2026におけるAMLコンプライアンス:コスト、期限、実際の罰則
43億ドル。これは、2023年11月にバイナンスが米国司法省、FinCEN、OFACと和解した金額であり、暗号資産のAMLコンプライアンス違反の最高額として今も残っている。しかし、これが最新の事例ではない。2025年2月、OKXは並行して起こされた司法省の訴訟で5億400万ドルを支払って和解した。同年11月、アイルランド中央銀行は、1,760億ユーロ相当の3,000万件の取引を監視しなかったとして、コインベース・ヨーロッパに2,146万ユーロの罰金を科した。2025年3月、ギャランテックスのサーバーが米国、ドイツ、フィンランドで押収された。パターンは明らかだ。暗号資産におけるAMLの執行はもはや断続的なものではなく、継続的で、管轄区域が関係し、費用がかかるものとなっている。
仮想資産ビジネスの運営者にとって、2026におけるAMLコンプライアンスは、年間7桁のコスト項目となります。3つのライセンストラック(EU MiCA、英国FCA、シンガポールDTSP)が、わずか12ヶ月の間にすべて適用されます。ステーブルコインは現在、オンチェーンにおける不正取引量の84%を占めています。金融犯罪の脅威プロファイルは、2024年以前に作成されたコンプライアンスプログラムが対応できる速度をはるかに超えて変化しています。これが、数値を添えた現状です。
AMLコンプライアンスの意味 2026
AML は、銀行や暗号資産企業が犯罪資金を自社の商品から排除するために使用する法的および運用上の枠組みです。これらの資金は、犯罪収益、脱税、詐欺、ランサムウェアの支払い、制裁回避など、さまざまな形態をとります。あらゆる AML プログラムの目標は、マネーロンダリングを防止し、既に実行中のマネーロンダリング計画と戦い、マネーロンダリングとテロ資金供与の流れが金融システムに混入するのを阻止することです。暗号資産の文脈では、この枠組みは 2019 年に FATF 勧告 16 によって拡張されました。米国では、銀行秘密法が暗号資産企業を含む資金サービス事業に適用されるようになりました。AML は 4 つの運用上の柱に基づいています。顧客識別プログラム (CIP)。主要な枠組みのデューデリジェンス要件を満たす強化されたデューデリジェンストリガーを備えた顧客デューデリジェンス (CDD)。関連する金融情報機関に疑わしい活動を報告する義務を伴う継続的な取引監視。制裁スクリーニング。顧客確認 (KYC) は識別コンポーネントにすぎません。より困難な作業は、オンボーディング後に行われます。顧客はスムーズな製品利用を期待している中で、疑わしい取引をリアルタイムで発見し、適切な機関に適切な期限内に適切な報告書を提出しなければならない。
仮想通貨ビジネスにとって、これはいくつかのことを意味します。顧客を知る必要があります。顧客がどのような資金を移動させているのかを知る必要があります。その資金がどこから来たのかを知る必要があります。そして、アドレス、名前、または取引相手が制裁リストに載っていないことを確認する必要があります。必要な労力は、リスクと管轄区域に応じて異なります。各国によってルールの調整方法が異なります。2026 の状況が興味深いのはまさにこの点です。
2026 執行スコアボード:誤った対応の代償
マネーロンダリング対策(AML)の不備は、2026において実際にどれほどのコストがかかるのか?2022年以降の執行の推移が、その実証的な答えとなる。それぞれの事例が先例となり、最近の事例は米国のみのパターンを大きく超えている。
| 日付 | 固い | 罰則 | 権限 | なぜ |
|---|---|---|---|---|
| 2022年10月 | ビットレックス | 2928万ドル | FinCEN + OFAC | 制裁対象管轄区域における取引件数11万6000件以上、総額2億6300万ドル |
| 2023年11月 | バイナンス | 43億ドル | 司法省 + 金融犯罪取締ネットワーク + 外国資産管理局 | 組織的なAML対策の失敗、FinCENによる5年間の監視、米国からの撤退 |
| 2025年3月 | ガランテックス | 降ろす | アメリカ+ドイツ+フィンランド | 2022年からOFACの制裁対象となっているが、営業を継続している。 |
| 2025年2月 | OKX | 5億430万ドル | 司法省 | 2018年から2024年にかけて50億ドル以上の不審取引、4億2000万ドルの没収と8400万ドルの罰金 |
| 2025年11月 | コインベース・ヨーロッパ | 2146万ユーロ | アイルランド中央銀行 | 12ヶ月間で3000万件の取引が監視されず(総額1760億ユーロ)、監視対象外となった。 |
| 2025年12月 | パックスフル | 350万ドル | FinCEN | 5億ドル以上の不審な資金の流れ、イラン、北朝鮮、ベネズエラへのエクスポージャー |
注目すべき2つのパターンがある。第一に、執行はもはや米国に集中していない。ユーロポールとアイルランド中央銀行は独自に行動しており、AMLAの権限が完全に発効するのを待っていない。第二に、Garantexの事例は、制裁だけでは法令違反の取引所を阻止できないことを示している。OFACは2022年4月にGarantexに制裁を科したが、この取引所は3年近く運営され、法執行機関がサーバーを物理的に押収するまで停止しなかった。
重大なAML違反のコストは、現在では停止命令、数十億ドル規模の罰金、刑事監視、そして市場からの強制退去にまで及ぶ。バイナンスの43億ドルという巨額の罰金は依然として大きな話題となっているが、OKXとコインベース・ヨーロッパの事例は、リスク管理を行う中規模CASPにとって、より適切なベンチマークとなるだろう。
ステーブルコインの転換とBybitハッキング事件
Chainalysisの2026 暗号資産犯罪レポートは、不正金融問題の枠組みを変えました。2025年の不正なオンチェーン取引総額は1,540億ドルに達しました。これは前年比162%の増加です。そのうち84%はステーブルコインによるもので、2024年の63%から増加しています。制裁対象団体がこの急増を牽引しました。制裁対象アドレスへの受取額は前年比694%増加しました。そのほぼ全ては、12ヶ月足らずで933億ドルを移動したロシアのルーブル裏付けステーブルコインA7A5によるものです。その多くはGrinex取引所を経由して流れました。
2025年の代表的な事例は、Bybitハッキング事件です。2月21日、TraderTraitorクラスターの下で活動する北朝鮮のラザルスグループは、侵害されたSafeWalletフロントエンドを介して、Bybitのコールドウォレットから15億ドル相当のイーサリアムを抜き取りました。5日以内に、約4億ドルが分散型取引所、クロスチェーンブリッジ、ビットコインへの換金などを通じて移動しました。回収された資金はゼロです。北朝鮮政府と関係のある組織は、2025年全体で20億ドル以上を盗み出し、これは彼らの暗号資産窃盗の歴史上最も成功した年となりました。
AMLチームにとって、次の2つの点が重要になります。まず、チェーン分析のみで取引相手をスクリーニングするだけではもはや不十分です。マネーロンダリングの経路では、盗難後数時間以内に、不変のスマートコントラクト、アトミックスワップ、ブリッジングが利用されるようになっています。次に、ステーブルコインの発行者が、チェーン上で最も強力なボトルネックとなっています。TetherやCircleによる適切なアドレスの凍結は、事後的な追跡よりもはるかに効果的です。
2026 コンプライアンスカレンダー:MiCA、英国FCA、MAS
欧米の主要4カ国・地域のうち3カ国・地域で、構造的なマネーロンダリング対策(AML)の期限が同時に到来する。しかも全て12ヶ月以内だ。これらの地域にまたがって事業を展開する暗号資産企業は、3つのライセンス取得計画を並行して立てる必要がある。
| 管轄 | フレームワーク | 締め切り | インパクト | しきい値 |
|---|---|---|---|---|
| 欧州連合 | MiCA + 資金移転規制 | 2026年7月1日 | 既存のCASPはすべて完全な認可が必要であり、ESMAは4月2026に延長は行わないことを確認した。 | ゼロ(CASP間通信) |
| 欧州連合 | AMLR + AMLA の監督 | 2027年7月10日 | AMLRはAMLD5/6に取って代わり、AMLAはリスクの高い40の事業体を直接監督する。 | EU全域で標準化 |
| イギリス | FCAによる完全な暗号資産認可 | 9月 2026 | 申請ウィンドウが開きます。既存のAML登録からの自動引き継ぎはありません。 | レジメンごと |
| シンガポール | MAS DTSPフレームワーク | 2025年6月30日(可決) | 海外勤務企業にはDTSPライセンスが必要。MASは「原則として発行しない」と表明。 | レジメンごと |
| グローバル | FATF勧告16 | 継続中 | 旅行規制:管轄区域の73%が法律を制定しているが、59%は施行していない。 | USD/EUR 1,000を基準値とする |
AMLAは、新たに設立された欧州マネーロンダリング対策機関です。フランクフルトに拠点を置き、2025年7月1日に正式に業務を開始しました。その権限は、マネーロンダリングとテロ資金供与対策の両方を網羅しています。AML/CFT規制遵守が単一のEU機関の管轄下に置かれるのはこれが初めてです。AMLAの最初の任務は、約60の断片化された各国のAML監督機関を単一の規則集の下に統合することです。リスクの高いEU加盟企業40社に対する直接監督は2028年に開始されます。2025年11月にアイルランド中央銀行がCoinbase Europeに科した2150万ユーロの罰金は、その兆候の一つです。各国当局はAMLAの権限が完全に確立されるのを待っていません。
トラベルルールのギャップは顕著です。FATFの2025年ターゲットアップデートによると、VASPを許可している117の管轄区域のうち73%が勧告16の法制化を可決しているものの、59%はまだ施行していません。EUの資金移転規則はFATFよりもさらに踏み込んでおり、CASP間送金にゼロのしきい値を課しています。つまり、規制対象事業体間のすべての送金には、完全な受取人情報を含める必要があるということです。
AMLコスト:ベンダー構成とコンプライアンス担当者の給与
これは、AMLコンプライアンスに関する教育コンテンツではほとんど取り上げられない部分です。社内プログラムを運用する中規模のCASPは、明確な項目が山積みになった状況に直面します。その金額は決して少なくありません。
| 成分 | ベンダーの例 | 年間バンド | 注記 |
|---|---|---|---|
| ブロックチェーン分析(KYT) | Chainalysis KYT + リアクター | 12万ユーロ~25万ユーロ | 多くの場合、最大の単一項目 |
| ウォレットスクリーニング | 楕円ナビゲーター | 8万ユーロ~18万ユーロ | Chainalysisの代わりとして使われることもある |
| 取引リスク | TRMラボ | 6万ユーロ~15万ユーロ | 主要3社の中で最も安い |
| 本人確認(KYC) | サムサブ、オンダート、トゥルリオ | 座席ベース | オンボーディング量に応じて拡張可能 |
| 旅行規則 | ノタベネ、サムサブ旅行規則、TRISA | サブスクリプション | VASPメッセージ量に応じた価格設定 |
| 制裁対象者スクリーニング | LSEG / LexisNexis World-Check | 座席ベース | OFAC SDN、EU、英国のリストは毎日更新されます |
本格的な中規模オペレーションに必要なツールだけでも年間30万ユーロから70万ユーロかかります。これは人件費を含まない金額です。次に人件費がかかります。米国を拠点とする仮想通貨コンプライアンス責任者の平均年収は159,792ドルです(ZipRecruiter、2025年)。最高コンプライアンス責任者の平均年収は20万ドルです。ロンドンのMLROの年収は13万ポンドから18万ポンドです(Morgan McKinley 2025年ガイド)。これにアシスタントコンプライアンス担当者を1人加えると、人件費は米国では40万ドル、英国では22万ポンドを超えます。規制対象のCASPにおける本格的なAMLプログラムは、総費用が100万ドルを下回ることはほとんどありません。これには、法律顧問、監査、インフラストラクチャが含まれます。
これらの数字こそが、仮想通貨決済事業に参入するすべての人にとって、自社開発か外部購入かという問題が今や中心的な課題となっている理由です。AML(マネーロンダリング対策)法とコンプライアンス体制の選択は、事業の存続可能性を左右する重要な要素となり得ます。
自社開発か外部委託か:AML(マネーロンダリング対策)を決済処理業者にアウトソーシングすべきタイミング
中小規模の仮想通貨販売業者は、マネーロンダリング対策責任者(MLRO)を配置したり、3つの分析ベンダーのライセンスを取得したりする必要はありません。決済処理業者が主要金融機関としてAML(マネーロンダリング対策)の義務を担います。販売業者はAPIを統合するだけで済みます。決済処理業者は、ライセンス取得、顧客確認(KYC)、スクリーニング、疑わしい取引報告書(SAR)の提出、トラベルルールへの対応といった業務を担います。Plisio、BitPay、CoinGateといったプロバイダーは、このように自社の強みを活かしています。AMLは付加機能ではなく、製品そのものなのです。
意思決定ツリーは比較的単純明快です。取引量の閾値を約5,000万ドルとしましょう。この閾値以下で、規制対象のVASP活動(保管、交換、送金)がない単一の管轄区域では、PSPルートがほぼ常に有利です。閾値を超えると、カスタマイズ性、データ管理、運用上の柔軟性において、社内運用が優位になります。コストはもはや回避不可能になります。
中規模事業者にとって、ハイブリッドモデルは現在主流となっている。規制対象のCASPは、トラベルルールルーティングなどのニッチなサービス1つか2つを第三者に委託する。重要なのは、どちらのモデルが安価かということではなく、どちらのモデルがライセンスリスクを適切な主体に負わせるかということである。
トルネードキャッシュ、スマートコントラクト、そしてOFACの境界線
コンプライアンスチームが理解しなければならない別のポリシー変更。2024年11月26日、米国第5巡回控訴裁判所はVan Loon事件において、変更不可能なスマートコントラクトは国際緊急経済権限法の下で「財産」ではないとの判決を下した。2025年3月21日、OFACはTornado Cashミキサーに対する制裁を正式に解除した。共同創設者Roman Stormの刑事訴追は継続中で、裁判は2025年7月14日に予定されている。
AMLチームにとって、これは実際には、拡大的というよりはむしろ正確であることを意味します。プロトコル自体は制裁対象ではなくなりますが、特定のウォレットアドレスはOFAC SDNリストに掲載され、今後も掲載され続けます(3月9日現在、12,000件以上のエントリ)。プロトコルとのやり取り自体は、制裁違反ではありません。制裁対象のアドレスへの送金や、制裁対象のアドレスからの資金の受け取りは、依然として制裁違反となります。スマートコントラクトのやり取りに関するポリシーは、プロトコルレベルではなくアドレスレベルで作成する必要があり、スクリーニングはOFAC SDNフィードおよび同等のEUおよび英国のリストに紐づけられます。英国はリストを統合しました。2026年1月28日現在、OFSI統合リストは閉鎖され、英国制裁リストが単一の情報源となっています。
暗号通貨旅行ルールの現実検証
金融活動作業部会(FATF)のトラベルルール勧告16では、VASPに対し、1,000米ドル/ユーロを超える送金について送金者と受取人の情報を送信することを義務付けている。FATFの2025年目標更新時点では、VASPを許可している管轄区域の73%が法制化していたが、そのうち59%は施行していなかった。EUはFATFよりもさらに踏み込み、資金移転規則に基づきCASP間送金のしきい値をゼロにしている。
運用面では、Notabene 2025 トラベルルール状況レポート(調査対象VASP 91社)によると、回答者の100%が2025年末までにトラベルルールを遵守することを約束しており、受取人情報が確認されるまで引き出しをブロックする企業は前年比431%増加している。インフラは成熟しており、Notabene、Sumsub Travel Rule、TRISA、Veriscopeが運用基盤となっている。残る課題は、競合するネットワークプロバイダー間の相互運用性であり、この断片化は今後2年間で統合される可能性が高い。
AMLプログラムが実際にやらなければならないこと 2026
マーケティング層を取り除いた暗号資産企業のAMLコンプライアンスプログラムには、9つの具体的な義務があります。文書化された権限を持つ指定されたMLROまたはAMLコンプライアンス責任者。高リスク顧客および政治的に重要な人物(PEP)に対するEDDトリガーを備えたリスクベースのCIPおよびCDDフレームワーク。OFAC SDN、EU統合制裁リスト、英国制裁リストに対する制裁スクリーニングと継続的な再スクリーニング。文書化されたルールとしきい値による取引の監視。定義された期限内に、関連するFIUへの疑わしい活動の報告(SARおよびCTRの提出)。しきい値を超える送金(EUではゼロ、世界中で1,000ドル)に対するトラベルルールの実装。プログラムの独立した年次テスト。文書化され日付が付けられた継続的なスタッフトレーニング。適用される保存期間(通常5年)の下での記録保持。
フレームワークは詳細では異なりますが、運用上の最低限の要件は、FinCEN、FCA、MAS、およびAMLA後のEUで共通です。マネーロンダリング対策規制とより広範な法律は、ほとんどの事業者が予想していたよりも早く収束しました。グローバルAMLルールは、国家フレームワークではなく、規制要件のレベルで相互参照されています。マネーロンダリング対策コンプライアンスプログラムは、規制当局間でこれまで以上に整合性が取れています。コンプライアンスの取り組みは、かつてはコルレス銀行と従来の金融サービスで止まっていましたが、今では規制対象のすべての暗号通貨チャネルに及んでいます。2022年から2025年の罰則事例は、2つの柱の失敗に集中しています。大規模な取引監視と、監視でフラグが立てられたものに関するSARの提出です。まずこの2つを構築してください。効果的なAMLコンプライアンスは、ほとんどが退屈な作業です。何百万もの取引と顧客すべてに対して、この2つを一貫して実行します。
