金融機関におけるAML/CFTとサードパーティリスク管理のあり方

1. サードパーティリスク管理とは
2. AML/CFTの観点から留意すべきサードパーティリスク
3. リスクへの対応
4. サードパーティリスク管理における課題

サードパーティリスク管理とは

本稿において、サードパーティリスク管理とは、企業がサードパーティとの取引やビジネス関係を維持する際に生じるリスクを特定、評価、管理、モニタリングするプロセスと定義する。ここで「サードパーティ」とは、取引先、委託先、提携先など、企業の直接的な事業活動に関わる外部の組織や個人を指す。サードパーティリスク管理は、こうしたサードパーティとの事業上の関係から生じるリスクの発生源や原因を特定しかつ当該リスクの高低を評価し、その影響を低減または排除するための措置を策定することを通じて、リスクの適切な管理に資することを目的とする。
なお、金融庁が令和5年4月に公表したディスカッションペーパー「オペレーショナル・レジリエンス確保に向けた基本的な考え方」においては、国際的な議論も踏まえ、オペレーショナル・レジリエンス（業務の強靭性・復旧力）の観点からのサードパーティリスク管理について検討されている。金融システムが社会経済において果たしている重要性に鑑みて、金融機関が、システム障害、テロやサイバー攻撃、感染症、自然災害等の脅威に晒された状況においても、金融機関が重要な業務を最低限維持することができる態勢を確保することは極めて重要である。
一方で、サードパーティとの連携により生じるリスクについては、コンプライアンスやESGの要請との関係でも検討が必要と考えられる。すなわち、デジタライゼーションの進展に伴う金融機能の解体・再構築が進む中、金融機関においては、様々な機能の担い手との間の連携機会が拡大しており、金融サービス仲介業者を通じたサービス提供や、BaaSやEmbedded Financeなどの金融と非金融の連携を通じた新たなサービスも誕生している。他方では、ステークホルダーや規制当局、ひいては社会一般からの期待として、金融機関にはESG・人権の観点での取組みや、AML/CFT態勢の強化等が強く求められるようになっており、こうした観点からも、連携先のサードパーティリスク管理を高度化する必要性が増しているといえるからである。
このように、金融機関におけるサードパーティリスク管理という文脈においては、様々な事象への対処が求められることとなるが、本稿では、金融機関における近時の重要課題となっているAML/CFTとサードパーティリスク管理のあり方について述べることとしたい。

AML/CFTの観点から留意すべきサードパーティリスク

AML/CFTは、従来から金融機関における重要課題であるが、日本においては特に、近時のFATF第4次対日相互審査を契機として、その重要性に対する認識が高まり、各金融機関においては多大な経営資源を投入して態勢の高度化に努めているところである。
マネー・ローンダリングやテロ資金供与を敢行しようとする者においては、常に対策に不備がある、あるいは手薄なところを狙ってくる傾向があるところ、前述のように、デジタライゼーションの進展に伴って新たに導入された金融サービスの仕組みにおいては、対策に関する知見の蓄積が無い分、脆弱性が露呈しやすいといえる。そうした状況に、金融機関における管理が及びにくいサードパーティが関係するとなると、事態は一層深刻なものとなる懸念もある。取引先や連携先等がAML/CFTに関する法令遵守や規制対応を行っていない場合、それに関連する不正行為や違法な活動が発覚した際には、金融機関自身も責任を問われる懸念がある。
したがって、こうしたサードパーティと連携した新たな金融サービスの提供については、マネロン・テロ資金供与等のリスクが潜在しているものとの認識の下に対応策を検討していくことが必要である。この点、金融庁「マネー・ローンダリング及びテロ資金供与対策に関するガイドライン」（以下「マネロン等ガイドライン」という。）では、リスクベース・アプローチにおけるリスクの特定に関して、次のような対応が求められるとしている（II-2(1)【対応が求められる事項】④）。
「新たな商品・サービスを取り扱う場合や、新たな技術を活用して行う取引その他の新たな態様による取引を行う場合には、当該商品・サービス等の提供前に、当該商品・サービスのリスクの検証、及びその提供に係る提携先、連携先、委託先、買収先等のリスク管理態勢の有効性も含めマネロン・テロ資金供与リスクを検証すること」

リスクへの対応

前述のマネロン等ガイドラインで求められる事項に関して、サードパーティリスクの検証として具体的にどのような措置を取ることが考えられるかについては、金融庁が公表しているマネロン等ガイドラインに関する以下のFAQの記載が参考となる。
「これまで取扱いがなかった商品・サービス等の提供を開始する場合のほか、例えば、国内外の事業を買収することや業務提携等により、新たな商品・サービスの取扱いが発生する場合、直面するリスクが変化することから、営業部門と管理部門とが連携して、事前にマネロン・テロ資金供与リスクを分析・検証することが求められます。
（中略）
また、他業態の事業者と提携して新たな商品・サービスを提供する場合に、例えば、当該他業態の事業者の取引時確認の結果に依拠する場合には、当該他の事業者のマネロン・テロ資金供与リスク管理態勢の有効性を確認することが必要となるものと考えます。さらに、提携先等これらの実質的支配者を含む必要な関係者を確認し、反社会的勢力でないか、あるいは制裁対象者でないかといったことを検証することが必要となるものと考えます。
このほか、提携先等がどのようなマネロン・テロ資金供与リスクに直面し、その提携等している業務のリスクに対して、どのようなマネロン・テロ資金供与リスク管理を行っているかを把握し、リスクに応じて継続的にモニタリングすることが考えられます。
また、新たな商品・サービス等の提供後に、当該商品・サービス等の内容の変更等により、事前に分析・検証したものと異なるリスクを検知した場合には、リスクの見直しを行った上で、見直し後のリスクを低減させるための措置を講ずる必要があります。」

上記のFAQも踏まえ、実務的には、①サードパーティとの連携開始前、②連携開始後、③問題が生じる具体的懸念がある場合または実際に問題が生じてしまった場合、というそれぞれの段階に分けて対策を検討すべきと考えられる。
まず、①連携開始前においては、サードパーティの属性に問題が無いかをチェックすること、サードパーティにおけるAML/CFT態勢をレビューすること、万一問題事象が発覚した場合に適切に対処することができるようにするための契約条件を検討することが必要である。属性のチェックに当たっては、サードパーティが反社会的勢力でないかのスクリーニングも然ることながら、高リスクな国や地域、または高リスクとされる業種や活動と関わっている場合、その関係におけるマネロン等のリスクも高まることから、サードパーティの資本関係や、行っている事業活動、取引関係等を調査し、適切なリスク評価を行うことが必要である。サードパーティの態勢レビューとしては、質問票を送付して回答を得ることが一般的であると思われるが、場合によっては、経営陣や担当者に対してヒアリングを実施したり、直接実地に赴いて検証することが適切な場合もあると考えられる。この際に確認すべき事項としては、自社のマネロン等リスクの評価結果や採用している低減措置、こうした措置の実施を確保するための社内体制等ということになろう。
そして、②実際に連携が開始された後においても、当該サードパーティに関する経営状況に変動があることも考えられ、継続的なモニタリングが重要である。特に事業を立ち上げて間もないベンチャー企業等においては、経営権の異動や体制の変更が行われることも特別なことではなく、連携開始前に確認していた措置が適切に実施されなくなる懸念も存する。モニタリングのあり方は一様ではなく、対象となるサードパーティとの連携に係るリスクを評価した上で、当該リスクに即した対応とすることが重要である。
不幸にも、③サードパーティとの連携において問題事象が生じる具体的懸念がある場合、あるいは実際に問題が発生してしまった場合には、迅速な事実把握と当該事象への対処が肝要となる。たとえば、サードパーティとの連携サービスにおいてAML/CFT上の脆弱性が認められる場合には、利用者の利便性を犠牲にしてでもサービス仕様を至急見直し、場合によってはサービス提供自体を中止することも見据える必要がある。こうしたクリティカルな状況への対応についてのサードパーティとの調整を容易にできるよう、やはり事前に契約内容にそうした調整のメカニズムを落とし込んでおくことが重要となると考えられる。連携先によっては、脆弱性が顕在化して具体的な問題に発展しない限り対応を渋ることも懸念され、そうすると迅速な対応が妨げられてしまう懸念もあるからである。

サードパーティリスク管理における課題

従来、サードパーティリスク管理については、外部委託先管理の文脈において把握されることが多かったと思われるところ、AML/CFTの観点からの対応の必要性が認識されるに至ったのは最近のことであると考えられる。
しかも前述のとおり、デジタルトランスフォーメーションが進展する中、新しい金融技術やデジタルアセットに関連するAML/CFTのリスクが増大している状況下においては、金融機関はこれらの新しい技術やサービスに関するリスクを理解し、対応策を策定することが求められている。
したがって、金融機関においては、新たなサービスの提供等のサードパーティとの連携が生じる機会には必ずAML/CFTの観点からの検討を加えることができるような体制を取るとともに、コンプライアンス部門は、商品サービスの企画部門や営業部門と緊密に連携して、具体的にどのようなリスクが存するのかを見極めて、適切な低減措置を立案していかなければならない。
こうした体制を整えること、継続的にこうした活動を維持していくことには一定の困難も伴うと考えられるが、サードパーティリスク管理とAML/CFT対応は、金融機関が社会的信頼を維持するための重要な要素であるといえる。継続的な態勢の高度化を通じて、これらの課題に効果的に対応していくことが重要である。

寄稿

弁護士法人中央総合法律事務所
パートナー弁護士（日本・ＮＹ）
金澤 浩志 氏

2004年10月弁護士登録、2013年8月ニューヨーク州弁護士登録。2014年1月～2015年12月金融庁監督局総務課（法令等遵守調査室を併任）に任期付公務員として勤務。上場企業や金融機関の社外役員を務め、金融機関のガバナンスやAML/CFT、個人情報保護等のコンプライアンス、金融規制に係るアドバイス業務に従事している。