生成AIは、わが国の金融機関で「実験」から「実装」へと急速に局面を移している。日本銀行が2025年度に取引先金融機関153先を対象に実施した本調査では、約5割が既に生成AIを業務に利用し、試行中まで含めると7割強、将来的な検討先まで含めると9割強に達した。本稿は原典を読まずとも、利用の広がり・具体的な用途・そして当局が重視するリスク管理の論点を、非ITの実務目線で把握できるよう要約する。
概要
本調査は『金融システムレポート別冊シリーズ』の一つで、2024年度に続く2回目の悉皆的アンケートである。生成AIの「利用中」は前回の31.0%から50.3%へ大きく伸び、試行中を加えると73.8%、将来の試行・利用を検討する先まで含めると約95%が何らかの形で関与する。導入目的は「業務効率化/コスト削減」「情報収集/分析高度化」が中心だが、「顧客サービスの向上」「リスク管理」「収益増加」といった攻めの用途も増加した。一方、管理面では実務ルールや組織方針の整備が大きく進んだものの、利用状況のモニタリング・サードパーティ対策・サイバー対策・ルール見直しでは約半数の先が「改善の余地がある」または「検討中」と回答している。日銀は、技術変化が速い領域として運用ルールの継続的な見直しを促し、考査・モニタリングや対話を続ける方針を示した。
調査の概要
実施主体は日本銀行金融機構局で、公表は2025年9月。対象は取引先金融機関のうち153先、回収率は100%である。前回(2024年度、2024年10月公表)との比較に加え、ITベンダー等との意見交換の内容も反映している。業態構成は次のとおりで、回答母集団は業態の偏りが小さい点に留意したい。
- 大手行(10先):みずほ・三菱UFJ・三井住友・りそな・埼玉りそなの各行に加え、三菱UFJ信託・みずほ信託・三井住友信託、SBI新生、あおぞら。
- 地域銀行・信用金庫(116先):地方銀行61先、第二地方銀行36先、信用金庫19先。
- その他(27先):ゆうちょ・PayPay・セブン・楽天・住信SBIネット・auじぶん等のネット/流通系銀行、各種信託、信金中央金庫・農林中央金庫などの系統中央機関。
生成AIの利用状況
全体でみると、生成AIを「利用中」が50.3%(前回31.0%)、「試行中」が23.5%。「試行・利用検討なし」は前回の16.1%から5.2%へ急減しており、導入をまったく考えない先がほぼ消えつつある。試行中を含めれば7割強、先行き3年の予定・検討まで含めれば約95%が射程に入る。「導入するか否か」の段階は事実上終わり、論点は「どう広げ、どう管理するか」へ移った。
| 利用段階 | 前回(%) | 今回(%) |
|---|---|---|
| 利用中 | 31.0 | 50.3 |
| 試行中 | 27.1 | 23.5 |
| 試行・利用予定(先行き3年) | 17.4 | 13.1 |
| 試行・利用検討中 | 8.4 | 7.8 |
| 試行・利用検討なし | 16.1 | 5.2 |
業態別の差
業態間の差は依然として大きい。大手行は「利用中」が90.0%(前回80.0%)で、残る10%も試行中であり、事実上すべての先が利用または試行に入った。これに対し地銀・信金は利用中が24.6%から43.1%へほぼ倍増(試行中25.9%)、その他は40.7%から66.7%へ拡大(試行中18.5%)した。前回は大手行に偏っていた利用が、地銀・信金やその他業態へ面的に広がった点が今回の特徴である。
| 業態 | 前回 利用中(%) | 今回 利用中(%) | 今回 試行中(%) |
|---|---|---|---|
| 大手行 | 80.0 | 90.0 | 10.0 |
| 地銀・信金 | 24.6 | 43.1 | 25.9 |
| その他 | 40.7 | 66.7 | 18.5 |
| 合計 | 31.0 | 50.3 | 23.5 |
導入目的とユースケース
導入目的(利用中+試行中の先数)は、業務効率化/コスト削減が111先(前回89先)、情報収集/分析高度化が70先(前回28先)と大幅に増えた。前回は回答が少なかった顧客サービスの向上(6→30先)、リスク管理(6→18先)、収益増加(3→18先)も伸びており、コスト削減一辺倒からトップライン(収益)への活用へ目的が多様化しつつある。
利用分野では、文書の要約・校正・翻訳・報告書作成といった文書系の効率化が引き続き中核で、社内の規程などの情報検索(社内文書を参照して回答させる、いわゆるRAG型の用途)も48→78先へ拡大した。加えて、融資稟議書の作成、マーケティング、コールセンター業務支援、顧客ニーズに応じた営業支援、与信審査・信用リスク管理、不正取引の検知(今回34先)など、新たな業務領域へ広がっている。利用開始後の評価も「期待を上回る」「概ね期待通り」が増え、これら新分野も相応にポジティブと報告された。一方、システム開発・運行管理(コード生成等を含む領域)は59→43先と唯一減少しており、定型文書ほど一様には普及していない。なお、報告書作成の前回値には融資稟議書作成が含まれる(今回は分離計上)点に留意が必要だ。
| 利用分野(利用中+試行中、先数) | 前回 | 今回 |
|---|---|---|
| 文書の要約 | 76 | 102 |
| 文書の校正・添削・評価 | 72 | 99 |
| 翻訳 | 61 | 89 |
| 報告書などの文書作成 | 54 | 87 |
| 規程などの情報検索 | 48 | 78 |
| システム開発・運行管理 | 59 | 43 |
| 融資稟議書の作成 | ― | 25 |
| マーケティング | ― | 16 |
| コールセンター業務支援 | ― | 15 |
| 与信審査・信用リスク管理 | ― | 8 |
リスク管理の論点
管理状況の設問は、生成AIを利用中・試行中の先(合計で全体の約74%、おおむね110先強)を対象に、項目ごとに「している」「しているが、改善の余地がある」「検討中」「該当なし」を尋ねている。下表のとおり、入出力情報の管理やルールの明文化は大きく進んだ一方、監視・第三者・サイバーの各項目は「改善の余地」+「検討中」が約5割に及ぶ。
| 管理項目(今回、先数) | している | 改善余地あり | 検討中 | 該当なし |
|---|---|---|---|---|
| 入出力情報を管理できるシステム環境の整備 | 97 | 8 | 3 | 5 |
| 利用目的を限定(目的外利用を認めない) | 77 | 11 | 8 | 17 |
| 入力データを制約(機密情報の入力禁止など) | 76 | 20 | 7 | 10 |
| 実務ルール(マニュアル等)の整備 | 67 | 21 | 20 | 5 |
| 組織の方針の明文化(規程等) | 60 | 18 | 25 | 10 |
| 出力データの検証・評価(正確性・著作権) | 48 | 30 | 24 | 11 |
| 利用状況の定期的なモニタリング | 53 | 30 | 23 | 7 |
| サードパーティリスクへの対策 | 44 | 18 | 37 | 14 |
| サイバー攻撃への対策 | 39 | 21 | 35 | 18 |
| 実務ルールや組織方針の見直し | 40 | 26 | 36 | 11 |
ハルシネーション(出力の正確性)
生成AIは、事実と異なる内容をもっともらしく出力する「ハルシネーション」を起こしうる。金融では、誤った情報が稟議書や顧客説明、報告に紛れ込めば、与信判断の誤りや顧客への不適切な説明に直結する。原典が挙げる管理策は出力データの検証・評価(正確性・著作権の観点)で、今回48先が実施(前回34先)と進んだものの、約半数は改善余地・検討中であり、人による最終確認を前提とする運用が基本に据えられている。
情報漏えい・データ管理
外部の生成AIに機密情報や顧客情報を入力すると、外部送信や学習を通じて漏えいするおそれがある。これに対しては最も整備が進んでおり、入出力情報を管理できるシステム環境の整備が97先、入力データの制約(機密情報の入力禁止など)が76先、利用目的の限定が77先で実施されている。もっとも「利用目的を限定」では17先が「該当なし」と回答するなど、入口の縛り方には先によってばらつきが残る。
サードパーティ/ベンダー依存
生成AIの多くは外部ベンダーやクラウドを介して提供されるため、提供者側の障害・仕様変更・セキュリティ事故が自社業務に波及する。原典はリスク評価や定期的な監査などサードパーティリスクへの対策を求めるが、対応済みは44先にとどまり、改善余地18先・検討中37先と約5割が未整備である。委託先管理を契約と監査の仕組みとして制度化できているかが問われる。
モデルガバナンス(ルール・人の確認・監視)
実務ルール(マニュアル等)の整備は41→67先、組織方針の明文化(規程等)は44→60先へ大幅に増え、仕組みとしてのガバナンスが前進した。一方で利用状況の定期的なモニタリングは実施が53先で、改善余地30先・検討中23先。原典は、技術変化が急速な領域であることを踏まえ、「管理している」と回答した先を含めて、管理方法や運用ルールを継続的に見直す必要があると明確に促している。
サイバー(プロンプトインジェクション等)
生成AI特有の攻撃として、入力文に不正な指示を仕込むプロンプトインジェクション等が挙げられる。原典が求める対策はインシデント対応計画の整備やリスク評価だが、対応済みは39先で、改善余地21先・検討中35先と約5割が未整備にとどまる。従来のサイバー防御とは異なる攻撃面を持つ点で、相対的に対応が遅れている領域である。
説明責任と新技術リスク
顧客サービスに生成AIを用いる場合、利用者への説明責任をどう果たすかが課題になる。さらに原典は、新技術の活用により生じうる新たなリスクとしてAIエージェントの想定外の動作によるトラブルを例示し、利用拡大に先んじた留意を求めている。
日本銀行の着眼とメッセージ
日銀のメッセージは、利用促進と管理高度化を両輪で捉えるものだ。第一に、生成AIの利用拡大は今後も続き、顧客サービスなどトップライン収益につながる分野への活用が広がると見込む。第二に、その際には生成AI特有のリスク・サードパーティ管理・利用者への説明責任をクリアする必要があり、AIエージェント等の新技術が生む新たなリスクにも留意すべきだとする。第三に、技術変化が速い領域として、すでに「管理している」先も含めて運用ルールの継続的な見直しを求めている。そのうえで日本銀行は、考査・モニタリングやセミナー等を通じて、生成AIの利用状況とリスク管理のあり方について金融機関との対話を続けていく方針を明言した。なお、従来型AIも約7割が既に利用・試行中(大手行は9割)であり、生成AIと従来型AI・AIエージェントを組み合わせた業務プロセスの刷新が広がる可能性にも言及している。
示唆
- 自行を測る物差しを「導入率」から「管理の成熟度」へ。利用中50%はもはや通過点であり、差がつくのはモニタリング・サードパーティ・サイバーである。これらは業界全体で約半数が未整備であり、先行すれば差別化の余地が大きい。
- 攻めの用途に進む前に、守りを運用へ埋め込む。顧客サービス・営業・コールセンターへの拡大は説明責任とハルシネーションの管理と表裏一体である。人による最終確認と出力検証を業務フローに組み込んでから広げるべきだ。
- サードパーティ管理を契約・監査の制度にする。ベンダーの障害や仕様変更が自社業務に直結するため、リスク評価と定期監査を仕組み化する必要がある。本調査でも約5割が未整備であり、ここは当局が明示的に着目している。
- 運用ルールは「作って終わり」にしない。技術変化が速く、日銀も管理済みの先を含めた継続的な見直しを求めている。年次などの定期見直しサイクルを設けることが、考査・モニタリングの着眼点とも整合する。
- 生成AIと従来型AI・AIエージェントの組み合わせを先取りする。業務刷新の次の波はこの組み合わせから生まれる可能性が高い。想定外動作に備えたガバナンスを早めに設計しておくことが、後追いのコストを抑える。