金融庁 検査局　審議官　佐々木 清隆 氏

AML（アンチ・マネー・ローンダリング）コンファレンス2015　講演より

はじめに

　金融庁検査局においては、モニタリングの手法を変更し、既に一年半が経ちますが、新しいモニタリングの中でも、AML/CFT(※)・反社会的勢力（以下「反社」）の問題は、非常に重要です。昨年の６月には、反社の問題を中心に監督指針の改正をしています。併せて、昨事務年度は、反社・マネー・ローンダリング（以下「マネロン」）テロ資金対策に関連する「水平的レビュー」を実施し、その結果を公表いたしました。このAML/CFT・反社の問題以外にも、昨事務年度はガバナンスの問題、あるいはITガバナンスの問題など、業界横断的にモニタリングを実施しました。26年度の金融モニタリング基本方針におきましても、反社・マネロン・テロ資金対策の問題は一つの重要な項目として盛り込んでいます。
　前述した「水平的レビュー」ですが、26年7月にモニタリングレポートという形で公表しました。これを踏まえ、業態ごとの問題と業態共通の問題、2つの観点でお話をしたいと思います。

業態共通の課題

　まずメガバンクの場合には、それなりに対応を進めてきています。一方、地域金融機関（地銀・第二地銀・信金信組など）については、リスクの認識や対応にばらつきがあります。例えば地銀の中には少子高齢化に対応して、地元の県だけではなくて、それ以外の地域・隣県、あるいは首都圏・関西圏などに進出する金融機関が非常に増えてきております。こうした、ビジネスモデルの変化に対応したAML・反社対応が重要ではないかと思います。また、メガバンクと比べ、現時点では海外に拠点を持っているところが極めて少ないのが現状です。しかし、国内のマーケット縮小や、県内ビジネスの伸び悩みの対策として、海外での顧客ビジネスのサポートを強化する金融機関や、既に外国の金融機関との連携・業務提携をしているという金融機関も増えてきていますが、その分、業務内容の変化に対応してAML/CFTのリスクは高くなることが考えられます。

　送金業務などのAML/CFTのリスクが高い業務などを行う金融機関があります。また、それぞれの本国の規制にも様々なものがあります。こういった業務内容や本国規制のばらつきがある中で、AML/CFTのリスクを踏まえたモニタリングを実施しているところです。

　貯蓄性商品などについては、銀行の預金などと同様、AMLのリスクが発生します。こうした点の認識・対応が課題かと思います。保険会社が暴排条項を導入したのもここ数年のことですので、反社対応を含め、AML/CFTの対応が全般的に遅れているという認識をもっています。

業界横断的な課題

　業界横断的な課題として、経営陣の認識の甘さがあります。 現在の金融監督の流れは、世界的にみてもガバナンス重視です。日本に於いては、会社法の改正、あるいは金融庁でも議論がされているコーポレートガバナンスコードの作成が行われていますが、未だ海外とは差がある状況です。反社については、経営陣の認識が上がってきた一方、AML、あるいはCFTということになると、「自分には関係ない、外国に拠点を持っているわけでもないし」という誤解をされる傾向があろうかと思います。こういった点からも、経営陣の認識を高めることが非常に重要といえます。

　次に管理態勢の問題があります。これもAMLに限った話ではありませんが、この数年のバーゼル委員会などの色々な議論の中で、「3ラインズ・オブ・ディフェンス」、すなわち「3つの防衛ライン」という考え方がよく出てきます。

　ファーストラインはフロント部署です。セカンドラインは、コンプライアンス・リスク管理の部署です。そしてサードライン、これは内部監査になります。この「3ラインズ・オブ・ディフェンス」の考え方で、世界中の当局あるいはG-SIFIsは、管理態勢の高度化に取り組んでいます。特に、ファーストラインがディフェンスであるという考え方は、これまでグローバルには認識されてこなかった部分があります。
　例えば金融危機の引き金になったリーマンショックでは、ファーストライン（営業部門・フロント部署、トレーダー・ディーラー含）の暴走が顕著でした。ファーストラインの人間は、「リスク管理・コンプライアンスは、リスク管理部署・コンプライアンス部署の責任であって、自分の仕事ではない。自分の仕事は、収益を上げてその収益の中からいかに自分が多くのボーナスをもらうかだ」という考えを持っており、ディフェンスの発想がありませんでした。この点を反省し、現在の3ラインズ・オブ・ディフェンスという考え方が導入されております。

　フロント部署における顧客本人確認などの業務は非常に大きな役割を果たします。ここでいかにコンプライアンスのカルチャーを植え込むかということが重要になってきます。“やらされコンプライアンス”ではなく、自らの問題としてAML/CFT のカルチャーを植え込み、育てるかということが重要だろうと思います。

　コンプライアンス・リスク管理部署間での連携が、AML/CFTの場合には非常に重要だと考えます。各金融機関の業務内容等の変更に合わせて、疑わしい取引の抽出基準、シナリオや閾値などを見直す必要があります。こういったPDCAをいかに回すか、これを考えるのがセカンドラインの仕事だろうと思います。

　内部監査に関しては、この数年強化をお願いしているところで、モニタリングレポートの中でも、内部監査についての水平的レビューの項目を設けているところです。ポイントは、「規程の準拠性の監査から、規程の妥当性の監査・ガバナンスの監査への変化」です。これまで内部監査部署の仕事は、社内の規程を守っているかどうかが中心の、「規程の準拠性の監査」だったと思います。しかし、これだけでは不十分です。今求められているのは、その規程そのものが妥当なのかどうか、ということです。
　例えば200万円を一定の閾値（(しきいち)）として設けている場合に、200万円がそもそも妥当かどうかを監査する必要があります。一定の取引を抽出して、実際に検知されるのかどうか、あるいは全体を見た時に、199万円という取引がいくつも出ているときになぜこれが検知されないのか、ということを監査するのが本来の内部監査の仕事です。規程の妥当性の監査、あるいはトランザクションテスティングということが、サードラインの内部監査に求められているということであります。
　日本の金融機関の場合には比較的ファーストが機能していますが、一方でセカンド、サードが弱いという傾向があります。こういったことを総合的に考え、３ラインズ・オブ・ディフェンスの連携がいかに重要かを考える必要があります。

金融庁のとりくみ～オフサイトモニタリング～

　現在は、基本的にアンケートなどのオフサイトのモニタリングが中心になっています。アンケートの分析結果に基づき、個別に金融機関にお邪魔をして、実際の様子を伺っておりますし、さらにそれを踏まえて、より深堀りが必要な金融機関については、オンサイトのモニタリングを実施しています。メガバンクについては、国内のレベルだけではなく、グローバルなベストプラクティスを目指していただく必要があります。金融庁としても、外資系の金融機関、あるいは海外当局との意見交換を通じて、グローバルなベストプラクティスの実現に向けてフォローをしてまいります。
　一方で、地方金融機関については、メガバンクとは違う業務の内容、あるいは特性があります。地域が限定されている、あるいは顧客が限定されていますので、それぞれの業態に対応した業務特性を踏まえた目線について、現在検討・議論をしています。すでに、信金･信組については、何件か直接お邪魔して、実態を伺っているところです。こうしたオフサイト・オンサイトの議論を通じて、それぞれに対応した目線・チェックリストを作成していきたいと考えています。
　また、内部監査と同様、リスクアセスメントを定期的に行っていますが、この反社・マネロン・AML/CFTを取り巻く環境は、急速に変化しています。これに伴い、国内・海外含めた規制面の変更が起きていますので、こうした内外環境の変化を踏まえてモニタリング方法の見直しを随時してまいります。

金融庁のとりくみ～グローバルコンプライアンス～

　AML/CFTとは別に金融庁として今取り組んでいるのが、グローバルコンプライアンスといわれる問題です。これは特に、大手の銀行や海外業務を行っておられる金融機関にとって重要なポイントだと思います。グローバルな業務を行う上で、色々な規制を守る必要がありますが、このグローバルコンプライアンスという概念は、「国内で業務を行って、国内の規制を守っていればいい」という考え方とは、相当異なるものです。
　まずコンプライアンスと一般的に表現した際に、日本語では「規制遵守」と翻訳されると思いますが、金融機関にとってのコンプライアンスとは、銀行法や保険業法などの金融規制の遵守や金融庁の監督指針の遵守などを意味していたと思います。しかし、金融規制等を遵守するという従来のコンプライアンスでは、最近の反社などの問題には対応できません。 今求められているのは、“自らの問題として考える”ということです。コンプライアンスに違反が生じると、当然ですけれども、会社のリスクになる。場合によっては経営に関わる問題になる。これを踏まえて“自らの経営問題”として考えるというのが、今求められているコンプライアンスになります。また、特にグローバルな展開をされている金融機関にとっては、当然グローバルな規制対応が必要となります。
　金融規制以外に、独禁法・個人情報保護法・プライバシーに関する法律、それから最近企業でも認識が高まっているのは、汚職に関連する規制です。いくつかの法令は、その国に拠点がなくても、域外適用されるリスクがあります。日本国内で日本のお客様を対象に取引をしている場合であっても、Eメールがアメリカ国内のサーバーを通ずる、あるいは資金の流れがアメリカ金融機関を経由するというだけで、アメリカ当局が乗り出してくる。こういう域外適用のリスクが現にあるわけです。仮に国内のみの業務であっても、守るべき法令が海外や、対象の金融規制以外にもどんどん広がってきているということです。
　さらに、コンプライアンス違反に対するペナルティが非常に多様化・巨額化してきています。金融当局による行政処分や金融庁による業務改善命令といったものにとどまらず、海外の司法当局による巨額の制裁金、あるいは刑事罰を含めて、非常に多様化・巨額化してきています。一部のケースでは、金融機関の健全性に影響が出るようなレベルの制裁も行われてきているのです。
　総合的にまとめれば、事後チェックだけではなくて未然予防の重要性が益々高くなってきているということだと思います。いうなれば、コンプライアンスとリスク管理の融合ということです。皆様方の金融機関でも、多くはコンプライアンス統括部・リスク管理部は別の部署になっていると思いますが、今、一部の外資系のG-SIFIsの中では、コンプライアンスとリスク管理を融合するという動きが出てきています。マーケットリスク、あるいはオペレーショナルリスクの分野で進んできていますが、既に事故・事務不備を含めたオペレーショナルリスク管理とコンプライアンスの管理を、統合・融合する銀行も一部出てまいりました。

今後の金融庁の方向性

　AML/CFTに対する期待は世界中で益々高まってまいりました。特に最近では、北朝鮮のサイバーテロの問題やフランスなどでのテロ行為がありました。イスラム国の問題のように、世界中でのテロのリスクの高まりなどを踏まえますと、国際的な議論の場で、テロ対策が重要な課題にあがってくることは十分に予想されます。金融の世界でもそれに関連するAML/CFTの強化の可能性もあるのではないかと個人的に予測しています。
　昨年の11月に、サイバーセキュリティ対策の基本法が成立しました。基本法が成立したことを受け、年明けには、内閣官房により本格的な組織が発足しています。当然金融庁も、金融インフラを所管する省庁として、サイバーセキュリティ対策に取り組んでおり、金融庁内に、サイバーセキュリティのプロジェクトチームを作っています。私が責任者を担当しており、今後も金融庁としてのサイバーセキュリティに関する本格的な対応方針を作成してまいります。現在、様々な関係者からヒアリングをしており、このサイバーセキュリティの上でも金融庁としての取り組みを、強化してまいります。また、ご存知のとおり犯収法が再改正されました。今後の施行に向けた詳細決定に合わせて、金融庁として具体的にどのようなモニタリングをしていくのかということを検討していくところでございます。

AML（アンチ・マネー・ローンダリング）コンファレンス2015　講演より