【連載】FATF第4次対日相互審査結果を踏まえたAML/CFTの高度化とAI等テクノロジーの活用①　AML/CFTにおけるAI等テクノロジーの活用と共同化

2022/07/07 # AML 印刷用ページ

2021年8月30日に公表されたFATF第4次対日相互審査結果の中で、フィルタリングシステム・取引モニタリングシステムの誤検知や有効性についての指摘がなされている。今後、金融業界全体としてAML/CFTの態勢の高度化を進めていくにあたって、取引モニタリングの共同システムの実用化やAI等テクノロジーの活用の検討が不可欠であり、本連載についてはこの点について取り上げる。

Fintechの活用およびシステム・データの共同化と課題

AML/CFTにおけるFintechの活用

金融機関が取引モニタリングやフィルタリングを行うにあたっては、大量のデータの収集や分析を行い、かかるデータの活用によって不正検知や疑わしい取引の届出等の精度・分析の品質向や効率化を図る必要がある。また、フィルタリングにあたって、制裁対象者が指定された場合には、「遅滞なく（without delay）」（遅くとも24時間以内に）制裁者リストに取り込み、照合することが求められるなど、リアルタイム化が必要である。特に、金融イノベーションやデータ活用の高度化が、金融犯罪の手口を巧妙化させている側面もあり、Fintech等の活用なくしてAML/CFTの高度化は困難であるし、顧客の利便性向上にも資する。
他方で、Fintechを活用するのは「人」であり、テクノロジーの効率性・正確性と、人間の専門的知見、経験や分析スキル等を組み合わせることにより、説明責任や監査可能性を確保した堅牢なシステムの構築が可能となり（FATF“OPPORTUNITIES AND CHALLENGES OF NEW TECHNOLOGIES FOR AML/CFT”参照）、「システム」と「人」との補完関係が重要である。

システムや個人データの共同化の必要性

高度なテクノロジーの導入やその継続的なアップデートには大きな資源配分を要し、経営陣の主導的な判断が必要となるが、特に経営資源の限られた中小金融機関にとっては大きな負担となるし、経営資源の投入に見合った効果のあるものとする必要がある。
たとえばネット専業銀行等においては、店頭等対面での顧客情報の収集が難しい側面があり、また事業開始時期との関係で、口座開設以降のデータの蓄積が少ないケースもあるため、データの共有化の必要性がより高い面がある。この点、機械学習においては、質量を備えた学習用データが求められ、データの共有・利活用より、相乗効果やスケーラビリティの享受が可能となり、分析結果の有効性向上にも資する。
また、AML/CFTは非競争領域であり、金融機関において、システムや個人データの共有化を行うことにより、業界全体の底上げとなるし、ムービングターゲットであるAML/CFTの高度化への対応に資するため、業界全体で推進する意義が認められる。

共同化のパターン

システムや個人データの共同化に関しては、①共同する主体（官民ないし民民、グループ内外）、②共同機関の設置の有無、③金融機関のいかなる業務（預金取扱金融機関について述べると為替、預金、融資等）のどのようなシステム（取引フィルタリング・取引モニタリング等）につき共同化するか、④共有する情報の範囲（取引情報（トランザクションデータ）、口座情報、顧客情報（実質的支配者情報を含む）、リスク指標（リスクインディケーター）、疑わしい取引情報、レッドフラグ情報、アラートの処理結果等）、といった課題がある。
なお、上記①の共同する主体に関連し、2017年FATFガイダンス「プライベートセクターでの情報共有」は、民間事業者同士でもマネロン対策のための情報共有（グループを超えた疑わしい取引等の共有を含む）の必要性があることに言及している。

【共同化のパターン】
共同する主体	・官民or民民・グループ内orグループ外
共同機関	共同機関の設置の有無
共同化する業務	例：（預金取扱金融機関について）為替、預金、融資等
共同化するシステム	取引フィルタリングシステム、取引モニタリングシステム等
共有する情報の範囲	・取引情報（トランザクションデータ）・口座情報・顧客情報（実質的支配者情報を含む）・リスク指標（リスクインディケーター）・疑わしい取引情報・レッドフラグ情報・アラートの処理結果

いずれにしても、個別の論点を検討する前に、金融機関のフィルタリングや取引モニタリングの誤検知減少、システムのパラメータの最適化や誤検知減少、新しい情報や顧客行動の変化を反映するための動的なリスク管理やリスク評価、犯罪傾向の調査など、AML/CFTの高度化のためにいかなる共同化が必要かの全体的なデザインが必要である。
なお、共同化にあたっては、個人情報保護法における個人データの第三者提供との関係を整理する必要がある。また、金融機関は、顧客（個人・法人）との取引内容に関する情報や、顧客との取引に関して得た顧客の信用にかかわる情報等の顧客情報につき、商慣習上および契約上、当該顧客との関係において守秘義務を負い、その顧客情報をみだりに外部に漏らすことは許されないとの守秘義務が認められ（最判平成19年12月11日）、守秘義務との関係についても整理が必要である。
また、特にAIを用いたプロファイリング等については、データ保護とデータプライバシー（Data Protection and Privacy：DPP）やResponsible Innovation（責任あるイノベーション）といった、データ・ガバナンスの観点にも留意が必要であるが、個人情報保護法やデータ・ガバナンスとの関係については、次回以降の連載で取り上げる。

共同化と自社でのAML/CFTの態勢整備

資金決済WGでの議論

システムを共同化する場合、自社でのフィルタリングシステムや顧客管理（カスタマー・デュー・ディリジェンス：CDD）との関係が問題となる。この点、金融審議会の資金決済ワーキング・グループ（以下「資金決済WG」という。）の議論においては、各金融機関の取引フィルタリングシステム等に基づくアラートやヒット情報に対し、共同機関においてAIを用いたスコアリングに基づき一次判定を行い、これを各行に還元し、そのうえで各金融機関において二次判定として、疑わしい取引の届出の判断等を行うことを想定しているとのことである（資金決済WG第1回議事録〔全国銀行協会伊藤企画委員長発言〕）。
実務上は、委託の目的や範囲を踏まえ、共同機関より個々の金融機関に対し、AIシステムによるアラートの有無、スコアリング結果、スコア要因（寄与度）について、どこまでフィードバックするか、またフィルタリングについても、制裁対象者リストに関して、情報源や根拠等、どこまで回答するかといった点が検討課題となる。

システムの共同化とリスクベース・アプローチ

AML/CFTにおいては、標準的アプローチとして、リスクベース・アプローチ（以下「RBA」という。）、すなわち金融機関が自らのマネロン・テロ資金供与リスクを特定・評価し、これをリスク許容度の範囲内に実効的に低減するため、当該リスクに見合った対策を講ずることが求められる。
システムに関していうと、金融庁「マネロン・テロ資金供与対策ガイドラインに関するよくあるご質問（FAQ）」において、「ITシステムの活用」に関し、金融機関の事情に応じた個別具体的な判断の必要性に言及されている。すなわち、個々の金融機関において規模、特性、業態、顧客層等は異なり、またリスク評価や顧客受入方針、入口・中間管理・出口のウェイトも異なるため、シナリオ（疑わしい取引を検知するロジック）やパラメータ（金額・回数等の敷居値や評価ウェイト）等の抽出基準やあいまい検索機能の設定等についても個別性があるところであり、システムの共同化がRBAに反しないか問題となる。

この点、将来的には金融機関ごとにシナリオ等を変更することも、オプションとして検討課題となる可能性があるが、現状においては、共通のシナリオ等が想定されているとのことである（資金決済WG第1回会議における金融庁の尾崎マネーローンダリング・テロ資金供与対策企画室長発言）。
もっとも、各金融機関において、共同機関のスコアリング等の一次判定結果を踏まえ、自社のリスク評価や顧客受入方針に基づき、また自社の取引モニタリング結果の追加検証を行うなどして、当該取引についての関係遮断の判断、疑わしい取引の届出といった対応を行うべきものであり、システムの共同化は、各金融機関のRBAに基づく対応とも整合するものである。
また、各金融機関において、共同機関での一次判定結果も踏まえ、スコアリングに応じたトリアージや人材配置（リスクの高低に応じて、経験の程度による配置や検証方法の濃淡）の最適化、自社のリスク評価に応じたシナリオのチューニングへの反映等の態勢整備に活用することが想定され、システムの共同化は、RBAに基づくAML/CFTの高度化にも資する。

なお、データ等の観点から述べると、AIによるスコアリング等は、膨大なデータをもとに、リスクの高い者を重点的にチェックするというRBAと親和性が高く、大量の更新・共有されたデータをもとにした動的なリスク分析や洗練されたリスク評価、ネットワーク分析等も可能にするものである。また、機械学習やその他のAIも、リアルタイムかつ正確なデータ分析を可能とし、RBAに資する。