FATF審査結果を見据えたマネロン・テロ資金供与対策のポイント

FATFは2020年5月にCOVID-19-related Money Laundering and Terrorist Financing Risks and Policy Responses³(COVID19関連のマネロン・テロ資金供与リスクおよび政策(弊社訳))を公表しており、新型コロナウィルス感染症に関連した犯罪の傾向について注意喚起を行っている。コロナ禍を背景に、世界的に詐欺、サイバー犯罪、政府資金や国際金融支援の流用や搾取などの関連犯罪が増加し、これらが犯罪組織のための新たな収益源を生み出すことによって、マネロンなどのリスクが増大していることが指摘されている。

これは、我が国においても例外ではない。コロナ感染リスクの回避を目的に、一般的に取引相手の様態が把握しにくくなっており、結果、マネロンなどのリスクが高いとされる非対面での金融取引が増加している。これと並行し、リモートワークの脆弱性を狙ったフィッシングやランサムウェアなどのサイバー攻撃も頻発している。こうした手段により、犯罪組織などが不正に取得した金銭が非対面の金融取引を通じて金融システムに流入するリスクが増加していると言える。

また、営業自粛などにより停滞した経済を刺激するため、現在各種の景気刺激策が講じられているが、補助金の不正受給など、対策を悪用した金銭の不正取得やロンダリングを行う事例もみられる。さらに、犯罪集団が消費者の不安に付け込み、コロナやワクチンに関連する偽の情報を流布し、詐欺を働く事例も確認されている。

金融機関などにおいては、こうしたリスク環境の変化を踏まえ、マネロンなどリスクの特定・評価を再検討する必要がある。

なお、ここでは詳細に言及しないが、マネロンなどを取り巻く現下の環境として、この他にも、FinTech事業者との連携拡大によるリスクコントロールの複雑化、北朝鮮の制裁違反、米財務省(OFAC)の規制強化など、直近で様々な変化が生じている。

コロナ禍のように環境が大きく変化するケースだけではなく、自機関の取引や顧客、委託先、役職員などに影響を及ぼす情報については、常日頃より各種情報源から収集・分析し、機動的に対策を協議する体制を構築しておくことが求められる。例えば、コロナ禍以前にも、フィッシングによるインターネットバンキングの不正利用の被害は増加傾向にあり、警察庁も度々注意喚起を実施していた⁴。こうした情報を踏まえ、自社の顧客で同様の被害が生じていないか、自社サービスの認証レベルや顧客への注意喚起は十分であるか、外部の事業者と連携してサービスを提供している場合、外部事業者の認証レベルやリスク管理体制は十分であるかなどを組織的に検証・評価することが求められる。

リスク管理においては、ついつい目の前に顕在化したリスクへの対処に目が行きがちであるが、本来はそれ以上に何を潜在的なリスクとしてとらえるか、すなわち平時におけるリスクの特定・評価が重要である。しかし、内外の情報を収集し、ビジネスモデルや顧客、商品・サービスの実態と結び付けて効果的な対策に落とし込むためには、一定のスキルと時間が要求される。またこうした営みは、短期的にはリスクの軽減に役立っているように見えにくいため、実務において軽視されがちである。今回のガイドライン改訂やFAQにおいて、リスクの特定・評価における経営陣の主導的な関与が改めて強調されている背景として、リスク情報の収集・分析を実施するための組織や要員、能力の確保が十分ではない金融機関に対する金融庁の危機感が窺える。

顧客管理（Customer Due Diligence：カスタマー・デュー・デリジェンス以下、CDD）は個々の顧客の情報や取引履歴などを収集し、顧客ごとのリスク評価・リスク低減を行う一連の対応を指している。ガイドラインの初版（2018年2月公表）の記載を受けて、金融機関の多くはこの顧客管理を実施するため、ITシステムの整備を進めている。

まず、従来は「顧客類型ごとにリスク評価を実施し当該類型ごとに対策を講じることも可」と読めた記載から、ガイドラインの改訂版においては「全ての顧客についてリスク評価を実施する」との記載に改められた。2018年2月のガイドライン(初版)発出当初は、FATF基準並みの顧客別管理を要求することが本邦金融機関の実態にそぐわなかった。しかし、初版の発出から2年ほどの間に、預金取扱金融機関を中心に顧客情報の収集・管理が進み、従来評価が困難であった個々の顧客のリスクがある程度把握可能となっている。今回の改訂は、こうした金融機関の取り組みレベルの進展を踏まえ、FATF基準並みの管理を一律に求める方針に舵を切ったものと考えられる。

次に、FAQにおいて具体化された点として、「継続的な顧客管理における顧客情報の確認頻度」があげられる。金融機関では顧客のリスクの大小に応じて、顧客ごとにSDD（Simple Due Diligence：簡素な顧客管理）、CDD（通常の顧客管理）、EDD（Enhanced Due Diligence：厳格な顧客管理）と３段階で顧客管理の程度を定め、この３段階に応じて顧客情報をどの頻度で入手するかを定めていると想定される。FAQでは、この顧客情報の更新頻度について、「高リスク先については１年に１度、中リスク先については２年に１度、低リスク先については３年に１度」と明記された。

今回のガイドライン改訂やFAQの発出を受けて、改めて顧客リスク評価や顧客情報の取得に関する対応計画、対応手順の抜本的な見直しが求められるだろう。

このように、顧客管理の粒度や頻度の要請レベルは段階的に高まってきているが、金融機関の規模や業容は多様であり、すべての金融機関が一律で高度な顧客管理を実装するハードルは高いと言える。その一方で、脆弱性を有する金融機関や金融サービスが、マネロン・テロ資金供与の標的（金融システム全体の「抜け穴」）になる懸念もあり、金融システムを形成するすべての金融機関が、一定程度足並みを揃えた対応を講じていく必要がある。規模の小さい金融機関や少額取引に限定したサービスを提供する金融機関の場合、多大な経営資源を投下することが困難であり、また個社単独ではリスク評価に利用する顧客情報を十分に収集できないといった課題が想定される。こうした課題への対応として、一部の業界では、業界団体が主導するワーキンググループや複数社間でのコンソーシアムの組成、システムの共同化などの事例が見られる。例えば、証券業界では、複数の証券会社などでワーキンググループを組成し、高度化に向けた議論を実施している⁵。また地方銀行や信用金庫では、システムなどの共同化にも取り組んでいる。一方で、こうした動きが現在まであまり活発ではない業界も存在する。取り組みが遅れる事業者や業界が、我が国の金融システムにおけるマネロン・テロ資金供与の「抜け穴」とならないためにも、各社での体制構築はもとより、業界を上げたノウハウの検討・共有の仕組みを強化していくことが必要と考えられる。

金融機関では、異常取引や制裁対象取引の検知などを目的に、取引フィルタリングを行っている。個々の取引を人間がチェックすることは困難であることから、多くの金融機関がITシステムを利用して取引フィルタリングを実現しているのである。

FAQではこの取引フィルタリングについても具体的な要件を求めている。まず取引フィルタリングの抽出方法として『アルファベットで複数の表記方法があり得る場合には、スペリングの違いについて幅をもって検索できる「あいまい検索機能」の適切な設定』を例示している。また、国際連合安全保障理事会決議などで経済制裁対象者などが指定された際には、金融機関などは、数時間から遅くとも24 時間以内に自らの制裁リストに取り込み、取引フィルタリングを行い、各金融機関などにおいて既存顧客との差分照合が直ちに実施される態勢を求めている。

金融機関は従前から利用する取引フィルタリングの機能や関連する業務フローにこうした要件が具備されているかを確認し、不十分な場合にはITシステムや業務フローの抜本的な見直しも含めて対応する必要があろう。

なお、当内容についても、小規模事業者などが単独で検討し、対応を講じていくうえではハードルが高いと想定される。そのため、先述の通り事業者間でのノウハウ共有や、システム共同化などに向けた議論が必要であると想定される。

本稿では、コロナ禍によるリスク環境変化、ならびに改訂版ガイドラインおよびFAQから影響が大きいと想定される事項を紹介した。いずれも、これまで金融機関が構築してきたマネー・ローンダリングやテロ資金供与対策の対応態勢を見直す契機となるだろう。なお、金融庁は、ガイドラインで対応を求めている事項について、2024年3月末までに対応を完了させることを、業界団体を通じて金融機関などに要請⁶している。

各金融機関においては、今一度、現下のガバナンス体制、規程類、事務フロー、ITシステムを総点検し、アップデートに向けた検討に取り組むことが求められる。