中経記者 郭建杭 北京報道AI時代における大量データの収集・利用に伴い、データセキュリティの重要性が際立っている。AI技術の発展は急速であり、人工知能は、想定よりも速いスピードで銀行の業務意思決定や経営活動に浸透していく。これまでに複数の銀行が、デジタル・トランスフォーメーションの推進を継続すると公に発表しており、業務の進め方をデータ駆動へと転換していく方針だ。あわせて、市場と規制当局も、銀行のデータ・セキュリティ防御能力が同時に追随できるのかを問い質しており、銀行のデータ・セキュリティ保護は、銀行のコンプライアンス経営水準に直結する。『中国経営報』の記者は、3月26日時点で、人民銀行およびその支部が公示した行政処分のうち、「データセキュリティ管理」または「ネットワークセキュリティ管理」の違反に明確に関わる事例が30件を超えていることに注目した。神州信息のデータ・アセット納品部総経理 張琨は、「AI時代の銀行におけるデータセキュリティ管理は、従来のデータガバナンスを土台にしつつ、AIアプリケーションの特性に合わせて革新とアップグレードを行う必要がある。カギは、『データが生成された瞬間から、用途・権限・ライフサイクルをきちんと特定して印付けする』という精緻な管理体制を構築し、技術手段と制度による制約を有機的に組み合わせることで、データの安全とコンプライアンスを確保しつつ、AI技術の健全な発展も支えることにある」と述べた。年明けの処分事例が30件超「第十五次五カ年計画(15-5)」の初年度にあたり、銀行業界が直面する安全環境はさらに複雑化している。受動的なコンプライアンスから能動的な防御へ、単点のガバナンスから体系的な運営へ。データセキュリティをめぐる攻防は、規制当局による年明けの処分からも一目瞭然だ。前述の人民銀行が公表した、データセキュリティおよびネットワークセキュリティの違反を理由とする処罰公告によれば、国有の大手銀行の一部省・市の支店、持株制銀行、城農商行(地域の信用組合・農村商業銀行)もいずれも罰金(罰票)を受けている。一部の処分を見ると、瑞豊農商行(ライズフォン農商行)は316.8万元で科されており、2026年の第1四半期の処分金額の中でも高い部類だ。人民銀行が公表した行政処分の情報によれば、瑞豊銀行は、金融統計管理規定、口座管理規定、データセキュリティおよびネットワークセキュリティ管理規定に違反したこと、ならびに規定に従った顧客のデューデリジェンス(尽職調査)や大口取引の報告を実施しなかったことなど、複数の違法・違反行為に関与したため、この罰金を科された。該当の罰金に関して、瑞豊銀行側は記者に対し、「本処分は初期(過去2年間)の処分であり、現在はすでに是正を完了している。主としてデータ活用が規範に従っていないことが問題で、細部の問題については、今後、技術のアップグレードと業界の変化を踏まえて関連計画を策定し、セキュリティ防護システムへのアップグレード投資も行う」と述べた。さらに、貴州省の2つの銀行は、「信用情報の収集・提供・照会および関連する管理規定に違反」したとして処罰された。これらの銀行は、現時点では公表可能な是正措置がないと説明している。貴州省内のある農商行の関係者は記者に対し、「現状、農商行はデータセキュリティやネットワークセキュリティなどの操作基準を実行する際、概ね省聯社(省の信用社連合組織)側が定めた規範的な行為基準に基づいて管理している。行社が違反により処罰を受けた後の、今後の具体的な是正措置も省聯社が定めることになる」と語った。罰金(処分)に盛り込まれた理由を整理すると、ネットワークセキュリティ管理規定およびデータセキュリティ管理規定に違反するケースが最も多く、次いで信用情報の収集・提供・照会および関連する管理規定に違反するケースだ。さらに、コンピュータウイルスやネットワーク攻撃、ネットワーク侵入など、ネットワークセキュリティへの危害を防ぐための技術的措置を講じなかったことによる違反行為にも、関与事例がある。規制当局が連続して罰金(処分)を出している背景には、金融データセキュリティの監督・規制体系が急速に整ってきていることがある。2024年以降、国家金融監督管理総局と中国人民銀行が「二本立ての監督」体制を形成している。公表情報によれば、2024年12月に国家金融監督管理総局が『銀行・保険機関データセキュリティ管理弁法』を公表し、銀行・保険機関に「データセキュリティ評価」を導入した。2025年5月には、中国人民銀行が『中国人民銀行業務分野データセキュリティ管理弁法』を公表し、中国人民銀行の業務分野におけるデータセキュリティのコンプライアンス最低ラインの要求を詳細に明確化した。あわせて、「誰が業務を見るか、誰が業務データを見るか、誰がデータセキュリティを見るか」という原則を明確にした。2026年に入ると、政策の公表ペースは着実に進んでいる。国家金融監督管理総局弁公庁が『金融機関データセキュリティ管理能力向上のための特別行動を実施することに関する通知』を印刷・配布し、「一部を見つけて是正し、一部を通報し、一部を処罰する」という全体要件を明確に打ち出した。さらに、国家インターネット情報弁公室(国家网信办)は『金融情報サービスデータ分類・階層化ガイドライン』について意見募集を実施し、コアデータ、重要データ、センシティブ一般データの階層化ルールを一段と細分化している。業界関係者は、規制の中核的な導きは、銀行がデータセキュリティとネットワークセキュリティを企業ガバナンスおよび日常の経営管理の中へ組み込むよう後押しし、段階的で受動的なコンプライアンスから、長期的で継続的なガバナンスへの転換を実現することにあると考えている。「壁を築く発想」から「データ流通を管理する発想」へ規制政策による強い後押しの下で、銀行業界のデータセキュリティ構築における弱点もいっそうはっきりしてきた。現時点で、銀行のデータセキュリティ構築にはどのような明確な弱点があるのか?張琨は、第一にデータ・アセットの全量棚卸し能力が不足している点を挙げる。多くの銀行は自社のデータの基礎(データの棚卸し状況)を完全には把握しておらず、特に各業務システム、テスト環境、個人PC、および過去からの経歴を持つレガシーシステムに分散している「暗データ」を、効果的に統一管理することができていない。データがどこにあるか分からなければ、効果的な保護の話にはならない。第二に、データの流通過程における可視性と制御能力が不足している点だ。業界でよく言われる痛点は「データは可視だが制御できない」である。つまり、データは中核システム内では安全だが、さまざまな手段でExcel、テスト用ライブラリ、または第三者システムへ出力された瞬間に「規制の死角」に入ってしまう。従来のデータ漏えい防止(DLP)システムは、主にファイルの流通に注目するが、API呼び出し、データベース照会などの方法によるデータアクセス行為については、監視・制御能力が相対的に弱い。第三に、内部要員のデータセキュリティ意識と操作の規範性の問題がある。技術手段がどれほど進んでいても、要員のセキュリティ意識が追いつかなければ、依然として大きなリスクの開口部が生じる。特に、業務部門が作業効率を高めるためにセキュリティ手順を回避したり、データ共有・協働の場面で違反操作が発生したりするケースが起きがちだ。張琨は、政策・法規が打ち出された背景の下で、銀行のデータセキュリティ構築は「コンプライアンス駆動」から「リスク管理」へ転換する、重要な局面に直面していると考えている。ただし、現行の規制環境では、データセキュリティ構築の具体的な現場実装においても、依然として多くの課題がある。たとえば、銀行はデータ分類・階層化の体系を構築しているが、実際の運用では「実装が難しい」という問題に直面している。また、銀行の業務の国際化が加速し、データの国外持ち出しの場面が増えているため、越境データ流通のコンプライアンス要求がより厳しくなり、銀行はデータ国外持ち出しの安全評価メカニズムを構築する必要がある。現状、データ流動はAPIインターフェースやデータベースの直結などの「新型データ・チャネル」に依存しており、これにより新たなリスクの開口部などの問題も生み出されている。実際には、人工知能(AI)などの新技術の深い応用の背景の下で、金融業界におけるデータセキュリティ保護のロジックは根本的に変わっている。クラウドコンピューティング管理とスマート算力のスケジューリング運用会社 佳杰云星(ジャイエ・ユンシン)テクノロジーの責任者は記者に対し、「AI時代における銀行のデータセキュリティ構築への最大の影響は、セキュリティ戦略がデータの呼び出しのたび、あらゆる経路に必ず動的に追随して配備されなければならないという点だ。従来の『ユーザー—アプリシステム—データベース』というデータアクセス経路では、セキュリティ戦略は主にネットワーク境界と単一アプリケーションを軸に構築されていた。AI時代では、AIエージェントを中核とするアクセス経路が非常に動的になり、ユーザーはAIエージェントを通じて各種ツールやAPIを呼び出し、システムをまたいで企業のデータ資源へアクセスする。経路は自律的に計画され、ドメインをまたいで流通するため、従来の境界やアプリケーションに基づくアクセス制御では十分に機能しにくい。さらに、データ漏えいのリスクは単一シーンから、複数経路の並行に拡張される。加えて、エージェントのタスク完了のために広範な権限を付与すると、権限逸脱アクセスなどのリスクが生じやすい。以上の要因が、AI時代におけるデータ保護戦略の転換を左右している」と述べた。AI時代、銀行のデータセキュリティ管理はデータの全ライフサイクルをどうカバーするのか?張琨は、銀行はデータを中心としたAIガバナンスのフレームワークを構築し、多方面からデータ全ライフサイクル管理能力を高める必要があると考えている。収集段階では、AIアプリケーション向けのデータ収集に関する専用の評価メカニズムを設ける必要がある。AIプロジェクトにおけるデータのニーズについては、項目ごとに用途と必要性を説明し、「目的限定+最小限の必要」という原則を徹底すること。同時に、自動化されたコンプライアンス検出ツールを導入し、格納前のデータに対してプライバシーのコンプライアンス・スキャンを行い、データの出所に関する追跡可能性の仕組みを確立して、学習データの「クリーンさ」と合法性を確保する。保存・利用段階では、プライバシー強化技術を幅広く適用すべきだ。とりわけ差分プライバシー技術の利用により、データに数学的ノイズを加えて、攻撃者がモデルの出力から具体的な個人のプライバシー情報を逆算できないようにする。共有の段階では、シーンに基づく精緻なデータ共有管理メカニズムを構築するべきだ。AIアプリケーションの特性を踏まえ、異なるシーンごとにデータ共有の範囲、共有の方式、安全要件を明確化する。連邦学習のような技術を採用すれば、データのプライバシーを保護する前提でデータ価値の共有を実現できる。破棄の段階では、ライフサイクルを自動化した運用メカニズムを構築する必要がある。自動化ツールを用いてデータを全チェーンにわたって標識付け・管理し、データがAI学習タスクを完了するか、またはコンプライアンス上の保管期限を超えた時点で、システムが自動的に安全な廃棄プロセスをトリガーし、改ざん不可能な廃棄証明を生成する。 大量情報、精密な解釈は、新浪财经APPにて
AI時代の安全への問い:銀行データ保護の論理が変わる
中経記者 郭建杭 北京報道
AI時代における大量データの収集・利用に伴い、データセキュリティの重要性が際立っている。
AI技術の発展は急速であり、人工知能は、想定よりも速いスピードで銀行の業務意思決定や経営活動に浸透していく。これまでに複数の銀行が、デジタル・トランスフォーメーションの推進を継続すると公に発表しており、業務の進め方をデータ駆動へと転換していく方針だ。あわせて、市場と規制当局も、銀行のデータ・セキュリティ防御能力が同時に追随できるのかを問い質しており、銀行のデータ・セキュリティ保護は、銀行のコンプライアンス経営水準に直結する。
『中国経営報』の記者は、3月26日時点で、人民銀行およびその支部が公示した行政処分のうち、「データセキュリティ管理」または「ネットワークセキュリティ管理」の違反に明確に関わる事例が30件を超えていることに注目した。
神州信息のデータ・アセット納品部総経理 張琨は、「AI時代の銀行におけるデータセキュリティ管理は、従来のデータガバナンスを土台にしつつ、AIアプリケーションの特性に合わせて革新とアップグレードを行う必要がある。カギは、『データが生成された瞬間から、用途・権限・ライフサイクルをきちんと特定して印付けする』という精緻な管理体制を構築し、技術手段と制度による制約を有機的に組み合わせることで、データの安全とコンプライアンスを確保しつつ、AI技術の健全な発展も支えることにある」と述べた。
年明けの処分事例が30件超
「第十五次五カ年計画(15-5)」の初年度にあたり、銀行業界が直面する安全環境はさらに複雑化している。受動的なコンプライアンスから能動的な防御へ、単点のガバナンスから体系的な運営へ。データセキュリティをめぐる攻防は、規制当局による年明けの処分からも一目瞭然だ。
前述の人民銀行が公表した、データセキュリティおよびネットワークセキュリティの違反を理由とする処罰公告によれば、国有の大手銀行の一部省・市の支店、持株制銀行、城農商行(地域の信用組合・農村商業銀行)もいずれも罰金(罰票)を受けている。
一部の処分を見ると、瑞豊農商行(ライズフォン農商行)は316.8万元で科されており、2026年の第1四半期の処分金額の中でも高い部類だ。人民銀行が公表した行政処分の情報によれば、瑞豊銀行は、金融統計管理規定、口座管理規定、データセキュリティおよびネットワークセキュリティ管理規定に違反したこと、ならびに規定に従った顧客のデューデリジェンス(尽職調査)や大口取引の報告を実施しなかったことなど、複数の違法・違反行為に関与したため、この罰金を科された。該当の罰金に関して、瑞豊銀行側は記者に対し、「本処分は初期(過去2年間)の処分であり、現在はすでに是正を完了している。主としてデータ活用が規範に従っていないことが問題で、細部の問題については、今後、技術のアップグレードと業界の変化を踏まえて関連計画を策定し、セキュリティ防護システムへのアップグレード投資も行う」と述べた。
さらに、貴州省の2つの銀行は、「信用情報の収集・提供・照会および関連する管理規定に違反」したとして処罰された。これらの銀行は、現時点では公表可能な是正措置がないと説明している。貴州省内のある農商行の関係者は記者に対し、「現状、農商行はデータセキュリティやネットワークセキュリティなどの操作基準を実行する際、概ね省聯社(省の信用社連合組織)側が定めた規範的な行為基準に基づいて管理している。行社が違反により処罰を受けた後の、今後の具体的な是正措置も省聯社が定めることになる」と語った。
罰金(処分)に盛り込まれた理由を整理すると、ネットワークセキュリティ管理規定およびデータセキュリティ管理規定に違反するケースが最も多く、次いで信用情報の収集・提供・照会および関連する管理規定に違反するケースだ。さらに、コンピュータウイルスやネットワーク攻撃、ネットワーク侵入など、ネットワークセキュリティへの危害を防ぐための技術的措置を講じなかったことによる違反行為にも、関与事例がある。
規制当局が連続して罰金(処分)を出している背景には、金融データセキュリティの監督・規制体系が急速に整ってきていることがある。2024年以降、国家金融監督管理総局と中国人民銀行が「二本立ての監督」体制を形成している。
公表情報によれば、2024年12月に国家金融監督管理総局が『銀行・保険機関データセキュリティ管理弁法』を公表し、銀行・保険機関に「データセキュリティ評価」を導入した。2025年5月には、中国人民銀行が『中国人民銀行業務分野データセキュリティ管理弁法』を公表し、中国人民銀行の業務分野におけるデータセキュリティのコンプライアンス最低ラインの要求を詳細に明確化した。あわせて、「誰が業務を見るか、誰が業務データを見るか、誰がデータセキュリティを見るか」という原則を明確にした。
2026年に入ると、政策の公表ペースは着実に進んでいる。国家金融監督管理総局弁公庁が『金融機関データセキュリティ管理能力向上のための特別行動を実施することに関する通知』を印刷・配布し、「一部を見つけて是正し、一部を通報し、一部を処罰する」という全体要件を明確に打ち出した。さらに、国家インターネット情報弁公室(国家网信办)は『金融情報サービスデータ分類・階層化ガイドライン』について意見募集を実施し、コアデータ、重要データ、センシティブ一般データの階層化ルールを一段と細分化している。
業界関係者は、規制の中核的な導きは、銀行がデータセキュリティとネットワークセキュリティを企業ガバナンスおよび日常の経営管理の中へ組み込むよう後押しし、段階的で受動的なコンプライアンスから、長期的で継続的なガバナンスへの転換を実現することにあると考えている。
「壁を築く発想」から「データ流通を管理する発想」へ
規制政策による強い後押しの下で、銀行業界のデータセキュリティ構築における弱点もいっそうはっきりしてきた。現時点で、銀行のデータセキュリティ構築にはどのような明確な弱点があるのか?
張琨は、第一にデータ・アセットの全量棚卸し能力が不足している点を挙げる。多くの銀行は自社のデータの基礎(データの棚卸し状況)を完全には把握しておらず、特に各業務システム、テスト環境、個人PC、および過去からの経歴を持つレガシーシステムに分散している「暗データ」を、効果的に統一管理することができていない。データがどこにあるか分からなければ、効果的な保護の話にはならない。第二に、データの流通過程における可視性と制御能力が不足している点だ。業界でよく言われる痛点は「データは可視だが制御できない」である。つまり、データは中核システム内では安全だが、さまざまな手段でExcel、テスト用ライブラリ、または第三者システムへ出力された瞬間に「規制の死角」に入ってしまう。従来のデータ漏えい防止(DLP)システムは、主にファイルの流通に注目するが、API呼び出し、データベース照会などの方法によるデータアクセス行為については、監視・制御能力が相対的に弱い。第三に、内部要員のデータセキュリティ意識と操作の規範性の問題がある。技術手段がどれほど進んでいても、要員のセキュリティ意識が追いつかなければ、依然として大きなリスクの開口部が生じる。特に、業務部門が作業効率を高めるためにセキュリティ手順を回避したり、データ共有・協働の場面で違反操作が発生したりするケースが起きがちだ。
張琨は、政策・法規が打ち出された背景の下で、銀行のデータセキュリティ構築は「コンプライアンス駆動」から「リスク管理」へ転換する、重要な局面に直面していると考えている。ただし、現行の規制環境では、データセキュリティ構築の具体的な現場実装においても、依然として多くの課題がある。たとえば、銀行はデータ分類・階層化の体系を構築しているが、実際の運用では「実装が難しい」という問題に直面している。また、銀行の業務の国際化が加速し、データの国外持ち出しの場面が増えているため、越境データ流通のコンプライアンス要求がより厳しくなり、銀行はデータ国外持ち出しの安全評価メカニズムを構築する必要がある。現状、データ流動はAPIインターフェースやデータベースの直結などの「新型データ・チャネル」に依存しており、これにより新たなリスクの開口部などの問題も生み出されている。
実際には、人工知能(AI)などの新技術の深い応用の背景の下で、金融業界におけるデータセキュリティ保護のロジックは根本的に変わっている。
クラウドコンピューティング管理とスマート算力のスケジューリング運用会社 佳杰云星(ジャイエ・ユンシン)テクノロジーの責任者は記者に対し、「AI時代における銀行のデータセキュリティ構築への最大の影響は、セキュリティ戦略がデータの呼び出しのたび、あらゆる経路に必ず動的に追随して配備されなければならないという点だ。従来の『ユーザー—アプリシステム—データベース』というデータアクセス経路では、セキュリティ戦略は主にネットワーク境界と単一アプリケーションを軸に構築されていた。AI時代では、AIエージェントを中核とするアクセス経路が非常に動的になり、ユーザーはAIエージェントを通じて各種ツールやAPIを呼び出し、システムをまたいで企業のデータ資源へアクセスする。経路は自律的に計画され、ドメインをまたいで流通するため、従来の境界やアプリケーションに基づくアクセス制御では十分に機能しにくい。さらに、データ漏えいのリスクは単一シーンから、複数経路の並行に拡張される。加えて、エージェントのタスク完了のために広範な権限を付与すると、権限逸脱アクセスなどのリスクが生じやすい。以上の要因が、AI時代におけるデータ保護戦略の転換を左右している」と述べた。
AI時代、銀行のデータセキュリティ管理はデータの全ライフサイクルをどうカバーするのか?張琨は、銀行はデータを中心としたAIガバナンスのフレームワークを構築し、多方面からデータ全ライフサイクル管理能力を高める必要があると考えている。収集段階では、AIアプリケーション向けのデータ収集に関する専用の評価メカニズムを設ける必要がある。AIプロジェクトにおけるデータのニーズについては、項目ごとに用途と必要性を説明し、「目的限定+最小限の必要」という原則を徹底すること。同時に、自動化されたコンプライアンス検出ツールを導入し、格納前のデータに対してプライバシーのコンプライアンス・スキャンを行い、データの出所に関する追跡可能性の仕組みを確立して、学習データの「クリーンさ」と合法性を確保する。保存・利用段階では、プライバシー強化技術を幅広く適用すべきだ。とりわけ差分プライバシー技術の利用により、データに数学的ノイズを加えて、攻撃者がモデルの出力から具体的な個人のプライバシー情報を逆算できないようにする。共有の段階では、シーンに基づく精緻なデータ共有管理メカニズムを構築するべきだ。AIアプリケーションの特性を踏まえ、異なるシーンごとにデータ共有の範囲、共有の方式、安全要件を明確化する。連邦学習のような技術を採用すれば、データのプライバシーを保護する前提でデータ価値の共有を実現できる。破棄の段階では、ライフサイクルを自動化した運用メカニズムを構築する必要がある。自動化ツールを用いてデータを全チェーンにわたって標識付け・管理し、データがAI学習タスクを完了するか、またはコンプライアンス上の保管期限を超えた時点で、システムが自動的に安全な廃棄プロセスをトリガーし、改ざん不可能な廃棄証明を生成する。
大量情報、精密な解釈は、新浪财经APPにて