として扱うべき」と断言。決済・清算・決済(ペイメント、クリアリング、セトルメント)といった「オペレーショナルボトルネック」を通じてサイバーインシデントが波及した場合、「金融システムを深刻に混乱・ショックさせる可能性がある」としている。
さらに、EUとして協調した対応が取られなければ、これらのリスクが「構造的な脆弱性へと発展し、システム全体に波及するイベントの可能性を高める」と警告している。
欧州委員会も同日にAIリスクのアクションプランを発表
欧州委員会(European Commission)も同日、先進的AIモデルの安全性テストへの関与方針を示したAIリスクに関するアクションプランを公表した。元記事内での詳細な記述は限られているが、ECB・ESRB・欧州委員会の三者が同一日に相次いでアクションを起こしたという事実そのものが、EU全体として金融×AIリスクへの対応を本格化させた転換点として記録される出来事といえる。関連する規制動向については、EU AI Act(欧州AI規制法)の進捗とあわせて追う価値がある。
制裁なしの「任意提出」とも読めるが、ECBが各行の計画を横並びで比較・評価するという構造は、実質的な規制圧力として機能する。金融機関のセキュリティチームや、銀行向けにシステムを提供するテクノロジープロバイダーにとっては、対応の優先度を上げざるを得ない動きだ。
詳細はBig EU banks must set out AI risk plan, top ECB officialを参照していただきたい。