リスクテクノロジー大賞2024：AIへの期待と保留

新しいテクノロジーが生活をより良いものにすると約束されれば、ワクワクするのは当然です。多くの場合、その興奮は手直しが始まっても続きます。より良い未来のビジョンは明確で、ほとんど目に見えるものです。しかし、焦点は現実的な問題に移ります。

人工知能がもたらす将来性に関して、リスク・マネジャー、そしてリスク・マネジャーにサービスを提供しようとするベンダーは、現在このような状況に置かれています。

ビジョンには説得力があります。しかし現実には、データ、レガシー・システム、知識のギャップ、計算能力、支出の制約との戦いが伴います。さらに重要なのは、AIの利用者が規制当局や監督当局を納得させる必要があるということです。

「AIの最先端であり続けることは、リスク管理や脅威の検知にとって非常に重要です。そのため、イノベーションが阻害されるほどAIを過剰に規制することは危険です」と、今年のリスク・テクノロジー・アワード（RTAs）でモデル検証サービス部門を受賞したヴァリッドマインドのAIリスク管理部門責任者、クリストフ・ホロンポリ氏は言います。

とはいえ、懸念は最先端を鈍らせることだけではありません。一部のベンダーは、機械学習の成熟した利用法もドラグネットに引っかかるのではないかと懸念しています。

規制当局にAIの明確な可能性を示す実用的なモデルを提示する必要があります。

ヴァリッドマインド社、クリストフ・ホロンポリ氏

「AIは発明されたばかりの新しいものであるかのように語られますが、金融犯罪の検知に本当に役立つ技術のいくつかは、何十年も前から存在しています。金融犯罪と戦う銀行にスクリーニング・ソリューションを提供するRipjar社の最高製品責任者、ガブリエル・ホプキンズ氏は次のように述べています。

技術的に可能なことと、現実的に許されることの間の緊張は、今年のリスク・テクノロジー・アワード（RTAs）でも見ることができます。この部門は様々な領域をカバーしているため、同じ用語やフレーズが繰り返されることは稀です。しかし、今年の130を超えるピッチでは、ほぼすべての文書に人工知能、自然言語処理、大規模言語モデル、または機械学習に関する何らかの言及が含まれていました。

これが技術的な大転換の証拠のように聞こえるかもしれませんが、そうではありません。19の受賞者のうち、15のピッチが何らかの形でAIに言及しています。しかし、そのうちの6つだけが、その技術の実際の事例を説明しており、そのうちのいくつかは、大胆な飛躍というよりは、試行錯誤を経たアプリケーションでした。その他の多くは、ベンダーがAIをいつか適用できる、あるいは適用すべきだと考えるユースケースです。

ある投書では、銀行が、保険、ヘルスケア、小売、電気通信など、先行している他の業界の例を挙げながら、意思決定のはるかに多くを自動化し、モデル主導にする道を歩んでいることを示唆しました。別の企業は、レポーティング分野に存在する「非常に説得力のあるユースケース」を強調した上で、「非常にセンシティブなデータ」とコンプライアンス違反による「潜在的に深刻な結果」について警告しています。

では、業界はどうすればこの段階を乗り越えられるのでしょうか？

口先だけの答えは、規制当局次第というものです。しかし、リスク・マネジャーが果たすべき役割もあるでしょう。

「業界内にはソート・リーダーシップの大きな可能性があります。AIの明確な可能性を規制当局に示す実用的なモデルを、各機関が提示していく必要があります」と、ヴァリッドマインドのホロンポリ氏。

チャットボット、アラート・トリアージ、シナリオ・ジェネレーション

銀行は、幅広いAIの応用を模索することで、自分たちの役割を果たしているようです。これには、機械学習によるバランスシート予測の検証、リスク管理の自動化、データのエラー検出、コードのリファクタリング、レポートの自動生成などが含まれます。一部の金融機関は、信用リスクモデルに情報を提供するために、企業の報告書から環境、社会、ガバナンス要因を抽出するために自然言語処理をどのように使用できるかを検討し始めています。

本年度のRTAピッチで受賞したライブAIの例も同様に多様です。成熟した分野では、自動化されたアラートの大群をふるいにかけるのに役立つパターン認識アルゴリズムがあります。

例えば、独自のチャットボットでユーザーをナビゲートするといったものです。この種のもう一つの例は、オートサマライザー（大量のデータを人間が素早く読んで消化しやすいレポートに変換するLLM搭載のアプリケーション）です。

その他にも、AIを活用した行動モデル、NLPを活用したデータ収集、AIを活用したシナリオ生成などにも言及されています。

オラクル・ファイナンシャル・サービスの金融サービス分析アプリケーション担当シニア・ディレクターであるサシ・ムディゴンダ氏は、「シナリオ・デザインは、ジェネレーティブAIの良い使い方だと思います。

「ジェネレーティブAIは、銀行が不測のリスクに備えられるよう、ストレステストに役立つ、より現実的な不利なシナリオを開発するために試みられています。ジェネレーティブAIの力を活用することで、さまざまな外部要因や内部要因を結びつけて、銀行や保険会社のバランスシートがプレッシャーにさらされる可能性のある方法を考案することができます。銀行にとっては、経済的リスク、地政学的リスク、サプライ・チェーン・リスクなどが考えられます。保険会社にとっては、気候変動が要因になるかもしれません。

しかし、共通するテーマとして、銀行もベンダーも、規制当局を不安にさせないよう、ハンドブレーキをかけ続けていることが挙げられます。

「このようなケースでは、金融機関は完全な自動化を採用するよりも、人間の能力を補強する方向に傾いています」とムディゴンダ氏。

監視の目

これまでのところ、銀行の監視当局はAI開発を取り締まる方法について慎重で、公の場で対立するよりも個人的な会話を好んでいます。これは、潜在的に有益なイノベーションを抑制することを避けようとしているのかもしれません。また、技術の進歩があまりに速く、規則策定プロセスを上回る可能性があることを認識しているのかもしれません。

例えば米国では、13年前に制定されたSR11-7と呼ばれる監督文書に盛り込まれたモデルリスク管理の枠組みが、AIの最新動向を反映したものに更新されていません。銀行に内々に伝えられたメッセージは、既存のガイドラインは古典的なモデルと同じようにAIアルゴリズムにも適用可能であり、また適用すべきであるというものです。

政治家の動きも活発です。今年初めに欧州議会と理事会で採択された欧州連合のAI法は、分野を問わずすべてのAIアプリケーションに適用され、銀行やその他の金融サービス企業の意思決定に影響を与える可能性があります。とりわけ、この規則では、AIシステムが個人を差別することを防ぎ、データ保護法の遵守を確保するために、厳格なガバナンスの実践が求められています。

このような政治的な監視と規制当局の警戒を背景に、ベンダー各社は独自の一般的なルールを打ち出しています。

銀行は、モデルが何らかの解釈可能性を維持できるよう、検証フレームワークを拡張していることを確認する必要があります。

プロメテイア、フェデリコ・クレッキ氏

PwC USの金融サービスリスク・規制担当リーダーであるヴィカス・アガルワルは、規制当局の警戒レベルは、AIの適用範囲、具体的には企業の顧客に直接影響を与える可能性がどの程度あるかによって決まると述べています。

「3つの異なるタイプのユースケースが考えられます。1つはバックオフィスでの使用で、顧客への影響は最小限です。2つ目は、顧客の意思決定に影響を与え始めるユースケース。3つ目は、AIシステムが顧客と直接会話するケースです。規制当局は、最初のタイプのユースケースにはすぐに慣れることができるでしょう。とアガルワル氏。

オラクルのムディゴンダ氏は少し違った見方をしており、その代わりに基礎となるアルゴリズムがいかに洗練されているか、つまりいかに理解しやすく説明しやすいかに注目しています。より伝統的なAIモデル（回帰、決定木、ベイズ推論などの “ホワイトボックス “機械学習テクニックを使用）は、新たな規制のイニシアチブの影響を最も受けないでしょう。

一方、ブラックボックスモデル（深層学習アプローチ、ニューラルネットワーク、ブースティング・モデル、ランダムフォレスト・モデル、トランスフォーマーに基づくモデル）については、モデルリスク管理をさらに強化する必要があるとしています。

とはいえ、AI技術の利用が広まるにつれ、銀行は意思決定をAIモデルにますます依存するようになるでしょう。ムディゴンダによると、これには「特定が困難な不正確な予測をもたらすモデルエラー」や「モデルの適用が不正確または不適切な場合のモデル使用エラー」が含まれるとのことです。

AI特有のモデルリスク

例えば、英国では5月に新しい枠組みが施行されました。英国の文書では、人工知能に特化した規制を作ろうとはしていませんが、「モデル・リスクはモデルの複雑さとともに増大する」と警告しており、「非技術的な用語での理解や説明が困難なモデルや、インプットからモデルのアウトプットを予測することが困難なモデル」を例示しています。

モデルリスク管理会社Yieldsの最高経営責任者Jos Gheerardyn氏は、銀行がこれらのフレームワークを遵守している限り（たとえそれがAIに特化したものでなくても）、AIがもたらす気まぐれな変化に対処できるはずだと述べています。

「AIのライフサイクルは従来のモデルのライフサイクルとは少し異なるかもしれませんが、AIのモデルリスク管理は現在銀行が導入しているものとそれほど変わらないはずです。銀行がすでに導入しているフレームワークを完全に置き換えるのではなく、拡張することが問題になると思われます。

しかし、このような拡張のなかには、かなり無理があるものもあります。特に、アプリケーションに何らかの継続的な自己学習が組み込まれている場合、モデルの挙動が時間とともに変化する可能性があります。リスクマネジャーの中には、このようなアプリケーションのためのモデルリスク管理のフレームワークには、ある種のほぼリアルタイムのモニタリングコンポーネントが必要だと指摘する人もいます。

これは大変なことのように聞こえるかもしれませんが、優れたAIガバナンスの基礎と一致しているとRipjarのホプキンスは言います。

「健全な機械学習システムを支える原則は、30年以上前から同じです。モデルがどのように機能しているのかが見えにくくても、モデルがどの程度機能しているのかを理解する必要があります。モデルを変更するたびに、質問をする必要があります。その変更はどのような違いをもたらすのか？バイアスがかかっていないか？

しかし、プロメテイアのデータサイエンス・プラクティスの共同責任者であるフェデリコ・クレッキ氏は、多くの金融機関ではモデルの検証はまだ弱い部分であると考えています。

「銀行は機械学習を中心にモデリング機能を構築してきましたが、AIを本格的に運用するためには、検証手法を研ぎ澄ます必要があります。「将来のある時点で、ディープラーニング・モデルをより説明しやすく、予測しやすいものにできるかもしれませんが、まだそこまでには至っていません。そのため、銀行は検証フレームワークを拡張し、モデルが何らかの解釈可能性を維持できるようにする必要があるのです」。

オラクルのムディゴンダは、さまざまな規制が具体化するにつれて、モデルリスク管理のポリシーとプラクティスを進化させる必要が出てくると言います。

「このような取り組みによって、特に伝統的に保守的なリスク管理慣行の中では、AIの利用が遅れる可能性があります。「しかし、その一方で、AIをより広範に採用しようという機運が高まっていることも確かです」。