(※この記事は2024/09/25に加筆しております)
金融庁「マネー・ローンダリング及びテロ資金供与対策に関するガイドライン」では、「自らが直面しているリスク(顧客の業務に関するリスクを含む。)を適時・適切に特定・評価し、リスクに見合った低減措置を講ずること」と定義しています。まずは、自社におけるリスクを特定・評価し、リスクが高いと判断したものに対し、リソースを集中させて管理をすることを指しています。
OFACでは、
「すべての企業に同じことをするコンプライアンス管理は、必然的にリソースが薄く幅広く割り当てられ、低リスク分野に必要以上にリソースが割かれ、高リスクの分野に対するための 対応が不十分となり、ほとんどの場合誤りであり、効果がない。」
とガイドラインで述べています。犯罪手口が巧妙化し、簡単な対応では犯罪者を排除できない状況であることが、リスクベース・アプローチが強く推奨されている背景にあります。
国内外の規制当局は、リスクベース・アプローチによる顧客・仕入先の管理を強く推奨しています。リスクベース・アプローチは、各種ガイドラインにおいて、リスクの特定・評価をした上で、リスクの高低の基準を作り、個々の顧客・仕入先のリスクを格付けし、リスク低減措置を取っていくものとされています。しかしながら、リスクの特定・評価をするためには、リスクを分析するためのデータがそろっていないといけません。多くの企業にとって、このリスクを分析するためのデータ整備が課題になっています。そこで、私たちは、リスクベース・アプローチの最初のプロセスとして「マスタデータ整備」を追加しています。
多くの企業において、顧客・仕入先マスタは、事業部、支社店、グループでバラバラに管理されています。また、同じ顧客・仕入先マスタ内でも、データがきれいに整備されていない状態が多くみられます。よく見られるのは、データが「重複している」、「最新でない」、「必要な情報が欠落している」というような状態です。
では、データが「重複している」、「最新でない」、「必要な情報が欠落している」と、どのようなことが起こるのでしょうか?
まずは、データが「重複している」状態を考えてみたいと思います。
<データ重複例>
たとえば、「エイ・ビー・シーカンパニー株式会社」という正式商号を持つ会社があったとします。しかし、営業担当者によって、「エイビーシーカンパニー(株)」や「ABCカンパニー」として登録していたりします。そうすると、システムはそれぞれを別会社と認識し「エイ・ビー・シーカンパニー株式会社」という1つの会社に対して、3つの別々の顧客アカウントを持つことになります。
実際に、エイ・ビー・シーカンパニー株式会社とは、100万円の取引があったとした場合、当社は3つの別々の顧客アカウントで管理されているので、それぞれ30万円程度の取引に見えてしまいます。もし会社の基準で、取引金額100万円未満と100万円以上で管理レベルを分けていたとしたら、大きなコンプライアンス違反を見逃してしまうかもしれません。
また、コストの観点でも、本当は1社のチェックで済みところを重複して3社チェックすることになるので、無駄な出費となってしまいます。
このように、アカウントの統合(名寄せ)ができていないと、効率的かつ正しくコンプライアンスリスクを把握することができなくなってしまします。
また、情報が「最新でない」場合も、大きなコンプライアンス違反のリスクを抱えることになります。FATFの勧告を受け、金融庁では、継続的顧客管理をすべての金融機関に求めています。具体的には、早急に全顧客の情報をアップデートし、それぞれの顧客にリスク格付を行うことを求めています。
なぜ、顧客情報をアップデートしないといけないのか?それは、リスクは常に変化するからと説明されています。ある時点で、全くコンプライアンス違反をしていない企業でも、その後犯罪組織に買収されマネーロンダリングに利用されるようになっているかもしれません。
また、経営者が経営状況の悪化により、犯罪に手を染めるようになっているかもしれない。そんなことがあり、FATFでは継続的に対象企業を管理することを求めています。コンプライアンスにおいては、継続的な管理が非常に重要になっています。
最後に、「必要な情報が欠落している」状態を考えてみます。規制当局や業界団体のガイドラインを見ると、リスクの評価は、顧客特性、地域、製品・サービスの3つの観点で行うことを推奨しています。顧客特性でいうと、業種、設立年、代表者、役員、実質的支配者、資本構成、財務状況など評価のためのパラメータがあります。こちらの情報がないと精度の高い分析、評価ができません。某AML向けのソフトウエアでは、リスク評価のため約200項目のパラメータがあるとのことです。しかしながら、その項目を十分埋められるほど情報を持っている企業はほとんどないと言われています。初めから、200項目の情報を収集して分析を行うことは難しいかもしれませんが、徐々にリスク評価するための項目を増やしていき、より精度の高い分析ができるように改善していくことが重要となります。
リスクベース・アプローチにおいて高リスクとされやすい事象の一例を挙げます。
口座開設/継続的顧客管理:
・マネロン/テロ資金供与のリスクが高いとされる国に居住する顧客/法人代表者
・実質的支配者が不明瞭な法人
・役員や実質的支配者の変更が頻繁に発生する法人
取引モニタリング:
・当該法人の業態/規模に見合わない不自然な大口取引
・頻繁な国際送金
実際には疑わしい取引や顧客の分析を通じて、自社の事業に応じたリスク評価プロセスに反映することが重要です。
今回は、リスクベース・アプローチの概要と具体的なプロセス、そしてマスターデータ整備や継続的な情報収集の重要性について説明しました。犯罪手口の巧妙化に伴い、自社の事業特性に応じて高リスクを特定し、適切な対処を行うことは金融犯罪対策における根本的で重要な考え方です。
自社の金融犯罪対策強化において信頼性の高い法人情報の収集を課題として抱えている方はぜひ弊社までご相談ください。