コミュニティ・バンクは、ペンシルベニアを拠点とする金融機関で、米国証券取引委員会(SEC)への提出書類によれば、今月初めにデータ侵害を開示し、顧客の氏名、社会保障番号、ならびに生年月日が流出したことを明らかにした。この侵害は、機密の顧客情報を取り扱うために、許可されていない人工知能ベースのソフトウェア・アプリケーションが社内で使用されたことによって引き起こされた。銀行は、関係した非公開情報の量と機微性により、この事象を2026年5月7日に重要(マテリアル)であると判断した。これは、シャドーAIによるサイバーセキュリティ上のリスクが高まっていることを示すもので、Verizonのレポートでは、従業員の承認されていないAIツールの使用が1年で15%から45%へと急増しており、悪意のないデータ漏えい行為としては3番目に多いとされている。
コミュニティ・バンクが外部アドバイザーとともに調査を開始
侵害を発見すると、SECへの提出書類によれば、コミュニティ・バンクは影響を受けた情報を確保するための措置を速やかに講じ、外部のサイバーセキュリティ・アドバイザーの支援を受けて社内調査を開始した。この事案に関する調査は、範囲や原因を含め、現在も継続中である。
SEC提出書類が銀行業務への影響なしを確認
この事案は銀行の業務、顧客の口座やサービスへのアクセス、決済システム、または中核となる情報技術インフラのいずれにも支障を来さなかった、とコミュニティ・バンクはSEC提出書類で述べた。ただし、問題となっている非公開情報の量と機微性のため、同社はこの事象を2026年5月7日に重要(マテリアル)であると判断した。
VerizonレポートがシャドーAIとデータ漏えいリスクの上昇を結びつける
コミュニティ・バンクの開示は、通信大手Verizonによるレポートの中で行われている。そのレポートでは、企業の端末で無許可のAIアプリケーションが使われるケースが急速に増えており、多くの職場でサイバーセキュリティ上のリスクが高まっていることが示されている。シャドーAIとは、職場で承認されていないAIツールを従業員が使用することを指し、レポートによれば、悪意のないデータ漏えいに関連する活動として現在3番目に多い。AIツールを従業員が頻繁に使う状況は、1年で15%から45%の従業員へと急増しており、承認されていないプラットフォームに伴うデータ流出(エクスフィルトレーション)のリスクが高まっていることを浮き彫りにしている。
よくある質問(FAQ)
コミュニティ・バンクでデータ侵害の原因は何でしたか?
SEC提出書類によれば、データ侵害は、機密の顧客情報を取り扱うために、銀行内で無許可の人工知能ベースのソフトウェア・アプリケーションが使用されたことで、社内で引き起こされた。
コミュニティ・バンクの侵害で、どのような顧客情報が流出しましたか?
銀行のSECへの提出書類で明らかにされたとおり、この侵害では顧客の氏名、社会保障番号、生年月日が影響を受けた。
データ侵害はコミュニティ・バンクの業務に支障をきたしましたか?
SEC提出書類によれば、いいえ。この事案は、銀行の業務、顧客の口座やサービスへのアクセス、決済システム、または中核となる情報技術インフラのいずれにも支障を来さなかった。
