NEW

保険会社のAIに関するガバナンス(欧州)-EIOPAから各国監督当局への意見の公表

2025年09月05日

(安井 義浩) 保険計理

関連カテゴリ

1――はじめに

2025年8月6日、EIOPA(欧州保険・企業年金監督機構)から、各国の保険・年金監督当局宛に、AIガバナンスのあり方に関する意見1が公表された。
 
1 OPININON ON AI GOVERNANCE AND RISK MANAGEMENT (2025.8.6 EIOPA)
https://www.eiopa.europa.eu/document/download/88342342-a17f-4f88-842f-bf62c93012d6_en?filename=Opinion%20on%20Artificial%20Intelligence%20governance%20and%20risk%20management.pdf
(報告書の翻訳や内容の説明は、筆者の解釈や理解に基づいている。)

2――意見書の内容

2――意見書の内容

1背景・目的・適用範囲
AIは、あらゆる業界で進行中のデジタル変革において、極めて重要な役割を期待されている。特に保険分野においては、価格設定、保険引受判断、保険金請求の管理、不正の検知などにおいて、AIシステムの利用が増加する傾向にある。

しかしその一方で、既存のリスクを増大させたり、新たなリスクをもたらしたりすることも懸念されている。特に一部のAIシステムでは、その出力過程や結果を人が説明しきれないことにより、偏見や差別的な出力を生むリスクを高める可能性がある。

EUにおいては、基本的人権、健康、安全を十分に保護することを目的として、2024年8月にいわゆるAI法が発効し、経済のあらゆる分野に適用されている。AI法においては、保険会社が利用する可能性が高いAIシステムの中でも、生命保険と健康保険における個人に関するリスク評価と価格設定のためのAIシステム利用が、高リスクであると認定している。高リスクであると認定されたAIシステムの提供者や導入者は、AI法に従い、包括的なガバナンスとリスク管理を実施しなければならない。

本意見書の適用範囲は、AI法において禁止も高リスク認定もされていない保険分野のAIシステムのリスクである。こうした範囲については、必要に応じて保険業界独自に規制を行うべきであり、その際考慮すべき要件を明確にする必要がある。

ただし、今すぐに新たな規制要件を定めたり、AI法の適用範囲を変更しようとしたりする目的があるのではなく、既存の保険関係法令をAIシステムに対してどう適用するのか、をできる限り明確にすることが目的である。
2AIに関するガバナンスと、リスク管理フレームワーク
既存の法令においては、それぞれ以下のような対処方針が掲げられている。

・ソルベンシーII指令
保険会社は保険・再保険事業の性質、規模、複雑性に応じた、健全かつ慎重な事業運営を可能にする、効果的なガバナンスシステムを整備する必要がある、としている。

・保険販売指令 
保険会社に対し、保険商品の性質に見合った適切な保険商品承認プロセスを維持・運用し、それらを見直すことを義務付けている。

・デジタル・オペレーショナル・レジリエンス法 
金融機関に対して、プロポーショナリティに応じた内部ICTガバナンスとリスクフレームワークの整備を義務付けている。
 
こうした既存の規制の中で、まず第一段階として、保険会社が使用する、本稿の対象とするAIシステムを特定し、リスクを評価する必要がある。具体的な利用特性とリスク、プロポーショナルなガバナンスとリスク管理措置を作成する必要がある。顧客や保険会社自身に対する影響が軽微と見なされれば、比較的単純な評価方法で済むが、より大きな影響が想定されるAIシステムは包括的な評価を受ける必要がある。
 
その影響の評価については、データ処理の規模、機敏性、影響を受ける顧客数、AIシステムの自律性の程度、消費者向けのアプリケーションで利用されるものかどうか、顧客の意思決定に影響を与えるものか社内利用にとどまるのか、差別禁止規定に抵触する可能性があるかどうか、といった様々な基準を考慮する必要がある。

保険特有の基準としては、年齢等の個人データを利用する必要、金融インクルージョン(誰でも金融サービスを受けられるようにすること)にとって重要な事業分野や、法律で義務付けられている事業分野においてAIシステムが利用される程度などが含まれる。

また、保険会社経営の観点からは、AIシステムが保険会社の法的義務や財務状況(保険金請求件数、契約件数、保険料収入、ソルベンシー比率など)にどの程度影響を与えるのかという点も重要である。また付随して考慮されるべき風評リスクも重要である。
 
第二段階として、前段で述べた影響評価を考慮した、AIシステムの責任ある利用を目的とした「相応の措置」を策定すべきである。リスクに基づいた適切なガバナンスを行うため、以下のような項目に留意する必要がある。
 
〇公平性と倫理
保険会社等は、常に顧客の最善の利益に沿って、誠実公正かつ専門的に行動しなければならない。また保険の価格設定においても顧客を公正に扱うことが求められている。こうした公平性の確保や差別禁止の取り扱いが定期的に検証され、必要に応じて監査されるべきである。

またそれでも保険会社のAIシステム利用により、顧客が何らかの被害を受けたような場合の、適切な救済メカニズム(苦情の申立手続きなど)を整備すべきである。
 
〇データガバナンス
AIシステムの学習やテストに使用されるデータは完全で正確で適切でなければならない。特にデータの偏りを除去するために合理的な努力を尽くすべきである。これらは第三者から取得したデータを利用する際も同様である。
 
〇文書化と記録の保持
AIシステムの高リスクの利用のために、保険会社は再現性とトレーサビリティを確保するために、訓練および試験、データの取り扱いとモデリング手法に関する適切な記録を保持すべきである。
 
〇透明性と説明可能性
保険会社は、AIシステムの成果がきちんと説明できるようにすべきである。そのためには、不透明なアルゴリズムではなく、説明可能なAIアルゴリズムを使用することや、従来の数学的モデルを微調整するためだけにAIシステムを用いる、などのやり方が考えられる。AIシステムが複雑なことにより、どうしても透明性や説明可能性が阻害される恐れがある時は、例えば人間による監視の部分を強化するなど、補完的なリスク管理措置を講じるべきである。
 
〇人による監視
AIシステム全体を通じて、効果的な内部統制システムを導入すべきである。各段階の責任を確認する方針を文書化すべきである。

管理・経営・監督部門においては、組織内のAIシステム利用全体に対する十分な知識を有しているべきであり、利用と社内周知の責任を負う。コンプライアンスと監査部門は、それらが、法律をはじめとする関連規則に準拠していることを確認する役割がある。 
 
〇正確性、堅牢性、サイバーセキュリティ
AIシステムの精度、堅牢性、サイバーセキュリティのレベルを定義しておく必要がある。またシステムの脆弱性を悪用した不正な第三者の攻撃に対する体制をもつべきであり、保険会社はICT業務の継続性を確保するための、適切で最新のインフラと対応計画を準備しておく必要がある。
 
またAIシステムにおける対策は、単独のものではなく、様々なリスク管理対策を組み合わせることによって実現できる。

保険会社はAIシステムが社内で開発されたかサービスプロバイダーとの共同開発であるかに関わらず、最終的な責任を負う。もちろんサービスプロバイダーにも役割と責任があるが、保険会社が開発したAIシステムの特性、機能、データ、適用限界などについて、十分な情報と保証を取り付けるべきである。知的財産権等の関係で、完全なリスク管理措置(データガバナンスや説明可能性)の実施が困難なケースもありうるが、その場合でも、サービスレベルに適切な条項を含めることや、外部監査の実施などの措置を講ずることにより、生じるリスクの軽減を図るべきである。

3――おわりに

3――おわりに

この意見書に挙げた対応方向が実現されているかどうかについて、EIOPAは2年後に各国監督当局の監督状況を調査し、監督の統一性を評価する予定である。また、今後特定のAIシステムや、その保険における活用時の問題についてより詳細な分析を行い、必要に応じてさらなるガイダンスを提供することも予定しているとのことである。

1 2

保険研究部   主任研究員 年金総合リサーチセンター・気候変動リサーチセンター兼任

安井 義浩(やすい よしひろ)

研究領域:保険

研究・専門分野
保険会計・計理、共済計理人・コンサルティング業務

レポートについてお問い合わせ
(取材・講演依頼)

経歴

【職歴】
 1987年 日本生命保険相互会社入社
 ・主計部、財務企画部、調査部、ニッセイ同和損害保険(現 あいおいニッセイ同和損害保険)(2007年‐2010年)を経て
 2012年 ニッセイ基礎研究所

【加入団体等】
 ・日本アクチュアリー会 正会員
 ・日本証券アナリスト協会 検定会員

関連レポート

レポートについてお問い合わせ
(取材・講演依頼)

関連カテゴリ・レポート

保険・年金フォーカス

保険会社経営

保険法制・規制

欧米保険事情

生成AI・AI