Home > セキュリティとコンプライアンスブログ > No category > CBUAE AIガイダンス：UAE金融機関に不可欠なコンプライアンス

CBUAE AIガイダンス：UAE金融機関に不可欠なコンプライアンス

by Marc ten Eikelder updated 3月 6, 2026 規制コンプライアンス

Reading Time: 9 minutes

アラブ首長国連邦（UAE）中央銀行は2026年2月11日に提案を発表したわけではありません。消費者保護およびAI・機械学習の責任ある導入に関するガイダンスノートを公表し、UAEで事業を展開するすべての認可金融機関に対するガバナンス、セキュリティ、コンプライアンス義務を根本的に再定義しました。銀行、保険会社、両替所、金融会社、決済サービスプロバイダーなど、すべてが対象となります。

Table of Contents

主なポイント

CBUAEは、UAEのすべての認可金融機関に対し、AIガバナンスを取締役会レベルの義務としました。 2026年2月11日に公表された「消費者保護およびAI・機械学習の責任ある導入に関するCBUAEガイダンスノート」は、すべての認可金融機関（LFI）—銀行、保険会社、両替所、金融会社、決済サービスプロバイダー—に対し、規模に応じたAIガバナンスフレームワークの文書化、AIリスクの全社的リスク管理への統合、取締役会および経営陣によるAI成果への直接的な責任を求めています。これは単なる指針ではなく、遵守義務であり、検査に影響します。
セキュリティ・バイ・デザインはもはやベストプラクティスではなく、CBUAEの義務です。 LFIは、すべてのAIシステムにセキュリティ・バイ・デザインおよびプライバシー・バイ・デザインを組み込み、不正アクセス、不正利用、サイバー攻撃、システム障害への対策を講じなければなりません。ガイダンスでは、ストレステスト、冗長化対策、インシデント対応計画が明確に求められています。セキュリティを構成の一部として扱うインフラ上でAIワークロードを運用している金融機関は、検査官に説明できないリスクを抱えています。
サードパーティAIベンダーは規制上の責任を肩代わりしません—CBUAEはこれを明示しています。 外部委託AI契約には、監査権、サイバーセキュリティ保証、即時停止機能を盛り込む必要があります。CBUAEは、モデルの構築や運用主体に関わらず、AIガバナンスの成果についてLFIに責任を課します。中東地域の組織の19%が過去12か月間にサードパーティのコンプライアンス違反を報告し、22%が規制当局の調査を受けていることからも、ベンダーのコンプライアンス＝自社のコンプライアンスという時代は終わりました。
AIバイアステストの年次実施は義務—「年次」とは文書化・監査可能・説明可能であることを意味します。 CBUAEは、LFIに対し、代表的なトレーニングデータを用いてAIモデルのバイアスを少なくとも年1回、またはアップグレード後にテストすることを求めています。バイアステストの記録やトレーニングデータの証拠保管記録、非差別的な成果の証明がないまま運用されるモデルは、顧客対応ごとにコンプライアンスリスクが増大します。
AI導入スピードとAIガバナンス成熟度のギャップこそが最大のリスクです。 UAEの金融機関は、不正検知、信用スコアリング、顧客オンボーディング、AMLなどでAIを急速に導入しています。Kiteworks 2026年予測レポートによると、世界の金融サービス組織の60%が依然として中央集約型AIデータゲートウェイを持たず、5%はAI専用の管理策すらありません。CBUAEのガイダンスにより、ガバナンスの遅れは許されなくなりました。LFIがこのギャップを自ら埋めるのか、それとも検査官に指摘されるのかが問われています。

この指令は包括的です。LFIは、規模・性質・複雑性に応じたAIガバナンスフレームワークを文書化しなければなりません。AIリスクを行動、信用、オペレーション、サイバーセキュリティなど全社的リスク管理に統合する必要があります。取締役会および経営陣は、AI成果、モデル導入、継続的なモニタリングに直接責任を負い、パフォーマンスやリスクについて定期的に報告しなければなりません。すべてのAIモデルの名称、目的、リスク評価、メタデータを網羅した包括的なインベントリ作成が必須であり、CBUAEの2022年モデル管理基準とも整合します。

このガイダンスは、個人データの収集・保存・処理方法を規定するUAE個人データ保護法（連邦法令第45/2021号）にも重層的に適用されます。これらのフレームワークにより、LFIはAI固有の管理策と広範なデータガバナンス成熟度の両方を証明しなければならない多層的なコンプライアンス環境が構築されます。これは将来的な目標ではなく、現在の義務であり、検査に直結します。

このタイミングは意図的です。UAEはAI導入のグローバルリーダーを目指しており、国家AI戦略2031やドバイのAIガバナンスフレームワークはその国家的野心を示しています。しかし、ガードレールなき野心はシステミックリスクを生みます。CBUAEは明確な一線を引いています：AIを積極的に導入する一方で、厳格なガバナンスを徹底せよ。AIツールの導入スピードがガバナンス体制の構築を上回ってきたLFIにとって、規制対応の猶予は大幅に短縮されました。

セキュリティ・バイ・デザインは今や規制基準—マーケティング用語ではありません

CBUAEガイダンスは、AIにおけるセキュリティの意味を明確に定義しています。LFIは、AIシステムにセキュリティ・バイ・デザインおよびプライバシー・バイ・デザインを組み込み、不正アクセス、不正利用、サイバー攻撃、システム障害への対策を講じなければなりません。AI開発には、運用レジリエンスの確保や多様なシナリオでの検証が求められ、安全でない出力を防ぐ必要があります。

ここで、従来の金融機関の実態とCBUAEが新たに求める基準との差が顕著になります。銀行のAI導入の多くはクラウドインフラ上で行われており、セキュリティはIT部門の構成設定に依存しています。設定が誤れば保護も不十分となり、基盤インフラがマルチテナントの場合、銀行のAIデータは他社と実行環境を共有し、クロステナントの脆弱性が銀行自身の問題となります。

CBUAEが求めるのは、構成依存ではなくアーキテクチャとしてのセキュリティです。ストレステスト、冗長化、インシデント対応計画は必須要件であり、オプションではありません。外部委託AIについても、契約には監査権、サイバーセキュリティ保証、即時停止機能が盛り込まれていなければなりません。特に強調すべきは、CBUAEがLFIに対し、ガバナンス要件が満たされない場合は外部AIシステムを即時停止できる能力を求めている点です。この能力を証明できない金融機関は、明確かつ文書化可能なコンプライアンス問題を抱えています。

AI時代のデータガバナンス：UAE金融機関が直面するリスク

CBUAEガイダンスは、データ品質・プライバシー・セキュリティをAIコンプライアンスの基盤としています。AI・機械学習システムで使用されるデータは、UAE PDPL要件を満たし、収集・保存・利用が正当かつ適切、正確、関連性があり、定期的に更新されている必要があります。LFIは差別的なAIを導入できません。モデルは不公平な結果を避けるため、代表的なトレーニングデータによる年次バイアステストが必須です。

実際の課題は、機密性の高い金融データが静的ではなく、メール、ファイル共有、SFTPサーバー、MFTサーバー、API、ウェブフォーム、そしてAI連携など、さまざまなチャネルを流れる点です。これらのチャネルごとにガバナンスギャップが生じる可能性があります。多くの金融機関は、これらを個別のツールで管理しており、それぞれに異なるポリシー、ログ、セキュリティ体制があります。その結果、可視性の断片化、不整合な管理策、コンプライアンスの死角が生まれ、検査官の方が銀行より早く問題を特定できる状況となっています。

Kiteworks 2026年データ主権レポートは、中東地域のリスクの大きさを数値化しています。中東の回答者の44%が過去12か月間に主権関連のインシデントを経験しており、これは調査対象地域で最も高い割合です。93%がデータ主権規制が業務に直接影響していると回答し、22%が規制調査や監査を最も多いインシデントとして報告しています。顧客金融データを処理するAIシステムを導入するLFIにとって、AIガバナンス要件とデータ主権義務の融合は、断片的なツールではカバーしきれないコンプライアンス領域を生み出しています。

サードパーティAIベンダー：CBUAEが埋めるアカウンタビリティギャップ

CBUAEガイダンスは、金融機関がサードパーティAIを他人事のコンプライアンス問題として扱うことを認めていません。LFIは、ガバナンス、データ保護、年次の独立したサイバーセキュリティレビューを含む、サードパーティAIプロバイダーのデューデリジェンスを実施しなければなりません。外部委託AI契約には、監査権、サイバーセキュリティ保証、即時停止機能が必須です。コンプライアンスはサードパーティにも拡張され、オプションではなく、文書化された証拠を伴う規制上の期待となっています。

これは、金融サービスにおけるサードパーティAI依存が加速しているため重要です。銀行はモデル開発、導入、運用保守を外部ベンダーに委託するケースが増えています。これらの関係ごとにデータのやり取りが発生し、トレーニングデータが外部に流出し、モデル出力が戻り、モニタリングデータがシステム間を移動します。これらのやり取りを一元的に可視化できなければ、LFIはCBUAEが求めるガバナンスを証明できません。

中東の主権データがリスクを具体化しています：中東の組織の19%が過去1年にサードパーティのコンプライアンス違反を報告しています。サードパーティベンダーがコンプライアンス要件を満たさなかった場合、CBUAEはベンダー本社ではなく、あなたの組織に執行通知を送ります。

KiteworksがUAE金融機関のCBUAE AIガバナンス要件対応を支援

CBUAEのAIガイダンスは、断片的なセキュリティツールでは実現できない機能を求めています。すべてのデータ交換チャネルを横断したガバナンスの文書化。オンデマンドで提出可能な不変の監査証跡。構成に依存しないセキュリティ・バイ・デザイン。強制・検証可能なサードパーティベンダー管理。ストレージレベルに留まらず、アーキテクチャレベルで実現されるデータ主権。

Kiteworksはセキュアなデータ交換のコントロールプレーンです。メール、セキュアなファイル共有、SFTP、マネージドファイル転送、API、ウェブフォーム、AI連携など、機密データの流れを単一のポリシーエンジン、監査ログ、セキュリティアーキテクチャのもとに統合します。CBUAEのAIガバナンス要件に対応するUAE金融機関にとって、このアーキテクチャは検査官が期待する要件に直接対応します：

統合AIガバナンス： すべてのチャネルでAIシステムが金融データにアクセスする際、単一のポリシーエンジンが一貫したRBACおよびABAC制御を適用します。メール、SFTP、API、ファイル共有ごとに異なるポリシーを調整する必要はありません。
不変の監査証跡： すべてのデータ交換イベントが単一の統合ログに記録され、スロットリングや記録漏れゼロ、リアルタイムでSIEMに配信されます。CBUAEのAIガバナンス検査時には、包括的な証拠セットを一括提出できます。
セキュリティ・バイ・デザインのアーキテクチャ： Kiteworksは、ファイアウォール、WAF、侵入検知、保存時の二重暗号化、ゼロトラストアーキテクチャを組み込んだ強化仮想アプライアンスとして展開され、すべてKiteworksが管理します。
シングルテナント分離： すべての導入が設計上シングルテナントであり、データベース、ファイルシステム、実行環境の共有はありません。マルチテナントAIプラットフォームで発生するクロステナント攻撃は起こりません。
サードパーティベンダーガバナンス： ABAC強制による外部ユーザーライフサイクル管理、すべてのベンダーデータ交換の完全な監査証跡、CBUAEの即時停止要件を満たす停止制御を実現します。
データ主権の強制： ジオフェンシング、国内管轄下の暗号鍵管理、設定可能なIP制御により、機密金融データがアーキテクチャレベルでUAE国内に留まることを保証します。
AI対応インテグレーション： Kiteworks Secure MCP Serverにより、AIシステムが既存のガバナンスポリシーを遵守しつつ金融データと連携でき、CBUAE準拠の管理策をAIワークフローに拡張できます。

その結果、UAE金融機関は、文書や期待ではなく、アーキテクチャと証拠によってCBUAEのAIガバナンスコンプライアンスを証明できます。コンプライアンスチームが管理しやすく、セキュリティチームが信頼でき、CBUAE検査官が検証でき、取締役会が自信を持って報告できる唯一のプラットフォームです。

CBUAE AIガイダンスが貴社のセキュリティ・コンプライアンスプログラムに与える意味

CBUAEガイダンスが示すのは将来の規制環境ではなく、現状そのものです。これを目標的なフレームワークと捉え、運用上のコンプライアンス要件として扱わないLFIは、ガバナンスの文書化がないAIモデル、監査可能な管理策がないサードパーティベンダー、証拠を即時提出できないデータ交換チャネルごとに、検査リスクを積み上げています。

ガイダンス要件に基づき、特に重要な5つの対応策を挙げます：

第一に、 すべてのAI関連データ交換を横断する統合データガバナンスを確立すること。CBUAEは、AIデータの収集、処理、トレーニング、推論、出力のライフサイクル全体にわたるガバナンスを要求しています。これらを断片的なツールで管理している金融機関は、検査官が期待する一貫した管理策を証明できません。

第二に、 CBUAEが義務付けるAIモデルインベントリを今すぐ構築すること。すべてのAIモデルについて、名称、目的、リスク評価、メタデータを文書化する必要があります。検査時にこのインベントリを提出できない場合、単なる文書不足ではなく、ガバナンスの欠如と見なされます。

第三に、 セキュリティ・バイ・デザインを構成プロジェクトではなくアーキテクチャ上の意思決定として実装すること。CBUAEが求める組み込み型の対策、ストレステスト、運用レジリエンスは、既存インフラにセキュリティツールを追加するだけでは満たされません。セキュリティが標準機能として提供されるインフラが必要です。

第四に、 サードパーティAIベンダーガバナンスを、監査権・サイバーセキュリティ保証・停止制御を文書化して正式化すること。中東地域で19%のサードパーティ失敗率が示す通り、これは理論上のリスクではなく、ベンダー関係が多い機関にとって統計的な現実です。

第五に、 受動的なコンプライアンス文書化から、継続的かつ実証可能なガバナンスへの転換を図ること。CBUAEはAIのパフォーマンス・リスクに関する定期報告、継続的モニタリング、監査対応証拠を求めています。検査のために準備するのではなく、常にコンプライアンス体制を維持することが重要です。

2026年にこれらのギャップを埋める金融機関は、AIをより迅速かつ安全に、証明可能なガバナンスによる規制上の自信とともに導入できるでしょう。先送りした機関は、CBUAEが自社と同じギャップを、説明の余地なく文書化していることに気付くことになります。

CBUAE AIコンプライアンスのためにUAE金融機関がKiteworksを必要とする主な5つの理由を読むには、こちらをクリックしてください。

よくある質問

CBUAE消費者保護およびAIの責任ある導入に関するガイダンスノートは、UAE認可金融機関に対し、AIガバナンスフレームワークの文書化、包括的なAIモデルインベントリ、AI成果に対する取締役会レベルの責任、セキュリティ・バイ・デザインの対策、年次バイアステストの実施を求めています。また、AIリスクを全社的リスク管理に統合し、オンデマンドで監査対応可能な証拠を提出できる体制も必要です。Kiteworksの統合監査ログとポリシーエンジンは、LFIがこれらの要件をCBUAE検査官に示すのを支援します。

CBUAEのAIガイダンスでは、外部委託AI契約に監査権、サイバーセキュリティ保証、即時停止機能を含めることが求められています。LFIは、モデルの運用主体に関わらず、サードパーティAIの成果に対する規制上の責任を全面的に負います。中東地域の19%がサードパーティのコンプライアンス違反を報告している中、Kiteworksは外部ユーザーライフサイクル管理、ABACポリシー強制、完全なサードパーティ監査証跡により、ベンダーガバナンスの文書化を支援します。

CBUAEガイダンスは、UAE連邦法令第45/2021号（PDPL）に直接重層的に適用されます。個人データを処理するAIシステムは、収集・保存・利用が正当かつ適切、正確であることを保証しなければなりません。モデルには代表的なデータを用いた年次バイアステストが必要です。Kiteworksは、きめ細かなアクセス制御、国内管轄下の暗号鍵管理、ジオフェンシングを通じて、アーキテクチャレベルでPDPLコンプライアンスを強制し、データレジデンシーを「約束」ではなく「証明」できるようにします。

CBUAEは、AIシステムにセキュリティ・バイ・デザインおよびプライバシー・バイ・デザインが組み込まれていることを求めており、導入後に追加するものではありません。不正アクセス対策、ストレステスト、冗長化、インシデント対応計画などが含まれます。従来の境界型セキュリティでは不十分です。Kiteworksは、ファイアウォール、WAF、二重暗号化、ゼロトラストアーキテクチャ、シングルテナント分離を備えた強化仮想アプライアンスとして、セキュリティを製品機能として自動的に提供します。

CBUAE検査官は、AIガバナンスフレームワークの文書化、メタデータ付きの完全なモデルインベントリ、AIパフォーマンスとリスクに関する取締役会報告、バイアステスト記録、サードパーティベンダーガバナンス文書、AIデータ交換を網羅した包括的な監査証跡を期待しています。Kiteworksプライベートデータネットワークは、すべてのデータ交換チャネルにわたる不変かつエクスポート可能な証拠アーティファクトを生成し、LFIが検査対応時に証拠を「集める」のではなく、「即時証明」できるようにします。