日本の金融当局が、生成AIの便利さではなく、金融インフラ防衛の観点から新しいリスク対応に動き始めた。2026年4月22日の報道によると、金融庁は24日に日銀や大手金融機関、東京証券取引所などと会合を開き、Anthropic の新AIモデルをめぐる懸念について意見交換する予定だ。
会合には、三菱UFJフィナンシャル・グループ(8306)、三井住友フィナンシャルグループ(8316)、みずほフィナンシャルグループ(8411)などが参加する見通しと伝えられている。片山金融担当大臣は、国際金融コミュニティでも問題提起が始まっているとして、現状認識の共有と意見交換を行う考えを示した。
問題になっているのはどのAIか
焦点になっているのは、Anthropic が2026年4月に公表した Claude Mythos Preview だ。Anthropic はこのモデルを、防御目的のサイバーセキュリティ研究向けに限定提供する Project Glasswing の中で公開している。
Anthropic の説明では、このモデルはコード理解と改変能力が非常に高く、重要インフラで使われるソフトウェアから多数の脆弱性を見つけてきた。公式発表では、主要なOSや主要ウェブブラウザを含む広い範囲で高深刻度の脆弱性を発見したとしており、一般公開は予定していない。
重要なのは、このモデルが「攻撃専用」として出てきたわけではないことだ。Anthropic はあくまで防御目的での利用を前提にしている。ただし、脆弱性を見つける能力が高いということは、将来的に同種の能力が攻撃側へ広がったときの影響も大きくなりうる。金融当局が警戒しているのはその点だ。
なぜ金融機関が特に警戒するのか
銀行や市場インフラは、単一の新しいシステムだけで動いているわけではない。勘定系、決済、外部接続、委託先システムなどが重なり合い、複雑で相互接続された構造をとる。Reuters も、銀行業界がしばしば古いシステムに依存している点をリスクの背景として伝えている。
この環境では、脆弱性の発見速度が上がること自体が脅威になりうる。修正前の弱点が短時間で洗い出されれば、防御側はパッチ適用や影響範囲の確認を急がなければならない。今回の会合の焦点は、AI導入の是非よりも、金融システムを支える組織がどこまで備えを進めているかにある。
日本だけの動きではない
この問題に反応しているのは日本だけではない。Reuters の2026年4月20日報道では、シンガポールや韓国、オーストラリアなどアジアの金融当局も Mythos をめぐるリスクへの対応を進めていると伝えられた。22日の Reuters 報道でも、日本の会合は国際金融コミュニティで懸念が広がる中で行われると位置づけられている。
各国の当局が見ているのは、AIそのものの善悪ではない。高度なAIが防御に役立つ一方で、脆弱性発見や攻撃準備の速度も押し上げうるという現実だ。防御のための利用を広げつつ、同時に悪用時の影響も見積もるという、難しい管理が始まっている。
焦点はAI活用よりサイバー耐性に移る
これまで生成AIをめぐる議論は、業務効率化や人手不足対策に偏りがちだった。だが今回の会合が示すのは、金融分野ではそれだけでは足りないということだ。どれだけ便利なAIでも、金融インフラの脆弱性対応が追いつかなければ、利便性より先にシステム安定性の問題が表面化する。
金融庁が主要機関を集めるのは、その変化を早めに共有するためだ。生成AIの競争が続くほど、金融機関に求められるのは活用力だけでなく、防御体制の更新速度になる。今回の会合は、その前提を主要機関の間で共有する節目になる。
(本稿は各種公開情報をもとに作成しました。一部数値は記事掲載時点の情報です)
