• JA 日本語
  • Icon Facebook

close

実効性のあるAML/CFTデータ管理
(データ・ガバナンス)態勢の構築
~「AML/CFTガイドライン」の遵守に向けて~

2024年2月28日

FATF1による第4次対日相互審査結果の公表を受けて、金融庁が策定した「AML/CFTガイドライン」2では、銀行をはじめとする金融機関に「データ管理(データ・ガバナンス)」態勢の構築を求めている。
これまでリスクデータ集計の一部に包含される形でデータ・ガバナンスが求められてきたマネー・ローンダリング・テロ資金供与・拡散金融対策(以下、AML/CFT)の領域においても、他のリスク管理・コンプライアンスの領域と同様に、データ・ガバナンスの必要性が明示された格好である。
しかしながら、「AML/CFTガイドライン」における規定は、いずれもAML/CFT態勢を構築する上で必要不可欠な内容ではあるものの、金融機関にとっては具体的に何を実施すれば良いのかはっきりしていないことも多く、悩ましい内容となっている。
わが国の金融機関は、「AML/CFTガイドライン」への対応期限(2024年3月末)を目前に控えた状況であるが、対応期限終了後も金融庁による検証を通じて追加対応が求められることも予想され、「データ管理(データ・ガバナンス)」もそのうちの一つとなる可能性がある。
そこで本インサイトでは、AML/CFTデータ管理(データ・ガバナンス)の実務経験豊富な筆者3が、実効性のあるデータ管理(データ・ガバナンス)態勢を構築するためには、何を実施すべきかについて考察する。

  • 1 Financial Action Task Force(金融活動作業部会)の略称。1989年のアルシュ・サミット経済宣言を受け、マネロン対策の国際基準策定・履行を担う多国間枠組みとして設立。世界200以上の国・地域に適用されるFATF勧告に則った相互審査を実施している。

  • 2 「マネー・ローンダリング及びテロ資金供与対策に関するガイドライン(2021(令和3)年2月19日 金融庁)」

  • 3 石川慎一郎:日本銀行入行。Big4ファームを経てアビームコンサルティングに入社。この間、大手証券会社 において、市場取引の実務に従事した経験を有する。2021年4月、アビームコンサルティングに復職。銀行及び証券会社向けのコンサルティング・サービスを一貫して実施しており、規制対応、リスク管理、内部統制構築ならびに当該専門領域に関する監査支援など数多くのプロジェクトをリード。
    園田敏寛:アビームコンサルティング入社後、多くの金融機関に対する業務・システム対応支援に加え、特に金融関連の法規制対応について幅広い支援を実施。近年は、社内AML/CFTコンサルティングチームをリードしつつ、メガバンクや大手金融機関に対するAML/CFT高度化プロジェクトをリード。

目次

金融庁の「AML/CFTガイドライン」におけるデータ・ガバナンス

FATFによる第4次対日相互審査の結果公表を受けて、金融庁が策定した「AML/CFTガイドライン」では、リスク低減4のために講ずべき措置として、「顧客管理(カスタマー・デュー・ディリジェンス)」、「取引モニタリング・フィルタリング」、「記録の保存」、「疑わしい取引の届出」、「ITシステムの活用」、および「データ管理(データ・ガバナンス)」を列挙している。このように、「ITシステムの活用」と並ぶ形で「データ管理(データ・ガバナンス)」が挙げられているのは、大量の顧客情報や取引データに基づきAML/CFT対応を行なうためには「ITシステムの活用」が不可欠であり、ITシステムを活用するためには適切なデータ管理(データ・ガバナンス)が行われていることが大前提になるからである。いわばデータ管理(データ・ガバナンス)は、AML/CFT対応を支える屋台骨の一つである。
「AML/CFTガイドライン」の「Ⅱ リスクベース・アプローチ」、「Ⅱ-2 リスクの特定・評価・低減」、「(3)リスクの低減」、「(ⅶ)データ管理(データ・ガバナンス)」では、対応が求められる事項として、以下を求めている。

【対応が求められる事項】  

① データの適切な管理
  • 確認記録・取引記録等について正確に記録するほか、
  • IT システムを有効に活用する前提として、データを正確に把握・蓄積し、分析可能な形で整理するなど、
  • データの適切な管理を行うこと。

② データの定期的検証
  • IT システムに用いられる顧客情報、確認記録・取引記録等のデータについては、
  • 網羅性・正確性の観点で適切なデータが活用されているかを
  • 定期的に検証すること

③ 情報の把握・蓄積、整理、当局等への提出
  • 確認記録・取引記録のほか、

  • リスクの評価や低減措置の実効性の検証等に用いることが可能な、以下を含む情を把握・蓄積し、

    イ.疑わしい取引の届出件数(国・地域別、顧客属性別等の内訳)

    ロ.内部監査や研修等(関係する資格の取得状況を含む。)の実施状況

    ハ.マネロン・テロ資金供与リスク管理についての経営陣への報告や、
    必要に応じた経営陣の議論の状況

  • これらを分析可能な形で整理するなど適切な管理を行い、
  • 必要に応じて当局等に提出できる態勢としておくこと

 

また、「AML/CFTガイドライン」の補足文書として「FAQ」5も発出されている。ただし、箸の上げ下ろしまでを明確に提示するものではないため、対応する金融機関は自らの置かれた状況に応じた判断が求められる。

  • 4 「AML/CFTガイドライン」では、リスクベース・アプローチを採り、リスクを特定・評価・低減することを金融機関に求めている。

  • 5 「マネロン・テロ資金供与対策ガイドラインに関するよくあるご質問(FAQ)(2021(令和3)年3月26日 金融庁)」

「AML/CFTガイドライン」遵守の検討ポイント

次に、「AML/CFTガイドライン」を遵守するために、何を実施すべきかについて検討する6

(1) データを分析可能な形で整理すること
まず、データの適切な管理に関する【対応が求められる事項】の①の内容について確認する。ここでは、確認記録・取引記録等の正確な記録はもとより、ITシステムを有効に活用する前提として、データを正確に把握・蓄積し、分析可能な形で整理するなど、データの適切な管理を行うことが求められている。分析可能な形で整理することについては、「FAQ」において「マネロン・テロ資金供与対策に必要な情報を特定した上、特にシステム対応に必要なデータがデータベース化されていることが求められる」とされ、データベース化とは「用途に応じて任意のデータを呼び出すことが可能となっている状態を意味する」とされている7
そのために必要となるのは、まず分析可能な形で整理するデータを特定するための出発点となる管理すべきデータ項目を整理した「重要項目一覧」を作成することである。例えば、報告に必要な項目や、リスク評価に利用する項目、下流システムにデータが流れる項目等を1軸として、重要項目を選定することになるが、重要の定義については、どの報告(当局報告、経営宛報告など)に使用されている項目を含めるか、システム内でデータ加工などに必須の項目は何かなど議論したうえで決定する必要がある。
その上で、データの流れをシステム及びテーブル単位で可視化する必要があるが、通常システムの開発時に作成する「テーブル定義書」だけではデータの流れを把握するには不十分である。従って、データ・ガバナンスの管理ドキュメントとして、データ検証(次項参照)の起点とするために「データフロー」を作成してデータの生成元データやその流れを明らかにしておくことが望ましい。
このように、システム開発時に作成された成果物を管理ドキュメントとして利用しながらAML/CFTデータ・ガバナンスにとって必要最低限なドキュメントを追加していくことによって、効率的かつ実効的に「AML/CFTガイドライン」の遵守態勢を構築すべきである。

(2) データの定期的検証
次に、データの定期的検証について言及している【対応が求められる事項】の②の内容について確認する。【対応が求められる事項】の②の「FAQ」8では、検証の視点について「AML/CFTガイドライン」を補足している。例えば、システムと突合するデータの検証に関して、取引モニタリングについては取引のデータ及び顧客のデータが正確かつ網羅的であるかを検証する、取引フィルタリングについては取引のデータがそれぞれ正確かつ網羅的であるかを検証する、等である。
これについては、上流システムからAMLシステムへ、次にAMLシステムから下流システムへと更新データが反映されていくため、反映時のデータの正確性を保つために前項で指定した重要項目を対象に、各システムの更新結果の検証(所謂「来歴分析」)を通じて定期的にデータの網羅性・正確性を担保する枠組みが必要である。具体的には、前項で作成したデータフローを基にテストデータを作成し上流システムから下流システムまで流した結果を検証する等である。

(3) 金融機関全体で AML/CFT対応について適切に管理する態勢が構築されていること
最後に、情報の把握・蓄積、整理、当局等への提出について言及している「AML/CFTガイドライン」の【対応が求められる事項】の③の内容について確認する。ここで求められていることは「必要な情報を把握・蓄積、整理し、当局等へ提出できるようにしておくこと」であるが、この目的は “AML/CFT対応ができているため必要な情報も自ずから適切に管理できている態勢”にしておくことであり、当局に情報を提出できるようにしておくことではない。
また、管理すべきであると例示されている情報はいずれも、「確認記録・取引記録」、「疑わしい取引の届出件数(国・地域別、顧客属性別等の内訳)」のような一線がAML/CFT対応を堅確に実施していればその結果として管理できるような情報や、「内部監査や研修等」、「経営陣への報告」、「経営陣の議論の状況」のようなデータ管理(データ・ガバナンス)には直接関係がない、“AML/CFT対応について適切に管理する態勢が構築されていること”の一部を構成する情報である。
すなわち、これらは一線、二線、三線が金融機関全体でAML/CFT対応を実施した結果であり、データ管理(データ・ガバナンス)として追加的に特別な対応が必要となるものではない。

  • 6 金融機関がデータ・ガバナンス態勢の構築に関する判断を行なう場合には、例えばBCBS239を拠って立つ指針の候補とすることが考えられる。BCBS239とは「実効的なリスクデータ集計とリスク報告に関する諸原則(2013年1月9日 バーゼル銀行監督委員会)」(原題:Progress in adopting the Principles for effective risk data aggregation and risk reporting)の略称である。
    BCBS239は、金融機関にとって必要なデータ・ガバナンスの諸原則を包括的に提示した

  • 7 顧客数や取引の数が限定的であり、ITシステムを活用する必要がなく、マニュアルで十分管理できる場合等においては、データベース化は求められない。

  • 8 【対応が求められる事項】の②の「FAQ」はそのほか、データを活用する前提として、取引モニタリングについてはシナリオが適切であるか、取引フィルタリングについては、リスト自体が最新かつ適切であるか、という観点の検証も求めているが、この点については別途モデルリスク・ガバナンスのインサイトにおいて考察する。

金融機関が実施すべきこと

本インサイトでは、実効性を確保した上で必要な対応を行うために、何を実施すべきかについて、「(1)データを分析可能な形で整理するためのドキュメンテーション」、「(2)データの定期的検証」、「(3)前記(1)および(2)を実現する管理態勢の構築」の3つが重要であるとの考え方を提示した。
冒頭に述べた通り、大量の顧客情報や取引データに基づきAML/CFT対応を行なうためには「ITシステムの活用」が不可欠であるが、ITシステムは技術の発展により今後、益々高度化していくことが予想される。金融機関には、発展した技術の内容を理解するとともに、これを活用し使いこなすことが求められる。このように、技術発展により高度化したITシステムを活用するためには、適切なデータ管理(データ・ガバナンス)を実施することが、その大前提になる。いわばデータ管理(データ・ガバナンス)は、AML/CFT対応を支える屋台骨の一つであるため、「AML/CFTガイドライン」対応を好機と捉えて検証を行い、今そこにある問題点を潰し込んでおくことにより、ITシステムの高度化と歩調を合わせたAML/CFT態勢の更なる高度化を実現することが可能になると考える。各金融機関においては、データ・ガバナンス態勢を高度化する土台を早急に構築されることを期待したい。

関連ページ

ガバナンス・リスク・コンプライアンス(GRC)
【サービス】ガバナンス・リスク・コンプライアンス(GRC)
「実効的なリスクベースアプローチ」と「ゼロトレランス実現」を両立するためのAML/CFT高度化 ~GRCの基本原則からの考察~
【インサイト】「実効的なリスクベースアプローチ」と「ゼロトレランス実現」を両立するためのAML/CFT高度化 ~GRCの基本原則からの考察~
一線のリスクオーナーシップの強化によるAML/CFT態勢の高度化 ~良い“鵺(ぬえ)”たるべき“1.5線”の機能強化を通じて~
【インサイト】一線のリスクオーナーシップの強化によるAML/CFT態勢の高度化 ~良い“鵺(ぬえ)”たるべき“1.5線”の機能強化を通じて~
インサイト/ホワイトペーパー一覧に戻る

page top