FINANCE FORUM 金融機関における最新規制を踏まえたAMLの対策<アフターレポート>

FINANCE FORUM 金融機関における最新規制を踏まえたAMLの対策<アフターレポート>

印刷用ページ

2018年12月6日(木)、セミナーインフォ主催「FINANCE FORUM 金融機関における最新規制を踏まえたAMLの対策」が開催された。マネー・ローンダリング/テロ資金供与防止対策(AML/CFT)に対する国際社会の要請が着実に高まりをみせている中、FATF(金融活動作業部会)による第4次対日相互審査を来秋に控え、各金融機関では機動的かつ実効的なAML態勢の構築に向けた取り組みを強化している。フォーラムでは、監督当局である金融庁による基調講演をはじめ、IMF、G20、FATF等を通じた国際金融システム安定や国際経済協力などを所管する財務省による特別講演ほか、金融機関の取り組み状況等のプログラムを通じて、AML対策におけるポイントの整理・検証が行われた。

  1. 金融機関等におけるマネー・ローンダリング及びテロ資金供与対策の現状と課題
  2. AI、データ・サイエンス&グラフ・アナリティクスを活用した金融犯罪対応
  3. 犯収法施行規則改正による新たな本人確認手法
  4. セブン銀行のこれまでのAML対策の歩みと今後の取り組みについて
  5. マネロン・テロ資金対策における最近の動向とFATF相互審査

金融機関等におけるマネー・ローンダリング及びテロ資金供与対策の現状と課題

基調講演
【講演者】
金融庁
総合政策局
マネーローンダリング・テロ資金供与対策企画室長
尾崎 寛 氏

2018年12月現在、FATFの第4次対日相互審査まで1年を切った。1年の中で何ができるのか、FATF審査を見据えた短期的な対応を進めるのはもちろんのこと、マネー・ローンダリング及びテロ資金供与対策(AML/CFT)の強化という本質を見失わず、リスクに応じたダイナミックかつ長期的なアプローチを進めていかねばならない。

AML/CFTの態勢を構築するうえで押さえるべきポイントは3つある。1つ目は、日常業務の中でしっかりとした対策を行うことだ。具体的には、口座開設の手続きや取引ごとのモニタリング、疑わしい取引の届出や業務プロセスの監査、経営への報告といった日常業務で随時対策を行っていく。2つ目は、このような対策の枠組みを中長期的に高度化していくこと、そして3つ目は、1年後のFATF審査を見据えた短期的な対応を行うことだ。FATFによるインタビューの対象企業として選定されても問題なくクリアできるよう、有効性の審査項目4のCore Issues(主要課題)に応えられるように態勢を整える必要がある。これら3つを同時並行で進めていくことが重要だ。

態勢構築において、日本の金融機関において課題となっているのが、リスクベース・アプローチに基づく継続的な顧客管理措置だ。現状対策がなされていない、あるいは十分でない金融機関が多く、金融庁としては対策を進めるよう呼びかけている。継続的な顧客管理措置には具体的には大きく2つの方法がある。実態把握とリスクに応じた取引モニタリングの閾値の変更だ。実態把握は、顧客に紐づいたリスクを把握し、リスクに応じた頻度で定期的に顧客のリスク評価の見直しをかけること、あるいは顧客のリスク評価に影響を与える事象が発生した場合直ちに見直しをかけることを指す。閾値の変更は、把握されたリスクに応じてモニタリングの閾値を調節することで、対策の効率性を高めつつ疑わしい取引の見逃しを防ぐことを指す。

ここで鍵となる顧客のリスクは、①商品・サービス、②取引形態、③顧客属性、④国・地域の4つを組み合わせて総合的に判定する。それを基に、例えば顧客ごとに取引不可先、ハイリスク先、ミディアムリスク先、ローリスク先に分類し、各分類に応じた頻度で顧客のリスク評価を見直し、閾値を変更するまでが一連の流れだ。これらのタスクを「誰が」「いつ」行うのか。アクションプランの中に明確に定め、実行することで初めて継続的な顧客管理措置の態勢が構築される。顧客のリスク評価に影響を与えるトリガーイベントについても、国内外での行政処分事例や新たな商品・サービスの利用申請、M&Aなどの情報を把握し、顧客のリスク評価の見直しをする必要があるが、実際に「誰が」リスク評価の見直し要否を判断するのかなど、社内規定の整備が必要となる。これらの作業量は極めて膨大であり、アクションプランを実現するうえではリソース配分の計画を立てることも重要となってくる。

その他、FATFも重要視している事項についていくつか触れておきたい。まず、疑わしい取引の届出においては、きちんと届出を行いその記録を作成・保存のうえ適切な対策を講じることはもちろんのこと、疑わしい取引を検知した際に、ケースマネジメントや水平レビューを行うなど、記録を活用する視点を持つことがポイントだ。また、監査部門はこれらの取り組みを独立した立場からチェックすることに加え、データ・ガバナンスやシステムの検証などを行うことも求められる。

金融庁では、各取組みの参考になる好事例集を提供していきたいと考えている。現在は8月に公表した現状と課題に関するレポートがHPに掲載されているが、引き続き情報の充実に努めていくので、ぜひ活用して対策を推進していただきたい。

AI、データ・サイエンス&グラフ・アナリティクスを活用した金融犯罪対応

【講演者】
Oracle Financial Services Software Pte Ltd.
日本、アジア太平洋地域 金融犯罪&コンプライアンス責任者
イド ニル 氏

近年、技術環境の変化を受けて金融犯罪における犯罪者の手口も巧妙化している。インターネット上のダークマーケットでは、技術レベルの高いプログラマーが作成したマルウェアやハッキングにより盗まれた個人情報などが販売され、それを使って様々な不正が行われている。アジア太平洋地域の金融犯罪への意識は高まっているものの、世界的な金融拠点に比べると対策の進みは遅い。不正のターゲットは、あらゆる製品や事業、また地理的にも広範囲にわたっていることから、急ぎ対策を進めていく必要があるだろう。

金融犯罪に関するコンプライアンス対応は、従来のようなチェック項目を使った方法やルールベースの対応では十分でなくなってきている。規制当局は、コンプライアンスシステムが機能しているという事実だけではなく、どういう課題に対してなぜそのシステムやプロセスを採用し、実際にどのような効果が出ているか、といった実効性まで説明することを求めている。金融機関はより高度で効率化された対応を模索する必要があるだろう。ここでは特に技術的な側面から、ビッグデータやAI、機械学習を活用した先進的な金融犯罪対応について紹介する。

金融犯罪への対応には、疑わしい取引の「検知」と「審査」の大きく2つのステップがある。このうち、検知の高度化はコンプライアンスの効果を高めることにつながり、審査の高度化はコンプライアンスの効率化を進めることにつながる。審査の効率化を強化するには、ケースの類似性を見ることがポイントだ。ケースとは審査の単位であり、単一のアラートに、裏付けとなる取引や関連当事者、外部データなどの関連イベントを長期的に集約したものを指す。それらの情報は、従来は個別の表を作成して個々に見る手法が一般的であったが、ケースはグラフにすることで関連情報を相関的に表現できる。これによりケースの特徴が浮かび上がり、AIや機械学習を活用して類似性のあるグラフを探すことができるのだ。類似性を見ることは、例えば未対応の新たなリスクを発見した際、グラフの類似性から同様のリスクを抱えたケースを見つけることなどに活用できる。今後の目標として、過去のケースの分析結果をもとに、AIエンジンが新しいケースに対するアクションを推奨するような仕組みを目指している。

検知においては、テクノロジーを用いて構造化データと非構造化データの両方を活用することで、その検知性能を高め、非常に複雑化した金融犯罪をも検知することが可能になる。2017年に世界中で多くの企業や個人を襲ったランサムウェア「ワナクライ」の事件では、身代金(ランサム)の受け渡しに使われたビットコインの取引情報をもとに、そのコインを最終的に受け取った電子ウォレット、すなわち最終受益者を特定することが最大の目的であった。この時、当社のサービスであるOracle Financial Services Crimeand Compliance Studio(FCCスタジオ)を使うことで、3億5千万件のアドレス、14億個の取引情報などのビッグデータを読み解き、最終受益者の特定を行うことを可能にした。その過程においてはグラフも活用しており、自分の所有アカウントではない複数のアカウントを特定の誰かがコントロールする小規模なケースをワナクライに置き換えることで、シンプルなケースから複雑なケースの全体像を浮かび上がらせることに成功した。FCCスタジオは、迅速なシミュレーションを可能にするサンドボックス環境や、金融犯罪に特化したアルゴリズムを備え、ワナクライに留まらず金融犯罪に対して広範な対応を可能にしている。

当社では、今後もテクノロジーを活用したコンプライアンスの高度化について、先進的な取り組みを進めていきたいと考えている。

犯収法施行規則改正による新たな本人確認手法

【講演者】
株式会社TRUSTDOCK
代表取締役
CEO
千葉 孝浩 氏

TRUSTDOCKは、法律・技術・業務のすべての面をカバーするKYCの専業商社として、日本で唯一のe-KYC/本人確認API「TRUSTDOCK」を展開している。犯罪収益移転防止法をはじめ、割賦販売法や古物営業法など、各種法律に準拠した本人確認をAPI連携のみで実現し、KYCの総合プラットフォームを目指している。

本人確認は、公的な身分証明書によって名前・住所・生年月日などの身元情報を確認する「身元確認」と、パスワードやスマートロック・生体認証などを用いてログイン時などに当人であることを確認する「当人確認」に分けられる。当社のe-KYC/ 本人確認APIサービスは、このうち身元確認を行うAPIだ。事業者は、ユーザーから提出を受けた本人確認書類をTRUSTDOCKにAPI経由で連携するだけで、TRUSTDOCK側から本人確認結果のフィードバックを受けることができる。すでに既存金融機関並の本人確認件数を処理しており、当社としてはさらなる裾野の拡大とプラットフォームの定着を目指し、取り組みを進めている。

そのひとつとして、2018年11月に施行された改正犯罪収益移転防止法施行規則の改正への対応がある。これまで金融機関では、郵便を用いた本人確認が必須とされていたが、今回の改正により新たにオンラインのみで本人確認を完結できる新手法が採用された。また、2020年には既存の郵送対応による手法の厳格化が実施される見込みであり、各金融機関は2020年までに郵送不要の新手法もしくは厳格化された既存手法のいずれかに対応する必要に迫られている。

新たな本人確認手法を取り入れるにあたっては、ユーザー目線でそれぞれの利便性を理解することが重要だ。郵送不要の新手法では、3つの本人確認方法が定められているが、このうち犯罪収益移転防止法施行規則 第六条1項ホに規定されている「写真付き書類の写し1点と容貌の写真」による本人確認について考えてみたい。ここでは、身分証が原本であることがわかるよう、厚みその他の特徴を撮影することや、撮影した写真がその場で撮影されたものであることなどの要件が求められている。実際に自分自身で撮影を試みると、要件に沿った写真をユーザー自身が正しく撮影するのは難しいことが分かるだろう。例えば、指先で身分証の一部の情報が隠れてしまう、光の反射で必要な情報が読み取れないなど、些細なことで要件を満たすことは難しくなる。また、厚みその他の特徴のように、何をどのように撮影すればよいのか判断が難しい場合は、適切な撮影方法を示す必要があるし、撮影タイミングの証明には、タイムスタンプの記録だけでは不十分であるため、写真の中にランダムな英数字を映り込ませて撮影するなどの工夫が求められる。

その他、第六条1項ヘ・トに規定された新手法も、身分証内のICチップの読み取りや金融機関との連携による認証など、対応可能なユーザーを選ぶ要件が含まれている。郵送が不要になったとしても、撮影その他の手間や制約は大きく、UI・UXを高めていく取り組みが必要だ。2020年に施行予定の既存手法の厳格化もさらなる制約をもたらす中、金融機関はいずれの手法を採用し、いかに迅速に態勢を整えていくのか検討しなければならない。

当社では、全ての手法を提供可能な専用アプリの開発を進めており、2019年春以降にリリースを予定している。このアプリは、ユーザー自身が好きな手法を選択できる本人確認アプリであり、第六条1項ホの実装を皮切りに、その他の手法も順次実装していく予定である。既存の本人確認APIサービスと連携し、安全かつ高速な本人確認を実現する。当社はKYCの専業商社としての知見を活かし、法律要件を満たすだけでなく、UI・UXに優れた実運用に耐え るサービスを提供していきたい。

セブン銀行のこれまでのAML対策の歩みと今後の取り組みについて

【講演者】
株式会社セブン銀行
7BK-CSIRT
エグゼクティブアドバイザー
安田 貴紀 氏

セブン銀行では、インターネットやATMを通じた非対面取引による金融サービスを提供している。2018年3月時点で口座数は182万口座、月間約17,000の新規口座開設があり、そのほとんどがインターネット経由による非対面での申し込みだ。その事業特性から、AML/CFTの対応として顧客のリスク格付けには力を入れており、口座開設受付時点でリスクに応じて謝絶を含めた4段階で判断するとともに、その後のトランザクションの監視によりリスクに応じた継続的な監視を行っている。

銀行口座の不正利用は、攻撃者が被害者の口座を乗っ取り行う不正送金と、口座名義人本人が騙され、攻撃者の口座に振込を行う振り込め詐欺の大きく2つに分けられる。いずれも、攻撃者は送金を受け取るための受取口座が必要となるが、口座売買サイトや本人確認書類の偽造サイトなどが横行しており、本人確認書類のチェックのみで不正口座を防ぐのは困難な状況だ。

実際にどのように口座の不正利用を防いでいくことができるであろうか。近年、金融犯罪の攻撃手口は巧妙化・進化し、攻撃者の組織化・分業化も進んでいる。一度弱い部分が見つかると集中的かつ長期的にターゲットとされてしまう傾向があるため、攻撃者のアタックの兆候を早期に発見し、未然防止する取り組みが必要だ。アタックの兆候とは、たとえばIPアドレスやブラウザの言語の設定、申込情報から浮かび上がる矛盾や不自然さ、振込前の頻繁な残高照会を目的とした不自然なログインのような行動などがある。このような、申込データや取引行動などの細部に表れる攻撃者の不自然さを捉えることが、不正対策のカギである。

すぐにできる取り組みとして、大量の申込データを眺めることは有効だ。そうすることで、特定の地域や同一住所からの集中した申し込み、氏名・生年月日の類似、同一時間帯の操作、電話番号の重複やメールアドレスの体系の類似など、不自然なデータの塊が浮かび上がってくる。実際にこれらを追跡調査したところ、9割は明らかに謝絶すべき口座であることが分かった。

不正利用の兆候があった口座の対応として、セブン銀行では該当口座への振込が自動入金されないように設定を行っている。振込資金を一時的に保留にし、振込元金融機関へ被害の確認を取るとともに、被害の申し出があれば、振込資金の返却を行う。不正利用による被害は、兆候が発生した当日に起こる確率は低く、その多くは、翌日以降であることが当社では確認出来ている。このことからも、リアルタイムのモニタリングでなくても、兆候を検知した時点で可能な限り迅速に対応を行うことで、多くの不正利用を未然に防ぐことができると考える。

本施策を2015年から2017年にかけて実施した結果、口座申込謝絶件数は約3倍に増えたが、口座利用停止件数は3割減という成果が得られた。被害を未然に防ぐことで、お客さまから感謝の言葉を頂くとともに、社会的意義を担当者は同時に感じ取っており、業務に対するモチベーション向上効果にもつながっている。

今後さらなる挑戦として、金融犯罪対策の世界にイノベーションをもたらすべく、子会社のバンク・ビジネスファクトリーによるAML受託サービスのさらなる推進や、マーケティングの手法を活用した不正検知プラットフォームの開発などを進めていきたい。攻撃者の手口が巧妙化・進化している昨今、ユーザーの安心を考えれば、「不正利用は競う場ではなく、協力する場」。金融機関同士の情報連携などを通じて、業界全体で対応レベルを向上させていくべきことであるといえる。今後は、各金融機関との情報交換はもちろんのこと、個別相談にもお応えできるよう、さらに踏み込んだ「不正検知プラットフォーム」の構築を目指していきたい。

マネロン・テロ資金対策における最近の動向とFATF相互審査

【講演者】
財務省
大臣官房企画官
兼 国際局国際機構課
種村 知樹 氏

FATFは、マネー・ローンダリング対策の国際基準(FATF勧告)を策定し、その履行状況について相互審査を行う多国間の枠組みである。FATF勧告の適用範囲は広く、世界190以上の国・地域に適用されている。その対応範囲は時代に応じて拡大しており、2012年以降は①資金洗浄、②テロ資金供与、③拡散金融の3つを柱に対策を行っている。2012年策定の勧告を用い、現在実施されている第4次相互審査では、法令等整備状況に加え、その有効性、すなわち当局及び事業者による履行状況や実効性も審査対象となっている。審査は「40の勧告」および「11項目の有効性」について項目ごとに4段階評価され、それらの個別評価を基に国としての総合評価を判定される。もっとも良い評価はRegularFollow-upであり、それ以外はEnhanced Followupとなるが、有効性審査のハードルは高く、加盟国35カ国中21カ国の審査が終了した現時点において、Regular Follow-upの評価を受けているのは5カ国に留まる。

FATF勧告の内容は、法律もしくはガイドラインなどの強制力のある手段で国内制度に取り入れなければならない。日本では、犯罪収益移転防止法を中心にカバーしており、金融機関各社には犯収法およびそれに基づくガイドラインに沿ったAML/CFT対応が求められるが、一方で事業者別のリスク対応だけでなく、国全体としてリスク対応に向けた協調姿勢ができているかという点も重要な評価項目である。財務省としては、外国為替及び外国貿易法に基づく両替業者の検査に積極的に取り組んでおり、不備事項指摘事例集の公表により有用な情報の発信に努めている。

第4次相互審査にいたる日本の歩みとして、前回の第3次相互審査について認識しておきたい。2008年10月に採択された審査報告書において、日本は複数の重要な不備事項を指摘されたにもかかわらずその後の対応が遅れたことにより、2014年に名指しで迅速な対処を促す声明が発出された。これを受けて日本国内での法令整備の動きが活発化し、改正テロ資金提供処罰法やテロ等準備罪処罰法など、複数の法令やガイドラインの整備が進んだ。

このような状況の中で、いよいよ2019年に日本の第4次相互審査がスタートする。既にFATF側では審査員選定のプロセスに入っており、5月~ 6月に実際の審査がスタートする。まずは、法令と有効性に関する自己申告書を提出し、その内容に関する質疑応答が行われたのち、10月~11月に約3週間にわたるオンサイト審査が行われる流れだ。オンサイト審査では有効性を中心に審査が行われ、第2週目には金融機関を中心とする民間事業者に対し直接インタビューが行われる。ここでは当局の同席は許されておらず、社内におけるリスク管理体制やシステム、リソースの十分性、取り組みの成果などについて細かく深掘りされることとなるので、適切な回答ができるよう、準備を進めていただきたい。また、個社の状況のみならず、国単位でのリスク評価やリスク・ベース・アプローチも審査の対象となる。2018年12月に警察庁より公表された最新版の危険度調査書には、相互審査に向け拡充された内容が記載されている。こちらの内容を踏まえて各主体が十分な説明ができるよう対応を進めていただきたい。

FATFの審査団は、日本のみならずどの国においても、高いリスクを抱えるセクターとして、厳しい目線で金融機関の審査に臨むであろうと考えられる。経済や金融サービスのグローバル化により、AML/CFT対応には国際的な協調が必要不可欠だ。第4次相互審査に向けて官民一体となって対応を進め、日本がグローバルスタンダードを満たした対応をしているという姿勢を示しつつ、国民全体の安全や経済活動の健全な発展を目指していきたいと考えている。