① データガバナンスとの棲み分け
AML/CFTに限らず、データガバナンスとモデル・リスクガバナンスは、「モデルに流し込むデータ」と「データを処理するロジック」という車の両輪の関係にあるため、互いに重なり合う部分がある。
例えば、データの来歴分析は、密接にどちらにも関係するが、データガバナンスにおいては「モデルとモデルの間を流れるデータ」が対象である一方、モデル・リスクガバナンスにおいては「一つのモデルの中を流れるデータ」が対象であるため、事前にどちらの管理対象とするか、重複や漏れがないように整理しておく必要がある。その上で、車の両輪であるデータガバナンスとモデル・リスクガバナンスは、検証の方針(例えば、定期検証のサイクル、同一のデータで来歴分析を行なう等)を合わせて実施した方が効果的・効率的である。
② 数理モデルではないモデルの検証
続いて、AML/CFTにおけるモデルが、モデルの典型例である数理モデルとは異なっているという点に注目したい。AML/CFTのモデルは、年金数理や市場リスク等のリスク計測に用いる計測対象の定量的な動きを定式化する数理モデルとは異なり、膨大な定性・定量情報を用いた人間の思考・判断をモデル化しているという特徴を有するものが多い。
例えば、取引モニタリング・システムの検知モデルについては、金融庁の疑わしい取引の参考事例や自行の過去の届出事例を基にシナリオや閾値等を設定するため、その想定の範囲内でしか疑わしい取引を捕捉できないというリスクがある。一定のロジックに基づいてモニタリングしているため誤検知や検知漏れのリスクもある。
これに伴う最大の問題は、全ての疑わしい取引が捕捉できたか否か、その「正解が分からない」ということである。
そのため、「原則6 :モデル検証」に際しては、JAFIC※12に届けた事例の要素を分解し逆算して検証するといった、モデルの確からしさを疎明できる検証方法を設定することに加えて、検証方法自体を継続的に検証していくことが必要である。
③ パッケージ・ベンダーが保持・提供している”標準”的なモデルのガバナンス
モデル・リスク管理原則の原則7は、ベンダー・モデル等のリスク管理について、モデルの選定、モデルの仮定・特性や限界・弱点の把握、モデル検証からコンティンジェンシープラン策定に至るまで特有の管理を実施することを求めている※13。
金融機関が最も避けなければならないのは、ブラックボックス化したモデルを検証せずに使用し続けることであり、これはAML/CFTに限らないGRCの普遍的な原則の一つである。この点、モデル・リスク管理原則は、「入手可能な情報に基づき可能な範囲でモデル検証を実施すること」と規定しているが、これは情報が入手できず検証が不可能であれば検証しなくても構わないということを謳っているのではない。
AML/CFTの領域では、取引フィルタリングシステムのファジーマッチがブラックボックスの例として挙げられるが、インプットを少しずつ変えることにより、表記ゆれを全て入力していき、結果を見て表記ゆれが正しく検知できるか確認する“千本ノック”のような手法を用いることにより、ブラックボックスの中身を推定し、検証することが考えられる。
そのほか、同業他社との比較・検証サービスを用いて、他金融機関比でのフィルタリングの精度の立ち位置を確認することにより、ブラックボックスの検証が実施できているか否か傍証することも可能である。
どこまで実施するかは、対外的に説明可能か否かの観点から判断することになる。