国際機関FATFによる第4次対日相互審査が2019年秋に迫った。2008年に実施された前回審査では日本の金融機関におけるマネー・ローンダリング及びテロ資金供与対策の甘さが指摘され、国際的な信頼が大きく揺らぐという苦い経緯がある。では、いま国内の金融機関に求められる対応とは―。ICTと金融法務に精通した弁護士である増島 雅和氏に話を聞いた。

SPEAKER 話し手

そもそもFATF勧告とは何を目的にしているのか

──AML/CFT^*1（マネー・ローンダリングとテロ資金供与防止）に関する国際的な政府間会合のFATF^*2では、日本を含む加盟各国や地域、機関に対して国際基準となる勧告を策定し、遵守を求めています。その目的や背景についてお話しいただけますか。

• *1 AML/CFT（Anti-Money Laundering/Counter Financing of Terrorism）
• *2 FATF（Financial Action Task Force：金融活動作業部会）

増島氏：FATFは1989年にアルシュ・サミット合意により設立された政府間タスクフォースです。現時点ではOECD加盟国を中心に 37の国と地域、2つの国際機関（EC、GCC）が参加しています。

　FATF勧告の策定とその審査がなぜ必要なのか。それには金融がネットワークで成り立っていることをまず理解する必要があります。様々な資金は金融ネットワークの中で金融機関がハブとなりグローバルに流れていきます。ただし資金は、正しい経済活動のためにだけ流れているわけではなく、不正な経済活動でも流れる可能性もある。例えば、犯罪組織が違法に稼いだお金を有価証券に投資した後に売ってしまえば、どんな由来のお金だったかがわからなくなってしまう。あるいは悪意を持った人々が国家を転覆させるためにお金を集める活動もあるでしょう。私たちが使っている金融ネットワークを、ネットワークの基盤となっている私達の社会を壊す目的で使われてしまうことは、ネットワークにとって自滅行為です。

　便利な金融ネットワークがもたらす負の効果を抑制するためには、各国の金融監督庁や関連当局に対し、グローバルに守ってもらいたい基準を示し、各国がこれをもとにルールを作って金融機関が遵守するしかありません。そこでFATFはとるべき措置を「40の勧告」としてまとめ提言しました。これがFATF勧告です。

　ネットワークの健全利用を確保するための基準を設け、それぞれの国と金融機関がこれを遵守しても、一部の国や金融機関が真面目に遵守せずこれにタダ乗りするようなことがあれば、金融ネットワークを守ることはできません。そこでFATFに加盟する国や地域同士が、ほかの国はちゃんと運用しているかどうかをチェックし、評価し合う“ピアレビュー”、つまり相互審査を行います。

──2008年に実施された第3次FATF対日相互審査では、非常に厳しい結果となりました。具体的にはどのような点で評価が低かったのでしょうか。

増島氏：相互審査報告書では、40の勧告のうちノンコンプライアント、つまり“非遵守”と評価された項目が9個もありました。これは、“日本のマネロン・テロ資金供与防止のための制度には実効性が担保できていない”と国際的に厳しく評価されたということを意味しています。

　なぜこのような事態に陥ったのか。それは日本が、FATF勧告の基本となるリスクベース・アプローチの枠組みを十分に制度化せず、また金融機関もマネロン・テロ資金供与の防止を単なる書類の形式的なチェックプロセスであるとしか捉えていなかったことが根幹にあったのだと思います。FATFで求められるリスクベース・アプローチとは、二段階の意味があり、第一に各国・地域が自国におけるマネロン・テロ資金供与のリスクを特定・評価した上で、これを適切に軽減する法制度を導入すること、第二に金融機関に自社のマネロン・テロ資金供与のリスクを特定・評価し、これを適切に軽減させることです。法制度の十分性の評価と導入された法制度の実効性の評価のそれぞれについて、厳しい評価が下されました。

金融庁ガイドラインの策定は、強い危機感の表れ

──今秋の第4次対日相互審査を控え、金融庁は「マネー・ローンダリング及びテロ資金供与対策に関するガイドライン」（2018年2月）を策定し、金融機関など特定事業者に強い対応を求めていますね。

増島氏：金融庁を含む関係当局は、第3次対日相互審査で受けた厳しい評価に対し、強い危機意識を持っています。まず国は2011年に顧客管理の強化という観点から「犯罪による収益の移転防止に関する法律（犯収法）」を改正（2013年施行）しました。しかしそれでもなお、顧客の実質的支配者の確認方法などに関する内容が不十分であると、2014年にFATFから異例の勧告を受けてしまったのです。

　そこで犯収法をさらに改正（2016年10月施行）し金融庁や関係当局は一段と気を引き締めてFATF勧告に取り組むようになりました。

　その後、日本はFATFに真剣に向き合うようになります。例えばFATFは2015年、仮想通貨に関してもFATF勧告のフレームワークに取り込むべきだというガイダンスを出しましたが、他国の対応が遅れる中、日本は先駆けて対応しています。

　こうした背景のもと金融庁は2018年2月に「マネー・ローンダリング及びテロ資金供与対策に関するガイドライン」を出しました。これは日本の金融機関が第4次対日相互審査をスムーズに対応できるよう、態勢の整備と高度化を支援するために作られたものです。そのため、このガイドラインでは、FATF「40の勧告」を踏まえたリスクベース・アプローチの適用法、具体的なフレームワークの作り方などが非常に丁寧に記述されています。

──FATF勧告に対して国が本腰を入れ、「官民一体」で取り組む姿勢を見せたわけですね。では第4次FATF対日相互審査は今後どのような流れで行われていくのでしょうか。

増島氏：日本では2019年春から書面審査が開始されており、秋にはFATFの審査団が来日して、監督機関や金融機関へのインタビューなどを含めたオンサイト審査が予定されています。審査結果は相互審査報告書にまとめられ、FATF全体会合での討議・採択を経て、2020年8月ごろに公表される予定です。

──日本にとってはこれからが正念場ですね。もしFATF勧告や金融庁のガイドラインに抵触した場合、金融機関にはどのようなビジネス上のリスクが生じるのでしょうか。

増島氏：FATF勧告は国や地域に対する法制度の整備とその実効性の確保に関する勧告なので、金融機関が勧告に抵触するという表現は適切ではありません。国がFATF勧告に従った法制度、日本では犯収法を始めとする一連の法制度が整備され、金融機関はこの法律に拘束されるという仕組みです。

なお、FATFによる勧告そのものには国や地域に対する懲罰や制裁といった直接的なサンクションの仕組みはありませんが、その代わりにピアプレッシャーをかけます。マネロン・テロ資金供与対策に非協力的な国や地域を特定して名指しで表明を行うFATF声明や報告書はそのための重要なツールです。審査報告書との関係では、報告書を通じて法整備や実効性についての問題点やその深刻さについて公表されることにより、対象国の政府に対してプレッシャーをかけます。また、対応が遅れている国はグローバルな金融取引でリスクの高い国と見なされます。FATFのフレームワークのもと、加盟国の各金融機関はリスクベースで対応しなければならないわけですから、リスクの高い国と見られてしまえば、そうした国への送金がしにくくなったり、場合によっては取引を停止されてしまったりすることも起こりえます。これは国の金融システムの安定性や信頼性にもかかわる問題となるため、当局も真剣にならざるを得ません。

　また、FATF勧告を受けて整備された各国の法律では、ルールに従わない金融機関や、対応に不備があった特定事業者などに対するペナルティのあり方は国によって様々です。日本なら行政処分の対象になり、海外なら巨額な罰金が科されるケースが多いです。

第4次FATF対日相互審査を受けて国内金融機関に求められる要件とは

──相互審査に備えて、国内の金融機関はこれからどのような対応を取るべきだとお考えでしょうか。

増島氏：民間金融機関の法制度への対応状況は、第4次対日相互審査にとって、日本がこれまで試行錯誤しながらも重ねてきた法改正とガイダンスの発行によって、本当に日本の法制度が実効的にマネロン・テロ資金供与リスクを管理することができるものとなったのかを審査団が評価するためのエビデンスとして位置付けられます。日本の法制度の評価で合格点をもらえなければ、そのような国の監督下にある金融機関の国際的な評価にも影響します。その意味で、国内金融機関はしっかりと、FATF勧告の基本原則であるリスクベース・アプローチによって、マネロン・テロ資金供与のリスクを管理しなければなりません。

　そのために、まず、マネロン・テロ資金供与のリスクを経営層が深刻なものとして受け止めた上で、主体的かつ積極的に関与して実効的なリスク軽減措置を講じているかどうかが重要です。しかし、そもそもリスクベース・アプローチの前提となる「リスク評価」を適切に行っていない金融機関が日本には少なくなく、実際にはまずそこから手を付けなければならないというケースも散見されます。自社のビジネスモデルの特性を踏まえた上で、自社のどの取引がどの程度のリスクを持つのかを顧客属性ごとに特定・評価したリスク評価書を作成します。そこで初めて、リスクに見合った実効的な低減策を講じることができます。

　ここ数年、特に体力のあるメガバンクでは、金融庁の強力なプッシュもあり、リスクベース・アプローチへの対応を強化しつつあります。しかし地方金融機関の一部や銀行以外の金融業者のなかには、不自然な取引や疑わしい取引の検知やその管理策が不十分な状況が見受けられます。このような場合は早急に規模や業務内容に応じたリスク対応が行える態勢を整備する必要があります。

──態勢が不十分な金融機関や事業者は犯罪組織に狙われる確率も高くなりますね。

増島氏：犯罪組織は常にネットワークの脆弱な部分を狙って介入してきます。メガバンクがリスク対応を強化すればするほど、小規模な事業者が踏み台にされやすくなる。だからこそ、当社は小規模だから対策を取らなくても良いということではなく、自社の事業規模や事業特性などに応じて、マネロン・テロ資金供与対策に真剣に取り組むことが必要なのです。管理できないほど大きなリスクを内包する業務であれば、業務内容の縮小を検討することも必要となるでしょう。

リスクベース・アプローチに有効なRegTechの活用

──最近では、個社に閉じて独自に対応を進めるのではなく、銀行や証券といった単位でコンソーシアムのような団体が組織され、業界一体で規制対応の高度化や効率化についての検討を進めていると伺っています。このような取り組みについて、規制当局側、被規制側それぞれから見た意義について教えてください。

増島氏：金融の世界では、一部の事業者の態勢に不備があると、それがほかの金融機関や顧客にも伝播してしまうということがしばしばおこります。最初に「金融はネットワークである」と申し上げたことともつながりますが、こうしたネットワーク特有のリスクに対処しなければいけません。ネットワークのリスク管理という話になると皆さんが連想されるのは、サイバーセキュリティだと思います。FATF勧告の基本はリスクベース・アプローチですが、サイバーセキュリティもリスクベースの多重防御が基本。両者の発想はとても似ています。

　例えば、サイバー攻撃の脅威に備えるため、企業はセキュリティインシデントに対応するCSIRT（Computer Security Incident Response Team）を組織します。しかし複雑化する一方のセキュリティインシデントに企業が単独で対応するのは非常に難しい。そこで企業の枠を越えて情報連携や協力態勢を組みます。

　金融の世界でも、不正な取引を止めるには、インシデントや攻撃パターンなどの情報、データを多くの企業で共有しながら一緒に検討・対処することで防御性能が上がっていく。これが被規制側目線としてのコンソーシアムの意義となります。

　一方の規制当局側にとっても、一部の金融機関がセキュリティホールとなる脆弱性を持ってしまうと、そこが狙われ、金融システム全体と国民生活に支障をきたす。ならば財務的に1社での対応が難しい企業も、コンソーシアムを組んで一定のコストで一定のリスク対応水準を担保できるようになれば喜ばしい。このように規制当局側、被規制側それぞれがコンソーシアムによってベネフィットを得ることができるのです。

──近年、AML/CFT規制強化対応にビッグデータ解析や、機械学習・ディープラーニングなどのAIを活用する“RegTech”が注目されています。金融庁のガイドラインでもITの利活用やシステム共同化などについての言及がありますね。

増島氏：膨大な金融トランザクションの中に潜むAML/CFTのリスクを、人海戦術で特定するのは、既に難しくなっています。やはりそこは効率性と正確性をもって自動的にリスク検知とレベル判定ができるような仕組みがないと実効性が得られません。そのためのソリューションとしてRegTechの活用は必然だと思います。

　例えば、KYC（Know Your Customer）の原則を踏まえた本人確認（取引時確認）を経た後の取引モニタリングで、いつもとは違う取引先へ膨大な額の送金が行われている、小口取引の頻度が多すぎるといった判断が行えるのは、トランザクションの回数が増えるほど、その顧客の振る舞いを細かい粒度で分析し、AIなどで重み付けし、理解できるからこそです。

　これまでは、取得してきた情報の重み付けやパラメータ設定は、審査担当者などが時間をかけた手作業で行っていました。そこに例えばディープラーニングを適用すれば、正しい報酬系の設定により、システム自身が学習して賢くなり、より高い精度とスピードで不正な金融取引を検知して止めることができるようになります。それは顧客に対しても、取引の安全性と利便性を担保し、ファイナンシャル・インクルージョン、つまり“誰もが取り残されることなく金融サービスにアクセスでき、金融サービスの恩恵を受けられる”ようにすることで適切なサービスを維持するための突破口にもなるでしょう。テクノロジーを使ってリスクをコントロールできるRegTechは、AML/CFTの規制強化対応に非常に有効だと思います。

──最後に、AML/CFT規制強化の中で成長を持続していくために、今後の金融機関のあるべき姿について提言をいただけますか。

増島氏：犯収法と金融庁ガイドラインに沿ったリスクベース・アプローチの導入と実践は、その規模や特性を問わず、すべての金融機関や特定事業者にとってのミニマム・スタンダードとなります。

　サイバーセキュリティへの備えや、交通ルールの遵守と同様に、AML/CFT規制への対応はすべての金融機関が最低限やらなければいけないことです。それで初めて、資金や金融サービスが円滑に動いていくようになるのです。金融の世界にプレイヤーとして参加するためには絶対に必要な投資であり、義務であること、それを守ることで最終的に企業成長や信頼性の向上につながっていく。このことを改めて理解していただきたいと思います。