重要ポイント:
- ECB、ユーロ圏の金融機関にAIサイバー攻撃の緊急時対応計画の提出を命令
- 各行はAI関連脅威に対応するため4カ月の期限に直面
- 指令は支払いシステムやシステム全体の信頼を混乱させる可能性のあるリスクを対象とする
重要ポイント:

欧州中央銀行(ECB)は24日、ユーロ圏の銀行に対し、支払いを混乱させ金融システムへの信頼を損なう可能性のあるAIを活用したサイバー攻撃に備え、緊急時対応計画を4カ月以内に策定するよう指示した。
ECBによると、同行の直接監督下にある全金融機関に発出されたこの指令は、AI主導の脅威に固有の脆弱性を特定し、緩和戦略を概説することを求めている。この措置は、2025年1月に完全施行され、情報通信技術リスクに関する標準化されたストレステストを義務付けるデジタル運営 Resilience 法(DORA)に基づく既存の業務継続性要件に追加されるものだ。
ユーロ圏の銀行は4カ月以内に計画を提出しなければならず、AIツールがフィッシングキャンペーンの自動化、取引アルゴリズムの操作、決済インフラへの侵入に使用されるシナリオを網羅する。ECBの監督部門は、通貨圏全体での決済・清算システムの集中を踏まえ、AIを活用した攻撃を深刻化するシステム上の懸念事項として位置づけている。
この指令は、人工知能と金融の安定性の交差点に対処するためのより広範な規制推進を反映している。イングランド銀行(BOE)から連邦準備制度理事会(FRB)に至るまで各国中央銀行はAIを活用したサイバーリスクについて同様の警告を発しているが、ECBは不遵守に対する制裁を伴う具体的な計画期限を課した最初の中央銀行の一つである。
ユーロ圏の金融機関は詐欺検知、信用スコアリング、カスタマーサービス向けAIに多額の投資を行ってきたが、同じ技術が脅威アクターによってますます武器化されている。ECBの指令は、金融機関に対し、防御的なAIの展開と、自社のAIシステムによって生み出される脆弱性(新たな攻撃経路を生み出す可能性がある)を区別することを求めている。
4カ月という期限は規制基準からすれば比較的短く、ECBがこの問題に抱く緊急性を反映している。ECBは監督対象機関への通知の中で、期限を守れなかった銀行は監督上の厳格な審査を受ける可能性があると示唆した。
BNPパリバ、ドイツ銀行、ウニクレディトを含む地域最大手の金融機関にとって、この指令は既に増大しているコンプライアンス負担にさらに拍車をかけるものとなる。ECBの次回監督審査では、銀行のAIリスク枠組みを定期的なストレステストサイクルの一環として評価し、その結果は業務リスクに関する資本要件に影響を与える可能性が高い。
ECBが同様に加速されたコンプライアンス期限を課したのは前回2022年で、その際は銀行に対しロシア制裁関連エクスポージャー管理計画を3カ月以内に提出するよう求めた。この指令に先立ち、不十分なコンプライアンス枠組みを持つ金融機関には一連の資本上乗せが課された。
本記事は情報提供のみを目的としており、投資助言を構成するものではありません。