一線のリスクオーナーシップの強化による
AML/CFT態勢の高度化
～良い“鵺（ぬえ）”たるべき“1.5線”の機能強化を通じて～

2023年11月17日

金融機関による「マネー・ローンダリング・テロ資金供与・拡散金融」（以下、AML/CFT）態勢高度化の取り組みは、FATF¹が第4次対日相互審査の結果を公表した後、金融庁の「AML/CFTガイドライン」²への対応期限である2024年3月末を目前に控え、追い込みの段階に入っている。
金融機関のAML/CFT態勢について“組織体制”という観点から見ると、ガバナンスとリスク管理、コンプライアンス（以下、GRC）の基本的な考え方である3つのディフェンスラインの原則に則った態勢が構築され、一線から三線がそれぞれの役割と責任を果たすべく機能しており、一見すると“組織体制”について余り議論の余地はないように思える。
しかしながら、最近では3つのディフェンスラインの基本に関わるような内容が論点に挙がることも増えてきている。そうした論点の一つとして、「一線のリスクオーナーシップの強化」が強調されるようになってきた。これには、ESGの国際的な潮流も踏まえて、健全なビジネスを行うことがこれまで以上に強く求められていることも背景にあるため、「一線のリスクオーナーシップの強化」は、金融機関にとって今後は不可避の取り組みになると考える。
AML/CFT対策の領域は、「実効的なリスクベースアプローチ」と「ゼロトレランス実現」を両立するというリスク管理上の矛盾の実現を求められていることや、「ゼロトレランス実現」のために顧客や取引に直に接する一線の果たす役割と責任の大きさが他のGRCの領域と比較しても各段に大きいといった特徴を有している。従って、一線のリスクオーナーシップを強化することは、とりわけ重要かつ必要不可欠な取り組みである。こうした取り組みの一つとして、一線の中にあってリスク管理・コンプライアンスの役割を主として担う“1.5線”と呼ばれる組織が設けられているケースが見受けられる。“1.5線”は、一線におけるフロント業務の内容を熟知しながら、業務からは独立した立場でリスク管理・コンプライアンスの役割を担うことが期待された組織であり、意図した設計通りに機能すれば、一線のリスクオーナーシップの強化に大きく貢献することができる筈である³。
しかしながら、必ずしも意図した設計通りに機能が発揮できていないケースも散見される。そこで本インサイトでは、AML/CFT態勢高度化の実務経験豊富な筆者⁴が、3つのディフェンスラインの考え方と“1.5線”の位置付けについて確認した後、“1.5線”の機能発揮を阻害していると考える要因について考察する。さらに、これから“1.5線”の導入を検討する金融機関の参考になるように、AML/CFT 態勢高度化に向けた、見直しの方向性を提示する。

1. 3つのディフェンスラインの考え方と“1.5線”の位置付け

3つのディフェンスラインの考え方を起点に、「一線のリスクオーナーシップの強化」の観点からAML/CFTの高度化を論じるに先立って、その考え方についてあらためて確認しておく。
まず一線とは、顧客等との取引や、取引に付随する業務を自ら執行する部門である。言うまでもないが、業務は不正を介在させないことは勿論、誤りなく行う必要があるため、一線のメンバーは自らの職務を堅確に遂行するためのリスク管理とコンプライアンスの責任を負っている。特にAML/CFTにおいては、ゼロトレランス実現のために顧客や取引に直に接する一線が水際でマネー・ローンダリングを食い止める必要があるため、一線の果たす責任の大きさが、他のGRCの領域と比較して各段に大きい。これまで一線は、主に二線が構築した管理態勢を堅確に運用することによって、その重責を果たしてきた。
次に二線とは、リスク管理やコンプライアンスを掌る部門である。取引や取引に付随する業務を自らは実施せず、業務の執行から離れた立場で、リスク管理・コンプライアンス態勢を構築し、一線における状況をモニタリングし、組織全体のリスク管理・コンプライアンスを遂行する役割と責任を負っている。
最後に三線とは、取引や取引に付随する業務を実施しないことは勿論、リスク管理・コンプライアンス態勢の構築や遂行自体の責任は負わずに、独立した立場で一線および二線の状況を検証する内部監査部門が該当する。自ら実施したことに対する自己監査を避けるため、一線および二線からの独立が求められる。

上述の通り、3つのディフェンスラインは、組織内における利益相反を排除し、相互牽制を働かせることによって、組織全体でGRCの目的を達成するための一つのモデルである。
過去に遡ってみると、銀行業界においては、リスク管理・コンプライアンスの問題が生じるたびに、利益相反の排除、相互牽制といった観点から、組織の役割と責任の分担、組織の分離に関する議論がたびたび行われて来た。例えば、外国銀行グループの在日拠点が顧客（金融機関）の財務内容の適切な開示の観点から著しく不適切な商品を大量に反復継続して組成・提供したり、金融機関によるレギュラトリー・アービトラージが強く懸念されていた時代には、リーガルとコンプライアンスの役割分担が議論されたことがある。リーガルは、法律やレギュレーションのアービトラージを狙う”アクセル役”である一方、コンプライアンスはたとえ違法でなくても不適切な取引は行わせない”ブレーキ役”であるため、リーガルとコンプライアンスは利益相反の関係にあり、相互牽制する立場にある、というのが議論の大枠であった。しかしながら、外国銀行グループの在日拠点においてもリーガルは脱法行為を狙うアクセル役ではなく、法令遵守を第一目的としているためコンプライアンスとの利益相反はないと説明し、この考え方自体がわが国の金融行政と金融機関のビヘイビアには馴染まないこともあり、具体的な論点や結果が明確にならないまま、うやむやになった印象である。
このように、発想は理解できるが実際に当て嵌めるには馴染まない絵に描いた餅のような考え方もあるし、そもそも組織によって管理態勢のあり方は様々であるべきであり、利益相反が排除でき、相互牽制のあり方に支障が生じなければ、組織の設計に際して一線、二線、三線の考え方を杓子定規に当て嵌める必要はない。利益相反が発生しない限りにおいて互いに協力し合うこと、例えば、一線は従来実施して来た“二線が企画する管理態勢の運用”にとどまらず、各部門の業務特性に根差した管理手法の開発やカスタマイズ、管理手順の策定について、更に踏み込んで実施することにより、組織全体のAML/CFT態勢をより強固なものにできると考える。3つのディフェンスラインの考え方を、絵に描いた餅のように振りかざして、やらないことの盾にしてはいけない。

AML/CFTに関わる組織を一線、二線、三線に当て嵌めていくと、一線と二線の中間的な組織が設けられているケースが散見される。一線の中にあってリスク管理・コンプライアンスの役割を担う、通称“1.5線”と呼ばれる組織である。この“1.5線”は部門企画・管理を担う部署に設けられることが多い。規制等による明確な定義はないが、概ね、以下のような組織を“1.5線”と称している。

• 一線の各部門内に設けられた、部門のリスク管理・コンプライアンスを統括する組織
• 一線の部門長に対するレポーティングラインを有すると同時に、リスク管理・コンプライアンス部門に対するレポーティングラインも有する組織

“1.5線”が設けられた趣旨は、一線におけるフロント業務の内容を熟知しながら、一線の営業推進・業務推進からある程度独立した立場で、リスク管理・コンプライアンスの役割を担う、ということである。具体的には、フロント業務を熟知しているため一線が悪意を持った場合でも言いくるめられることなく、その一方で営業推進・業務推進からある程度独立した立場にあるためブレーキ役も担うことができるという、一挙両得な良い“鵺”としての役割を期待された存在である。
しかしながら、必ずしも想定した通りに機能が発揮できるわけではなく、“鵺”であることのマイナス面が表に出るケースも散見される。マイナス面の具体的な内容については次章で論考するが、こうした問題点を解決することにより、“1.5線”は一線のリスクオーナーシップの強化に大きく貢献することができると考える。

2. 役割と責任の曖昧さに起因する一線と二線の間の板挟み

“1.5線”が抱える最大の問題は、一線と二線の「板挟み」になるということである。“1.5線”は、一線の部門長に対するレポーティングラインを有すると同時に、リスク・コンプライアンス部門に対するレポーティングラインも有するためである。
一線のメンバーであっても、自らの職務に関するリスク管理・コンプライアンスの責任を負うことについては、二線のメンバーや三線のメンバーと何の違いもないため、明らかな法令諸規則違反に関して、「板挟み」が問題になることは基本的にあってはならない。
その一方で、明らかな違反ではないが、より保守的なベストプラクティスに従うかどうかの判断を行う場合、一線はコンプライアンスが重要であることは十分に理解しているものの、実際の業務負荷はできるだけ軽減したいと考える傾向にある。その一方で、二線はより保守的な選択を行いたいと考えるため、一線と二線の調整役を担う“1.5線”が「板挟み」になるという事態が発生する。例えば、解釈の余地が大きい一方で、ひとたびコトが起これば多額の制裁金という甚大な結果をもたらすOFAC⁵の規制対応に関して、「板挟み」が発生し得る。OFACの規制に限らず、このような場合には一線と二線の双方の意見を十分に検討した上で、弁護士等の専門家の意見も踏まえて組織全体の意思決定を下すことになる。しかしながら、十分に議論を尽くした場合であっても、その結果規制に違反することになれば、組織としての結果責任は免れ得ないため、一線の意見をどこまで汲み取るかは組織にとって大変難しい問題である。一線と二線の調整役を担う“1.5線”にとっては、一線の業務負荷に配意して意見を述べた場合であっても、規制違反という結果に繋がれば、その判断が一線の中においてすら問題となりかねないため、大変難しい「板挟み」の立場に立たされている。
これは、構造的な問題というよりも、“1.5線”が一線と二線の両方に属する“鵺”的な立ち位置で調整役を担うという、役割と責任が曖昧な状態に置かれていることに起因する問題であると考える。従って、本問題を解消するためには、“1.5線”は一線と二線の調整役ではないということを明確にすべきである。すなわち、“1.5線”は、一線の部門リスク管理・コンプライアンスを統括する組織であるため、このような調整に際しては両者の間に立つ調整役ではなく、あくまで一線を代表する立場であるべき、という考え方である。このことを行内で明確に規定しても良いのではないか⁶。
“1.5線”の「板挟み」の問題を解消しても、判断が難しいことに変わりはないが、一線を代表する立場であることを明確にすることにより、一線によるリスク管理・コンプライアンス上の責任の明確化と、一線のリスクオーナーシップの強化に繋がると考える。“1.5線”は組織として意思決定した対応方針の一線による遵守を徹底する責任を負うとともに、その実効性を検証し、管理手法や手順の改善に取り組んでいくべきである。

3. AML/CFT態勢の高度化に向けて

現在、わが国の金融機関は金融庁の「AML/CFTガイドライン」への対応期限を目前に控え、追い込みの段階に入っている。金融機関ごとに様々な課題が残されていると考えられるが、一線のリスクオーナーシップの強化は、多くの課題解消の基礎となる重要な取り組みである。
AML/CFT態勢において一線は、他のGRCの領域と比較しても格段に大きい役割と責任をこれまでも担って来たが、従来実施して来た「二線が企画する管理態勢の運用」にとどまらず、各部門の業務特性に根差した管理手法の開発やカスタマイズ、管理手順の策定について更に踏み込んで実施することにより、組織全体のAML/CFT態勢をより強固なものにしていくことに貢献すべきである。こうした機能を主導するのは、良い鵺である“1.5線”が適している。
そもそも金融機関にとってコンプライアンスは、以前から経営上の最重要課題の一つであるが、昨今のESGの国際的な潮流も踏まえると、一線は、これまで以上に、「健全な」ビジネスを行うことが強く求められ、その実現のためには一線自らが実施するリスク管理・コンプライアンスを強化することは避けられない。
こうした観点からも、“1.5線”は一線を代表し、一線が行うビジネスのリスク管理・コンプライアンスに責任を負う存在であることを明確化した上でその機能を強化し、今後ますます不可避の取り組みになる「一線のリスクオーナーシップの強化」の実現に努めるべきである。こうした取り組みを、金融業界全体の潮流にしていくことが重要であると考える。