金融庁は、1月19日、マネロンガイドラインの一部改正案を公表しました(下記リンク)。パブリックコメントの結果とその後の所要の手続きを経て正式に適用の予定としています。
「マネー・ローンダリング及びテロ資金供与対策に関するガイドライン」の一部改正(案)の公表について
https://www.fsa.go.jp/news/r7/amlcft/20260119/20260119.html
今回の改正では、これまでに記載のあった「対応が期待される事項」が無くなり、その一部は「対応が求められる事項」に格上げ(?)されました。改定要因には、FATF第5次審査への準備も含まれる旨が公表文にも示されています。FATF第5次審査を2年後の2028年に控え、審査自体は2年後とはいえ審査に向けた準備・手続きはすでに始まっています。金融機関のマネロン等対策に係る当局目線も、今後より高まっていくことはメイン・シナリオであり、リスク・シナリオとしては、当局検査が入り(目線の上がった検査の結果として)多くの指摘を受ける可能性が、またストレス・シナリオとしては行政処分等の行政対応を受ける可能性も想定されうるでしょう。
本邦金融機関におかれては、そんなことは百もご承知で、有効性検証も含め、マネロン等リスク管理態勢の維持・高度化を進められていると思います。一方で、筆者がかつて国内外の複数の金融機関のリスク管理態勢整備を検証してきた中では、当局目線とは違ったかたちあるいは違ったスピード感で、リスク管理態勢の整備や高度化を進められているケースも少なからずありました。こうしたケースにはいくつかの共通点があったように思います。
まず挙げられるのは、リスク認識不足です。当初から「自社のリスクは低い」といった前提に立っているもので、所謂正常性バイアスや経験バイアスともいえます。自社が直面するリスクを十分かつ適切に評価した上でそのような判断をしているのであればともかく、そもそものリスク評価を行っていないあるいは十分でないため、「なぜ低いと評価したのか、どのように評価したのか」といった問いにも十分な説明がなされないケースがほとんどです。
特にリスク認識不足が経営陣にあった場合には、態勢整備に必要なリソースやコストの配分にも大きな制約を生み、態勢整備の不備や遅れにつながりかねません。このため、経営陣のリスク認識不足が認められた場合には、前述のリスク・シナリオやストレス・シナリオに発展する可能性も高まります。なお、経営陣のリスク認識不足については、通常、多数の不備が発覚した際の構造的問題の分析として最終工程で検証することが一般的です。ただ、例えば他社比でリソース配分の増加状況・増加率が劣後するとみられるなど、経営陣の認識への疑義につながりうる事態が確認された場合には、それをきっかけに検証を開始する場合もあります。
信用リスクや市場リスクなど古くからあるリスカテゴリーに比較して歴史の浅いマネロンやサイバーセキュリティなどの場合、当局としての目線においても他の金融機関の取り組みがベンチマークになることも少なくありません。申し上げるまでもなく、当局には検査・監督を通じて多くの取り組み状況の情報が蓄積されます。
それぞれの金融機関がとるべき対策は自身の規模・特性に応じて判断するものであり、他がやっているからやらなければならないというものではありません。しかしながら、他の金融機関では取り組んでいるのに取り組んでいない、認識していないという対策があった場合には、その理由が説明できないと、「リスク認識に不足があるのではないか」という仮説が立ちかねません。
2024年3月がマネロン対策リスク管理態勢整備の期限がとされていた中、同期限に態勢整備が完了し、態勢の実際の運用は2~3巡した段階といった金融機関も少なくないかと思います。当局もこうした金融機関の多くは高度化余地が少なくないものと捉えており、有効性検証を通じた態勢の高度化を求めているところです。また、内外の環境変化に応じた必要な制度変更・高度化を行い、適切なリスク評価・軽減措置機能を維持することが、態勢の成熟度に関わらず、すべての金融機関に求められています。
しかしながら、一般に制度変更の際にはそれ自体に負担を伴うことも少なくなく、なかなか制度変更に踏み切れないといったケースも見受けられます。ただ、制度変更の実績・実態があまりに少ない場合には、有効性検証の実効性やリスク認識を疑われかねません。
本来手段だったものが、目的にすり替わってしまうもので、急いで整備された態勢において見られがちな傾向です。例としては、リスク評価のために必要な情報収集・取り揃えるはずだったものが、その作業自体が目的化してしまい、情報・書類が揃ったことだけでミッション完了としてしまうケースです。特にマネロン対策におけるリスク評価は、悪意・犯罪のリスクが対象であり、評価対象から申告された情報に対して疑義を持つことを欠いてはリスク評価とはなりません。
また別の例として、リスク評価のツールとしてチェックリストが用いられることがままありますが、チェックリストは作業の効率性や網羅性などを保つうえで有効な手段である一方で、その運用が形式的になってチェックリストを埋めることが目的化してしまい、リスク評価目線が損なわれるといったケースもあります。
制度対応という意味では、記録となる文書を整備することも重要ではありますが、リスク管理としてはリスク評価が不適切で、引いてはリスク軽減措置も不適切となり、態勢全体の実効性に疑義が呈されることもつながりかねません。
上記に記載した各項目は、相互に連関し、鶏か卵かといった関係にもあります。弊社ブログをご覧の皆様におかれては、おおよそ当てはまらない内容かと思いますが、この時期、来年度のマネロン等対策に係る年度業務計画を策定している最中かと拝察するところ、引き続き態勢の維持・高度化を検討されていく中で、わずかなりとも参考になれば幸いです。
著者のご紹介
コンプライアンス・データラボ株式会社
プリンシパル
鈴木紀勝(Norikatsu Suzuki)
国内・外資の大手損害保険会社等において企業分野の火災、自然災害、ITリスク等のリスク評価やコンサルティング、損害調査・査定に従事したのち、米系リスクコンサルティングファームにて金融機関向けリスクコンサルティングを展開。
その後、金融庁において金融機関のバーゼル規制対応の審査や、大手金融機関のリスク管理やコンプライアンス・内部管理、海外管理・グループ管理等に係る検査・モニタリング、海外当局との調整業務に従事。また金融庁勤務期間中には米国ニューヨーク連邦準備銀行に出向し、外国大手金融機関のリスク管理や、サイバーセキュリティ等の検査業務に従事した。
2025年より当社に参画。
近年のマネー・ローンダリング事案の増加など、金融機関をはじめとする犯収法における特定事業者にとって、継続的顧客管理の重要性は一層高まっており、「コンプライアンス・ステーションUBO」へのお問合せが増えています。
「コンプライアンス・ステーションUBO」は、国内最大級の企業情報データベースを基に、犯収法に沿ってオンラインで瞬時に実質的支配者情報等を提供するサービスです。DM調査で思うようにUBO情報が得られない、DM調査等のコストを削減したいなど、課題がありましたら、ぜひお気軽にご相談ください。
「コンプライアンス・ステーションUBO」については以下のリンクから詳しくご確認いただけます。
https://prtimes.jp/main/html/rd/p/000000005.000094258.html
(2023年6月15日発表のプレスリリース)
なお、ご興味のあるお客様へ実際のデータを使った無償トライアルをご提供しています。
ご希望のお客様はお気軽に下記リンクより、お問い合わせ、お申し込みください。