取引交渉の場で、デモンストレーションの後に、法務部門やリスク管理部門の担当者からよく聞かれるようになった質問がある。それは次のようなものだ。もしこのモデルが6カ月後に誤った信用判断を下し、規制当局や借り手側の弁護士から問い合わせがあった場合、証言台に立たせるのは誰なのか。
この質問の後に訪れる沈黙は、金融サービス業界において最も示唆に富む瞬間の1つとなりつつある。
「『誰がこのモデルを所有するのか』と尋ねる金融機関は、実際にはもっと難しい問いを投げかけている」と、エンタープライズAIプラットフォームを提供するNabooの最高経営責任者(CEO)兼共同創業者であるギラッド・サリンジャー氏は語る。「この判断に異議が唱えられた場合、それを再構築し、弁護し、責任ある方法で下されたことを示すことができるか。現時点での答えは、ほとんどの導入事例において『ノー』だ」
この答えは、大規模な問題となりつつある。英国の金融サービス企業の4分の3がすでにAIを使用しており、保険会社と国際的な銀行での採用が最も進んでいる。これは、2026年1月に英国下院財務委員会が発表した報告書によるものだ。信用スコアリング、保険金請求処理、財務予測——この技術は急速に広がっている。規制当局が追いついているかどうかについての委員会の評価は、彼らの「様子見」アプローチが消費者と金融システムを「潜在的に深刻な被害」にさらしているというものだった。委員会の委員長であるメグ・ヒリアー氏は、金融システムがAI関連の重大インシデントに備えているとは確信できないと述べた。
個人責任と組織の混乱
この報告書が発表された1週間後、英国の金融行為監督機構(FCA)は、2030年までにAIがリテール金融サービスをどのように再構築するかを正式に検証するミルズ・レビューと呼ばれる取り組みを開始した。このレビューを主導するFCAのシェルドン・ミルズ氏は、1月28日の演説で、コンプライアンスチームが今も検討している問いを投げかけた。上級管理者・認証制度(SMCR)の下で、依存しているモデルが毎週更新され、直接管理していないコンポーネントを組み込んでいる場合、「合理的な措置」とは何を意味するのか。
SMCRは、これを個人的な問題にする。規制対象企業の上級管理者は、自らの事業領域における違反について個人的に責任を問われる可能性がある。財務委員会は、AIが被害を引き起こした場合に、これらの管理者に期待される保証について、FCAが年末までにガイダンスを公表することを勧告した。ベーカー・マッケンジーの分析は、この緊張関係を次のように表現している。多くのAIモデルには説明可能性が欠けており、それは上級管理者が監督するリスクを理解し管理していることを示すというSMCRの要件と直接矛盾する。
FCAの決済・デジタル金融担当エグゼクティブ・ディレクターであるデビッド・ギール氏は、委員会に対し、金融機関内の個人がAIによって引き起こされた被害について「責任を負う」と述べた。英国のフィンテック業界団体であるイノベート・ファイナンスは、多くの機関の経営陣がそもそもAIリスクを評価するのに苦労していると反論した。法的に責任を負う人々がモデルが何をしているかを評価できない場合、説明責任制度には構造的な弱点がある。
この圧力はロンドンをはるかに超えて広がっている。2026年1月、経済協力開発機構(OECD)は49の管轄区域にわたるAI監督に関する調査を発表した。その結論は、ほとんどの国がすでに十分な法律を持っているというものだ。彼らに欠けているのは、常に更新され、サードパーティのインフラに依存し、わかりやすい説明に抵抗するAIモデルにこれらの規則を適用することについての監督上の明確性だ。執行が最も遅れているのは、モデルリスク管理、説明可能性、ベンダー監視の分野だ。
海峡を挟んだ欧州では、欧州銀行監督機構(EBA)が2025年11月にファクトシートを発行し、EU AI法と既存の銀行規制を対応付けた。2つの枠組みの間に大きな矛盾はない。しかし、信用スコアリングにAIを使用する企業には、実際の作業が待っている。AI法はこれを「高リスク」に分類している。これらの企業は現在、既存の自己資本要件規則に加えて、ログ記録、監視、インシデント報告に関するAI法の要件を満たす必要がある。EBAは、2つの規則セットがどのように相互作用するかについて共通の監督アプローチを構築するために、2026年と2027年を費やす予定だ。
注目:EYの2026年グローバル金融サービス規制見通しによると、銀行企業の70%以上が何らかの形でエージェント型AIを使用しており、16%が完全に導入されたソリューションを持ち、52%がパイロット運用を行っている。
国際決済銀行(BIS)の金融安定研究所も意見を述べ、2025年9月にAIの説明可能性とモデルリスクに関する論文を発表した。その主張は、複雑なAIモデルは、従来のモデルリスク枠組みが想定していなかったリスクを生み出すというものだ。金融機関がサードパーティのモデルに依存する場合、基礎となるアルゴリズムへのアクセスはしばしば制限される。従来の検証は、そのような条件下では困難に直面する。
EYの2026年規制見通しは、採用曲線に数字を示した。銀行企業の70%以上が何らかの形でエージェント型AIを使用していると報告している。このペースと規制の明確性の速度との間のギャップが、調達を停滞させている場所だ。
銀行が実際に求めているもの
2年前、銀行の信用チームにAIモデルを販売するベンダーは、精度率と統合スケジュールに関する質問を受けていた。質問は変わった。銀行と資産運用会社は現在、モデルカードを求めている。データ系統記録。変更ログ。トレーニングデータとテストデータへのアクセス。再現性プロトコル。そして、モデル主導の意思決定が失敗した場合に誰が支払うかを明記する契約上の補償条項。
サリンジャー氏は、これらの要求のほとんどが間違った場所に向けられていると言う。「金融機関が主に必要としているのは、AI判断そのものの説明可能性ではない」と彼は言う。「彼らが必要としているのは、モデルが行動した時点で何を知っていたかの完全で検査可能な記録だ。それは別の問題だ」
彼は、貿易金融と信用ワークフローにおける典型的な失敗を説明する。モデルは、古く、不完全で、一貫性のないスコープのコンテキストに対してトレーニングまたはクエリされた。6カ月後、取引が破綻する。その時点での監査上の問いは「なぜモデルはXを出力したのか」ではない。「どのシグナル、文書、過去の決定に対して動作していたのか、そしてそれらは正しいものだったのか」だ。誰もそれに答えることができない。なぜなら、誰も適切なレイヤーでそれをログに記録していないからだ。
サリンジャー氏は、ベンダーが通常パッケージ化している説明可能性は、この段階ではほとんどパフォーマンス的なものだと主張する。それはモデルの内部ロジックを説明する。規制当局と金融機関が実際に必要としているのは、運用上のトレーサビリティだ。入力の出所(どのデータ、どのソースから、どのタイムスタンプで)、検索のトレーサビリティ(何が検索され、なぜか)、意思決定の系統(この出力が同じワークフロー内の以前の決定とどのように結びついているか)。
ベンダーは同じ問題の別のバージョンに直面している。完全な監査可能性には、知的財産の境界線が急速に曖昧になるほど、検索と推論アーキテクチャを十分に公開する必要がある。「『監査可能性』を提供するほとんどのベンダーは、出力をログに記録しているだけで、プロセスを公開していない」とサリンジャー氏は言う。「それは規制当局がまだ完全には引いていない意味のある区別だ」
サリンジャー氏は、答えはプロセスの監査可能性とアーキテクチャの透明性を分離することだと考えている。ベンダーは、システムがどのように構築されたかを明らかにすることなく、特定のワークフローで何が起こったかの完全な記録を引き渡すことができる。業界はそこに到達する必要がある。ほとんどのベンダーはまだそこに到達していない。
それは交渉中に銀行を窮地に陥れる。彼らは規制当局を満足させ、事後的に決定を再構築するのに十分な文書を望んでいる。ベンダーは、自社製品を購入する価値のあるものにする独自のロジックを保護したい。契約が戦場となり、数週間で終了していた調達サイクルは、法務チームが監査証跡アクセス条項と3年前にはベンダー契約に存在しなかった補償文言をめぐって議論するにつれて、数カ月に延びている。
所有権、説明責任、責任は3つの異なる戦い
問題の一部は、3つの異なる概念が同じ会話の中で衝突し続けており、誰もそれらを解きほぐすために立ち止まらないことだ。
所有権は最も整理しやすい。誰がモデルを管理し、誰が変更、再トレーニング、または廃止できるか。ほとんどのベンダー関係では、ベンダーがそれを所有し、銀行がそれをライセンスする。説明責任はより難しい。何か問題が起きたときに規制当局に答えるのは誰か。英国のSMCRの下では、それは導入機関の関連する上級管理者に降りかかる。EU AI法の下では、義務は「提供者」(開発者)と「導入者」(システムを使用する企業)の両方に降りかかる。ベンダー契約に署名しても、説明責任は銀行の帳簿から外れない。
責任は、本当の戦いが起こる場所だ。誰が支払うのか。補償条項、財務的エクスポージャーの上限、紛争中の監査証跡アクセス権。これらの条項は、信用、財務、貿易金融全体で取引サイクルを遅らせている。銀行はベンダーのモデルを導入し、規制当局に対して説明責任を負い続けながら、ベンダーが財務リスクの一部を吸収するよう交渉する可能性がある。バランスは交渉力に依存し、現在、より厳格な文書化を主張する買い手が優位に立っている。
財務委員会は、パズルの別のピースを標的にした。重要なサードパーティ制度は、セクターにとって重要なサービスを提供する非金融企業に対して規制当局に執行権限を与えるために作成された。AIとクラウドプロバイダーが主要な標的だった。制度が開始されてから1年以上経過したが、指定されたプロバイダーは1つもない。委員会は、セクターがAIとクラウドサービスについて少数の米国テクノロジー企業に大きく依存していることを考えると、この遅延は説明がつかないと述べた。
欧州中央銀行(ECB)は、監督側から同じギャップを見てきた。2025年に信用スコアリングと不正検出に焦点を当てた13の銀行とワークショップを実施した後、ECBは約半数がAIを監督するための専用のポリシーまたは委員会を導入していることを発見した。残りの半数は導入していなかった。そして全体として、第2および第3の防衛線——リスク管理と内部監査——は、技術が要求する深さでAIを監督する装備が整っていなかった。
結論
信用、財務、貿易金融はAIを採用し続けるだろう。調達のボトルネックは、能力から説明責任に移行した。誰が出力に名前を付け、誰が異議を唱えられたときに決定を再構築でき、誰が間違ったときに小切手を書くのか。クリーンな監査証跡、明確な上級管理者の承認、厳格な責任条項を持つ企業が取引を成立させるだろう。それ以外の企業は、2026年をモデルが調達の停滞状態で埃をかぶるのを見て過ごすことになるだろう。
