AML態勢強化の動向

FATFの第四次相互審査に向けて

政府間会合であるFATFが各国のAMLを評価するものが「相互審査」で、日本に対する次回の第四次審査は2019年夏に予定されています。FATF自体がベストプラクティスを持ち寄った各国当局者の集合体ということもあり、この相互審査の目線は非常に高いところにあります。日本は2008年に行われた第三次審査でAMLおよびCFTの法的枠組みが弱いことが指摘され、それを補うために改正犯罪収益移転防止法および関連法案が整備されたという経緯があります。金融庁からは昨年12月にAMLの新たなガイドライン案が公表されましたが、FATAF第四次審査への対応を念頭に、金融機関に対してはより踏み込んだ取り組みを求める内容となっています。第四次審査は、「勧告」と「直接的効果」からなります。「勧告」の項目は、第三次審査以降の犯罪収益移転防止法の改正や金融庁のAMLガイドラインで網羅されており、枠組みやルール作りに主眼を置いているといえます。今般新たに導入されたものが「直接的効果」で、つまり、枠組みやルールの実効性がきちんと担保されているかということを確認しようとするもので、これは第四次審査を特徴付けるものでもあります。その内容自体に目新しいものはないとはいえ、そのすべてに正しく対応するのは金融機関にとって非常に難しい課題です。

第四次審査が先行して実施された国においても、非常に厳しい評価が下されています。具体的な指摘事項として共通しているのは、ある程度のリスク評価や管理措置が講じられているものの、その捕捉が不十分であるというものです。たとえばオーストラリアは、コルレス管理について、リスク評価が義務付けられていないことや、取引目的や取引背景の追及がおろそかになっているといった指摘を受けています。また、実質的支配者に関する捕捉が不十分だという点や、グループ横断的なAML/CFTの知見の展開が甘いというのも共通してみられる指摘事項です。有効性検証の部分では、リスク評価の体系が網羅的に各金融機関の商品サービス、顧客、国地域等をきちんとカバーしているかという観点から審査されています。ひな形に過度に依存するのではなく、個社の特性にあわせた対応をしているかということです。また、本部やコンプライアンス統括部署だけのリスク認識にとどまらず、それがどれだけ現場にも徹底しているかということも見られています。

金融庁のAML/CFTに関する新ガイドラインのポイント

FATFの第四次審査への対応も踏まえて出てきたのが金融庁のAML/CFTに関する新しいガイドラインですが、以前の努力項目が必須項目に格上げされるなど、金融機関に一歩踏み込んだ取り組みを求める内容となっていることが特徴的です。このガイドラインのポイントが4つあります。1点目は、内容の7割がリスクアセスメント関連のものに集中していることです。AMLおよびCFTの憲法ともいうべき特定書面の整備と、リスク管理の高度化がリスクベースアプローチの最優先事項となっています。商品サービス、顧客、展開している国地域、チャネルについて、各金融機関のリスク特性に応じて分析した上でリスクの度合いを認定し、それに対応する措置を講じることが求められています。さらに、整備した特定書面に基づいたリスク状況把握に応じた動態管理も必要です。

2点目のポイントは、経営陣はもとより、スリーラインズオブディフェンスの一線を含む他部署の全社的関与を求める項目が多い点です。AMLは生き物ですので、当初想定しないない事態が頻繁に起きます。そういったものを本部の二線の部署が現場から吸い上げ、必要な対策をもって現場を支援すること、さらにそれを三線部署である内部監査が監督すること、これが今回のガイドラインにははっきりと書かれています。さらに、現状では国内取引、海外取引、海外送金といった業務ごとにAMLの所管部署が異なる金融機関が多くありますが、新ガイドラインでは、統括役員を任命して一元管理することが求められています。この点についても、組織や役員体制の変更ということにとどまらず、実効性を伴ったものであることが必要です。

3点目のポイントは、疑わしい取引報告を記録するだけではなく、それをデータ化し管理すること、また、コルレス管理についても与信格付のようにリスクベースで管理することが求められている点です。記録を正確に持っているものをデータ化するのには、単に力仕事で簡単にできるものではありません。中期的なタイムフレームもいれて対応する必要があるでしょう。これにはシステム投資や専門的人材の配置も必要になってくるでしょう。4点目としては、自社を取り巻く外部環境に対するプロアクティブな情報収集や対応が求められている点が特徴的です。他社事案であっても、コンプライアンス事案や犯罪事案が起きた際、自社の現状のリスク管理に照らして検討し、必要な対応を講じることが求められるようになります。

AML態勢強化のアプローチ

AML管理については、経営のリーダーシップによるトップダウンで組織的に対応することが内外当局からの強い要望です。さらに、スリーラインズオブディフェンスを発揮することも求められています。AML管理はルールや体制が整っていても実践を伴わなければ意味がありません。その意味で、社内の意識向上や外部環境への感度も必要となります。さらにAMLリスク管理における現場と本部の連動も必要です。現場で起きていることを本部が把握し、本部が整備したルールを現場に浸透させ、ルールの実践に必要なサポートも提供するということです。その意味で、組織横断的な取り組みが非常に重要となってくるでしょう。

デロイトトーマツはAMLプログラムを業務軸の3本柱（KYC、取引フィルタリング、モニタリング）とし、これらを実施するには、その外側にある3つの組織軸の強化が必要であると考えます。1つ目が、外部環境で起こっていることの適時性や網羅性をきちんと把握するという意味での当局対応。2つ目が、全社的な管理監督態勢ですが、グローバル展開している金融機関はグローバルでのガバナンスも強く求められます。3つ目が、人材育成、研修、現場での危機感の共有という意味でのカルチャー醸成です。AMLコンプライアンス態勢を強化するためには、スリーラインズオブディフェンスの実効性を高めることが必要です。現場のファーストラインはリスクの最前線として、リスクオーナーと呼ばれます。セカンドラインはルールメーカーとしてAML管理のルールを決め、ファーストラインの現場で起きていることを把握して現場対応を支援する役割があります。金融機関によってはファーストラインとセカンドラインの役割分担が異なる場合もありますが、昨今では金融庁のガイドラインやFATFの考え方が浸透してきていると感じています。サードラインは監査ですが、特にグローバルにシームレスな内部監査体制を構築することが求められる一方で、実現するには非常な努力を要することでもあります。

AML情報のデータ化とデータの管理活用も重要なテーマとなっています。AML/CFT管理には、CDD情報、疑わしい取引報告のフラッグ、制裁者、反社情報、現場の気づいた情報等、勘定系データと情報系データを適切にリンクさせることが必要です。それができている金融機関はほとんどないというのが現実で、当局もそれを承知の上で高度化を求めている分野です。AMLプログラムの3つの三本柱であるKYC、モニタリング、取引フィルタリングについて、それぞれに必要なデータをシステムから抽出して管理しているわけですが、これらをどのように連携させることで高度化を図れるか、金融機関のみならず、私どもコンサルティングファームとしても今後の大きな課題であると認識しています。