前回の「FATF第4次対日審査報告書のポイント(1)評価全体概要」では、有効性評価の11項目、法令整備状況評価の40項目(勧告)に対する評価結果、そして金融庁ガイドラインに対する評価について、触れていきました。今回は、日本企業にとって最も重要な課題の一つである継続的顧客管理について、報告書での指摘事項を見ていきたいと思います。
継続的顧客管理関連に関して厳しい指摘
継続的顧客管理に関しては、以前より課題として挙げられており、また報告書公表前のメディア記事でもこの部分での指摘を示唆していましたが、やはり報告書の中で厳しい指摘がありました。
-----------------------------------------
FATF報告書の記述:
一定数の金融機関は、自らのリスク評価を開始しているが、その他の金融機関は、リスクに基づいた低減措置を適用していない。これらの金融機関は、継続的顧客管理、取引モニタリング、実質的支配者の確認・検証等の、最近導入・変更された義務について、十分な理解を有していない。これらの金融機関は、AML/CFT の枠組みや取組を強化する必要があるとの一般的な認識は有しているが、新たな義務を履行するための明確な期限は設定していない。
「CHAPTER 5. PREVENTIVE MEASURES Overall Conclusion on IO.4 財務省仮訳参照 」
-----------------------------------------
文中にある「最近導入・変更された義務」というのは、金融庁ガイドラインを指していると思います。それに対して、多くの金融機関で十分な理解を有していないと評価されています。
また、新たな義務を履行するための「明確な期限は設定していない」と指摘があります。この報告書を受けて国では、期限を設定した行動計画を出しています。継続的顧客管理に関する部分では、「金融機関等による継続的顧客管理の完全実施」として、期限が令和6年春に設定されています。少し余裕があるように見えますが、継続的顧客管理を“完全実施”することは容易ではなく、金融機関等は、この期限を意識して、速やかに段階的な対応を計画、実施していくことが重要になります。
既存の顧客情報の更新
既存顧客の情報更新は、FATF相互審査前から金融庁が指摘していた部分ですが、対応が進まず、FATF報告書でも指摘を受けることになりました。
-----------------------------------------
FATF報告書の記述:
ほとんどの金融機関は、新規顧客について、その属性を総合的に評価し顧客リスク格付を付すための適切な顧客管理(CDD)の仕組みを整備しているが、既存顧客については情報更新手続の途上である。一定数の金融機関は、CDD のためのツールを導入し始めたが、情報更新手続は進行中である。
「CHAPTER 5. PREVENTIVE MEASURES Application of risk mitigating measures 項番352 財務省仮訳参照」
金融機関は、実質的支配者の確認・検証や、取引モニタリングシステムと組み合せた継続的顧客管理等の顧客管理措置(CDD)の導入に、大きなギャップを有しているようである。情報更新とリスク評価の見直しが実施されていない多くの既存口座が存在している。
「CHAPTER 5. PREVENTIVE MEASURES Application of CDD and record-keeping requirements 項番360 財務省仮訳参照」
-----------------------------------------
メガバンクや大手金融機関では、多額の費用をかけて顧客にDMを送ったり、Web入力を求めたり対応を進めていますが、回答率が悪く情報更新が進んでいないとの話を聞きます。また、一歩踏み込んだ内容の情報提供を求めるとクレームになるケースもあるようで、顧客のAML/CFTに関する理解の醸成やクレームに対する対応などでも大きな負担となっているようです。
この情報更新は、この後に続くリスク評価のインプットになるものなので、十分に情報が揃っていない状態は、正しいリスク評価をすることが出来ず、極めて危険と思われます。現状、情報提供をしない顧客の口座をすぐに凍結するなどの措置は難しいようですが、外部データなどを使ってできる限り情報収集を進めていくことが重要かと思います。
実質的支配者の“検証”
顧客の情報更新の部分に関係するところですが、実質的支配者に関する情報は、顧客申告による収集だけでは不十分で、信頼ある第三者の情報等で検証することが求められています。この部分についても、以前より金融庁から指摘がありましたが、やはりFATF報告書でも指摘が入りました。
-----------------------------------------
FATF報告書の記述:
実質的支配者に関する情報は、顧客の申告に基づいて収集されることが多いが、これは不十分な検証方法である。日本は、近年、有益な検証手段となる可能性のある、公証人主導の実質的支配者の登録制度を創設したが、いくつかの制約が確認されている(IO. 5 参照)。
「CHAPTER 5. PREVENTIVE MEASURES Application of CDD and record-keeping requirements 項番364 財務省仮訳参照」
-----------------------------------------
公証人主導での実質的支配者登録制度が始まっていますが、制度前の既存企業の情報がなかったり、実質的支配者が変更になった場合に更新情報を取得するプロセスがなかったり課題があります。また、国の行動計画にもあるように、今年度中に商業登記所が実質的支配者情報を保管し、その旨を証明する制度を開始するようですが、情報の届出が任意であるため、どのくらいの企業が申出を行うか疑問があります。
メガバンクの方もおっしゃっていましたが、国の取り組みでも完全な実質的支配者のデータベースが構築されることは難しいと思われ、複数の情報ソースから情報収集を行い、多面的な評価を行うことが必要になるかと思います。別の機会に紹介したいと思いますが、国による実質的支配者のデータベース化が進んでいるUKでも、課題が多く、従来からの民間のデータベースが活用されている状況にあります。
自社の事業環境を踏まえたリスク評価の必要性
継続的顧客管理において、既存顧客の情報を更新することは最初のプロセスとして大変重要なのですが、その後、適切にリスク評価を行い、それに基づいたリスク低減措置を行わないと、効果的なAML/CFTは実現できません。
FATFの報告書では、リスク評価の方法についても指摘がありました。
-----------------------------------------
FATF報告書の記述:
一定数の金融機関は、自らのリスク評価や、認識されたリスクに応じた低減措置を適用している。
その他の金融機関は、リスクに応じて十分に調整することなしに、画一的な低減措置を適用している。
一般に、金融機関は、単なる法令等遵守への取組みに留まっており、例えこれらのリスクが自らの業務に関連しない場合であっても、監督当局によって指摘された基本的なリスクカテゴリー(主にNRA の結論に基づくもの)を参照している。
「CHAPTER 5. PREVENTIVE MEASURES Application of risk mitigating measures 項番352 財務省仮訳参照」
-----------------------------------------
FATFでは、いわゆる一般的に公開されているリスク情報をそのまま利用するのではなく、自社の事業環境等を鑑みて、独自にリスク評価を行うことを求めています。
日本における多くの金融機関では、NRA(犯罪収益移転危険度調査書)で書かれているようなことをそのままリスク評価に反映していて、自社事業環境におけるリスクの考慮が足りていないと指摘されています。
やはり、ここでも既存の顧客情報をしっかり収集することがポイントとなり、その収集した情報で適切に自社のリスクを分析することが重要となってきます。
継続的顧客管理と取引モニタリングの連携
一見、継続的顧客管理と取引モニタリングは関係ないように思えますが、FATF報告書では、継続的顧客管理と取引モニタリングの連携が必要と指摘しています。
-----------------------------------------
FATF報告書の記述:
金融機関は、実質的支配者の確認・検証や、取引モニタリングシステムと組み合せた継続的顧客管理等の顧客管理措置(CDD)の導入に、大きなギャップを有しているようである。情報更新とリスク評価の見直しが実施されていない多くの既存口座が存在している。
顧客の特性及び取引パターンに注目する、適切な取引モニタリングシステムを整備しているのは、非常に限られた数の金融機関のようである
現在導入されているIT ツールの有効性は、大量のアラートが発生し、誤検知の平均比率が最大99%にのぼっていることからすると、不十分である。
「CHAPTER 5. PREVENTIVE MEASURES Application of CDD and record-keeping requirements 項番366, 367, 368 財務省仮訳参照」
-----------------------------------------
誤検知の平均比率が最大99%というのは驚きだったのですが、多くの企業がスクリーニング、フィルタリングを含め、取引モニタリングにおける誤検知 (false positive)には悩まされているのではないでしょうか。FATFでは、継続的顧客管理で得た情報から顧客の特性や取引パターンを分析し、取引モニタリングシステムに反映することを推奨しています。香港当局のRegtechに関するWhite Paperでも、継続的顧客管理を通じて顧客の特性や取引パターンを分析しシナリオを作成、そして、そのアウトプットを取引モニタリングに反映させることにより誤検知を削減できるとあります。弊社でも以下のような統合顧客DBシステムを構築し取引モニタリングシステムと連携することが必要ではないかと考えています。(図1)
図1: 統合顧客DBシステムイメージ
厳格な顧客管理措置(EDD)
リスクベース・アプローチの本質は、リスクが高い顧客に対してリソースを集中して管理する(厳格な顧客管理措置(EDD))ことかと思います。今回のFATF報告書では、そのEDDについて、不十分と評価しています。
-----------------------------------------
FATF報告書の記述:
ほとんどの金融機関は、外国人等のリスクの高い顧客に対して、適切な厳格な顧客管理措置(EDD)を適用していないようであり、通常EDD は、本人であることの確認(例えば、金融機関は、リスクの高い顧客については、口座開設にあたって写真付の身分証明書のみを受け入れる)及びリスト照合に限定されている(5.2.3 参照)。リスクの高い顧客に関する厳格な業務規程(operational rules)はなく、また、追加的又は厳格な低減措置の実施を担保するためのエスカレーション手続も存在しない。
「CHAPTER 5. PREVENTIVE MEASURES Application of EDD measures 項番379 財務省仮訳参照」
-----------------------------------------
外国人等のリスクの高い顧客に対するEDDの適用、業務規程の整備、エスカレーション手続きなどの不備が指摘されています。十分に対応が出来ていない企業は、期限を定め対応することが必要な部分かと思います。
まとめ
継続的顧客管理に関しては、以前に金融庁がまとめていた課題とその対応に集約されていると思います。(図2)
図2:金融機関等における課題とその対応
上記の対応は、簡単なものではないと思います。しかしながら、前述のように国の行動計画において、「金融機関等による継続的顧客管理の完全実施」は、期限が令和6年春に設定されています。多くの企業にとって第1のハードルは、最初のプロセスの全顧客に対する情報更新かと思います。この部分については、いち早く対応を行い、次のリスク評価、取引モニタリング、疑わしい取引の届出の改善に繋げていくことが必要になってきます。
以上
コラム一覧に戻る