2024年4月1日に金融庁「マネロン・テロ資金供与対策ガイドラインに関するよくあるご質問(FAQ)」の改訂版(以下、FAQとします)が公表されました。本ブログでは、当FAQ改訂の内容をご紹介します。
また、先日、当FAQ改訂について当局にヒアリングする機会をいただいたのですが、その際に、今後の方向性として、日本も現在グローバルで話題になっているpKYC(Perpetual KYC)へ向かっていると感じましたので、pKYCとはどのようなものかご紹介します。
金融庁「マネロン・テロ資金供与対策ガイドラインに関するFAQ改訂のポイント
今回のFAQ改訂の中でポイントと思われる部分を以下で説明します。
リスクに応じた簡素な顧客管理(SDD)*の適用対象
改訂前のFAQでは、SDDについて6つの要件が定められていました。以下、FAQ(改訂前)からの引用です。
「当庁としては、以下の①から⑥及び(注1)から(注3)に即している限り、 SDDの対象とすることが可能と考えます。
① 法人及び営業性個人の口座は対象外であること(注1)
② 全ての顧客に対して、具体的・客観的な根拠に基づき、商品・サービス、取引形態、国・地域、顧客属性等に 対する マネロン・テロ資金供与リスクの評価結果を総合して顧客リスク評価を実施し、低リスク先顧客の中から SDD 対象顧客を選定すること
③ 定期・随時に有効性が検証されている取引モニタリングを 活用して、SDD対象口座の動きが把握され、不正取引等が的確に検知されていること
④SDD対象顧客については、本人確認済みであること(注2)
⑤SDD 対象顧客は、直近1年間において、捜査機関等からの外部照会、疑わしい取引の届出及び口座凍結依頼を受けた実績がないこと
⑥SDD対象顧客についても、取引時確認等を実施し、顧客情報が更新された場合には、顧客リスク評価を見直した上で、必要な顧客管理措置を講ずること(注3)
(注1)法人や営業性個人は、取引関係者や親子会社等、関与する者が 相当に多いことが一般的であり、法人や営業性個人の行う取引に犯罪収 益やテロリストに対する支援金等が含まれる可能性が相応にあるもの と考えられるため、SDD 対象とすることは相当ではないと考えます。
(注2)④の「本人確認済み」とは、基本的には、2016 年 10 月の改正 犯収法施行以降に同法に基づく取引時確認を実施したことを意味して います。 また、1990年10 月1日以降に取引を開始した顧客についても、当時 の規制等に沿った手続が確認されれば、「本人確認済み」と整理すること は可能であると考えます。 一方で、1990 年 10 月1日より前に取引を開始した顧客については、 公的又は他の信頼できる証明書類等に基づき、氏名、住所及び生年月日を確認した証跡が存在しない限り、「本人確認済み」と整理することはで きないものと考えます。
(注3)⑥については、SDD 対象顧客に対して顧客リスク評価の見直し を実施した場合に、再度 SDD 先と整理することを妨げるものではありません。」
金融庁マネロン・テロ資金供与対策ガイドラインに関するよくあるご質問(FAQ) 新旧対照表 現行(改訂前)の脚注より
今回の改訂で、この6つの要件が、3つに絞られた形になっています。
改訂後は、②、③、⑥が、「なりすましや不正利用等のリスクが低いことが一般的に考えられる」ものとし、これらを充たした上で、「自社の顧客等のリスクを分析し、SDD対象顧客を選定することが求められる」とされています。
①、④、⑤に関しては、注記として、「リスク分析にあたって考慮することが考えられる」と上記②、③、⑥に比べトーンが下がった記載になり、SDDを適用する必須要件からは外れる形となっています。
*用語説明:
「リスクに応じた簡素な顧客管理(SDD)」と は、顧客リスク評価の結果、「低リスク」と判断された顧客のうち、一定の条件を満たした顧客について、顧客情報を更新するな どの積極的な対応を留保し、取引モニタリング等によって、マネロン・ テロ資金供与リスクが低く維持されていることを確認する顧客管理措 置のことをいいます。(金融庁 マネロン・テロ資金供与対策ガイドラインに関するよくあるご質問(FAQ) 新旧対照表より)
継続的顧客管理のための情報収集手段
また、SDDの部分で注目すべき改訂は、SDD対象顧客は、「DM等を送付して」顧客情報を更新するなどの積極的な対応を留保できる、とされていましたが、この「DM等を送付して」の文言が削除されました。
今までは、この「DM等を送付して」の文言から、継続的顧客管理における主な情報収集手段としてDMの利用が考えられていました。しかしながら、多くの金融機関でDMによる情報収集を試みていますが、その多くは回収率が20-30%ほどとなっています。この実態を踏まえ、当局もDMでの調査は、コストがかかる割に回答率が悪く、効率が良くないと認識し、DM調査に限らず有効性のある情報収集を求めるようになったと考えられます。
継続的顧客管理の情報更新頻度について
継続的顧客管理の情報更新頻度に関する改訂も注目です。
改訂前のFAQでは、情報更新の頻度については、「一般的には、高リスク先については1年に1度、中リスク先については2年に1度、低リスク先については3年に1度といった頻度で情報更新を行うことが考えられます。」とされていました。
そして、「これ以上、期間を延ばす場合には、合理的かつ相当な理由が必要になるものと考えます。」とされていました。
改訂後のFAQでは、同様に上記の頻度が例示されているのですが、「なお、この例に限らず情報更新の頻度を決定することも考えられます。」との文言が追加されています。そして、上記の例に限らず情報更新の頻度を変える場合は、以下の対応を行うことが必要とされています。
・全顧客のリスク格付を行う
・更新頻度の妥当性を検証
・定期的に更新頻度の妥当性に問題がないことを検証
具体的な対応については、以下が挙げられています。
- 過去の定期的な情報更新による顧客リスクスコアの上昇度合い等を分析し、顧客リスク評価を適切に保つために 合理的な頻度を設定
2. リスクが上昇するイベント発生時に調査し、必要に応じて顧客情報更新・顧客リスク評価見直し
3. 顧客情報更新に取引モニタリング・フィルタリングを活用。検知した顧客を調査、必要に応じて情報更新・顧客リスク評価を見直し
4. 上記の有効性を定期的(例えば年次)に検証し、その結果を踏まえて適宜対応を見直し
FAQ P69から抜粋
まとめ:今回の改訂は「対応の柔軟化」であり、今後も高度な継続的顧客管理が求められている
上記のように、一見SDDや継続的顧客管理の情報更新頻度の要件が緩和されたように見えますが、良く見ると十分な情報収集と分析が必要であり、高度な顧客管理が求められています。
当局へヒアリングした際に、今回の改訂は要件の緩和ではなく、「柔軟化」であることを強調されていました。画一的な対応を求めることはせず、十分な情報収集と分析を行い、その結果低リスクと判断される顧客に対しては、柔軟な対応が許される、とのことです。
今回のFAQ改訂は、現在グローバルで話題になっているpKYCの流れと一致すると考えております。詳しくは、次回の私のブログでご紹介しますが、pKYCは、常に入手可能な顧客情報を収集してモニタリングを行い、リスクに変化があった場合に、顧客への直接調査を含めた対応を行う手法です。
情報収集、データ分析は、大規模なシステム投資が出来る大手しか実践できないのでは、との声も聞きますが、大きな流れを見ると、会社規模の大小を問わず、従来の画一的な管理ではなく、pKYCのようなアプローチが必要になると推測しています。いきなり大きなシステム投資や専門部隊の設置などは難しいと思いますが、現在出来る範囲から、情報収集、データ分析を進めていき、段階的なリスク管理の高度化を進めることが必要と考えます。
弊社では実質的支配者情報の取得など、継続的顧客管理に関する課題を解決するコンプライアンス・ステーション®️シリーズを提供しています。現在オンラインサービスの無償トライアルを実施中ですので、ぜひお気軽にお試しください。
次回の私のブログでは、「金融庁マネロンガイドラインFAQ改訂とpKYC (Perpetual KYC)」の続編として、pKYCの内容についてご紹介する予定です。
著者紹介
コンプライアンス・データラボ株式会社
代表取締役、CEO
山崎博史(Hirofumi Yamazaki)
富士通、NTTデータにてERPや規制関連システムの企画、開発に従事した後、米国系コンサルティングファームにてリスクマネジメントに関するコンサルティングを多数の金融機関等へ展開。2012年米国Dun & Bradstreet社の日本法人に入社し、プロダクトマーケティング責任者として、リスクマネジメントやコンプライアンス関連製品の国内リリース及び販売を推進。2020年より東京商工リサーチに転籍し、ソリューション開発部長としてコンプライアンス分野を中心にソリューションを展開、現在に至る。
・公認グローバル制裁スペシャリスト (CGSS)
・公認アンチ・マネーロンダリング・スペシャリスト(CAMS)
・公認情報システム監査人(CISA)
・米国ジョンズ・ホプキンス大工学修士(MSE)
Copyright Compliance Data Lab, Ltd. All rights reserved.
掲載内容の無断転載を禁じます。