金融当局は、金融機関が人工知能(AI)を用いてセキュリティ脅威に対応する過程で発生する軽微なシステム障害に対して制裁免責を適用することを決定した。高性能AIを活用したサイバー攻撃の可能性が高まる中、金融機関が制裁の負担からセキュリティテストや緊急パッチの実施を遅らせないようにするための措置である。
2日、金融委員会は先月30日に免責審議委員会を開催し、AIセキュリティテストおよびセキュリティパッチの過程で発生するシステム障害に対する免責措置を審議・決定した。また、金融機関の対応方針をまとめた『フロンティアAIセキュリティ脅威金融分野対応方針』も策定し、配布した。
今後、金融機関がセキュリティ目的でAIを活用し、脆弱性の検査やポートスキャン、自動化された侵入試行などのセキュリティテストを行ったり、金融委員会・金融監督院・金融セキュリティ院が伝達したセキュリティ脆弱性に対して緊急セキュリティパッチを実施する過程で軽微なシステム障害が発生しても、一定の要件を満たす場合は、機関や職員に対する制裁および罰金の免責が適用される。
免責の要件は、故意性がなく、金銭的被害が1億円未満であり、システム障害の時間が最大4時間以内であることなどである。個人信用情報を除く顧客情報の漏洩も1万件未満でなければならない。ただし、信用情報法に基づく個人信用情報の漏洩事故が発生した場合は、今回の免責とは関係なく関連する制裁が適用される。
金融当局は、迅速な復旧手段と消費者保護措置も同時に講じる方針である。金融機関は事前テストやロールバック、キルスイッチ、サービスの隔離など、被害拡大防止策を講じなければならない。また、ホームページやSMSなどを通じて、セキュリティテスト・パッチの日時や対象、代替サービスの経路などを事前に案内し、被害が発生した場合には救済措置を実施する必要がある。
今回配布されたガイドラインは、△経営陣の責任強化 △脆弱性およびパッチ管理 △資産・供給網管理 △AI基盤の防御自動化 △金融業界の共同対応および復元力強化 △侵害拡大防止など6つの分野で構成されている。金融機関の取締役会と最高経営責任者(CEO)がAIセキュリティ脅威を重要な議題として扱い、最高情報保護責任者(CISO)に予算と人員の運営権限を実質的に付与する内容も含まれている。
* この記事はAIによって翻訳されました。
