AML(マネーロンダリング対策)に関する方針と手順:完全コンプライアンスガイド
マネーロンダリング対策を懸念する必要があるのは銀行だけではありません。仮想通貨取引所、決済処理業者、オンライン販売業者など、資金を取り扱う事業であれば、いずれどこかの規制当局から、不正資金の流入をどのように防いでいるのかを問われることになるでしょう。その回答は文書化しておく必要があります。それがAML(マネーロンダリング対策)ポリシーです。AMLポリシーや手続きを誤ると、罰金、口座凍結、そして違反行為そのものよりも長く続く評判の失墜といった事態に直面することになります。
では、これらの文書には実際にはどのような内容が含まれるのでしょうか?このガイドでは、AMLポリシーの内容、規制当局がポリシーを要求する理由、そして監査に耐えうるフレームワークを構築する方法について解説します。銀行、フィンテックスタートアップ、暗号通貨決済ビジネスなど、業種を問わず、その根底にある考え方は同じです。
AML(マネーロンダリング対策)に関する方針と手続きとは何ですか?
AMLポリシーとは、組織の資金洗浄やテロ資金供与の発見、阻止、報告に関する成文化された規則集です。リスク許容度、取引を拒否する顧客タイプ、担当者など、「何をすべきか」「なぜすべきか」といったことを定めたものです。この分野全体はマネーロンダリング対策(AML)と呼ばれ、規制当局はこの用語を、金融システムから不正資金を排除することを目的としたあらゆる管理策の略称として使用しています。
手順とは「どのように」行うかを指します。取引が何らかの形でフラグ付けされ、担当者がそれを審査し、特定のプロセスに従って不審取引報告書が提出されます。ポリシーと手順は、一般的にAMLコンプライアンスプログラムと呼ばれるものの大部分を構成し、これには研修、テクノロジー、独立監査なども含まれます。
人々はこれらの用語を頻繁に混同するが、規制当局はそうではない。手順を伴わない方針は基本的に執行不可能であり、方針に裏付けられていない手順は法的に何の根拠も持たない。
日々の業務において、この区別が実際に重要な理由は次のとおりです。監査担当者は、ポリシー文書がどこかの引き出しにあるかどうかだけを確認するわけではありません。実際の取引を引き出し、社内の手続きに沿って追跡し、書類上の内容が実際の出来事と一致しているかどうかを確認します。多くのポリシーは紙面上では完璧に見えますが、実際のファイルと照らし合わせるとすぐに破綻してしまいます。これは、監査担当者が中小企業でよく見つける問題点の1つです。
すべての企業がAMLポリシーを必要とする理由
これは些細な犯罪の話ではありません。国連の推計によると、毎年世界のGDPの2~5%が資金洗浄されており、2023年だけでも3兆ドルを超える不正資金が世界経済を流通しました。意図的であろうとなかろうと、自社の敷地内で資金の流れを管理できない企業は、すべてこの資金洗浄の温床となってしまうのです。
規制当局はこのことを認識しており、だからこそ金融機関、資金移動業者、そして今や暗号資産企業も、マネーロンダリング対策(AML)に関する義務的なコンプライアンスを課されているのです。罰則は罰金から営業許可の剥奪まで多岐にわたります。そして、正直なところ、法的リスクは問題のほんの一部に過ぎません。マネーロンダリングのスキャンダルは、顧客やパートナーの記憶に何年も残るからです。
監査人や規制当局は、何よりもまず文書化された方針を求めます。方針がなければ、たとえ日々の業務が完全に合理的であっても、誠意を証明する手段がありません。
過去の執行事例を見れば明らかです。世界中の規制当局は、AML(マネーロンダリング対策)プログラムの不備に対して数百万ドルもの罰金を科し続けていますが、多くの場合、マネーロンダリングそのものが立証されたわけではありません。罰金は、ポリシー、研修、監視体制の不備によって、予防策を講じることが不可能だったために科せられたのです。しっかりとしたポリシーを構築するコストは、こうしたリスクを負うよりもはるかに低く抑えられます。

知っておくべき主要なAML(マネーロンダリング対策)関連法規
AML(マネーロンダリング対策)の要件は管轄区域によって異なりますが、今日作成されるほぼすべてのポリシーは、いくつかの枠組みに基づいています。これらの枠組みを理解することが、文書に何を盛り込むべきかを把握する最も迅速な方法です。
| 規制 | 地域 | 必須要件 |
|---|---|---|
| 銀行秘密法(BSA) | アメリカ合衆国 | 記録保持、疑わしい取引の報告、および文書化されたAMLプログラムが必要です。 |
| 米国愛国者法第352条 | アメリカ合衆国 | コンプライアンス責任者、研修、テスト、内部統制の4つの柱を義務付ける |
| EUマネーロンダリング対策指令(AMLD) | 欧州連合 | 加盟国間で顧客デューデリジェンス、実質的所有権、および報告に関する規則を調和させる。 |
| FATF勧告 | グローバル | 各国のマネーロンダリング対策法が構築される際の国際基準を定める。 |
これらの枠組みはどれもオプションの追加要素ではありません。これらは基本となるものであり、事業展開地域に関連する枠組みを無視した方針は、最初の規制審査で不合格となるでしょう。特に金融活動作業部会(FATF)は、ほとんどの国のマネーロンダリング対策およびテロ資金供与対策法がモデルとしている基準を設定しています。そのため、FATFの用語は、海を隔てた地域で作成された方針にも見られるのです。
AMLポリシーに必ず含めるべき主要構成要素
米国愛国者法第352条は、文書化されたAML(マネーロンダリング対策)コンプライアンスプログラムの必須要件として4つの柱を定めており、ほとんどの国際的な枠組みもこれにほぼ準拠している。これらの柱のいずれかが欠けているポリシーは、規制基準上不完全である。
- 日々のAML(マネーロンダリング対策)の監督と規制報告を担当する指定コンプライアンス責任者
- 従業員に対する継続的な研修では、危険信号、報告義務、規制の更新などについて取り上げています。
- プログラムが設計どおりに動作するだけでなく、記述どおりに動作することを確認するための独立したテストまたは監査
- 顧客オンボーディングから取引監視までを網羅する文書化された方針、手順、および内部統制
現代のAML(マネーロンダリング対策)ポリシーは、通常、4つの柱に加えて、文書化されたAMLリスク評価と制裁対象者スクリーニングプロセスの2つの要素を追加しています。規制当局は、法律で明示的に規定されていない場合でも、これら2つを当然のこととして扱う傾向が強まっています。
よくある間違いは、これらの要素を一度満たせばよいチェックリストとして扱うのではなく、常に変化し続けるシステムとして捉えることです。例えば、コンプライアンス担当者の役割には、真の権限と予算が必要です。権限も予算も持たない肩書きでは、規制当局が疑わしい口座を凍結する権限を実際に持っているのは誰かと尋ねた際に、通用しません。入社時に一度だけ実施され、その後は二度と行われない研修は、新しい組織形態や更新された規制にすぐに対応できなくなってしまいます。
顧客デューデリジェンスおよびリスクベースの手続き
顧客デューデリジェンス(CDD)とは、契約時とその後の両方において、実際に取引相手が誰なのかを把握することを意味します。つまり、顧客の身元を確認し、顧客の実際の事業内容を理解し、不審な点がないか監視するということです。AMLリスク評価は、どの口座に特別な注意を払うべきか、つまり、2分間のチェックで済む口座と、徹底的な精査が必要な口座を判断するのに役立ちます。
リスクは顧客間で均等に分散されているわけではなく、それがリスクベースのアプローチの要点です。政治的に影響力のある人物、高リスク地域に拠点を置く顧客、不規則な資金移動パターンを示す口座など、これらすべてに対して強化されたデューデリジェンスが必要です。より詳細な身元調査、より頻繁なモニタリング、口座開設前に上級担当者の承認を得る必要があります。政治的に影響力のある人物を見落とすと、すぐに規制当局の注目を集めてしまうため、そのスクリーニングを一般的なオンボーディングプロセスに組み込むのではなく、専用のステップとして設けるべきです。
次に、制裁対象者スクリーニングがあります。これは、資金がどこかに移動する前に、新規顧客(そして正直なところ、取引も)をOFACなどの政府リストと照合するものです。これを怠ると、AMLポリシーにおいて最もコストのかかるミスの1つを犯したことになります。
顧客登録後も、こうした状況は続きます。初日は完全に安全そうに見えた顧客でも、その後も安全とは限らないのです。取引量の増加、リスクの高い地域での新たな取引相手、あるいは顧客が申告した事業内容と一致しない活動などが考えられます。優れたリスクベースのポリシーでは、最初のチェックを一度きりの通過点と捉えるのではなく、定期的に顧客評価を見直すことが重要です。
ステップバイステップ:AMLポリシーフレームワークの構築
AMLポリシーを白紙の状態から作成する場合、決まった手順に従うと作業が楽になります。監査に対応できる、信頼できる文書を作成するための手順は以下のとおりです。
- リスク評価を実施し、どの製品、顧客、地域がマネーロンダリングのリスクに最もさらされているかを明らかにしてください。
- コンプライアンス責任者またはマネーロンダリング対策責任者(MLRO)を任命する。つまり、プログラムを日々運営するための権限とリソースを持つ人物を任命する。
- ポリシーの適用範囲とリスク許容度を明確に定義する。つまり、どのような顧客タイプや活動が許容されるか、制限されるか、または禁止されるかを明確に述べる。
- 顧客デューデリジェンス(CDD)および強化デューデリジェンスのトリガーを設定します。標準的なチェックがより詳細なレビューにエスカレートするタイミングを正確に指定します。
- トランザクション監視ルールを構築する― 内部アラートをトリガーするしきい値とパターンを定義する。
- 不審取引報告(SAR)プロセスを確立する。誰がアラートをレビューし、どのように規制当局に報告を提出するかを文書化する。
- コンプライアンスチームだけでなく、顧客対応や取引対応に携わるすべての関係者を研修対象とする。
- 独立監査を計画する― 規制当局から要請されてからではなく、ポリシーが施行される前に、定期的なレビューをスケジュールに組み込んでおく。
この手順に従うことで、よくある間違い、つまり根本的なリスク評価を行う前に詳細な手順書を作成してしまうという間違いを避けることができます。この手順を省略すると、後で文書の半分を書き直す羽目になることがよくあります。
ほとんどの企業は、このフレームワークの草案を4~6週間で完成させることができますが、期間はポリシーが対象とする製品ラインや管轄区域の数に大きく左右されます。数日で完成させようとする企業は、テンプレートから借りた一般的な文言に終始しがちです。そうした文言は一見完成しているように見えますが、実際のリスクプロファイルを反映しておらず、まさにそれが監査人が最初に気づく点なのです。
AML(マネーロンダリング対策)手順の監視、監査、および更新
貴社のポリシーの有効性は、その背後にある取引監視システムの質に左右されます。そのシステムが手動であろうと自動であろうと、不正な資金移動、異常に速い資金移動、あるいは顧客の通常の行動パターンにそぐわない活動などを検知できる必要があります。
疑わしい事態が発生した場合、タイミングが重要になります。銀行秘密法では、企業は通常、疑わしい取引報告書を提出するまでに30日間の猶予が与えられており、提出が遅れるとペナルティが課されます。また、提出後には書類を捨ててはいけません。身分証明書、取引記録、疑わしい取引報告書など、銀行秘密法とEUマネーロンダリング指令4(AMLD4)の両方に基づき、すべて5年間保管する必要があります。
取引内容だけでなく、ポリシー自体も見直す必要があります。規制は変化し、ビジネスモデルも変わり、新たな資金洗浄の手口も出現します。ほとんどのコンプライアンスチームは、少なくとも年に一度はAMLポリシーを見直し、規制やリスクエクスポージャーが大きく変化した場合は、随時更新を行っています。
国際的なAMLコンプライアンスに関する考慮事項
一つの国に留まっている限り、満たすべき規制枠組みは一つだけです。しかし、国境を越えると、政策は複数の枠組みに同時に適合する必要があり、しかもそれらの枠組みは互いに矛盾してはなりません。
コンプライアンスチームの実際の業務は、まずグローバルな基本方針を一つ作成し、次に管轄区域ごとにローカルな補足事項を追加するというものです。基本方針では、リスクベースのアプローチ、顧客デューデリジェンス(CDD)、制裁スクリーニングといった普遍的な事項を扱います。補足事項では、各国の報告様式、規制当局への連絡先、国ごとに異なる基準値などを扱います。
フィンテック企業や暗号資産関連企業は、創業1周年を迎える前に数十もの国・地域で顧客にサービスを提供しているため、このプレッシャーを最も強く感じています。ポリシーは、中央でレビューされ、各地域で適用される単一のグローバル文書として維持すべきです。そうすることで、最初からそのように設計するのではなく、後から地域ごとのポリシーを寄せ集めた場合に生じる抜け穴を回避できます。
これには書類手続き以上の問題が伴います。ある国の基準値以下では問題視されない取引でも、別の国では義務的な報告義務が生じる可能性があります。では、2つの基準値に食い違いが生じた場合、誰が判断を下すのでしょうか?通常、その判断はコンプライアンス担当者またはマネーロンダリング対策責任者(MLRO)という1人の担当者に委ねられます。この担当者は、基準値の相違点を実際に把握する必要があるのです。

暗号資産およびデジタル決済ビジネスにおけるAML(マネーロンダリング対策)コンプライアンス
暗号資産は、従来のフィンテックのほとんどよりも厳しいマネーロンダリング対策(AML)の監視下に置かれており、その理由は容易に理解できる。匿名ウォレット、数秒で国境を越える送金、銀行送金よりもはるかに速いブロックチェーン決済――これらすべてが、デジタル資産からマネーロンダリングやテロ資金供与を排除しようとする規制当局にとって、リスクを高めている。そして、その監視は、暗号資産決済を処理する者すべてに向けられる。
暗号資産に対応したAMLポリシーには、標準的な金融サービス向けテンプレートでは網羅されていないいくつかの要素が必要です。
- 資金を受け取る前に、ウォレットアドレスを既知の違法行為および制裁データベースと照合してスクリーニングします。
- オンチェーン取引監視により、直接の送信者だけでなく、複数のホップにわたる資金の流れを追跡します。
- ミキサー、高リスク取引所、またはブラックリストに登録されたアドレスが関与する取引に対する明確なエスカレーション経路
電子商取引を運営していて、仮想通貨決済を受け入れている場合、必要なインフラをすべて自社で構築するのはやりすぎです。もっと簡単な方法は、AML(マネーロンダリング対策)とKYC(顧客確認)対策が組み込まれた決済処理業者を利用することです。Plisioはウォレットと取引のスクリーニングをインフラの一部として提供しているため、加盟店はコンプライアンスの負担をすべて一人で負うことなく、仮想通貨決済を受け入れることができます。
そのギャップは、一見したよりも大きい。AML(マネーロンダリング対策)対策が全く施されていない決済処理システムの上に仮想通貨決済システムを構築する事業者は、そのリスクをひっそりと引き継ぐことになる。規制当局や銀行パートナーが不正資金へのエクスポージャーについて厳しい質問を始めるまで、誰もそれに気づかないのだ。スクリーニング機能を既に備えているインフラを選択すれば、質問される前に回答を用意できる。
最後に
強力なAMLポリシーは、一度作成して保管しておけば良い文書ではありません。規制やリスクの変化に応じて、監視、監査、定期的な更新が必要な、常に進化し続ける枠組みです。基本をしっかりと押さえ、明確なリスク評価、明確なデューデリジェンス手順、専任のコンプライアンス担当者を配置すれば、従来の銀行から暗号通貨決済プラットフォームまで、あらゆる企業がほとんどの規制当局の審査で優位に立つことができます。
AML(マネーロンダリング対策)コンプライアンスに苦戦する企業は、真に新たなリスクに直面している企業であることは稀です。むしろ、ポリシーを運用システムとしてではなく、単なる事務手続きとして捉えていた企業です。最初からしっかりとしたAMLポリシーと手順を構築し、真の責任体制と定期的な見直しを組み込む方が、違反が発生してから再構築するよりもはるかにコスト効率が良いのです。