はじめに
2025年11月、中東ドバイにおいて公認AMLスペシャリスト協会(以下、ACAMS)主催の「The Assembly MENA 2025」が開催された。中東・北アフリカ(以下、MENA)地域は、伝統的な金融システムと先端フィンテックの融合が進む一方で、複雑な地政学リスクが交錯しており、現代の金融犯罪対策における重要地域の一つとなっている。
筆者らは、金融機関に対するマネロン・テロ資金供与対策のコンサルティングに従事しており、国内外の最新動向の把握に取り組んでいる。その活動の一環として、ACAMSが主催するグローバル・カンファレンス「The Assembly(ジ・アセンブリ)」に2023年より毎年継続して参加している。
本カンファレンスを通じて浮き彫りになったのは、犯罪者側と金融機関側の間にある、攻撃と防御のスピードにおける「非対称性」への危機感である。デジタル技術を駆使する犯罪グループは、生成AIや暗号資産を悪用し、組織や国境の壁を越えて短時間で攻撃を仕掛けてくる。カンファレンス内では、金融機関が承認プロセスを経て対策ルールを策定している間に、犯罪者はプログラムコードを書き換え、即座に新たな攻撃手法を実行に移している実情が指摘されていた。また、防御側である金融機関は、縦割り組織による弊害や、意思決定プロセスの硬直化といった課題を抱えており、対応の遅れが懸念されている。
本稿では「The Assembly MENA 2025」で得られた情報を踏まえ、脅威の特定から具体的な実装・防御フェーズへと移行しつつある世界(MENA地域)の金融犯罪対策の最新の潮流と、我が国の金融犯罪対策の高度化に向けた示唆を提示する。
アラブ首長国連邦(UAE)ドバイを取り巻く状況
アラブ首長国連邦(以下、UAE)は、ドバイやアブダビなど、7つの首長国によって構成される連邦国家である。中東といえば、主要産業=石油としてのイメージが強いが、近年は石油依存からの脱却を国家課題として掲げ、非石油産業の育成に注力しており、非石油産業がGDPの約70%を占めている状況である。非石油産業の成長をけん引しているのが、今回訪問したドバイであり、中継貿易の拠点や国際金融都市として急速に経済発展をしてきた。その一方で、その国際的な金融・貿易のハブとしての特性や、商業フリーゾーンや金融フリーゾーン(ドバイとアブダビに設置)が、マネー・ローンダリング(以下、ML)などに悪用されるリスクにさらされており、UAEは2024年2月まで、FATF(金融活動作業部会)の「強化された監視下にある国」(Jurisdictions under Increased Monitoring)のリスト(通称「グレーリスト」の対象となっていた。2024年2月23日にグレーリストから除外はされたものの、UAEの国家リスク評価(NRA) によると、依然としてMLに関する脅威とリスクが高いセクターが依然として存在している状況である。
UAEにおけるマネー・ローンダリングの主な脅威・脆弱性(セクター)
大分類 | 中分類 | 概要 | |
|---|---|---|---|
脅威 | 手段(犯罪収益の源泉など) | 詐欺 | |
薬物取引 | |||
偽造及び製品のコピー | |||
密輸(特に現金や貴金属) | |||
脱税 | |||
外国の汚職 | |||
通貨偽造 | |||
手口 | 第三者によるマネー・ローンダリング | ||
銀行口座や、ロント企業やペーパーカンパニーなどの法人格の悪用 | |||
貿易ベースのマネー・ローンダリング | |||
不動産業界の悪用 | |||
脆弱性 (セクター) | ハワラ業者 | 高リスクの顧客(非居住者、PEP)との取引、不動産や貴金属・宝石といった高リスク産業との取引、および管理体制の有効性が限定的(部分的に有効)であるため | |
不動産仲介業者 | 犯罪者による悪用の可能性、特に高価な高級物件における現金取引による脆弱性。薬物取引などの犯罪収益の洗浄に利用されやすいため | ||
仮想資産サービスプロバイダ | サイバー攻撃による脅威、国際犯罪ネットワークによる悪用、規制のギャップ、国境を越えた迅速な資金移動の容易さ、匿名性の悪用されやすいため | ||
カンファレンスのテーマが示唆するもの
本カンファレンスのテーマである“Challenge Accepted“は、金融犯罪対策が脅威を認識して備えるフェーズから、その脅威に対して立ち向かうために、具体的な技術と戦略を実行するフェーズへ移行したことを示唆している。
現地で提示されたのは、従来の手法の延長線上にある業務改善ではなく、リスク管理のパラダイムを根本から見直す「動的防御」への転換である。具体的には、以下の3つの潮流が確認された。
① 技術の能動的活用
AIを単なる事務効率化ツールとしてではなく、自律的な調査を行うエージェントや、高度化する詐欺手口に対抗するための能動的な防衛策として活用する動き。
② 監視領域の拡大
環境犯罪への対応や、米国OFAC規制と輸出管理(BIS)の連動性の高まり等を踏まえ、顧客の金流のみならず、商流のサプライチェーン全体をエンド・ツー・エンドで可視化していく動き。
③ 規制モデルの転換
暗号資産等の新興技術を活用したサービスを一律に排除するのではなく、厳格なライセンス制度と法執行権限を組み合わせることで、管理可能な市場環境を構築する規制アプローチ。
本稿で報告する論点は、決して中東という特定地域に限定された話題ではない。Web3.0の社会実装やAI活用において先行するドバイでの議論は、日本の金融業界が数年以内に直面する課題を先取りしており、将来の環境変化を示唆しているともいえる。
現在、日本の金融機関は、高度化する特殊詐欺、複雑化する国際制裁、そして構造的な人手不足という複合的な課題に直面している。これらに対応するためには、既存のコンプライアンス態勢の微修正にとどまらず、テクノロジーとインテリジェンスを中核に据えた組織の再構築が求められている。
本稿では、The Assembly MENA 2025における議論から、ESGと経済安全保障、テクノロジーによる動的防御、暗号資産への戦略的対応、ガバナンス変革の4点を主要な論点として整理する。本稿が、新たなリスク環境への適応を模索する日本の金融実務家にとって、今後の対策を検討する上での一助となれば幸いである。
1.ESGと経済安全保障の融合
直近の金融犯罪対策における重要な変化として、ESG(環境・社会・ガバナンス)領域と経済安全保障の融合が挙げられる。かつてCSR(企業の社会的責任)の文脈で語られることが多かった環境問題は、現在ではマネー・ローンダリングの重大な前提犯罪として位置づけられている。また、国家間の制裁措置は、従来の金融取引の監視を超え、金融取引に付随する財やサービスの移動そのものを監視する経済安全保障の実務へと及んでいる。本章では、これらの潮流の融合と、金融機関に求められる対応について詳述する。
1-1 ビジネスリスクとしての環境犯罪
意識と実務の乖離
カンファレンスのセッションで、ある金融機関関係者が示した見解は、金融業界における環境犯罪対策の現状を鮮明に浮かび上がらせるものであった。環境犯罪という概念自体は金融機関の間でも一定程度認知されつつあるものの、自機関のリスク評価や日々の業務にまで十分に組み込めている例は依然として限られている。このギャップは、野生生物の違法取引や違法伐採といった行為が、依然として環境保護のテーマと捉えられ、金融機関が向き合うべき対象としての認識が十分に浸透していないといった現状を示唆している。
資金洗浄の手口と産業リスク
環境犯罪は年間数千億ドル規模の不正収益を生み出しており、その資金洗浄ルートは麻薬取引や人身売買と重複していることが指摘されている。環境犯罪に関連する資金洗浄の主なリスクは以下の通りである。
○ 合法と違法の混同
違法に伐採された木材や採掘された鉱物は、サプライチェーンの初期段階で正規のライセンス商品と混ぜ合わされる。こうした手口を金融取引のデータだけで見抜くことは不可能に近い。
○ 特定産業における調達リスク
具体的な高リスク産業として、香水や家具製造業が挙げられる。これらの産業では、原材料となる希少動植物の調達プロセスに犯罪組織が関与しているリスクがある。商社や製造業を顧客に持つ金融機関にとって、サプライヤー管理の不備はレピュテーションリスクのみならず、法的なリスクにも直結する可能性がある。
そのため今後は、金融機関においては、環境犯罪リスクを単なるESG評価の一要素として扱うのではなく、リスク評価書に分析対象として組み込む必要性が高まると考えられる。とりわけ、木材、貴金属、希少動物由来製品などを取り扱う取引先(高リスク先)については、資金源の確認だけでなく、調達経路の正当性や追跡可能性を見極める、より高度なデュー・デリジェンスの導入が求められるようになるだろう。
1-2 標的型金融制裁と輸出管理規制の融合
米国財務省外国資産管理局(以下、OFAC)による 50%ルールの実質的拡張
OFACが用いる「50%ルール」と整合的な所有権基準が、米国産業安全保障局(以下、BIS)は、2025年9月に輸出管理規則(EAR)のエンティティリストにも導入された。このエンティティリストとは、米国の国家安全保障または外交政策上の利益に反する行為に携わっている、またはその恐れがあると米国政府が判断した企業や個人を掲載したリストである。従来、金融機関のスクリーニング業務は、SDNリスト(Specially Designated Nationals and Blocked Persons List)を中心とした制裁対象者の特定に重点が置かれてきたが、今回のBISによる輸出管理の適用範囲の拡大により、取引当事者とその背後の所有構造を広範に把握する必要性が高まっている。特定企業の子会社・関連会社を十分に把握できなければ、意図せず制裁・輸出規制違反に該当するおそれがあり、金融機関にとってもスクリーニング実務の負荷とコンプライアンス上のリスクは一層増大している。
ロシア「影の船団」と迂回輸出への対応
地政学リスクの最前線を議論するセッションでは、ロシアが欧米の制裁を回避し、原油を海上輸送するために使用する老朽化したタンカー群、通称「影の船団」や、イランによる調達網が、極めて複雑な迂回ルートを形成していることが報告された。
これらのリスクに対しては、国際銀行間通信協会(SWIFT)上の決済メッセージ情報と、実際の船荷証券や船舶追跡データとの間に齟齬がないかを確認するなど、貿易金融におけるコンプライアンス実務の高度化が不可欠である。取引データのみに依存したモニタリングでは、実態を伴う物流リスクを検知することは困難となっている。
1-3 サプライチェーン・デューデリジェンスの深層化
KYCからKYG、KYSCへの拡張
ある政府機関の関係者からは、環境犯罪と高度な制裁回避という2つの脅威に対抗するため、金融機関のリスク管理は、従来の、顧客を知るための対応(KYC: Know Your Customer)だけでは不十分な段階へ移行しており、具体的には、KYG、KYSCの2つの視点が重要であるとのメッセージが共有された。
○ KYG (Know Your Goods)
顧客が取り扱う商品・サービスの検証。その商品が絶滅危惧種由来ではないか、あるいは軍事転用可能な部品や技術ではないかという観点での確認。
○ KYSC (Know Your Supply Chain)
エンド・ツー・エンドでの商流把握。商品がどこから調達され、最終的にどこへ渡るのかという流通過程全体の可視化。
1-4 日本の金融機関への示唆
資源輸入国であり、高度な製造業基盤を持つ日本にとって、これまでに述べた潮流は極めて重要な意味を持つ。仮に日本企業が海外で調達した原材料が環境犯罪由来であった場合、あるいは輸出した高機能部品が第三国を経由して制裁対象国へ渡った場合、その決済に関与した日本の金融機関は、国際的な規制当局から厳格な責任を問われる可能性がある。
今回の議論が示唆しているのは、コンプライアンス部門が営業部門や顧客の物流担当者と連携し、商流の解像度を極限まで高める必要性である。これは従来のリスク管理業務の枠を超え、経済安全保障の一翼を担うインテリジェンス業務への転換を意味している。
2.テクノロジーによる動的防衛
カンファレンスにおけるAIに関する議論は、業務効率化という観点に加え、「AIで武装した犯罪者への対抗手段」としての側面が強く意識されていた。AIの実装は、高度化する脅威の中でセキュリティを維持するための生存戦略として位置づけられている。
2-1 エージェント型AIの活用
今回提示された重要な技術的概念として、「エージェント型AI」が挙げられる。これは、人間からの指示(プロンプト)を受けて受動的に出力する従来の生成AIとは異なり、設定された目標の達成に向けて自律的かつ反復的に行動する能力を有する。
エージェント型AIによって、金融機関の実務における顧客調査のプロセスの変革が期待される。具体的には、従来のAIが過去データに基づくスコアリングに留まっていたのに対し、エージェント型AIは「顧客の資金源の調査」といった包括的な指示に基づき、外部情報の検索、内部データとの照合、矛盾点の検証などを自律的に遂行し、最終的なレポートを作成するまでの一連のプロセスを担う。これは、24時間体制で検証を行うチームを確保することと同義であるといえる。
能動的防衛への応用
さらに、この技術を防御のみならず、攻撃者のコストを増大させる能動的防御へと応用する動きも見られる。カンファレンスでは、AIペルソナを用いて詐欺師との対話を意図的に長期化させ、攻撃者のリソース(時間や労力)を消耗させる取り組みの可能性が示唆された。これは、単に自衛するだけでなく、攻撃側のコストを高めることで犯罪の実行を経済的に割に合わないものとし、抑止効果を狙う新たなアプローチである。
2-2 コンプライアンスのプロセスと攻撃の非対称性
UAEのとある金融機関の関係者からは、現在の金融機関が抱える構造的な脆弱性として、「金融機関が承認プロセスを経てルールブックを策定している間に、詐欺師はコード(スクリプト)を書いている。」との意見を得た。この言葉は、防御側と攻撃側の意思決定サイクルの圧倒的な差を示唆している。犯罪者グループは、生成AIや自動化ツールを駆使し、金融機関の検知システムを突破するための攻撃パターンを短時間で生成・実行してくる。これに対し、数ヶ月を要する会議体で敷居値やルールを決定する従来型の対応では、対応速度において勝負にならないのが実情である。
静的な防御手法の限界
例えば、モバイルウォレットを悪用した手口では、攻撃者は、盗取したカード情報をデジタルウォレットに登録した後、直ちに不正利用を行うのではなく、「数週間寝かせる」手法をとる。これにより、システムに正規利用者の端末であると誤認させ、信用スコアが上昇したタイミングで資金移動を行う。このような時間差攻撃や、人間の心理・行動パターンを模倣した攻撃に対し、固定的なルール(静的防御)は無力化しつつある。常に変化する攻撃パターンをリアルタイムで学習し続ける動的なAIモデルの実装が不可欠となっている。
2-3 日本の金融機関への示唆
段階的な実装
AI導入の議論において、多くの日本の金融機関の課題として、データ整備が挙げられる。しかし、現地の専門家からは、不完全なデータ環境であっても、整備を待たずに可及的速やかにAI導入を開始すべきであるとの見解が示された。 具体的には、以下のCrawl、Walk、Runと呼ばれる段階的な導入フレームワークが推奨された。
① Crawl(初期段階)
データ整備が不要な領域から着手する。
例)複雑な規制文書と社内の規程類のマッピングや、経営陣向けの説明資料の要約など、テキストベースの業務に生成AIを適用する。
② Walk(発展段階)
不完全なデータでも効果が見込める領域へ拡張する。
例)名寄せにAIを活用し、分散したシステムにある顧客データを統合することで、調査効率の向上を図る。
③ Run(応用段階)
整備されたデータを基盤として高度な活用を図る。
例)エージェント型AIによる高度な意思決定の支援や、リアルタイムの予兆検知を実現する。
生存戦略としてのAI実装
AI導入の効果については、誤検知の削減やコストダウンといった投資対効果の観点で語られることが多い。しかし、今回のカンファレンスでは、AIで武装した攻撃者に対抗するためには、防御側も同等の技術力を備える必要があるという点が多くのセッションで強調されていた。金融機関にとってのAI活用は、単なる先進事例ではなく、顧客資産を保護し、組織としての信頼を維持するための生存戦略として再定義されるべき局面にある。
3.暗号資産規制と新たな資産クラスへの対応
暗号資産をめぐる議論は、その是非を問う段階から、いかにしてイノベーションと金融犯罪対策を両立させるかという実装段階へと移行している。The Assembly MENA 2025において示されたのは、独立した規制当局がエコシステムを厳格に監視・管理することで、健全な市場環境を構築するモデルの実像である。本章では、ドバイ仮想資産規制庁(VARA: Virtual Assets Regulatory Authority)の取り組みと、伝統的な金融機関(TradFi)にとっての新たな事業機会となる現実資産(RWA)のトークン化について論じる。
3-1 育成と規律の両立:VARAのアプローチ
規制下市場の安全性
VARAに関するセッションにおいて、日本の実務家にとっても示唆に富む事実が共有された。それは、ドバイにおける法執行機関の捜査対象の大半が、P2P(ピア・ツー・ピア)取引や無登録業者に関するものであり、VARAのライセンスを取得したVASP(暗号資産サービス業者)ではないという点である。 VARAは発足から短期間で多数のVASPにライセンスを付与し、市場の拡大を許容する一方で、無登録業者に対しては多くの厳格な執行処分を行い、巨額の制裁金を科している。ライセンス業者への事業機会提供と、無登録業者への厳格な排除を明確に区分するこのアプローチが、イノベーションハブとしての安全性を担保している要因といえる。
日本への示唆:排除から包摂へ
日本の金融機関においては、暗号資産交換業者との取引を一律に高リスクと見なす傾向が見られる。しかし、VARAの事例が示唆するのは、適切な規制下にある業者を金融システムに取り込むことこそが、結果として資金フローの透明化につながるという点である。リスクを遠ざけるだけでなく、管理可能な枠組みの中で包摂する発想の転換が求められている。
3-2 トラベルルールの実務課題と技術的解決策
データ分断とオンチェーン情報の限界
FATFが主導するトラベルルールの実装に関しては、現場レベルでの課題が浮き彫りとなっている。異なるソリューション間での相互運用性の欠如によるデータ形式の不整合や、ブロックチェーン上のウォレットアドレスのみでは実質的支配者や制裁対象者の特定が困難であるといった問題である。
フォレンジック領域への進化
これらの課題に対し、ドバイではテクノロジーによる解決が志向されている。VASPに対し、単なるリスト照合にとどまらず、ブロックチェーン分析ツールとAIによる行動検知の併用を求める動きが進んでいる。具体的には、過去の取引履歴からダークウェブとの接点やミキシングサービス(資金洗浄ツール)の利用有無をAIが解析する手法である。コンプライアンス業務は、形式的な点検作業から、高度な分析を伴うフォレンジックの領域へと進化しているといえる。
3-3 RWAトークン化の進展
TradFi(伝統的金融)とDeFi(分散型金融)の架け橋
暗号資産そのものの投機的価値を超え、注目を集めているのがRWA(Real World Assets:現実資産)のトークン化である。不動産、債券、コモディティなどをブロックチェーン上でトークン化することで、24時間365日の取引と即時決済を実現するこの仕組みは、伝統的な金融機関(TradFi)との親和性が高い領域でもある。
新たなデュー・デリジェンス能力の必要性
RWAは、分散型金融(DeFi)の流動性と伝統的金融の信頼性を繋ぐ架け橋として期待されている。一方で、新たなリスクへの対応も不可欠となる。
- 裏付け資産の監査:トークンに対応する実物資産の実在性証明
- スマートコントラクトの脆弱性:自動執行プログラムにおけるバグやバックドアの検証
これらのリスクを管理するためには、コード監査や外部データ連携の信頼性評価といった、従来の金融実務にはなかった新たなデュー・デリジェンス能力の獲得が必要となる。
4.ガバナンスの変革:静的モデルからの脱却
AIや暗号資産、サプライチェーン管理といった新たなツールを有効に機能させるためには、金融機関の組織構造やガバナンスそのものの変革が不可欠である。カンファレンスでは、多くの金融機関が有する重層的なコンプライアンス体制が、スピードを重視する現代の犯罪者に対して脆弱性となっている現状が指摘された。本章では、組織の縦割り(サイロ)を見直し、意思決定サイクルを短縮するための改革について論じる。
4-1 動的リスク評価への移行
年次更新プロセスの限界
多くの日本の金融機関において、リスク評価書の更新は、年に一度の定期的なプロセスとして定着している。しかし、リスク管理戦略に関する議論では、この慣習の有効性に疑問が呈された。リスク環境は常に変動しており、過去の時点での評価は現在の脅威に対して有効性を失っている可能性があるためである。 推奨されているのは、Living Risk Assessment(生きたリスク評価)への移行である。これは、AIを活用してニュース、規制動向、内部取引データを常時監視し、リスクスコアをリアルタイムで更新し続ける仕組みである。例えば、特定の国で政変が発生した場合、即座に関連顧客のリスク評価を引き上げ、モニタリングの閾値を厳格化するといった対応が可能となる。人間は、AIが検知した変化に対してのみ、高度な判断を下す役割を担うことになる。
4-2 組織機能の融合:AML、Fraud、Cyberの統合
犯罪者に部署の壁はない
組織論における主要なテーマとして、機能の融合が挙げられた。 従来の金融機関の組織では、AML(事後対応)、不正対策(リアルタイム対応)、サイバーセキュリティ(システム防衛)が別個の部門として機能していることが一般的である。しかし、犯罪者はフィッシングメールでIDを盗取し(サイバー)、口座を乗っ取り(不正)、資金を暗号資産で洗浄する(AML)といった複合的な手口を用いている。部門間で情報共有が遅延することは、対応の遅れに直結し、被害拡大の要因となる。
4-3 AI時代における人間の役割
AIによる自動化が進む中で、最後に残る問いは「人間の役割とは何か」である。カンファレンスでの結論は、人間の重要性は、むしろ高まるというものであった。
ただし、その役割の内容は変化している。 かつてのように大量のアラートを機械的に処理する業務は縮小し、代わって以下のような高度な機能が求められる。
① AIの監督者
AIエージェントが暴走していないか、倫理的に正しい判断をしているかを監視する。
② 複雑な判断
AIが判断不能とした案件に対し、文脈や機微を読み取って最終決断を下す。
③ 戦略の立案
犯罪者の動きを予測し、新たなリスク低減策を設計する。
これからのコンプライアンス担当者には、法規制の知識に加え、データ分析スキルやテクノロジーへの理解が必須となる。人材育成のカリキュラムについても、この変化に合わせて再構築する必要がある。
おわりに:日本の金融機関への提言
本カンファレンスのテーマである“Challenge Accepted”は、変化を恐れず、新たなリスク管理のあり方を模索する金融実務家へのメッセージといえる。ドバイでの議論を通じて明らかになったのは、現在直面している課題の本質が、単なる技術的な遅れではなく、変化に対する適応速度や意思決定のマインドセットにあるという点である。前例踏襲やデータの不備を理由に対策を先送りしている間に、攻撃者はAI等の技術を駆使し、国境を越えて資産への攻撃を仕掛けてくる。この攻撃と防御の非対称性を解消するために、日本の金融機関には以下の3つのアクションが求められる。
① 動的防御への投資決断
投資対効果の検討に時間を費やすのではなく、不完全なデータ環境下であっても、エージェント型AIや行動検知システムの概念実証(PoC)を早期に開始すべきと言える。これは業務効率化のためではなく、高度化する脅威に対抗するための対応である。
② ガバナンスサイクルの短縮
年次のリスク評価や月次の委員会報告といった定期的なサイクルだけではなく、リアルタイムデータに基づく意思決定プロセスを実装する必要がある。脅威の即時性に対応したガバナンス体制の構築が急務と言える。
③ 防御領域の拡張
金融取引のデータのみならず、顧客の商流(サプライチェーン)や、暗号資産・RWAといった新たな資産クラスまで監視対象を広げる必要がある。経済安全保障の観点からも、より広範な領域でのリスク管理能力が問われている。
金融犯罪対策は、強固なコンプライアンス基盤の上に、最新の技術を実装することで初めて実効性を発揮する。変化の波はすでに押し寄せており、従来の手法を脱却し、新たな環境へ適応する決断が求められている。
