リスクベース・アプローチ(AML)の基本と顧客管理・実務の全体像

リスクベース・アプローチ(AML)の基本と顧客管理・実務の全体像

金融情報

リスクベース・アプローチ(AML)で押さえるべき基本と実務の全体像

「コンプライアンス部門は自社の商品・サービス全体を把握しきれていない可能性が高い、と金融庁が公式に認めている。」


🔍 この記事の3ポイント要約
📋
リスクベース・アプローチは「3段階」で動く

「リスクの特定 → 評価 → 低減」というPDCAサイクルが基本。全体を一律に管理するのではなく、リスクの高低に応じてリソースを配分するのがポイントです。

👤
顧客管理はCDD・EDD・SDDの3層構造

リスクの高い顧客には厳格なEDD、低い顧客には簡素なSDDと使い分けます。外国PEPs(政府要人)との取引は必ずEDD対象です。

⚠️
AML対応は金融機関だけの話ではない

宅建業者・宝石貴金属商・弁護士・会計士なども犯収法の対象です。「金融機関だから関係ない」では済まない範囲に広がっています。


リスクベース・アプローチ(AML)とは何か:ルールベースとの違い

リスクベース・アプローチ(RBA)とは、金融機関等が自らのマネー・ローンダリング(マネロン)およびテロ資金供与リスクを特定・評価し、そのリスクに見合った対策を講じることで、実効的なリスク管理を行う手法です。金融庁が2018年に公表した「マネー・ローンダリング及びテロ資金供与対策に関するガイドライン」でも、この考え方が明確に打ち出されています。


対になる概念が「ルールベース・アプローチ」です。ルールベースは「すべての顧客・取引に対して同一の手続きを網羅的に適用する」という発想ですが、この方法では低リスクの取引にも多大な人的・システム的コストがかかる一方、本当に高リスクな取引への対応が手薄になりがちです。リスクベースは逆に、「リスクの大きさに応じて優先順位をつけ、限られたリソースを最大限に活かす」という発想です。これがポイントです。


たとえば、支店窓口で毎月少額の定期積立を続けている一般の個人顧客と、複数の海外口座を使いながら頻繁に多額の外為送金を行う法人顧客では、明らかにリスクの質と量が異なります。両者を同じ手順で一律に管理するよりも、後者に人員・システムを重点的に配置する方が、マネロン・テロ資金供与リスクの実効的な低減に直結するのは明白です。


国際的には、マネロン対策の国際基準を策定・監視するFATF(Financial Action Task Force:金融活動作業部会)が、リスクベース・アプローチを「ミニマム・スタンダード(最低基準)」として位置づけています。日本では2021年9月に公表されたFATF第4次対日相互審査で、リスク評価や継続的顧客管理の有効性に関して複数の指摘を受けました。これを受けて金融庁は、2024年3月末を期限として基礎的な態勢整備の完了を各金融機関に求める形で、対応の速度を大きく引き上げています。


RBAは「やれば終わり」のプロジェクトではありません。環境変化に応じてリスク評価を更新し、低減策の有効性を検証し続けるPDCAサイクルが本質であることを最初に理解しておく必要があります。



金融庁のガイドライン(AML/CFT全文)については公式資料が参考になります。


金融庁「マネー・ローンダリング及びテロ資金供与対策に関するガイドライン(令和3年11月改訂版)」(PDF)


リスクベース・アプローチ(AML)の3段階:特定・評価・低減のプロセス

リスクベース・アプローチは大きく3つのステップで構成されます。それぞれを順番に実施することが、実効的な対応への道筋となります。


まず第1ステップは「リスクの特定」です。自社が提供している商品・サービス、取引形態、関係する国・地域、顧客の属性という4つの要素を軸に、直面しているマネロン・テロ資金供与リスクを包括的かつ具体的に洗い出します。ここで重要なのは、コンプライアンス部門だけで完結しようとしないことです。金融庁の担当者も公言しているとおり、コンプライアンス部門が自社の全商品・サービスを把握しきれていないケースが実際に起きています。各業務部門と連携し、現場レベルまで含めた全体像を把握することが第一歩です。国家公安委員会が毎年公表する「犯罪収益移転危険度調査書(NRA)」も、外部リスク情報として参照が求められています。


第2ステップは「リスクの評価」です。特定したリスクが自社にどの程度の影響をもたらすかを、定量・定性の両面から評価します。スコアリングでも定性的な分析でも構いませんが、結果は必ず文書化し、経営陣が関与した形で最終評価を確定させることが求められます。実務上の落とし穴として、「リスク項目を多く設定しすぎてスコアに差が出なくなる」ケースがあります。当初は項目を絞ってリスクが浮き彫りになるよう設計し、精度を段階的に高めていく方が現実的です。


第3ステップが「リスクの低減」です。評価結果に基づいて、顧客ごとあるいは取引ごとに適切な低減措置を選択します。リスクが高い顧客・取引には厳格な管理を、低い顧客・取引には簡素な管理をそれぞれ実施することで、リソースを効率的に配分します。低減措置の有効性は少なくとも年1回の見直しが必要で、「疑わしい取引の届出」件数の増減、新たな事件・詐欺手法の動向なども確認の判断材料となります。


リスクの特定・評価・低減が原則です。この順序を崩してしまうと、実態にそぐわない対策だけが積み上がるリスクがあります。



野村総合研究所と金融庁担当者によるRBAの実践的な解説記事が参考になります。


野村総合研究所「リスクベース・アプローチに基づくAML/CFT」(金融庁マネーローンダリング対策企画室長インタビュー)


リスクベース・アプローチ(AML)における顧客管理:CDD・EDD・SDDの使い分け

リスクの低減措置の中核をなすのが、顧客管理(Customer Due Diligence:CDD)です。口座開設や取引開始時だけでなく、取引関係が続く間も継続的に顧客のリスクを評価し直す「継続的顧客管理」が求められる点が、単なる「本人確認」との大きな違いです。


顧客管理には、リスクの高低に応じた3つの水準があります。


まず「EDD(Enhanced Due Diligence:厳格な顧客管理)」は、高リスクと判断された顧客に適用します。追加的な情報収集、経営陣への承認フロー、モニタリング強化などがセットになります。外国PEPs(Politically Exposed Persons:外国の政府高官・要人とその家族)との取引は、犯収法上「特に厳格な顧客管理を要するハイリスク取引」として明確に位置づけられており、EDD適用が義務となっています。また、なりすましの疑いがある取引や、特定国等(制裁対象国・地域等)に居住・所在する顧客との取引も同様です。


次に「CDD(Customer Due Diligence:標準的な顧客管理)」は、通常リスク水準の顧客に適用する基本的な管理です。氏名・住所・生年月日・職業などの基本属性を収集・確認し、取引の実態を把握します。


そして「SDD(Simplified Due Diligence:簡素な顧客管理)」は、リスクが低いと判断された顧客への簡略化された管理です。これは「管理を省略してよい」という意味ではありません。「リスク評価を経た上で、相応の管理を行っている」という実質的な根拠があることが条件です。


注意が必要なのは、口座開設時点では問題のなかった顧客が、その後に高リスクに変化するケースが実際に起きることです。取引パターンの急変や、外部情報(制裁リストの更新など)によってリスク評価が変わった場合には、速やかに管理水準を見直す仕組みが必要です。継続的に見直すことが条件です。
























管理水準 対象顧客 主な措置の例
EDD(厳格) 外国PEPs、制裁対象国関連、なりすまし疑い など 追加情報収集・経営陣承認・モニタリング強化
CDD(標準) 通常リスク水準の顧客 基本属性確認・取引実態把握・定期的見直し
SDD(簡素) 低リスクと判断された顧客 確認・管理の簡略化(リスク評価の根拠が必要)



CDDとEDDの違いや、犯収法上の位置づけについて詳しい解説が参考になります。


弁護士法人中央総合法律事務所「マネロン・テロ資金供与対策における実効的なリスク低減のために」(CDD/EDD/SDDの詳細解説)(PDF)


リスクベース・アプローチ(AML)の実務:取引モニタリング・フィルタリングの仕組み

顧客管理(CDD)と並んでリスク低減の両輪となるのが、「取引モニタリング」と「取引フィルタリング」です。


取引モニタリングとは、日々の取引データを過去のパターンと比較・分析し、異常な動きを検知して「疑わしい取引の届出」につなげる手法です。大量の取引の中からリスクの高いものを選別するには、ITシステムの活用が不可欠であり、金融機関の規模を問わずデータベースの整備が求められています。ただし、システムを導入すれば完了ではありません。「どのようなシナリオを設定すれば自社のリスクに即した検知ができるか」を定期的に検証し、シナリオや閾値を継続的に改善することが義務の核心です。


取引フィルタリングとは、制裁リスト(国際的な制裁対象者・組織のリスト)と照合することで、制裁対象取引を事前にブロックする仕組みです。制裁リストは頻繁に更新されるため、リストの鮮度管理が実務上の重要課題となります。


2022年に捜査機関等へ提供された疑わしい取引の届出件数は約58万1,252件(前年比約5万6,790件増)と過去最多を更新しており、モニタリング体制の充実が届出の質・量双方に影響することが数字から見えます。意外ですね。


リスクベース・アプローチの文脈では、モニタリングのシナリオ設定は「一律のルール」ではなく、自社のリスク評価結果に基づいて設計することが求められます。つまり、他社と同じシステムを導入しても、シナリオ設定が自社の実態に合っていなければ、有効なモニタリングにはなりません。


また、モニタリングで「疑わしい」と判定されたケースのうち、どれを届け出るかを判断するのは最終的に人です。ITシステムはアラートを上げるまでであり、そのアラートを精査して届出要否を判断するプロセスには専門的な知識を持つ担当者が必要です。システムと人材の両方が必要です。


誤検知(実際には問題ない取引なのにアラートが上がること)の比率は、内部監査や外部監査の視点から独立した形で定期的に検証する仕組みが理想的とされています。その観点から、第三者によるITシステムの有効性検証サービスの需要が近年高まっています。


リスクベース・アプローチ(AML)の独自視点:「対応済み」と思い込んでいる金融機関が抱えるPDCA不全のリスク

ここまで読んで「うちはKYCも顧客リスク評価もシステム導入済みだから大丈夫」と感じた方にこそ、読んでほしい視点があります。


リスクベース・アプローチの最大の誤解は、「態勢を整えれば完了する」という認識です。金融庁ガイドラインが繰り返し強調しているのは、「PDCAサイクルを継続的に回す」という点であり、一度構築した仕組みが永久に有効であるとは想定されていません。


具体的な問題として現れやすいのは以下のパターンです。



  • ✅ リスク項目を多く設定しすぎて顧客スコアに差が出ず、高リスク顧客が埋もれてしまっている


  • ✅ 取引モニタリングのシナリオを導入当初から更新しておらず、新しい不正手口に対応できていない


  • ✅ 顧客属性データが最新化されておらず、口座開設後に状況が変わった顧客のリスク評価が古いままになっている


  • ✅ コンプライアンス部門が商品・サービス部門と連携できておらず、新商品に潜むリスクが特定されていない


これらは「やっていない」ではなく「やっているつもり」の組織に多いパターンです。厳しいところですね。


2021年のFATF第4次対日審査では、法令整備の面では一定の評価を受けた一方で、対策の「有効性」については複数の不備が指摘されました。有効性の評価とは「態勢があるか」ではなく「実際にリスクが低減されているか」を問うものです。金融庁が2024年3月末を期限とした対応要求を出した背景には、この有効性ギャップがあります。


また、AML対応は銀行・証券・保険といった典型的な金融機関だけの話でもありません。犯罪収益移転防止法(犯収法)の特定事業者には、ファイナンスリース事業者、クレジットカード事業者、宅地建物取引業者(宅建業者)、宝石・貴金属等取扱事業者、さらに弁護士・公認会計士・税理士といった職業専門家も含まれます。宅建業や貴金属商などでもリスクベース・アプローチが明示的に求められており、経済産業省や国土交通省もそれぞれのガイドラインを公表しています。これは使えそうです。


金融に携わる立場として今すぐ確認できる実践的なアクションとして、自社の「リスク評価書」が最終更新からどれくらい経過しているかをチェックしてみることをおすすめします。ガイドラインは定期的な見直しを義務づけており、「マネロン等対策に重大な影響を及ぼす事象」が発生した際にも即時見直しが求められています。リスク評価書の更新日が1年以上前なら、今すぐ着手する理由になります。


FATF第4次対日審査の詳細と、日本の金融機関に求められた具体的な対応については次の資料が参考になります。


KPMG「FATF第4次対日相互審査の最新フォローアップ状況」(リスクベース監督の進捗と残課題)(PDF)


宅建業者向けのマネロン対策ガイドラインについては下記が参考になります。


国土交通省「宅地建物取引業におけるマネー・ローンダリング及びテロ資金供与対策ガイドライン」