2021.11.24
FATF 第4次対日相互審査報告書の公表を受けた金融機関の対応
経営リスクとしてのマネロン対応高度化に向けての着眼点
木村 徹 牧野 明弘(監修)
2021年8月30日(月)、FATF(金融活動作業部会)によって「第4次対日相互審査報告書(原題:“MUTUAL EVALUATION REPORT OF JAPAN”)」(以下、“MER”)が公表された。
MERを読み今後のアクションに繋げるためには、リスクマネジメントの考え方と金融機関に求められる対応度合い、その軽重の理解が重要になる。しかし、リスクマネジメントという専門性の高い領域の知見や行間にも目を向ける必要があり、むしろ書かれていない内容の方が重要ということもある。これを十分に理解するのは、多くの金融機関関係者にとって容易とは言い難いのではないか。そこで、MERの読み解き方とポイントを筆者の個人的な見解も含めて、可能な限り敷衍して解説したい。
なお、本稿の想定読者は、主に日本の金融機関でマネロン・テロ資金供与・拡散金融対策(以下、「マネロン対策」)に関連する業務に従事している方としている。
MERの外観と背景
はじめに、MERおよび関連して公表されている「マネロン・テロ資金供与・拡散金融対策に関する行動計画」(以下、「行動計画」)の建付け・概要について整理する。
MERは、図1のような構成となっている。
図1:MERの構成と行動計画との関係(クニエの見解を踏まえて整理)
全体で約300ページにも及ぶ英語で記載された大量の報告書であり、効率的に重要なポイントを把握するには、その構成をよく意識することが肝要だ。金融機関がまず着目すべきは、日本語版(仮訳)も公表されているExecutive Summaryだろう。その中でも、図1①のPriority Actions(優先行動)の内容には留意したい。優先行動は、図1②のImmediate Outcome 4(金融機関等における予防的措置)(以下、“IO.4”)を踏まえた内容になっており、金融機関に対して求められている対策の要約といえる。
ここで、IO.4の勧告事項(指摘事項)を理解し効果的に対処するには、リスクマネジメントの全体像、例えば図2で表されるようなフレームワークを意識しておきたい。金融庁においてもリスクベース・アプローチ(RBA)が重視されていることから、この点に異論はないだろう。パッチワーク的に個々の勧告事項の対応を検討・実施するのみでは、実効性が確保できない恐れがある。マネロン対策もリスクマネジメントのひとつであり、リスクの理解(Risk Literacy)が大前提となる。
これが不十分・曖昧な状態で対応を進めても、対策の整備・運用段階で問題が生じる可能性が高い。例えば、正しいリスクの理解が欠如していると誤ったリスク評価・分析に繋がり、適切な対策の整備(Design)に至らないといったことが起こる。また、リスクの理解は対策の運用にも影響を及ぼす。リスクの理解が正しくないことで、恣意的な判断による運用の逸脱や軽視が行われ、有効な対策が形骸化してしまう場合もある。
図2:マネロン対策の外観イメージ(金融庁のRBAの要素も踏まえてクニエにて作成)
一方、行動計画はMERを受けて財務省が取りまとめた日本全体としての今後のアクションプランであり、担当府省庁等における行動内容と対応期限が記載されている。金融機関が留意したいポイントは、次の2点に集約される。
- マネロン対策における正しいリスク理解(Risk Literacy)の醸成・浸透
- リスクベース・アプローチに基づくリスク評価と態勢構築・強化
本行動計画には金融機関における具体的なアクションが明記されている訳ではないものの、金融機関は今後の金融庁ほかによる検査動向等を踏まえて計画的に対応することが求められる。例えば、行動計画の2(2)に「金融機関のリスク理解を向上させ、適切なリスク評価を実施させる。」といった記載がある(表1参照)。今後、金融機関に対しては、当然、本記載に基づく金融庁等からの要請が来ることが見込まれるため、後述の内容を踏まえ、前もって準備を進めておくのが望ましい。
表1:金融機関の主要な対応ポイント(行動計画から抜粋した内容にクニエの見解を付加して作成)
金融機関に求められる対応
日本の金融機関には、この行動計画の内容およびその趣旨をよく理解したうえで、自らの対応計画の策定・推進が求められることになる。実は、背景にある動きを踏まえると具体的なアクションは明確だ。2021年2月のガイドライン改正および3月26日のFAQの発出は、オンサイト審査が2019年11月に終了して以降の審査団とのやり取り等を反映したものである。したがって、金融庁所管の銀行等に対するルールの手当はほぼ完了していると整理できる。よって金融機関が対応すべきは、早急に当該ガイドラインおよびFAQを用いてギャップ分析を行い、課題を踏まえてリスク評価書をアップデートすることとなる。
ここでFATF相互審査の建付けを改めて整理しておきたい。FATFによる評価は国を対象としているため、対応策である「行動計画」も国全体のものとなる。そのため、行動計画は法令整備・改正が中心となる。そこで金融機関において行動計画のみでは不足する部分については、金融庁が発出するガイドラインや要請に従うことになる。具体例として、「Recommendation 12 – Politically Exposed Persons (PEPs)」(図1③参照)にある国内PEPsおよび家族/近親者に関する事項が挙げられる。これは、既に実施済みの他国の審査結果や他国の対応状況(FATFの求める水準)および金融庁が求めるRBAの観点からも特に重要な論点といえる。
なお、各金融機関で具体的な対策を検討する際には、先述のIO.4(金融機関等における予防的措置)を参照するとよい。ここには、具体的な勧告事項(指摘事項)が記述されており、自分たちの対応できていること/できていないことを識別するためのギャップ分析に有用だ。クニエでも勧告事項の項目ごとに重要性の分類や対象の金融機関の分析などを行った。
マネロン対策は大規模金融機関だけの問題ではない
前提として、地域金融機関(地方銀行・信用金庫・信用組合等)だからといって、規模や対応リソース・コストの問題等を理由に十分な対策を行わないことが許容されることはないと考える。そもそもFATF審査は国としての評価であり、金融機関の規模の大小で対応の質が変わるものではない(量は往々にして変わる)。また、人・物・金を理由にすることもできない。よって経営資源に制約のある地域金融機関等においては、金融機関同士の横連携が鍵になるのではないか。具体的には、取引スクリーニング、取引モニタリングの共同システムの活用も視野に入れるべきだ。このような金融機関横断的な施策を実施するには、経営陣の姿勢・関与が大きく問われる。マネロン対応を単なるコンプライアンスではなく経営リスクと捉え、率先垂範して対応することが必要となる。
さらに日本の金融ネットワークを俯瞰すると、結局、対策が甘い所が狙われてしまうという現実がある。犯罪者側の視点に立てば、対策が弱いところを狙うのは当然といえよう。
ここ最近の卑近な例として、サイバー攻撃について少し考えてみたい。実はマネロン対策とサイバーセキュリティ対策には類似点があると思われるためだ。例えば、サイバー空間と金融ネットワークでフィールドは異なるものの、攻撃者(犯罪者)が常に防御者の脆弱性を狙っている、手口が巧妙化・グローバル化している、などといった点だ。そのため、サイバーセキュリティ対策の考え方は、マネロン対策において参考になるものが多いと考えている。
もし、サイバー攻撃者がセキュリティ意識・対策の高い組織の情報に不正アクセスしたい場合、当該組織ではなく、対策の弱い関連組織や外郭団体等が狙われる。そこから侵入して、目的の情報に不正アクセスすることを企てるのである。マネロンにおいても同様ではないだろうか。犯罪者は、防御のしっかりしている大規模金融機関ではなく、対策の弱い地域金融機関等をターゲットにするのであり、既にそのような事例が発生している。
審査結果および行動計画の考察と今後に向けて
表1の内容からも見て取れるように、行動内容としてリスクの理解やRBAといった基本的なことが記載されている。なぜ日本において、このようなことが不十分だと認識されているのだろうか。個別の指摘事項(対策不足)に目が行きすぎ、リスクマネジメントの礎であるリスクの理解がおろそかになってしまっている懸念がある。欧米のような性悪説ではなく、性善説をよしとする日本の国民性から、リスク理解の醸成・浸透が阻害されているのかもしれない。
本稿において、リスクの理解とは、受動的・形式的なリスクへの向き合い方ではなく、顧客を守り自らを守り、ビジネスを円滑に進めるため、能動的に、かつ自分事として具体化することと定義したい。例えば、目の前にいるのが顧客であっても、性善説に立つのではなく、もしかするとマネロンに関係しているかもしれないといった可能性を排除せず、その可能性を保持し続ける態度・姿勢はリスクの理解があるということになる。リスクの理解を担保したうえで、RBAを実践することが要諦だ。顔が見えている顧客と見えていない顧客を同一の方法で管理しているようなことはないだろうか。このことは、リスクに基づいた対応ができていない(RBAができていない・徹底できていない)という証左であるし、顧客本位の業務運営という観点からも問題である。
また、行動計画に具体的な対策・施策として例示されている継続的顧客管理の充実や取引スクリーニング、取引モニタリングの共同システム実用化などは特に重要と考える。MERでは、1年間、疑わしい取引の報告実績が全くない金融機関が相当数存在するとしているが、この結果を見る限り、当該金融機関の取引モニタリングの適切性を疑わざるを得ない。
日本の金融機関において、継続的顧客管理の実施主体は、ともすると、本部の事務統括部門(企画)やコンプライアンス部門、マネロン担当部門等になりがちである。しかし、顧客を一番よく理解しているのは営業店の行職員であるため、この点を活かせる態勢整備を目指すべきだ。
ただし、上手くいかないいくつかの課題があると考えられる。ひとつは「リスクの理解」の問題だ。本部と現場ではリスクの理解度に大きな差が生じていることが珍しくない。例えば、顧客の意向を過度に尊重し過ぎたがゆえの、ルール潜脱行為に繋がりかねない“不適切な”「顧客本位の業務運営」はないだろうか。仮に、そのような行為があるとすると、当該金融機関においては現場の持つ情報等をマネロン対応に活かしきれているとはいえない。この課題に対する打ち手は、やはりリスク理解の向上ということになる。さらに、とりわけ地域金融機関においては、営業担当者が有する顧客情報の一元的管理ができていない、すなわちデータベースの未構築という問題がある。取引スクリーニング、取引モニタリングの議論以前に、紙ベースではないテクノロジーを活用した情報管理態勢の整備が不可欠だ。
大規模金融機関以外の金融機関にとって、自分たちだけでマネロン対応を行うのは困難な点も多い。犯罪者側の手口がますます巧妙、かつ、複雑化していく中、それに自分たちの経営資源のみで対応していくのには限界がある。また、貴重な人財といった、経営資源の最適配分という観点からも疑問符がつきかねない。そこで出てくるのが「共同システム」というキーワードだ。マネロン対策が他の金融機関との差別化要因ではないとすると、規模の経済のメリットも享受すべく、金融機関同士や関連する組織等が連携しながら、マネロン対策を進めていくのが鍵になるのではないか。