「実効的なリスクベースアプローチ」と「ゼロトレランス実現」を
両立するためのAML/CFT高度化
～GRCの基本原則からの考察～

2023年5月15日

マネー・ローンダリング及びテロ資金供与対策（以下、AML/CFT）における国際協調を推進するための政府間会合であるFATF¹が、日本の態勢整備状況を審査する第4次相互審査の結果を公表した後、金融庁の「AML/CFTガイドライン」²への対応期限である2024年3月末まで残り1年を切った。銀行などの金融事業者は、実際に機能が発揮されている管理態勢³を実現するためのAML/CFT高度化の総仕上げの段階に入っている。
AML/CFTでは、他のリスク管理の領域と同じように「実効的なリスクベースアプローチ」が求められている。その一方で、万が一リスクを顕在化させた場合、犯罪組織による収益の稼得やテロリストによる資金調達といった“社会を脅かす極めて重大な結果”の入口になりかねないため、もともとゼロトレランスを目指すべきコンプライアンスの領域の中にあって、とりわけ厳重なゼロトレランス、すなわち「ゼロトレランス実現」が金融事業者には求められている。
こうしたリスク管理上の矛盾の実現を求められているためか、AML/CFTについて、ガバナンスとリスク管理、コンプライアンス（以下、GRC）の基本原則に照らしたあるべき姿の議論は、これまであまりなされて来なかった。
とはいえ、AML/CFT高度化の方向性が定まらず、対応に苦慮する金融機関が多いことに鑑み、GRCの基本原則に照らした考え方が、体系的な高度化の方向性の道標になると考えた。
そこで本インサイトでは、GRCとAML/CFTの両面に関する実務経験豊富な筆者⁴が、AML/CFTにおいて「実効的なリスクベースアプローチ」と「ゼロトレランス実現」を両立するという観点から、まず議論の土台となるべきGRCの基本原則はAML/CFTにおいてもそのまま遵守すべき基本原則であることを確認した後、当該基本原則に則したAML/CFT高度化の方向性について考察する。

１．GRCの基本原則はAML/CFTにおいてもそのまま遵守すべき基本原則である

上述のとおり、GRCの基本原則に照らしてAML/CFTのあるべき姿を整理することはこれまであまりなされて来なかった。しかしながら、（１）態勢を構築する際の判断、（２）構築した態勢のPDCAサイクルを回す、（３）全員が能動的に参画するという三つの側面からAML/CFTにおいてやらなければいけないことを考察してみると、やるべきことは一般的なGRCと同一である。

（１）態勢構築の判断をする際に求められるのは「対外的に説明可能で一貫した対応を採る」こと
GRCの態勢を構築するに際しては、組織体制を構築して役割と責任を明確化すること、管理態勢を定め、実施しPDCAサイクルを回すこと、管理部署だけでなく行員一人一人が責任を負うことを認識して取り組むよう管理態勢を根付かせることが必要になる。
これらの対応は、管理の対象となるリスクや事象の種類を問わず「普遍的」に遵守すべき内容である。GRCの一翼を担うAML/CFTにおいても同様であり、態勢構築の判断に迷った場合は、こうしたGRCの常識に立ち返って判断すれば良い。その際、「対外的に説明可能で、一貫した対応（チェリーピッキングしない）を採る」ことを忘れなければ、やるべきことの判断（規制解釈）を誤ることはない。

（２）「リスクを見つけて潰しこむ」ためにPDCAサイクルを回すこと
構築した態勢のPDCAサイクルを回すとは、どういうことか。それは、組織がどのようなリスクに晒されているのかを「特定」し、当該リスクの潜在的な大きさや組織に与え得る影響を「評価」し、そのリスクが増大していないか「把握（モニタリング）」を継続実施するとともに、増大しないように「管理⁵」することである。許容できないリスクについては、「削減」のための活動を行うことになる。
このプロセスは、特にオペレーショナル・リスクの領域において成文化⁶されてきたものだが、他のリスクカテゴリーにおいてもやるべきことは同じである。信用リスクや市場リスクでは、対象とするリスクが特定できており、評価するための手法も確立されているため、このような一連のプロセスの中で語られることはないが、既に「特定」済みではっきりしているリスクを「評価」し、「把握（モニタリング）・管理・削減」するというやり方に違いはない。
金融庁のAML/CFTガイドラインでは、「特定・評価・低減」という言葉が使われているが、「特定・評価・把握（モニタリング）・管理・削減」とはプロセスの切り取り方が違うだけで、やるべきことは全く同一である（図1）。

図１ 管理の実施プロセス

（３）全員が能動的に参画すること
GRCの文脈では、3つのディフェンスラインを構成する一線（業務執行部門）、二線（リスク管理部門・コンプライアンス部門）、三線（内部監査部門）の役割分担がお互いの活動領域を定めるために利用される場合がある⁷など、過度に強調される場合もあるように思う。
AML/CFTについてみると、「ゼロトレランス実現」のために顧客や取引に直に接する一線が水際でマネー・ローンダリングを食い止める必要がある。従って、一線の果たす責任の大きさが、他のGRCの領域と比較しても各段に大きい。
3つのディフェンスラインの役割分担に関する原理・原則を強く意識すると、AML/CFTにおける「ゼロトレランス実現」のための一線重視が他のGRCとは異なる特徴に見えるかもしれないが、特異かというと、決してそうではない。一線に立つ行員一人一人が高い意識を持ち、誤りなく堅確に業務を遂行すること、不正や誤謬が起こらない企業風土を作ることがとりわけ重要であり、一線のメンバーであっても、自らの職務に関するリスク管理・コンプライアンスの責任を負うことについては、二線のメンバーや三線のメンバーと何の違いもないはずである。特に、歴史的に一線と二線を切り分けることによって不正ができない環境を構築して来た市場リスク管理の領域では、リスク管理は二線が行うもの、一線が行ってはいけないとの考えが未だ残っているが、この考えは誤りである。アクセルとブレーキは切り離して別々に運用するものではなく、アクセルを踏む人（フロント）は暴走しないよう自らブレーキも踏む義務（リスク管理の責任）を負っているはずである。これは、いかなるGRCの領域においても同一である。

２．GRCにおける管理手法の分類に当て嵌めてAML/CFTの管理手法を整理

（１）GRCにおける管理手法の分類
標題の整理に先立って、GRCにおける管理手法の分類について再確認しておきたい。
個別のリスク管理の手法は、様々な観点から分類可能である。代表的な分類には、特に金融工学を用いて数値化して管理する定量的管理と、数値化できない情報によって管理する定性的管理に分ける方法がある。
その他、潜在的事象への対応と、顕在化した事象への対応に分けることができる。潜在的事象への対応とは、未だ起こっていないが起こる可能性のある事象を予測して備えることである。一方、顕在化した事象への対応とは、既に起こった目に見える事象や、起こりかけたヒヤリハット事象⁸を叩き、二度と起こらないように未然防止することである。顕在化した事象への対応は、AML/CFTのようなコンプライアンスに近い領域や、オペレーショナル・リスクのように個別の事象の広がりが大きく、個々の事象自体が意味を持つ領域において特に重視される。
上記により、GRCにおける管理手法は、①潜在的事象の定性的管理、②顕在化事象の定性的管理、③潜在的事象の定量的管理、④顕在化事象の定量的管理の4つに分類することが可能である（図２）。

図２　GRCにおける管理手法の分類

（２）AML/CFTにおいて定量的管理はほとんど実施されていない
現状におけるAML/CFTの代表的な管理手法を、GRCにおける管理手法のマトリクス（図２）に当てはめてみると、定性的管理が主体であり、定量的管理は殆ど実施されていないと見做すことができる（図３）。

図３　AML/CFTの代表的な管理手法の分類

具体的には、一線においてはKYCや取引フィルタリングにより潜在的事象を確認し、二線においては取引モニタリングによって顕在化事象を確認し、疑わしい事象を発見すれば定性情報をモニタリングし、早期にリスクを捉え、その事象を悉皆的に抑え込むために管理することが中心となっている。
また、定量的管理は、データを用いるという意味では、「取引データや顧客情報を用いたリスクアセスメント」や「疑わしい取引の届出情報の分析」が行われてはいるが、体系的に整理されたデータや一定の品質水準が確保されたデータによる分析に至っていないことも多い。取引量に基づく発生確率と影響度を数理統計的に処理し、本来あるべき潜在的事象の発見に向けたフォワードルッキングな管理を行うには到底至っておらず、分析という意味では、過渡期の状況にある。
もっとも、発生確率と影響度と簡単に言っても、何を以て影響度を定量的に計測するかという最も基本的な事項がはっきりしていないため、定量的な管理を高度化するという方向性が定まらないことも確かである。影響度が大きい事象は発生確率が低く、影響度が小さい事象ほど高確率で発生するという分布はイメージできるが、例えば、損失額をAML/CFTの影響度の計測に用いるのは馴染まないように思われるからである。とはいえ、単にデータを並べてみるだけでは定量分析とは言えず、定性的管理の域を出ていない、定量的管理はほとんど実施されていないと見做すことができる。
すなわち、AML/CFTにおける「ゼロトレランス実現」のための一線重視は、GRCの基本原則に照らして特異ではないものの、一線の水際対策が最も重要、且つ最後の砦であるという事実と相まって、二線が高度化を推進すべき潜在リスクの管理や定量化といった観点については、他のGRCの領域と比較して、まだ高度化の余地が大きいと言えよう。

３．「実効的なリスクベースアプローチ」の高度化による「ゼロトレランス実現」の効率と正確性の向上

（１）目指すべき高度化の方向性
次に、高度化の方向性について、既に相応の管理を実施している定性的管理の領域と、高度化の余地が大きい定量的管理の領域に分けて考えてみたい。
既に相応の管理を実施している定性的管理の領域については、「ゼロトレランス実現」のため、これまで実施して来たKYC、取引フィルタリング、取引モニタリングといった管理は、これまでと同様に悉皆的に継続して実施しなければならない。定量的管理の高度化によって確認の観点は高度化して行くが、管理手法は基本的に同じである。また、AIなどのテクノロジーを用いた「効率化」は不断に検討すべきであるが、「高度化」を論じる余地は少ない。
定量的管理の領域は高度化の余地が大きいが、注力すべきは潜在的なリスクの洗い出しの範囲や確度を向上させ、本来あるべき潜在的事象の発見に向けたフォワードルッキングな管理を高度化することである。
すなわち、定量的管理の領域における「実効的なリスクベースアプローチ」を高度化することによって、「ゼロトレランス実現」のために既に実施している定性的な管理手法の効率と正確性を上げることへの寄与に最も注力すべきである。

（２）高度化の具体的な手法
潜在的なリスクの洗い出しの範囲や確度を向上させ、本来あるべき潜在的事象の発見に向けたフォワードルッキングな定量的管理を高度化するには、どのような手法を採用すべきであろうか。その答えの一つとして、顧客属性データを説明変数、疑わしい取引の届出を目的変数（正解データ）として、これらの相関から、リスクの高い業務や営業店をあぶり出し、警鐘を鳴らすといったフォワードルッキング的な管理を行うことが考えられる。
すなわち、AIを用いて、説明変数である「取引時確認や本人確認資料などで得られた顧客属性データ（職業、年齢、住所など）」と、目的変数である「過去に疑わしい取引の届出が行われた顧客属性データ」との間に相関性を見出し、モデル化をすることができると考えている。これまでは、人が当たりをつけて定性的にリスクの多寡の判定を行っていたが、AIによる機械学習で無数のデータの組み合わせを検証することにより、これまで定性的に設定していたリスクスコアを、属性の相関性を定量的に算出して最適化したリスクスコアに変えることができ、人間では検知・認識ができなかった因果関係を捕捉し、高度なモデルが作成できるはずである。
これにより、リスクが高い領域においては一段と強固な防止措置をとるといった、「実効的なリスクベースアプローチ」の高度化が可能になる。ひいては、「ゼロトレランス実現」のために効率と正確性を上げることを常に意識して、高度化を企図して行かなければならない。

４．まずは「意識」、「データ」、「人材」の問題解決を

ただし、日本全体を俯瞰すると、このような取り組みを志向する金融機関は多くはなく、そもそもそこまでの高度化への目線を持っていない場合もある。その理由としては、定性的な管理で十分と考えている金融機関が大半を占めていること（意識の問題）、分析できる定量的なデータを集めるような態勢が整っていないこと（データの整備不足）などが考えられる。加えて、鶏と卵の関係ではあるが、AML/CFTの領域には金融工学の知見のある理系人材が優先的に回ってこないため、高度な定量データの分析を行えるスキルホルダーが少ない（人材不足）ということも理由の一つとして考えられる。
「実効的なリスクベースアプローチ」の高度化によって、「ゼロトレランス実現」の効率と正確性を上げるには、まず「意識」、「データ」、「人材」の問題解決に、金融業界全体で取り組むことが重要である。