イベント「FATFを踏まえたブロックチェーン事業者のKYC/AML」|2019,March,28
FATFを踏まえたブロックチェーン事業者のKYC/AML
はじめに
2019年3月には、仮想通貨交換業に関する法改正が閣議決定しました。法改正によって、暗号通貨が金融規制下に置かれることが明確になり、ブロックチェーン・暗号通貨事業者も昨今のFATF対策について知っておくことが重要になっているともいえるでしょう。
こうした流れの中でブロックチェーン事業のコンプライアンスをサポートしていくため、Gincoでは3月28日、NTTデータジェトロニクス・LIQUIDの2社と協同で勉強会イベント「FATFを踏まえたブロックチェーン事業者のKYC/AML」を行いました。本記事では、勉強会の概要をお伝えしていきます。
なぜFATFを意識するのか?
FATFは、テロ資金供与やマネーロンダリングを防ぐための世界的な活動部会
その前に、少しだけFATFについて補足します。 FATFは、Financial Action Task Forceの略で、日本語では「金融活動作業部会」と訳されます。1989年のアルシュ・サミットにおける合意によって設置された、テロ組織への資金供与やマネーロンダリングを防ぐための組織です。現在35カ国・2国際機関が加入しています。
FATFの主な活動は、国際的な基準の設置や、参加国の遵守状況審査などとなっています。これまでに3回の相互審査が行われており、2019年秋には4回目の審査が控えています。
金融規制に大きな影響をもたらす相互審査
2008年に実施された第3次の相互審査では、日本は40項目のうち25項目が未達成と、厳しい評価を受けました。しかし対策は進まず、2014年にはFATFが日本を名指しして対応を求めるといった事態となりました。
これによってようやく犯罪収益移転防止法の改正などが行われ、あやうく非協力・ハイリスクの「グレー・リスト」入りを免れたというのが、これまでの経緯となっています。グレー・リストに入ってしまうと海外の金融取引に支障が生じる恐れがあるため、日本としてはなんとしても避けたいところでした。
次回の第4次審査では、法整備のみでなく、金融機関のシステムや内部体制など実際に法律が機能しているかが見られます。審査に向けて、日本ではAML・CFTに関するガイドライン提示(2019年2月)などの対策が進められており、各種金融機関も対応し始めているという状況です。
イベントでは、こうした背景に基づいて、
- AML規制動向と対応すべきITシステムの検討ポイント(NTTデータジェトロニクス・村田様)
- 犯罪収益移転防止法の改正とeKYCの実施ポイント(Liquid・松山様)
- 全体質疑
といった内容で勉強会を行いました。以下、内容の報告です。
AML規制動向と対応すべきITシステムの検討ポイント(NTTデータジェトロニクス・村田様)
NTTデータジェトロニクスの紹介
NTTデータジェトロニクスはNTTデータとオランダのジェトロニクスの子会社で、2000年ごろから金融機関のマネロン対策支援を行っています。
コンサルティングではCAMS(国際資格)を持つAMLの専門家が、業務からITコンサルティングまでをサポートしています。また、AMLシステムのOculusシリーズを販売しています。
当局規制動向とITシステム検討ポイント
まず、当局の規制動向の説明がありました。AML・CFT関連の重要な動きを年表にすると、以下の通りになります。
2019年2月に出た「マネロン・テロ資金供与対策に関するガイドライン」の重要なポイントとしては、
- リスクベース・アプローチの手法を用いる点
- スリーライン・ディフェンスの考え方
の2点が挙げられるとのことで、それぞれ、詳しく解説していただきました。
リスクベース・アプローチ
リスクベース・アプローチは、各金融機関がそれぞれのリスクに応じて対策を講じるという手法です。
リスクの特定→リスクの評価→リスクの低減という3ステップ、すなわち、どういうリスクがあり、そのリスクがどれくらい自分たちに脅威を与えるのかを定め、そのリスクを低減するための対策措置を取るということが求められます。
スリーライン・ディフェンス
管理態勢として、金融機関の3つの部門でそれぞれ対策を行うことが重要となります。
- 第1線…営業店の窓口
- 第2線…コンプライアンス部門
- 第3線…監査部門
リスクベース・アプローチの導入によって、各金融機関ごとに自分たちがどのようなリスクを抱えているかを評価し対策しなければならなくなっており、一律であるシステムを導入するといったことでは不十分になっています。ただそういった中でも、必要な対策はある程度共通しています。
次は、それぞれの規制動向で、どのような要件や機能が求められているかについてお話しいただきました。
求められる機能要件
1. 犯罪収益移転防止法(2016年改正)
ポイント①:26条
新しく、「一般的な取引の態様との比較」「当該顧客との過去の取引との比較」「取引時確認との整合性」が規定されました。
言い換えれば、普通の取引と比較して不審なところがないか、またその顧客の過去の取引から見ておかしいところがないか、口座開設のときに確認した取引目的などとの食い違いがないかを確認する必要があるということになります。
日々の取引を1件1件確認すると膨大な作業量となるため、手作業で行うのはほとんど不可能といえるでしょう。そのためプロファイリングや顧客単位検知を搭載したシステムが必要となっています。
ポイント②:海外PEPS(海外の公的地位にある要人)の取引監視
公的地位にある要人の取引には、通常よりも厳格な監視が求められます。海外PEPSのリストは100万件を超え、口座開設等の際にはこのリストと照合していくことになります。
2. 当局モニタリングレポート等での指摘
ポイント①:取引モニタリングシステムを導入することが重要
各金融機関は、1.で見たような、疑わしい取引を検出し、レポートしなければなりません。基本的には、たとえば「多くの口座から大きな金額を特定の口座に振り込み、直ちに出金する」といった取引は詐欺の可能性が高い、などのシナリオを作り、検出ルールを作成します。
ポイント②:定期的にモニタリングのシナリオやルールの見直しを行う必要がある
ただし、詐欺やマネーロンダリングの手口は時間とともに変わっていきます。したがって、その都度シナリオやルールを修正することも重要となってきます。そのため、銀行などが自分自身でルールを行えるようなシステムが有用です。
3. マネーロンダリング及びテロ資金供与対策に関するガイドライン
ポイント①:モニタリング・フィルタリング・カスタマーデューデリジェンス(CDD)
顧客をリスクに応じて分類したり、適切なモニタリング・フィルタリングを実施することが求められます。
ポイント②:疑わしい取引の届出
顧客の多様な事情を考慮して疑わしい取引を届け出なければなりません。たとえば、顧客の国・地域や、海外PEPsに該当するかどうか、顧客がどのような事業を行っているか、顧客属性、取引金額や回数などの事情を加味することが必要です。
ポイント③:ITシステムの活用
システムを単に導入するだけでなく、自分たちでシステムを修正しながら、金融庁に自分たちがどのようにリスクを評価し、シナリオや基準を設定しているのかを説明できることが求められています。
4. FATF第4次相互審査
ポイント①:定量・定性的な客観的資料
リスクの特定・評価・分析を行うにあたっては、客観的な資料やデータを提示していくことが必要となります。
ポイント②:経営の関与
事業部の部長レベルではなく、役員の中からマネーロンダリング・テロ資金供与対策について責任を持つ者を任命することが要求されています。
4つの動向から、どのような要求があるか見てきました。これらの複雑な要求に応えるのはかなり大変ですが、いずれもNTTデータジェトロニクスのOculusシリーズで対応可能となっています。
質疑では、ブロックチェーン周りのAMLについて、FATFも仮想通貨の方を見据えているがどのように対応できそうかという質問がありました。NTTデータジェトロニクスもまだ説明会などを行っている段階で、これから取り組んでいくとのことでした。
犯罪収益移転防止法の改正とeKYCの実施ポイント(LIQUID・松山様)
LIQUIDの紹介
生体認証を活用して、オンラインで本人確認を行うeKYCのサービスを提供しています。
eKYCとは
まず、eKYCに関連する法律改正から解説がありました。 2018年11月30日に、犯罪収益移転防止法の施行規則が改正されています。
非対面での本人確認方法として4つが挙げられています。このうち、オンラインで本人確認書類画像を送信すればよいという「第6条第1項第1号-ホ」の方法が最もユーザビリティが高く、全体としても優れているとのことです。詳しくは以下の比較表をご覧ください。
ユーザカバレッジについては、運転免許証が最もカバレッジが高いため優先して対応しているとのことでした。またユーザビリティを重視し、ステップ数が少ない方が使いやすいためwebアプリを提供しているそうです。ネイティブアプリは確かにダウンロードが面倒ですよね。セキュリティ面では、本人確認書類の偽造を防ぐことが求められています。
eKYCの最新動向
eKYCの第1号はLIQUIDかと思いきや、実は北陸銀行とIBMだそうです。
LIQUID eKYCの概要
LIQUID eKYCでは、以下の流れでKYCを行います。
- ①エンドユーザーでアプリを起動、本人確認データを送信
- ②クラウドで特定事項と確認書類を照合、顔データと顔写真の照合、顔データの真贋判定、本人確認書類の真贋判定
- ③特定事業者での審査を経て口座開設
実際にユーザーの行う作業としては、
- ①確認書類の表面の撮影
- ②裏面の撮影
- ③厚みの撮影
- ④本人顔写真撮影
- ⑤動画撮影の5ステップになります。
動画撮影では、カメラの前で首を振るなどの動作を行うそうです。
2020年以降の郵便厳格化
来年の4月1日時点で、非対面の本人確認方法が厳格化されます。詳しくは以下のスライドをご覧ください。
このうち、本人確認書類の画像確認をオンラインで行い、転送不要郵便を受取るという「第6条第1項第1号-チ③」が利便性・セキュリティなどを総合して最も優れており、LIQUID eKYCもこれに対応していくとお話しされていました。
LIQUID eKYCの特徴・まとめ
ここまでは初版のお話でしたが、2ndリリース以降は、対応する本人確認方法が増え、運転免許証だけでなくマイナンバーカードや在留カードでも確認が可能になるとのことでした。
質疑では、法人で2人登録が必要な場合、登記簿謄本が必要な場合などについてはどうかという質問がありました。現在対応を検討中で、技術的なハードルは高くないと考えているとの答えでした。
最後に
勉強会の内容は以上となります。発表の半分近くが法制度の解説だったこともあり、KYC/AMLは法律を理解することがまず最も重要だということを実感しました。その法律が成立するにあたって、FATFのような国際的な監督の影響を大きく受けているため、FATFの動向にはアンテナを張っておきたいですね。
FATFの4次審査では、既に審査を受けて合格した国はわずかとなっており、日本が合格する見込みは低いと言われています。しかし、不十分だと分かっているからこそ、改善の努力をしなければならないという側面もあるため、金融庁も法改正や監督に動いているという状況です。金融規制は一国に収まらない話で、下手をすれば国際的な非難・排除を受けるという厳しさがありますね。
ブロックチェーン・暗号通貨領域のスタートアップ企業も、金融事業者としての自覚を持ちつつ対応していかなければいけないということを改めてお伝えして、報告を終えたいと思います。
