リスク低減措置としての「ITシステムの活用」

ファイナンス

 マネー・ローンダリング、テロ資金供与対策において、「ITシステムの活用」はどのように求められているでしょうか。

  ITシステムを活用することによって、顧客と行う取引に関する様々な情報の集約管理が可能となります。また、ITシステムの的確な運用により、異常な取引の自動的な検知など、金融機関等のマネロン・テロ資金供与リスク管理態勢の強化が容易となります。
 マネー・ローンダリング及びテロ資金供与対策に関するガイドライン(以下、「AML/CFTガイドライン」)では、各金融機関等において、自らの業務規模・特性等に応じてITシステムを早期導入する必要性を検討することが求められます。

解説

リスク低減措置としてのITシステムの意義(AML/CFTガイドラインII-2(3) (vi) )

 ITシステム(ソフトウェアを含む)の活用は、自らが顧客と行う取引について、商品・サービス、取引形態、国・地域、顧客属性等の様々な情報の集約管理を行うことを可能とします。
 また、ITシステムの的確な運用により、異常な取引の自動的な検知や、顧客・取引の傾向分析、顧客のリスク格付等が可能となるほか、検知の前提となるシナリオの設定・追加や、敷居値の柔軟な変更等、金融機関等のマネロン・テロ資金供与リスク管理態勢の強化が容易となります。

 ITシステムを的確にマネロン・テロ資金供与対策に活用するには、たとえば、前記シナリオ・敷居値等が、自らが直面するリスクに見合ったものとなっているか、送金先や輸出入品目等についての制裁リストが最新かなどのシステムの運用面も含めてITシステムを適切に構築し、また、その有効性について検証を行っていき、適時に更新していくことが重要です。

対応が求められる事項

 マネー・ローンダリング及びテロ資金供与対策に関するガイドラインにおいては、「ITシステムの活用」に関して以下の事項が、「対応が求められる事項」として掲げられています。
 下記①のとおり、各金融機関等において、自らの業務規模・特性等に応じてITシステムを早期導入する必要性を検討することが求められます。

  1. 自らの業務規模・特性等に応じたITシステムの早期導入の必要性を検討し、システム対応については、後記②から⑦の事項を実施すること
  2. 自らのリスク評価を反映したシナリオ・敷居値等の抽出基準を設定するなど、自らのITシステムを取引モニタリング等のマネロン・テロ資金供与対策の有効な実施に積極的に活用すること
  3. 自らが導入しているマネロン・テロ資金供与対策に係るITシステムの設計・運用等が、自らが行うリスクの評価に見合ったものとなっているか定期的に検証し、検証結果を踏まえて必要に応じITシステムやその設計・運用等について改善を図ること
  4. 取引の特徴(業種・地域等)や抽出基準(シナリオ・敷居値等)別の検知件数・疑わしい取引の届出件数等について分析を行い、システム検知以外の方法で得られた情報も踏まえながら、シナリオ・敷居値等の抽出基準について改善を図ること
  5. 取引フィルタリングシステムについては、送金先や輸出入品目等についての制裁リストが最新のものとなっているか検証するなど、的確な運用を図ること
  6. 内部・外部監査等の独立した検証プロセスを通じ、ITシステムの有効性を検証すること
  7. 他の金融機関等と共通の委託先に外部委託する場合や、共同システムを利用する場合であっても、自らの取引の特徴やそれに伴うリスク等について分析を行い、当該分析結果を反映した委託業務の実施状況の検証、必要に応じた独自の追加的対応の検討等を行うこと

 上記③の「定期的な検証」については、ITシステムの設計・運用等が、自らが行うリスクの評価に見合ったものとなっているかについて、何らかの問題事象が発生した場合のみならず、平時においても一定期間ごとに検証することが求められます。「定期的な有効性検証の主体」については、第2線の管理部門が実施することが考えられますが、各金融機関等の組織構造等に応じて、個別具体的に判断することになります。

 上記⑤の「輸出入品目等についての制裁リスト」については、法令上の確認義務の範囲にとどまるものではなく、いかなる輸出入品目に関して、取引フィルタリングシステムによる検知を行うのかについては、国内外の制裁に係る法規制や各金融機関等の業務特性等に応じて、個別具体的に判断することになります。
 たとえば、外為法上の制裁対象国(例:北朝鮮)との輸出入規制への対応のため、当該国の特産品を制裁リストとしてITシステムで検知したり、特に制裁対象国に限定せず、輸出入管理令で許可または承認の対象となっている武器、兵器等の貨物(輸出規制)やワシントン条約掲載品目(輸入規制)をITシステムで検知したりするなど法令上の義務を負っていないリスク低減措置も考えられます。

 上記⑥の「内部・外部監査等の独立した検証プロセスを通じ、ITシステムの有効性を検証すること」は、第1線(営業部門)や第2線(管理部門)とは独立した立場から、第3線(監査部門)がITシステムの有効性を検証することが重要であることに鑑みて定められたものです。

 参照:経営管理における「三つの防衛線

 内部監査と外部監査のいずれか一方を実施するべきか、あるいは双方を実施するべきかは、各金融機関等の組織構造等に応じて、個別具体的に判断されることになります。
 内部・外部監査等によるITシステムの有効性の検証ポイントとしては、たとえば、取引モニタリングシステムにおけるシナリオ・敷居値等が、各金融機関等の業務やリスクの特性を的確に捉えているか、当該システムで検知された事項が的確に営業部門や管理部門等におけるモニタリングのプロセスに組み込まれているかを検証するなど、様々なものが考えられます。

先進的な取組み事例

 AML/CFTガイドラインにおいては、以下のように、リスク評価やリスク格付の機動的修正・更新等を可能とするITシステムの長所を有効に活用し、低減措置の機動性・実効性を高めている事例が紹介されています。

 具体的には、リスク評価やリスク格付を担当する部門内に、データ分析の専門的知見を有する者を配置し、個々の顧客情報や取引情報をリアルタイムに反映するなど、リスク評価やリスク格付の結果を機動的に修正・更新できる態勢を構築している。
 これらの修正・更新を通じて、検知する異常取引の範囲や数量等を調整する、振込禁止設定等により一定の取引を制限するなど、マネロン・テロ資金供与リスクの程度に応じて、低減措置を機動的に変更している。

関連する実務Q&A

無料会員登録で
リサーチ業務を効率化

90秒で登録完了

無料で会員登録する