顧客リスク評価HMLの仕組みと金融機関の対応

顧客リスク評価HMLの仕組みと金融機関の対応

金融情報

顧客リスク評価HMLの仕組みと金融機関の実務対応

Low評価でも年3回、金融機関があなたの口座情報を一定頻度で見直しており、ある日突然取引制限がかかる可能性があります。


顧客リスク評価HMLとは?3つのポイント
📊
HMLとは3段階の格付け

High(高リスク)・Medium(中リスク)・Low(低リスク)の3段階で顧客を格付けし、マネロン対策の管理強度を変える仕組みです。

🏦
金融庁が2024年に改訂・強化

金融庁は令和6年4月にガイドラインを改訂。全顧客を対象に顧客リスク評価の実施と、リスクに応じた継続的顧客管理の完全実施が義務付けられました。

⚠️
更新頻度はリスク評価で決まる

Highは年1回、Mediumは2年に1回、Lowは3年に1回の顧客情報更新が必要。回答しなければ口座取引が一部制限される場合があります。


顧客リスク評価HMLとは何か:基本的な定義と背景

顧客リスク評価のHMLとは、High(高リスク)・Medium(中リスク)・Low(低リスク)の3段階で個々の顧客を格付けする、マネー・ローンダリング(マネロン)およびテロ資金供与対策(以下、AML/CFT)上の管理手法です。金融庁が2018年に公表した「マネー・ローンダリング及びテロ資金供与対策に関するガイドライン」を皮切りに、日本の銀行・証券・保険・資金移動業者など全ての金融機関等に対して導入が求められてきました。


この手法の根拠となるのが「リスクベース・アプローチ」という考え方です。リスクベース・アプローチとは、全顧客に一律の対応を行うのではなく、マネロン等のリスクが高い顧客・取引に対してより多くのリソースと管理強度を集中させ、低リスクの顧客には簡素な管理で対応するという国際標準の手法です。


つまりHMLです。


日本証券業協会の資料(2018年)でも「顧客口座ごとの個別のリスク評価は、少なくとも3段階評価(High、Medium、Low)を行うことが有用」と明示されており、この3分類が業界全体のデファクト・スタンダードとなっています。


国際的には、FATF(金融活動作業部会)が各国に対してリスクベース・アプローチの徹底を求めており、日本は2019年の第4次対日相互審査で不十分な点を指摘された経緯があります。その反省から対策が急ピッチで強化されてきました。


これが重要な背景です。


金融庁「マネー・ローンダリング及びテロ資金供与対策に関するガイドライン(2021年11月改訂版)」:HMLを含む顧客リスク評価の基準と対応が求められる事項が詳しく記載されています。


顧客リスク評価HMLの3段階:High・Medium・Lowの違い

HMLの各段階は、マネロン等リスクの高さによって顧客管理の「深度」と「頻度」が変わります。大手シンクタンクNTTデータ経営研究所の分析によれば、金融庁FAQでは顧客情報の更新頻度として「高リスク先は1年に1度、中リスク先は2年に1度、低リスク先は3年に1度」と明記されています。


これは単なる書類更新の話ではありません。リスク評価の段階に応じて、次のように管理措置の種類自体が変わります。


| リスク区分 | 顧客管理措置 | 情報更新頻度 |
|---|---|---|
| High(高リスク) | EDD(強化デュー・ディリジェンス) | 1年に1回 |
| Medium(中リスク) | CDD(通常のデュー・ディリジェンス) | 2年に1回 |
| Low(低リスク) | SDD(簡素なデュー・ディリジェンス) | 3年に1回 |


EDD(Enhanced Due Diligence:厳格な顧客管理)とは、High評価の顧客に対して資産状況や取引目的、資金の出所などを詳細に調査する措置です。外国PEPs(政府高官等)や特定高リスク国との取引関係者が典型例です。


一方、SDD(Simple Due Diligence:簡素な顧客管理)はLow評価の顧客に対して、積極的な情報更新を留保しつつ、取引モニタリングだけでリスクが低く維持されているかを確認する措置です。


Medium評価がCDDです。


重要なのは、一度Low評価になったとしても「永遠に安全」ではないことです。取引内容や生活状況の変化によって再評価が行われ、評価が上がることもあります。


顧客リスク評価HMLを決める4つの主要リスク要因

HMLの格付けは、金融機関が「リスク評価書」を策定する際に設定した評価ロジックに基づいて行われます。金融庁ガイドラインでは、リスクを特定すべき要素として主に4つの分野が示されています。


まず「商品・サービス」のリスクです。例えば、現金取引を多く伴う商品や、匿名性の高い送金手段はリスクが高く評価されます。


次に「取引形態」のリスクがあります。


非対面取引(オンラインのみ)は対面取引に比べて本人確認が困難なため、リスクが高く見られる傾向にあります。


3つ目は「国・地域」のリスクです。FATFが公表するハイリスク国・地域(ブラックリスト)として現在、北朝鮮・イラン・ミャンマーの3カ国が指定されており、これらの国との取引関係がある顧客は自動的にHigh寄りの評価になります。


4つ目が「顧客属性」のリスクです。外国PEPs(外国の政府要人・軍高官・司法関係者やその家族)、実質的支配者が不透明な法人、反社会的勢力との関係が疑われる顧客などが該当します。


これらを組み合わせて評価します。


例えば、非対面で口座を開設し、北朝鮮との取引実績がある法人で、実質的支配者が不明という顧客は、複数のハイリスク要因が重なるためHigh評価になる可能性が非常に高くなります。逆に国内在住の会社員で、対面で口座開設し、取引内容も給与受取と定期預金のみであれば、Low評価になることが多いでしょう。


警察庁「犯罪収益移転危険度調査書」:商品・サービス・取引形態・国地域・顧客属性ごとのリスクが詳細に分析されており、HML評価の判断材料として金融機関が参照する公式資料です。


顧客リスク評価HMLのスコアリング:システムによる自動化の実態

多くの金融機関では、HMLの格付けを人手で行うのではなく、システムによる「顧客リスクスコアリング」として自動化しています。これは、全顧客に対してリスク評価を実施するという義務を効率的に果たすために欠かせない仕組みです。


金融庁が2025年3月に公表した「マネロン等対策の有効性検証に関する事例集(令和7年3月版)」では、スコアリングの有効性検証として「顧客リスク評価区分(格付)ごとの疑わしい取引の届出率を算出し、顧客リスク評価の高さと疑わしい取引届出率の高さが比例関係にあるかどうか」を確認するプラクティスが例示されています。


これは使えそうです。


つまり、High評価の顧客から実際に疑わしい取引が多く届出されているかを検証し、スコアリングロジックが実態に即しているかを確認するわけです。単に格付けするだけでなく、その格付けが本当にリスクを反映しているかまで問われます。


野村総合研究所が提供するAML/CFTシステム「GPLEX」のように、顧客リスクスコアリングと取引モニタリングを一体化したパッケージシステムも存在します。こうしたシステムでは、顧客属性・取引履歴・制裁リスト照合などを複合的に処理し、リアルタイムに近い形でHML評価を更新します。


重要な点は、システムが評価した格付けについて、その「評価ロジックが適切に反映されているか」を内部監査などで定期的に確認する義務があることです。


自動化すれば終わりではありません。


金融庁「マネロン等対策の有効性検証に関する事例集(令和7年3月版)」:顧客リスクスコアリングの有効性検証の具体的プラクティスが豊富に掲載されています。HML格付けの精度検証方法を知りたい方に必読の資料です。


顧客リスク評価がHighになると何が起きるか:EDD(厳格な顧客管理)の実務

顧客リスク評価でHigh(高リスク)と判定された場合、金融機関はEDD(Enhanced Due Diligence)と呼ばれる厳格な顧客管理を実施します。


厳しいところですね。


具体的には、次のような追加調査が行われます。資産の状況(資産規模・負債の有無など)の確認、取引の目的と資金の出所の詳細な確認、実質的支配者(法人の場合)の本人特定、経営実態の確認などです。そして、1年に1回のサイクルでこれらの情報を更新する義務が生じます。


回答しなければ口座が制限されることもあります。


法的根拠は犯罪収益移転防止法第4条第2項に定める「厳格な取引時確認」です。外国PEPsとの取引、なりすましの疑いがある取引、特定国等に居住・所在する顧客との取引の3類型が、法律上のハイリスク取引として定められています。


一方で、High評価になったからといって必ずしも取引が拒否されるわけではありません。リスクに応じた厳格な管理を実施したうえで取引を継続するのがEDDの趣旨です。ただし、調査の結果として「リスクを受け入れられない」と金融機関が判断した場合は、口座の解約や取引謝絶に至るケースもあります。


なお、一般的に見落とされがちな点ですが、High評価の顧客への対応においても「形式上の確認をすれば良い」という発想では不十分です。金融庁が2025年以降の有効性検証で厳しく問うているのは、High評価の顧客から実際に疑わしい取引の届出が行われているかという「実効性」です。格付けが形骸化していないかが問われています。


顧客リスク評価がLowになると何が起きるか:SDD(簡素な顧客管理)の条件

Low評価になった顧客に適用されるSDD(Simple Due Diligence:簡素な顧客管理)は、情報更新頻度が3年に1回に軽減される措置です。


聞こえは良い話ですね。


しかし、SDDの適用には一定の条件があります。金融庁ガイドラインのFAQによれば、SDDとは「顧客リスク評価の結果、低リスクと判断された顧客のうち、一定の条件を満たした顧客について、顧客情報を更新するなどの積極的な対応を留保し、取引モニタリング等によってマネロン・テロ資金供与リスクが低く維持されていることを確認する措置」と定義されています。


つまり、SDD対象でも取引モニタリングは続きます。


「Low評価ならほぼチェックされない」という認識は誤りです。取引モニタリングシステムが稼働しており、異常なパターンを検知した時点で再評価が行われます。例えばLow評価の個人顧客が突然、海外への高額送金を繰り返したり、短期間で多数の取引先に大量送金するパターンが出れば、即座にフラグが立ち評価の見直しが始まります。


また、SDD対象から外れる条件として、取引モニタリングで異常が検出された場合のほかに、顧客情報(職業・居住地・取引目的など)の変化があった場合も含まれます。転職・転居・海外赴任などのライフイベントが、思わぬ再評価のきっかけになることは意外と知られていません。


継続的顧客管理(CDD)と顧客リスク評価HMLの関係

継続的顧客管理」とは、顧客リスク評価を口座開設時だけでなく取引関係が続く間ずっと行い続ける一連のプロセスを指します。HMLの格付けは、この継続的顧客管理の中核に位置します。


2024年春に金融庁が定めた期限をもって、全国の金融機関は継続的顧客管理の完全実施が義務付けられました。それ以前は「顧客類型ごとのリスク評価でも可」と読める余地がありましたが、改訂ガイドラインにおいて「全ての顧客についてリスク評価を実施する」と明記されました。


これは大きな転換点です。


対象顧客が数百万口座に及ぶ大手銀行では、このプロセスを人手でこなすことは現実的ではなく、顧客リスクスコアリングシステムの整備が急務となりました。地方銀行や信用金庫では、業界団体主導のコンソーシアムによるシステム共同化も進んでいます。


継続的顧客管理の実施サイクルは前述のHigh=1年、Medium=2年、Low=3年ですが、これとは別に「顧客のリスク評価に影響を及ぼすような事象が発生した場合」には随時見直しが必要です。例えば、疑わしい取引の届出を行った顧客については、その後の評価を見直すことが求められています。


金融機関が継続的顧客管理を怠った場合、金融庁のモニタリングで指摘を受けるリスクがあります。2028年8月に予定されているFATF第5次対日相互審査(オンサイト審査)に向けて、各金融機関はさらなる体制強化を求められています。


NTTデータ経営研究所「FATF審査結果を見据えたマネロン・テロ資金供与対策のポイント」:High=1年、Medium=2年、Low=3年の更新頻度ルールの背景と継続的顧客管理の全体像が分かりやすく解説されています。


顧客リスク評価HMLとリスクベース・アプローチの3ステップ

HMLによる顧客リスク評価は、リスクベース・アプローチという大きな枠組みの中の「リスクの評価」フェーズに位置します。リスクベース・アプローチは「リスクの特定→評価→低減」という3ステップで構成されます。


ステップ1:リスクの特定は、金融機関が自社の商品・サービス、取引形態、国・地域、顧客属性を洗い出し、どのようなマネロンリスクに直面しているかを把握するプロセスです。国家公安委員会が公表する「犯罪収益移転危険度調査書(NRA)」も参照しながら、自社固有のリスクを文書化した「リスク評価書」を策定します。


ステップ2:リスクの評価が、HMLによる顧客格付けに直接対応します。特定したリスクを定量・定性情報に基づいて評価し、優先すべきリスクを明確化します。この段階での判断が、その後の管理措置の強度を決定します。


ステップ3:リスクの低減では、評価結果に応じてEDD・CDD・SDDを使い分け、さらに取引モニタリング・取引フィルタリングを組み合わせてリスクを低減します。


この3ステップは一度実施すれば終わりではありません。外部環境(新しい犯罪手口、規制変更、制裁リスト更新など)や内部環境(新商品開発、組織変更など)に応じて継続的に見直すことが求められます。


つまりPDCAです。


リスクベース・アプローチが適切に機能しているかを検証する「有効性検証」も、2025年以降の金融庁モニタリングの重点テーマとなっています。


顧客リスク評価HMLとFATF審査:国際基準との関係

HMLによる顧客リスク評価は、FATFが定める国際基準(FATF勧告)に基づいています。FATFとは「Financial Action Task Force on Money Laundering」の略で、マネロン・テロ資金供与対策の国際ルールを策定する政府間機関です。


FATFは各加盟国に対して定期的な「相互審査」を実施し、制度整備と実施の有効性を評価します。日本は2019年の第4次対日相互審査で「一部履行」という厳しい評価を受け、とりわけ顧客リスク評価や継続的顧客管理の不備を指摘されました。この審査結果を受けて、2021年・2024年のガイドライン改訂につながっています。


次の第5次対日相互審査は2028年8月にオンサイト審査が予定されており、今度は「制度が整っているか」だけでなく「実際に有効に機能しているか」という有効性評価が中心となります。


HMLの格付けが実態のリスクを正確に反映しているか、High評価の顧客から実際に疑わしい取引が届出されているかといった「結果」が問われます。これが現在の金融機関に求められる「有効性検証」の本質です。


FATFのハイリスク国・地域の指定は定期的に更新されます。現在のブラックリスト(行動要請の対象)は北朝鮮・イラン・ミャンマーの3カ国、グレーリスト(強化モニタリング対象)は2025年3月時点でラオスが追加されるなど変動があり、金融機関はリストの更新を常にウォッチする必要があります。


PwC「FATF第4次対日相互審査結果と今後のAML/CFT対策」:第4次審査で日本が受けた評価と、HMLを含む顧客リスク評価強化の背景が詳しく解説されています。


顧客リスク評価HMLと疑わしい取引の届出制度の連携

顧客リスク評価HMLは、疑わしい取引の届出制度と密接に連動しています。疑わしい取引の届出とは、金融機関等が業務上取り扱う取引について、マネロン等に利用される疑いがあると判断した場合に、金融庁経由でJAFIC(警察庁犯罪収益移転防止対策室)に届出を行う制度です。


HMLの格付けと届出率の関係が、近年の有効性検証の焦点となっています。


金融庁が公表した有効性検証の事例集では、「顧客リスク評価区分ごとの疑わしい取引の届出率を算出し、High評価顧客ほど届出率が高くなっているかを検証する」というプラクティスが示されています。もしHigh評価の顧客と Low評価の顧客で届出率に差がない場合、そのスコアリングロジックは実態を反映していない可能性が高いと判断されます。


逆の視点から見ると重要な知識があります。疑わしい取引を届出した顧客については、その後に顧客リスク評価を見直すことが求められています。届出の事実がトリガーとなり、Low評価からMedium・Highへの格上げが行われる可能性があるわけです。


警察庁の「犯罪収益移転防止に関する年次報告書(令和6年)」によれば、近年の疑わしい取引の届出件数は増加傾向にあり、捜査機関等への情報提供としても有効に活用されています。HMLによる格付けが精緻化されるほど、届出の質と量が向上し、金融犯罪抑止の実効性が高まります。


顧客リスク評価HMLにおける外国PEPsとハイリスク国の扱い

顧客リスク評価において、法律上「自動的にハイリスク」とみなされるカテゴリがあります。


それが外国PEPsとハイリスク国です。


外国PEPs(Politically Exposed Persons)とは、外国の政府・立法・司法・軍の要職にある人物、およびその家族を指します。犯罪収益移転防止法施行令第12条において、外国PEPsとの特定取引は「厳格な取引時確認を行う必要性が特に高いと認められる取引」として明記されています。


なぜPEPsがハイリスクとされるのでしょうか?その社会的地位の高さから、マネローンダリングを行っても発覚しにくく、また名義が悪用されるリスクも高いためです。2025年に話題になったケースでは、大使館員の家族が口座開設を依頼した際に厳格な確認を求められたという事例も報告されています。


ハイリスク国については、FATFが公表するリストに加え、各金融機関が独自に「要注意国リスト」を設定することが推奨されています。例えば、腐敗度が高い国や紛争国との取引は、FATFのブラックリスト以外でもリスクが高く評価される場合があります。


これらのカテゴリに該当する顧客との取引では、EDDが必須です。具体的には、資産・収入の出所の確認、取引目的の詳細な確認、経営幹部・内部監査等への報告といった追加的な措置が求められます。


顧客リスク評価HMLの見直しタイミング:動的管理の重要性

顧客リスク評価は「一度付けたら終わり」ではなく、継続的に見直すことが求められる「動的な管理」です。


これが原則です。


見直しのタイミングは大きく2種類あります。1つは定期的な見直しで、High=1年、Medium=2年、Low=3年のサイクルで実施します。もう1つは事象発生型の随時見直しで、以下のような「評価に影響を及ぼす事象」が発生した場合に行われます。


疑わしい取引の届出を行った場合は即時見直しが必要です。顧客から職業・居住地・資産状況などの変更情報が報告された場合も対象となります。報道やデータベース等でネガティブ情報が確認された場合も該当します。取引モニタリングで異常パターンが検出された場合も同様です。


例えば、Long-term Low評価だった個人顧客が、突然「海外送金を週複数回、計300万円以上」するパターンを見せた場合、取引モニタリングシステムがアラートを発し、担当者による手動確認・顧客へのヒアリングが始まります。その結果によって評価がLowからMediumあるいはHighへ格上げされます。


逆も然りです。High評価だった顧客が長期にわたって疑わしい取引もなく、情報更新に協力的で取引実態も安定しているならば、継続的な評価の結果としてMediumへ格下げされるケースもあります。


格付けは固定ではありません。


金融庁ガイドラインでは「リスクの変動に応じた機動的な対応」を求めており、年1回の定期見直しだけに頼るのではなく、取引モニタリングと組み合わせた日常的なウォッチが欠かせません。


顧客リスク評価HMLの独自視点:金融機関間で格付けが異なる可能性

あまり語られない視点ですが、同一の顧客であっても、利用する金融機関によってHMLの格付けが異なる可能性があります。


これは見落とされがちな事実です。


その理由は、各金融機関が独自のリスク評価書とスコアリングロジックを策定しているためです。金融庁ガイドラインは「対応が求められる事項」の大枠を定めていますが、評価ロジックの詳細は各機関の判断に委ねられています。


例えば、A銀行では「海外への一定額以上の送金歴がある」だけではMediumにならないが、B証券では同条件でMediumになるということが起こり得ます。また、自社の取扱商品・顧客層・営業地域によって、同じ顧客属性でもリスクの重み付けが異なります。


これは金融機関を利用する側にとって何を意味するのでしょうか?


複数の金融機関を利用している場合、一方ではLow評価でスムーズに取引できていても、別の金融機関ではMediumまたはHighと判断されて追加書類の提出を求められることがあり得ます。「なぜ別の銀行では言われないのに、ここだけこんなに書類が多いんだ」と感じた経験がある方は、この評価ロジックの違いが一因かもしれません。


また、金融機関間の情報共有は原則として行われないため、A銀行でHighと格付けられた顧客の情報がそのままB銀行に伝わることはありません。ただし疑わしい取引の届出情報はJAFICを経由して捜査機関に共有されます。


この非対称性が、マネロン対策の「抜け穴」になりうるという指摘もあります。業界団体レベルでの情報共有ノウハウの検討が継続的に行われている背景の一つです。


金融機関から書類提出を求められたときの対応:顧客視点での注意点

「お客様情報の確認にご協力ください」という通知を金融機関から受け取ったことがある方も増えています。これは継続的顧客管理の一環として、HMLに基づく情報更新の連絡である場合がほとんどです。


このような依頼を無視すると、口座取引が一部制限される可能性があります。PayPay銀行をはじめ複数のネット銀行では、「ご回答いただけない場合、口座取引を一部制限させていただく可能性があります」と明示しています。


口座制限は困りますね。


具体的にどのような情報を求められるのでしょうか。個人の場合は「職業・勤務先の変更」「取引目的」「資産・収入の状況」などが主な確認事項です。法人の場合は「実質的支配者(議決権25%超の主など)の本人確認情報」「事業内容・営業実態」「取引の目的」などが求められます。


対応する際の注意点として、虚偽の申告は絶対に避けてください。犯罪収益移転防止法上、虚偽申告は法的リスクを生じさせる可能性があります。また、正直に申告した結果として確認が増えたとしても、それはリスク管理の観点から適切に対応しているだけであり、顧客としての権利が侵害されるわけではありません。


迅速に回答することも重要です。対応が遅れるほど金融機関側でのリスク評価が上がる可能性があります。


なお、継続的顧客管理対応の利便性向上のために、SMS・アプリ・オンラインフォームなどデジタル手段を活用した情報収集を進める金融機関も増えています。通知が届いた際はまず公式サイトや公式アプリから確認し、不審なリンクには絶対にアクセスしないようにしましょう。


フィッシング詐欺との見分けが重要です。


顧客リスク評価HMLに関する最新動向:2024〜2025年の変化

2024年から2025年にかけて、顧客リスク評価HMLを取り巻く環境は大きく動いています。


金融庁は2024年4月にガイドラインを改訂し、継続的顧客管理の完全実施を金融機関に求めました。これにより全顧客へのHML格付けが事実上の義務となりました。


2025年3月には「マネロン等対策の有効性検証に関する対話のための論点・プラクティスの整理」が公表されました。これは格付けの「精度」を問う新たな基準です。HML格付けを形式的に運用するだけでなく、High評価顧客の疑わしい取引届出率が本当に高いか、スコアリングロジックが実態に合っているか、といった実効性評価がより重視されるようになっています。


2028年のFATF第5次対日審査に向けた動きも活発です。


また、2025年には経済安全保障と金融犯罪対策の交差という新たな課題も浮上しています。KPMGの分析によれば、制裁対象者リストの複雑化・経済安保上の懸念国との取引管理など、従来のAML/CFTの枠組みにとどまらない対応が求められるようになっています。


AI・機械学習を活用した次世代のスコアリングシステムも注目されています。従来のルールベース(特定の属性に点数を付けて合算する方式)から、取引パターン全体を機械学習で分析する方式への移行が大手金融機関を中心に進んでいます。こうしたシステムでは、人間には見えにくい複雑な取引パターンのリスクも検出できるとされています。


金融庁「マネー・ローンダリング等及び金融犯罪対策の取組と課題(2025年6月)」:2024事務年度の最新の金融庁取組状況と、2028年FATF審査に向けた方向性が示されています。