はじめに
近年、マネー・ローンダリング(以下、「マネロン」)や第三者による不正利用、さらには詐欺への悪用など、金融機関等をとりまく犯罪利用の脅威はかつてない水準に高まっている。背景に、SNSを通じた口座の不正売買、在留カードやマイナンバーカードの偽造、生成AIを活用したフィッシング、ディープフェイクによるIDの偽造などを悪用したサイバー攻撃、「トクリュウ」と呼ばれる流動的な犯罪集団(「匿名・流動型犯罪グループ」)の脅威などが指摘されている。実際にこれらの手段や主体によるインターネットバンキングを利用した不正送金の被害は高止まりし、特殊詐欺、SNS型投資・ロマンス詐欺の被害は増加の一途をたどっている(図表1)。
【図表1】 日本における金融犯罪をめぐる情勢
【出典】首相官邸ホームページ 犯罪対策閣僚会議「国民を詐欺から守るための総合対策2.0(概要)」(2025年4月22日)
こうした状況を踏まえ、金融庁は、金融機関等が直面するリスクに対し、自らの態勢が有効に機能しているかを検証し、その高度化を促すため、2025年3月末に「マネロン等対策の有効性検証に関する対話のための論点・プラクティスの整理」1(以下、「ディスカッションペーパー」)を公表した。
このディスカッションペーパーでは、金融機関等において実施が想定されるマネロン等対策の有効性検証の内容や、金融庁と金融機関等との対話の基本的な進め方が提示されている。さらに、その付属資料として、金融機関等における有効性検証の具体的な取り組み事例をまとめた「マネロン等対策の有効性検証に関する事例集」2(以下、「事例集」)も公表された。
本稿では、ディスカッションペーパーおよび事例集で示された視点や具体例を掘り下げ、金融機関等が有効性検証を通じて金融犯罪対策を強化するためのポイントを提示する。
1,2 金融庁Webサイト「『マネロン等対策の有効性検証に関する対話のための論点・プラクティスの整理』(案)に対するパブリックコメントの結果等について」(2025年3月31日)
1.有効性検証の実施内容
ディスカッションペーパーでは、金融機関等が有効性検証を実施するにあたり、まず対象業務を洗い出し、実施時期・実施方法を協議のうえ決定すること、すなわち「実施計画の策定」が重要であるとしている。その上で、有効性検証の領域を「リスクの特定・評価」「リスクの低減」「適時(事象発生時)の検証」の3つのパートに分類し、それぞれの考え方や実施内容を解説している。
■ 実施計画の策定
ディスカッションペーパーでは、金融機関等の内外の情報を勘案し、有効性検証を行う対象業務を選定することが示されている。金融機関等の実務においては、マネロン等対策の業務領域(リスクの特定・評価、疑わしい取引の届出、経営陣の関与など)を縦軸に、リスクの特定・評価の結果、監査の指摘事項、当局からの指摘事項などの内外の情報を横軸に、課題や指摘の有無/程度などを整理し、問題が多い領域を優先的な対象領域とすることが考えられる(図表2)。
【図表2】有効性検証対象業務の優先度評価のイメージ
出典を基にNTTデータ経営研究所が作成
【出典】金融庁「マネロン等対策の有効性検証に関する対話のための論点・プラクティスの整理 第1版」(2025年3月31日)
その上で、過去の有効性検証や監査の実施時期なども考慮して年間の実施計画を策定することが考えられる。
また、有効性検証の実施主体について、ディスカッションペーパーでは「自社の業務を理解し、有効性検証を行うことができる最低限の知識を有していれば、必ずしも検証対象の業務から独立していることが必要とはならない」と言及されている。したがって、1線組織(業務の現場)における自己点検や、2線組織(管理部門)内で管理業務に従事する職員がその業務の有効性を事後的に検証することも、有効性検証の一形態として位置づけられる。
2.リスクの特定・評価
リスクの特定・評価は、マネロン等対策のあり方(範囲や深度、必要な管理態勢)を基礎づける最も重要な取り組みである。そのため、有効性検証においても、まずマネロン等リスクの特定・評価を適切に実施できているかの検証が求められる。ディスカッションペーパーでは4つの着眼点が示されているが、金融機関等におけるリスク評価書の策定や見直しに係る実務を踏まえると以下の2つのポイントに集約できる(図表3)。
【図表3】リスクの特定・評価の検証におけるポイント
出典を基にNTTデータ経営研究所が作成
【出典】金融庁「マネロン等対策の有効性検証に関する対話のための論点・プラクティスの整理 第1版」(2025年3月31日)
①リスク評価書の策定方法の妥当性の検証
まずは、リスク評価書の策定方法を定めた規程類に規定したリスク評価書の策定方法が、自社の事業環境やリスク環境などの変化に照らして不足がないかを検証する。これは、「最新の当局文書などで示されたマクロなリスク環境の変化を取り込めているか」と、「自社を取り巻く独自のリスク環境を考慮できているか」という2つの観点に峻別できる。
前者は、例えば金融庁「マネー・ローンダリング等及び金融犯罪対策の取組と課題」、警察庁「犯罪収益移転危険度調査書」や「サイバー空間をめぐる脅威の情勢等」、マネロン・テロ資金供与・拡散金融対策政策会「拡散金融リスク評価書」などで提示された最新の情報を考慮できているかを検証することが考えられる。これら直近の公表物を踏まえると、金融機関等における最新の規程類(リスク評価書の策定方法を定めた規程類)が、「匿名・流動型犯罪グループ」や「オンラインカジノ」といった脅威を適切に特定できる内容となっているか、また「法人」属性に内在する脆弱性(例:資本金の少額、登記変更の頻発、事業目的の多数、設立からの経過期間の短さ)を識別できる内容となっているか、といった視点で検証を行うことが考えられる。
後者は、自社のリスク評価書の策定方法を定めた規程類が、自社に固有のリスク環境を踏まえた分析を実施できる内容になっているかを検証することが考えられる。例えば、自社がアプリなどを活用した非対面取引の拡大に取り組んでいる場合、フィッシングによるなりすましなど、非対面取引に係る脆弱性や脅威の分析ができる内容になっているか、高齢の顧客が多く、窓口・ATM取引が多い金融機関などであれば、「年齢層」や「取引チャネル(窓口・ATM・インターネットバンキングなど)」を軸とした疑わしい取引や不正利用口座の分析ができる内容になっているか、などを検証することが考えられる。
②リスク評価書が①の策定方法に基づき策定できているかの検証
次に、リスク評価書が、リスク評価書の策定方法を定めた規程類に定めた手順や体制にそって策定されているかを検証する。具体的には、策定要領に定めた更新の時期(年次、随時)や更新の体制(経営陣への報告、委員会への付議、1線との協議など)および更新の内容(疑わしい取引の分析、商品・サービスや顧客属性、国・地域の網羅的な洗い出しと評価など)が遵守されているかを検証することが考えられる。
3.リスクの低減
リスクの低減における有効検証は、特定・評価したマネロン等リスクについて、自社が受入可能な水準まで低減または排除するために講じた各種対策が、実際に有効に機能しているかを確認する取り組みである。検証においては、まず特定したリスクに対応する基礎的な態勢(規程類、システム、管理体制など)が整備されているかを確認する必要がある。その上で、各リスク低減策の範囲や内容が適切に設計されているか、さらに、それらが実際に実行されているかを検証することが求められる。これらは、①基礎的な整備状況、②低減策の範囲・内容、③低減策の実施状況という3つの側面から検証することができる(図表4)。
【図表4】リスクの低減の検証におけるポイント
出典を基にNTTデータ経営研究所が作成
【出典】金融庁「マネロン等対策の有効性検証に関する対話のための論点・プラクティスの整理 第1版」(2025年3月31日)
①リスク低減策(基礎)の整備
マネロンガイドラインに準拠した基本的な規程類やシステム、管態体制などが存在するかを検証する。これは、本来2024年3月末のマネロンガイドライン対応期限に向けて整備が必要であったものであり、これらに不備や不足がある場合は、まずキャッチアップする必要がある。
具体的には、マネロンガイドラインFAQや、各業界団体が提供する勉強会などの内容を取りまとめた資料や参考規程などを活用し、自社が整備した規程類やシステム、管態体制に不足がないかを検証することが考えられる。
②リスク低減策の範囲・内容の検証
リスク低減策の範囲や内容(システムの検知基準、業務の実施手順など)が、自社のリスクに応じて妥当であるかを検証する。リスク低減策は、取引時確認から継続的顧客管理、顧客リスク評価、取引モニタリング、取引フィルタリング、疑わしい取引の届出など多岐にわたる。さらに、それぞれの業務ごとに、多様な切り口からの検証が考えられる。そのため、実施計画やその前提となる優先度評価の結果に基づき、問題の多い業務領域やリスクの高いプロセスを重点的に検証対象とすることが重要である。
ここでは、「顧客管理」と「取引モニタリング」を例に、金融庁が公表した事例集に掲載された取り組み例をもとに、想定される検証の手順を紹介する。
■ 顧客管理
事例集では、継続的顧客管理における定期的な顧客情報の更新手法の検証について、以下の取り組みが紹介されている。
継続的顧客管理の実施状況を定期的(例えば年次・半期ごとなど)に確認・検証し、チャネル別の回答率、不着率、不備状況の推移なども参照し、調査範囲、調査手法、調査頻度、調査項目の適切性を確認している。実施状況や検証の結果は適宜経営陣の参加する会議体等でも報告・議論している。
これを参考にすると、例えば以下のような分析・見直しの手順が想定される。
(手順1)データ収集:
情報更新に用いた手法ごとに、回答率、所要期間、記載漏れ、不備、苦情などの関連データを取得する。
(手順2)指標算出・整理:
収集したデータから、回答率や不備率などの基本指標を算出し、内容を整理する。
(手順3)分類・集計:
顧客リスク評価(High,Medium,Low)別や顧客属性(法人/個人、年齢層、業種など)別にデータを分類し、集計する。
(手順4)分析・見直し:
回答率などが他の手法と比較して低位である手法や、特定の顧客属性(高齢者など)の場合に記載漏れが多い手法など、課題があると判断される手法については見直しを検討する。以下は、上記の手順3、4で用いる検証フレームワークのイメージである(図表5)。
【図表5】定期的な顧客情報の更新手法の検証(イメージ)
NTTデータ経営研究所が作成
この例では、分析結果を踏まえた見直しとして「DMの案内文書や記載項目の修正」「IBを通じた情報更新についての周知の強化」「高齢者向けのDMの案内文書や記載項目の修正」「高齢者向けの別の手法の採用」などが考えられる。
■ 取引モニタリング
事例集では、以下のような取り組みが紹介されている。
アラート数の時系列推移や疑わしい取引の届出率の状況、口座凍結状況を踏まえ、シナリオ・敷居値が適切であるか半期ごとに確認している。
これを参考にすると、例えば以下のような分析・見直しの手順が想定される。
(手順1)アラート件数・届出件数の把握:
取引モニタリングのシナリオごとに、アラート件数および疑わしい取引の届出件数の推移を出力し、全体の傾向を把握する。
(手順2)誤検知が多いシナリオの分析:
届出件数の割合が極めて少ない(誤検知率が高い)シナリオを特定し、敷居値の設定やデータの正確性を含めて原因を検証する。
(手順3)届出との関連性を踏まえた分析:
各シナリオについて、実際に届出につながった事例や高リスク顧客の取引特性と照合し、シナリオの妥当性や敷居値設定の適切性を評価する。
(手順4)改善・統廃合の検討:
有効性が確認されたシナリオは精度向上に向けた改善を検討し、反対に有効性が乏しいシナリオについては、廃止や他シナリオとの統合を含め、全体最適の観点から見直す。
以下は、上記の手順2、3、4で用いる検証フレームワークのイメージである(図表6)。
【図表6】取引モニタリングの検証(イメージ)
NTTデータ経営研究所が作成
この例では、分析結果を踏まえた見直しとして、No.1の条件に「制裁対象国の周辺への送金」や「件数基準」の追加、No.2の条件に「高リスク顧客」の追加や金額敷居値の見直し、No.5の廃止や金額敷居値の見直しなどが想定される。
「②リスク低減策の範囲・内容の検証」では、実施計画の策定プロセスで検討した対象業務や分析の切り口を踏まえ、それに対応する検証フレームワークを設計し、必要なデータを適切に抽出・加工して検証に活用できる形に整えることが重要となる。
③リスク低減策の実施の検証
リスク低減策の実施の検証では、(「②リスク低減策の範囲・内容の検証」の対象である)リスク低減策に係る基準や手順に沿って、実際にリスク低減策が実施できているかを検証する。
②と同様に、リスク低減策は取引時確認から継続的顧客管理、顧客リスク評価、取引モニタリング、取引フィルタリング、疑わしい取引の届出など多岐にわたるため、実施計画やその前提となる優先度評価の結果に基づき、問題の多い業務領域やリスクの高いプロセスを重点的に検証対象とすることが重要である。
ここでは、「ITシステムの活用におけるデータ管理」と「教育・研修」を例に、金融庁が公表した事例集に掲載された取り組み例をもとに、想定される検証の手順を紹介する。
■ ITシステムの活用におけるデータ管理
事例集では、以下のような取り組みが紹介されている。
マネロン等対策関連システムを網羅的に把握・管理し、顧客リスク格付、取引モニタリング、フィルタリング等に関するIT システムに連携されるデータの網羅性・正確性等の有効性検証を行う体制を構築している。
マネロン等対策関連IT システムに登録されるデータの正確性について、定期的にサンプルチェック等を行うことで、元の情報や想定されるデータ型(利用可能な記号種、空白の入力可否等)に照らし検証している。
これを参考に、例えば取引フィルタリングに活用するデータを検証する場合、以下のような分析・見直しの手順が想定される。
(手順1)アラート件数の推移の把握:
特定のリストに基づくアラート件数の急増・急減や、不自然に0件が継続しているケースを把握し、異常の有無を確認する。(以下、アラート件数に急増・急減や不自然な0件の継続がみられる場合)
(手順2)システム・データ品質の検証:
データの整備やシステムの設定調整に係る人的作業・判断の誤り、データ入力プロセスの不備や予期せぬ変更、またはシステムの不具合などが発生していないかを確認する。
(手順3)リスト内容の妥当性検証:
リストに掲載された対象者情報に不備や誤りがないか、リストを取り込む際に、データ変換やフォーマットの不一致などで一部が欠落していないかを確認する。
(手順4)原因分析と対応検討:
上記の検証で判明した要因を踏まえ、設定の見直しやリストの修正などの対応策を検討し、再発防止策を講じる。
■ 教育・研修
事例集では、以下のような取り組みが紹介されている。
次年度の研修・資格取得計画の策定にあたり、①手続違反状況、②受講後の確認テストの合格状況、研修受講者・研修主催部・モニタリングや監査実施部署等からの意見を踏まえて有効性の評価を行い、研修対象者や研修内容・頻度等の見直しを検討している。
マネロン等対策に係る研修プログラムを策定し、研修結果について、定着度の効果検証のうえ、その結果をマネロン等対策委員会に報告している。
これを参考にすると、例えば以下のような分析・見直しの手順が想定される。
(手順1)実施状況の確認:
検証対象期間における研修の実施計画と実施結果(参加者名簿など)を照合し、計画に沿って適切に実施されているかを確認する。
(手順2)効果測定の実施:
研修後のアンケートや理解度テストの結果、さらに受講者の業務実態(事務ミス、顧客苦情、統括部署への質問や内部通報など)を踏まえ、研修が企図した効果を発揮しているかを検証する。
(手順3)改善点の特定:
検証結果から理解度の低い分野を明らかにし、研修内容や方法の見直し、追加研修や回数増加などの改善策を検討する。
(手順4)資源配分の最適化:
一方で理解度が高い分野については、研修回数の削減や内容の簡素化を行い、削減されたリソース(研修の準備・実施に係るコスト)を理解度の低い分野の研修に再配分するなど、研修全体の効率化を図る。
こうした検証を実施するためには、研修の実施計画や参加状況、理解度テストやアンケート結果、業務実態に関するデータなどを適切に収集・管理し、定期的に分析できる体制を整備しておく必要がある。また、分析結果をマネロン委員会などの場で定期的に報告・共有し、改善策の検討や資源配分の見直しに結び付ける仕組みを構築することも有効である。
「③リスク低減策の実施の検証」では、各種対策が計画に基づき適切に実行されているか、その運用状況や成果が所期の目的に照らして妥当であるかを確認することが求められる。そのためには、実施記録や関連データを適切に収集・保存することが必要である。また、定期的に集計することで担当者が異常値に気づきやすくなるとともに、複数の関係者による査閲を受けることで多角的な観点からの検証や改善につながるため、それらを統合・集計した情報を定点観測的に関係者間で共有する仕組みも有効である。
4.適時(事象発生時)の検証
ディスカッションペーパーでは、有効性検証の定期的な実施に加え、重大な法令違反などの発生や自社の商品・サービスの悪用多発など、マネロン等リスクが顕在化したと思われる事象が発生した際は、従来のリスクの特定・評価・低減が適切であったかという観点から有効性検証を行う必要があるとしている。
金融機関等の実務においては、①マネロン等対策の基本規程や有効性検証に係る規程類に、事象の発生に伴い有効性検証を実施するタイミングや、有効性検証で課題が発見できなかった原因を分析し、必要に応じて有効性検証の取組みの改善を行うことを規定すること、②実際に事象が発生した場合は、①に従って検証と改善対応を行うことが求められる(図表7)。
【図表7】適時(事象発生時)の検証に関して規程類に記載すべき内容の例
NTTデータ経営研究所が作成
おわりに
本稿では、マネロン等対策の有効性検証に関し、金融庁が公表したディスカッションペーパーや事例集を踏まえ、金融機関等が実務の上で参考になるポイントの整理を試みた。
一方、金融機関等が直面するマネロン等リスクは各社それぞれに固有であり、全ての金融機関等に一律に適用可能な検証プロトコルは存在しない。また、検証作業の前提となる業務オペレーションやシステムの仕様、データの保管形式なども金融機関等によって大きく異なる。このため、真に有効な検証を行うには、各機関の業務・システム環境も踏まえ、検証項目や手法を適切にカスタマイズすることが不可欠である。
