金融機関が2026年に留意すべき規制の変化とは

金融機関、特にクロスボーダーの大規模な金融機関のCEOにとって、こうしたローカライゼーションの進展は、戦略とオペレーティングモデルにリスクをもたらす脅威となります。金融機関の成功に必要なケイパビリティは、国ごとに規制が異なる中で事業運営コストが上昇している法域がないか常に注視できる体制を整えること、優先順位が高い市場における規制の変更と新たなリスクの出現を注意深く監視すること、そして綿密なシナリオプランニングを通じて、さまざまな規制の実施に伴う影響を予測することの3つです。

金融機関のCEOは今後も分断化・細分化が続くと考えているため、現行のリスクに短期的な戦術的対応をするのではなく、長期的な方向性の転換を図っています。昨年のグローバル金融サービス規制の展望ではこうした動向の多くを予見していましたが、2026年は規制環境がより複雑かつダイナミックになるため、金融機関は成長分野とレジリエンスを高める必要がある分野を見極めながら、さまざまな規制上の優先事項に対応していかなければならないでしょう。

主要な地域では、その地域特有の規制上の優先事項が具体的な形となって現れてきました。米国はイノベーションと成長の後押しを目的に規制緩和を目指し、EUは簡素化、調和、競争力強化に重点を置き、英国はリスクより成長を優先させ、アジア太平洋地域はフィンテックイノベーションと市場開拓に力を入れ、中南米は金融包摂と顧客保護に注力しています。

このように環境が急速に変化する中、2026年に鍵を握るのは次の4つの課題です。

1. AIガバナンス：急速な普及に監督が追いつかない

金融機関において人工知能（AI）が急速に普及していますが、規制当局の監督がそれに追いついていません。EYとMIT Technology Review Insightsが共同でまとめたレポート「Imagining the Future of Banking with Agentic AI（PDF）」によると、銀行の70%以上が何らかの形でエージェント型AIを利用し、16%がソリューションを組織全体に導入し、52%がパイロットプロジェクトを実施していると回答しました。その一方で、強固なガバナンスの枠組みが全体的に欠如しています。

米国、EU、英国、アジア太平洋地域の規制当局はそれぞれ異なるアプローチをとり、既存の原則に依拠する当局もあれば、新たな規則案を策定している当局もあり、グローバルコンプライアンス部門は今後、法域によって異なる、複雑な規制環境への対応を余儀なくされます。そのため、金融機関は事業を展開する各法域のAIに関する規制へのコンプライアンスに優先的に取り組まなければなりません。

取締役会は規制に先んじて、AIの管理を検討課題とし、説明能力、監査能力、サードパーティリスク管理の構築・向上に投資をしています。取締役会とCEOは、規制対応の漏れやレピュテーションリスク、イノベーション機会の喪失を回避するために、この分野でリーダーシップを発揮することが不可欠です。

金融機関に推奨されるアクション

• データセキュリティ対策、監査証跡、来歴管理を備えた強固なAIガバナンスとAIモデル管理によって、バイアスのあるデータやモデルエラーなどのリスクを軽減する。
• 明確なポリシーとデバイス制限を通じて、従業員による未承認のAIの利用を管理する。
• 公開型またはサードパーティのAIプラットフォーム経由での情報流出を防止し、AIツールを組織独自のワークフローに合わせてカスタマイズすることで、クライアントと組織のデータの機密性を守る。
• 既存のAIポリシーを更新して、強固なサードパーティリスク管理を含め、ソフトウェアとサービスのサプライチェーン全体を対象にする。

2. デジタル資産と決済：規制のばらつきが拡大

ステーブルコイン規制（PDF）が国家レベルで急速に進められています。特に米国ではデジタル資産を対象とした初の連邦政府レベルの法的枠組みとなるGENIUS法が制定されました。ブラジル、EU、香港、日本、韓国、シンガポール、アラブ首長国連邦（UAE）、英国など、米国以外の国・地域も独自の路線を進んでいますが、100%の準備資産による裏付け、明確な償還請求権、顧客資産の強固なカストディ体制と保全という主要な3つの原則を巡っては、ある程度の合致が見られます。

こうした規制の分断化・細分化は金融機関のビジネスモデルに影響を及ぼし、国・地域によるステーブルコインの普及度の違いにつながることが予想されます。

決済規制は、支払いを受け取る法域が規制を制定する一方、グローバル規制は地域ごとの規制に重層的に適用されるため、国内の取り組みとグローバルな取り組みの板挟みの状況にあります。

金融機関に推奨されるアクション

• 今後の規制案のホライズン・スキャニングと影響評価、解釈、そしてロードマップづくりに注力する。
• 大量償還と市場のボラティリティに関するシナリオを含め、ステーブルコイン運用のシミュレーションとストレステストを設計、実施する。
• 顧客本位や顧客の期待を踏まえた一定の救済手段をどのように提供するかを決定する。

3. レジリエンスとサイバーセキュリティ：取締役会レベルの喫緊の課題

監督当局は重要なサードパーティのテクノロジープロバイダーをはじめとした、規制対象ではない事業者発の脅威を重視する姿勢を強めています。とはいえ、その対応のスピードは法域によりさまざまです。EUでデジタル・オペレーショナル・レジリエンス法（Digital Operational Resilience Act/DORA）が2026年から段階的に施行される一方、英国やカナダでは大きな進展がまだ見られず、香港では2026年1月1日から関係法令が施行され、米国ではこれらの分野の監督を連邦政府機関と州政府機関が分担しており、依然として懸念事項となっています。

地政学的な不確実性により、国境をまたいで事業を展開する金融機関を中心に、オペレーショナルレジリエンスとサイバーセキュリティの脅威が高まっています。最新のEY/IIFグローバルバンクリスク管理サーベイの対象となった金融機関は、こうした問題に取締役会レベルで対処しており、また、人材の採用に当たりデジタルスキルとリスク環境の変化への対応力を重視しています。

金融機関に推奨されるアクション

• 特に重要業務に関して、サードパーティプロバイダーへのエクスポージャーをマッピングし、業務中断リスクの軽減策を導入する。グローバル金融グループはエクスポージャーを国内・地域・グローバルレベルで把握する必要がある。
• サイバーセキュリティとサイバーレジリエンスに対する自社のアプローチについて詳細にベンチマーク分析を行う。その対象には取締役会レベルの後押し、専門的な技術リソース、経営陣への定期的な状況報告、明らかになったギャップへの迅速な対応も含める。

4. 顧客に対する最善の利益の確保：変化する基準

顧客本位が今後も政策立案者と規制当局の主要な関心事であることに変わりはないでしょう。サービス水準に対する顧客の期待が変化したことで、金融機関にますます圧力がかかり、また規制当局に対する政治的圧力も高まっています。

英国金融行為規制機構（FCA）のConsumer Duty規制は世界中から関心を集め、顧客保護の新たなベンチマークを打ち立て、リテール顧客に対する金融機関の注意義務を確立しました。英国以外の複数の国・地域で検討されている規制の変更も、この影響を受けることが予想されます。その一方で、状況が異なるのは、2025年に消費者金融保護局（CFPB）が事実上閉鎖された米国です。

2026年に備えて金融機関ができること：

• エンド・ツー・エンドのクライアントジャーニーを徹底的に見直して、不公平な慣行の排除、情報の簡潔化、手数料体系の明確化を図る。
• 規制当局が公正性の原則をどのように捉えているかをよく把握し、顧客の利益のために行動していることの説明責任を果たす準備をする。
• パートナー企業や関連会社が顧客に及ぼす影響を管理する自らの責任を理解する。

顧客の意識を高める方策を策定して不正行為や詐欺の被害を防止するとともに、顧客が自らを守る手助けとなる抑制策を検討する。

サマリー

2026 年の「グローバル金融サービス規制の展望」は、この1年間に状況が根本的に変化したことを反映する内容となりました。今後の見通しは、複雑で変わりやすく、グローバルの要因と国内要因の相互関係にますます左右されるようになっています。米国が国内のイノベーションと成長を優先させる今、他の国・地域はそれにどのように対応するかを決めなければなりません。金融機関だけでなく、規制当局と顧客もこれまで以上に、規制、イノベーション、地政学的動向のバランスの変化を注視する必要があります。