侵害は単なる症状に過ぎない - なぜデータガバナンスは取締役会の夜を眠らせるべきなのか。

侵害は単なる症状に過ぎない

2026年に入り、すでに4つの事件が、データガバナンスがなぜ取締役会の夜を明かさせるのかを痛感させる明確な例となっている。

アブダビでは、世界有数の金融集会の一つから700以上のパスポートスキャン画像が、無防備なクラウドサーバーに保存されているのが発見された。これには元英国首相のキャメロン卿やヘッジファンドの億万長者アラン・ハワードのものも含まれると、フィナンシャル・タイムズが最初に報じた。高度な国家的攻撃者やゼロデイ攻撃はなく、第三者ベンダーの設定ミスによるバケットの誤設定だけだった。フランスでは、当局が約120万の銀行口座情報が漏洩したことを確認した。攻撃者は政府職員の盗まれた認証情報だけを使い、国内のFICOBA登録簿—最も敏感な金融身分証明リポジトリの一つ—にアクセスした。強引な侵入やマルウェアはなかった。間違った身分情報への信頼だけだった。

Bettermentは、第三者のコミュニケーションプラットフォームに対するソーシャルエンジニアリング攻撃により、100万人以上の顧客の個人情報—退職金プランの詳細、金融関心、内部会議のメモ—が漏洩したと明らかにした。その後、ランサムウェアグループがすべてを公開すると脅迫したが、Bettermentは支払いを拒否した。そしてPayPalは、貸付プラットフォームのコーディングエラーにより、社会保障番号を含む非常に敏感な顧客データが約6ヶ月間露出していたことを確認した。

これらの事件は、巧妙な攻撃者を必要としなかった。しかし、いずれも防止に利用できるツールや枠組みが十分でなかった。

これらの事件は、壊滅的な規制や財務的な結果をもたらしていない。正直なところ、それが問題だ。

私は大手金融機関で長年働き、その後10年にわたり組織のデジタル変革を支援してきた。私が一貫して観察してきたのは、リーダーシップの意図の欠如ではなく—ほとんどの取締役会や幹部はデータガバナンスを真剣に捉え、正しく行おうと努力している—むしろ、脅威環境の複雑さと、それに対処するためのツール、ガイドライン、専門知識の成熟度との間に構造的なギャップがあることだ。これらの事件は私を驚かせなかったし、特に怠慢な関係者だけを浮き彫りにしたわけでもない。PayPal、FICOBA、Betterment、アブダビ金融週間の主催者たちも、他の何百もの機関と同じ課題に直面している。彼らは今四半期の見出しになっているだけだ。これを読む頃には、きっとまた別の事件が起きているだろう。

現代の金融サービス組織は驚くほど複雑だ。パスポートスキャン、支払い認証情報、生体認証、行動データ—これらすべてが収集され、複数のクラウド環境に保存され、第三者ベンダーや下請け業者、API連携を通じて処理されている。最も勤勉な取締役会でさえ、その全体像を完全に把握するのは困難だ。新たなサプライヤー関係が増えるたびに攻撃面は拡大する。実際、Verizonの2025年データ侵害調査報告によると、第三者の関与による侵害は前年比で倍増し、30％に達している。SecurityScorecardはさらに高く、全侵害の35.5％が第三者アクセスに起因すると指摘している。この複雑さの拡大速度は、管理枠組みの進化を追い越してしまっている。これは業界全体の問題であり、リーダーシップの失敗ではない。

この誤りの結果は単なる運用上の問題にとどまらない。顧客の信頼という存在そのものに関わる問題だ。米国銀行家協会の最近の調査では、米国の銀行顧客の51％が、主にその銀行のセキュリティを信頼しているために選んでいると答え、67％は深刻なデータ漏洩後に他行への乗り換えを検討すると答えている。これは未来の評判リスクではなく、ビジネスモデルそのものが危機に瀕していることを意味する。

私が最も懸念しているのは、自己満足ではない—私が関わる取締役会ではほとんど見られない。むしろ、脅威の速度と対応の準備状況との間のギャップが拡大していることだ。規制の動きは各国で強化されている。GDPRの下では、悪意の外部攻撃と防止可能なガバナンスの失敗の区別はほとんど意味を持たない。規制当局が問うのは、「適切な安全策が講じられていたか」だけだ。英国や米国では、州ごとの断片的な制度が不均衡なインセンティブを生み出し、UAEではPDPLの枠組みがまだ成熟段階にある。どこも共通しているのは、「責任追及」が高まっていることだ。SECはこれを明確に示し、2026年の検査優先事項にサイバーセキュリティガバナンスの懸念を盛り込み、暗号通貨を超える主要リスクと位置付けている。問題は、規制の期待が、それに応えるための実践的な指針よりも速く高まっていることだ。

そこで、私が取締役会に提起するのに最も役立つ質問を共有したい。これは非難ではなく、困難な状況を乗り越えるためのナビゲーションツールだ。

企業は本当に、自社の顧客データがどこにあるのかを正確に把握しているか？自社のインフラだけでなく、すべてのベンダー、クラウド環境、越境データ転送にわたって把握できているか？第三者のデューデリジェンスは、その信頼を置くデータの敏感さに見合ったものになっているか？そして何より、AIリスクの全体像を理解できる人材—サイバーセキュリティの一般論者だけでなく、AIシステム自体が攻撃対象となる可能性を見極められる専門家—を確保しているか？

技術はほとんどの場合、制約要因ではなく、リーダーシップの意志もそうだ。FICOBAの侵害にはマルウェアは不要だった。Bettermentの侵害にはゼロデイ攻撃は必要なかった。今年初め、Figureというフィンテック企業の約100万アカウントが電話一本で露出した。これらの事件に共通しているのは、管理の怠慢ではなく、脅威が進化する速度に対して枠組みや専門知識、対応策が追いついていない環境にあるということだ。そのギャップを埋めるには、継続的な投資と専門知識、そして現状の脆弱性についての正直な組織内の議論が必要だ。

誰も名付けたくない規制のギャップ

これらの事件は、追いつきつつあるか、あるいは全く逆方向を向いている規制環境の中で起きている。そのギャップは、単なるコンプライアンスの問題ではなく、規制の枠組みがないところにはほとんどガバナンスが及ばないからだ。

ヨーロッパでは、DORAがICTのレジリエンスと第三者監督に関する実効的な義務を創出している。EUのAI法は、高リスクAIの適用にリスクベースの枠組みと罰則を設けている。これらは、金融分野のデジタルリスクを規制しようとする最も本格的な試みだ。ただし、これらは既知の分類可能な脅威を想定して設計されている。DORAはシステムの侵害を前提とし、AI法は偏った出力による消費者被害を想定している。どちらも、AIシステムの敵対的操作—モデルの毒殺、詐欺検知を欺く敵対的入力、役員になりすますディープフェイクによる不正送金の承認—を意図した攻撃には対応していない。インフラを攻撃しつつモデルを改ざんする攻撃は、どちらの枠組みもカバーできないギャップに落ちる。

米国はより不確実な状況にある。金融サービスにおける包括的な連邦AIガバナンスの枠組みは存在しない。SECは既存の開示ルールをAIに適用し、財務省は非拘束的なリスク管理枠組みを発表した。トランプ政権は州レベルのAI法を事前に抑制しようと動いている。結果として、体系的な枠組みはまだできていない。善意の介入の集合に過ぎない。

英国はその中間に位置する。FCAはAI特有のルールを導入せず、既存の責任制度を用いてAI駆動の結果に対して上級管理職を責任追及している。理屈は妥当であり、FCAのAIラボを通じた企業との協働も真剣な努力を反映している。しかし、AIやクラウドプロバイダーを規制の対象とするために設計されたCritical Third Parties Regimeは、設立以来一つも組織を指定していない。英国の財務省選定委員会も、金融システムは大規模なAI関連事故に備えていないと結論付けている。規制当局と機関は、未踏の領域で最善を尽くしているが、最善が準備不足と同じではない。

これら3つの法域が共有するのは、中心的な新興リスク—AIシステムが単なるツールではなく、攻撃対象となり得る攻撃面であること—をまだ名付けていないことだ。そして、そのリスクを規制し、管理する枠組みも未だ存在しない。AIシステムが侵害された場合、その影響は見えず、事後に検知が難しく、技術的な故障とAIの故障の区別もつかない。これにより、各枠組みの間に落ちる危険性がある。

これは、これらの問題に取り組む人々への批判ではなく、脅威の進化の速さに対して私たちの対応能力が追いついていないことの認識だ。問題を認識することは始まりに過ぎない。理想的な状態は明白だ。取締役会レベルのAIリスク専門家とサイバー・法務の担当者が並び、規制当局によるAI特有のストレステストが義務付けられ、敵対的AI攻撃に対する明確な規制カテゴリーが設けられ、企業に明確な義務と責任が課されることだ。これらは、世界のどこにもまだ十分に整備されていない。

金融機関のAIシステムを逆手に取る意図的な武器化には、いまだ明確な規制の枠組みがない。機関は、規制当局が定めていないことを管理できるはずもない。しかし、だからこそ、取締役会は今これらの問いを投げかける必要がある。規制の枠組みが整う前に。ルールができたときには、すでに事件が起きているからだ。

侵害はあくまで症状に過ぎない。しかし、ガバナンスの問題は、私たち—機関、規制当局、アドバイザー—が今のところ修正できる範囲を超えて拡大している。

アレッサンドロ・ハタミはPacemakers.ioのマネージングパートナーであり、デジタル金融サービスのシニアアドバイザー。