【連載】FATF第4次対日相互審査結果を踏まえたAML/CFTの高度化とAI等テクノロジーの活用③　Fintechの活用とデータガバナンスおよび金融包摂

2022/08/24 # AML 印刷用ページ

AML/CFTにおけるデータ化の共有化やFintech等テクノロジーの活用は、態勢整備の高度化に寄与するものであるが、他方で、データガバナンス、プライバシー保護や金融包摂との両立も求められ、金融機関としては、継続的に有効性を検証する必要がある。そこで、今回はFintechの活用とデータガバナンスおよび金融包摂等をテーマとして検討する。

Fintechの活用とDPP・データガバナンス

（1）データ保護とデータ・プライバシー（DPP）

ビッグデータの利活用の観点でいうと、「個人情報」該当性等の観点から個人情報保護法（以下「個情法」という。）が直接適用されない場面であっても、AML/CFTにおけるデータの共有化等に関しては、データ・プライバシー（DPP）の観点が重要である。
前記のとおり、質量ともに十分なデータの利活用が有用である一方で、共同機関に連携する個人データについては、目的（取引モニタリングシステムの分析やAI活用）達成に必要な範囲で共有すべきであり、また収集したデータは必要以上に長く保持すべきでない（必要性と比例の原則（principles of necessity and proportionality））。
また、AIでの活用のための企業間でのデータの共有化（流通）にあたり、データ漏えいやプライバシー侵害等のリスクが高まり、これは法的責任のみならず、レピュテーション・リスク等も大きい。プライバシー保護規制の「最小化」の原則の観点から、今後、秘密計算（秘密分散(Multiparty Computation)や準同型暗号 (Homomorphic Encryption)等）、差分プライバシー（Differential Privacy）、連合学習（Federated learning）といったプライバシー強化技術（Privacy Enhancing Technologies：PETs）の活用が期待される。

たとえば、複数の銀行が不正送金の取引データを学ばせたAIを暗号化して持ち寄り、高い精度で不正を検出するAIを開発し、秘密計算の活用で、データを共有しつつも取引の中身は他行に見られないようにする実証実験を開始し、2022年度以降に実用化する計画が報道されている（2021年7月1日付日本経済新聞）。かかる革新的なテクノロジーは、当局への疑わしい取引の届出の効率化やフォローアップにも活用することが想定される。
なお、秘密計算や連合学習といった匿名化技術は、本人のプライバシー保護に資するものであるが、かかる技術を用いる場合も、個情法との関係では、個人データの第三者提供にあたって本人の同意が必要となることに留意が必要である。

（2）データ・ガバナンス

ａ　データ品質・バイアスの問題

AIでの学習用データセットに外れ値や統計的バイアス、データの偏在や誤りが存在する場合（「データ汚染」の問題）、生成される学習済みモデルの精度に影響するため、機械学習アプリケーションを用いるなどして、異常値や外れ値を検出して重複情報を特定・排除したり、欠損値を補填したりして、データの品質や分析向上に役立てる体制が必要となる。
たとえば、「来日外国人犯罪グループ」は、令和3年度犯罪収益移転防止危険度調査書においても、暴力団、特殊詐欺の犯行グループと並び、マネロン犯罪事犯の主体として項目化されている。同調査書においても、マネロン事犯の検挙事例において来日外国人が占める統計的割合等が示されているが、自金融機関におけるデータ数が限定されている場合や、データセット内に少ない集団ほどバイアスが発生しやすいため、正確性・公平性向上のために、追加のトレーニングデータが必要となるし、データソースの正当性や信頼性に関して継続的なレビューが必要となる。
また、AI等は最終的には人間の判断の補助的な役割を果たすものであることを前提に、外国籍の顧客等、特定のグループに過度にウェイトがかかるアルゴリズムとなっていないかを含め、犯罪・マネロンの手口の変化や統計の変化等を前提に事後検証・チューニングの必要がある。

ｂ　データのフォーマット

システムやデータを共同化し、AIで分析するためには、データのフォーマットの統一の問題がある。すなわち、金融機関によって、データの標準や形式、品質等について、バラつきや非互換性が存在することにより、Fintechの投資コストやシステムの迅速性・有効性（誤検知増加等）に影響を及ぼしうる。この点については、OECDの「金融口座情報の自動的情報交換」（AEOI）の国際基準である「共通報告基準（CRS）」においては、データ標準化要件（情報・交換する情報の指定）が含まれており、AML/CFTにおける情報共有のデータ品質にも参考となる。
上記の観点から、データクレンジングのほか、データ収集や変換等のデータ処理について、RPA等の自動化技術の活用も想定される。たとえば、データのスペルの違いやエラーに関わらず、顧客情報の照合を可能とすべく、自然言語処理ツール（NPL）により初期データ入力の自動化を行うことにより、人的ミスの防止やデータ品質の向上につながる。さらに、特に制裁スクリーニング等においては、ファジー論理・曖昧検索機能により、誤検知の削減を可能とし、データ品質の課題への対応となる。

AIと説明責任・金融包摂

（1）AIのブラックボックス化と説明責任

AI等の高度な分析の活用は、学習済みモデルに関し、判別した結果の根拠や分析過程が必ずしも判然としないおそれがある。この場合、説明可能性（explainability）、解釈可能性（interpretability）、透明性（transparency）の観点から、個人の基本的権利との関係で問題となり得る。また、金融機関における適切なマネロン等のリスク管理の観点からも、AIのアルゴリズムや分析結果について、人間が確認できるようにする必要がある。

なお、金融庁の「マネー・ローンダリング及びテロ資金供与対策に関するガイドライン」においては、マネロン・テロ資金供与対策の名目で、合理的理由なくリスク遮断を行わないこととされており、たとえば、AIを用いた取引フィルタリングの結果を参考にして関係遮断等する場合の説明責任が問題となる。この点、入口段階においては、契約自由の原則をもとに、謝絶の理由は伝える必要はないし、AML/CFTの文脈においては、透明性の観点に比して、不正防止の観点からのアルゴリズム等の秘匿性の要請が重要であるが、対顧客での説明責任とは別に、金融機関内部におけるML/TFのリスク管理の観点から、AIのアルゴリズムや分析結果についての説明責任や検証可能性の観点も重要である。前記のシステム共同化に関して、共同機関からのスコアリングおよび寄与度等のフィードバック結果も説明責任を果たす材料となるし、外部専門家の定期的レビューや内部監査等により、PDCAサイクルに基づき、定期的に有効性の検証を行うことが求められる。

（2）金融包摂（Financial Inclusion）への寄与

Fintechの活用はAML/CFTの効率性に寄与するほか、金融包摂にも寄与しうる。この点については、FATFのExecutive Secretaryのスピーチにおいても、“digital identity has the potential to reduce customer due diligence costs and increase financial inclusion.”との発言がある。
すなわち、ＡIと差別・倫理の問題が指摘され、これは「金融排除」にもつながりうるものであるが、偏りのないデータの活用・分析や、偏見や差別を強化しないアルゴリズムの開発により、AML/CFTと金融包摂との両立が可能となる。
また、AML/CFTにおいては、いわゆる「デ・リスキング」の問題も指摘されているところ、Fintechの活用により、ボックスチェックアプローチを排斥し、適切なリスクベース・アプローチに基づき管理することで、金融包摂にも寄与しうる（FATF“Guidance on Digital ID”参照）。

たとえば、コロナ禍において非対面取引が増加し、生体認証（バイオメトリクス認証）や高度なeKYCの有用性が増しており、今後特に、eKYCのうち、本人確認書類を用いた方法（犯罪収益移転防止法施行規則６条１項１号ホヘト）に加え、電子証明書を用いた方法（同ヲワカ）の今後の活用が期待される。また、機械学習と生体（ライブネス）判定技術を使用し、微妙な表情の分析、偽の画像の検出、人の顔の属性の分析等が可能となり、なりすまし等について精度の高い判定が可能となり、顧客受入れを促進することとなる。
さらに、本人確認については、事業者間での共通システム・プラットフォーム化やKYCデータの相互連携・利用により、金融機関の事務負担軽減や顧客の利便性向上にも寄与するところであり、今後の検討が期待される。

終わりに

以上述べたとおり、Fintechの活用とシステム共同化は、AML/CFTの高度化に寄与するものであるが、他方で個情法やプライバシー保護、金融包摂との両立が求められる。
金融機関のAML/CFTにおいて、なりすまし防止等の観点より、IPアドレスの客観的なフットプリント（足跡）により不審性をあぶりだすことが有用であるが、米国のアップル社のスマートフォンの基本ソフト（OS）において、プライバシー保護を目的とした、IPアドレスを匿名化する機能を導入することが報道されている（2021年12月28日付日本経済新聞）。しかしながら、かかる匿名性を悪用されると、犯罪者の追跡や識別が困難となり、AML/CFTにあたって支障となりうるところであり、匿名化されたIPアドレスのモニタリング強化や利用抑止等により対応せざるをえない。

クッキー（Cookie）やIPアドレスは、それ自体では個人識別性を欠くため、容易照合性を欠く場合には「個人情報」として取り扱われないが（ただし個情法26条の2における「個人情報関連情報」に関する令和2年改正がなされている）、GDPRではクッキーやIPアドレスはオンライン識別子として個人データとなりうるとされているところである（前文30）。クッキー（Cookie）やIPアドレスのプライバシー保護の観点も重要であるが、今後も様々な場面において、Fintech等の活用やシステム・データの共同化推進と、個人情報保護やプライバシー保護等をいかに両立させるか、不断に検討する必要がある。