FCRM(金融犯罪リスク管理)とは？

FCRM(金融犯罪リスク管理：Financial Crime Risk Management)とは、不審なアクティビティの調査と分析、脆弱性の根絶、組織の被害リスクを低減するための対策実施など、金融犯罪にプロアクティブに対応するためのプラクティスを指します。

世界中のあらゆる業界の組織にとって、効果的なFCRM戦略がかつてないほど重要になっています。ほぼすべての組織がオンラインでビジネスを行っているため、攻撃対象領域が広がり、サイバー脅威やサイバー犯罪の標的になりやすくなっています。攻撃者は、重要な財務データにアクセスし、その痕跡を消すために、よりステルス性が高く高度なアプローチを取り入れています。

Kroll社が実施した経済犯罪および詐欺に関するグローバル調査(2023年)によると、調査に参加した役員のうち60%が今後12か月で世界的な金融犯罪が増加すると見込んでいます。こうした状況で各組織は、社内外の脅威からデータを保護し、規制法を遵守することを義務付けられています。組織が金融犯罪を特定して対処するために必要な措置を講じない場合、数百万ドルから数十億ドル規模の厳しい罰金を科される可能性があります。

この記事では次の内容を取り上げます。

• 金融犯罪の種類とそのコスト
• AMLとコンプライアンスの役割
• 金融リスク評価を実施する方法
• FCRMソリューションを使用した金融犯罪対策

また、金融犯罪の被害に遭うリスクを軽減するための保護対策を確立する方法についても紹介します。

金融犯罪の種類

金融犯罪とは、簡単に言えば、自身の利益のために他の人や組織から金銭や財産を違法に奪う行為を指します。

重大な金融犯罪としては、以下のものがあります。

• マネーロンダリング
• テロ資金供与
• 詐欺
• 賄賂
• 汚職
• 市場濫用
• インサイダー取引
• 脱税
• 横領
• 贋造
• なりすまし
• 電子犯罪

これらの犯罪は、外部の攻撃者によって行われることもあれば、内部の従業員(幹部レベルを含む)によって行われることもあります。

金融犯罪には、比較的軽微な犯罪行為も多く含まれます。上記の重大な犯罪に比べればコストや法的な影響は小さいかもしれませんが、以下の行為も金融犯罪に該当します。

• 個人購入：従業員が組織の資金を使って業務とは無関係の商品を購入することです。
• 窃盗：従業員がレジや金庫から現金を盗んだり、組織の備品を持ち出して換金したりすることです。
• スキミング：従業員が取引の売上を少しだけ横領することです。通常は、見つからない程度の少額を抜き取りますが、積み重ねれば多額になります。これは、現金主体の小売業で発生しやすい犯罪です。
• 給与計算不正：給与計算の担当者が、未承認の小切手や賞与を支給したり、勤務時間を不正に上乗せしたりする行為も該当します。
• 不正請求：従業員が組織に偽の請求書を提出し、その従業員または共犯者が支払を受け取ることです。
• 文書偽造：従業員が他人の署名を使って文書に署名したり文書を複製したりすることです。タイムカード、経費報告書、契約書、さらには小切手などが偽造対象になります。

金融犯罪の加害者も、単独の窃盗犯から影響力の大きい世界的な犯罪組織までさまざまです。

• 組織的犯罪グループ：大規模な犯罪者集団で、大きな影響力を持つ危険人物が参加することもあります。
• 単独犯：組織とは無関係のハッカーもいれば、顧客、サプライヤー、請負業者のようにビジネスについてある程度の知識を持つ人物もいます。
• ビジネスリーダー：横領や組織の業績の不正報告(財務データを操作して利益を実際より大きく見せるなど)を行う経営幹部や取締役が該当します。
• 従業員：何らかの方法で組織の資金を盗み、その痕跡を消すための措置を講じる犯罪(スキミングなど)を犯すのが一般的です。外部の犯罪者が従業員をそそのかして犯罪の実行をサポートすることもよくあります。従業員が共犯になるケースや、知らないうちに犯罪の片棒を担がされる場合もあります。たとえば、CEOや幹部になりすました犯人が、機密情報を盗み出すなどです(フィッシング)。

金融犯罪のコンプライアンスコストの傾向

金融犯罪コンプライアンスは、組織が、所属する業界と組織自体に適用される内外の基準、ポリシー、規制に厳格に準拠するためのプロセスです。

1990年に米国財務省は、FinCEN (金融犯罪取締ネットワーク部局)を創設し、以下に挙げる金融犯罪コンプライアンスの枠組みを定めました。

• 銀行秘密法(BSA)：「通貨および外国取引報告法」とも呼ばれ、金融機関に対して、マネーロンダリングや詐欺の疑いがある取引について米国政府への協力を義務付けています。
• 米国愛国者法：国際的なマネーロンダリングやテロ資金供与を防止、発見、起訴するための対策を定めています。
• 顧客確認(KYC)：愛国者法の一部で、組織に対して、顧客の身元を確認し、顧客の行動の性質を理解することを求めています。

金融犯罪は組織の収益に重大な影響を及ぼしますが、コンプライアンスの維持にもコストがかかる場合があります。LexisNexis社が行った調査によると、金融犯罪のコンプライアンスにかかる全世界のコストは、2020年は2,139億ドルだったのに対し、2022年には2,740億ドルに達しています。わずか数年で全世界のコストが28%も膨れ上がっているのです。

(LexisNexis社の2022年グローバル調査のまとめ)

金融犯罪の増加を踏まえると、コストはさらに上がると見てよいでしょう。

マネーロンダリング防止(AML)コンプライアンスの課題とベストプラクティス

テクノロジーの目まぐるしい変化、金融犯罪の増加、規制の拡大といった状況の中、コンプライアンスの維持には困難がつきまといがちです。その一例として、最近の傾向によりマネーロンダリング防止(AML)コンプライアンスがさらに一層難しくなっています。

国連の試算によると、マネーロンダリングされる金額は世界のGDPの2～5%を占めており、これは現在の米ドルで2兆ドルに相当します。こうした背景から、組織は厳格なマネーロンダリング防止(AML)コンプライアンスに準拠する必要があり、違反すると重い罰則が科せられる可能性があります。

ただし、以下に挙げるような理由から、AMLコンプライアンスの達成はますます困難になっています。

• 商品やサービスのオンライン化：オンラインでの事前資格審査やモバイル決済など、消費者にとって使いやすいサービスは、現金取引よりも監視が難しくなります。
• コンプライアンスの優先順位の低下：競合他社よりも価格を抑えた魅力的な取引を提供するために、コンプライアンス対応のリソースを削減する金融機関が増えています。
• コンプライアンス維持の難しさ：扱う顧客データと取引データの量があまりに多いため、コンプライアンスに準拠してデータを管理するのが難しく、不審なアクティビティを調査する際、解析に利用できるデータが少なくなりがちです。

AMLコンプライアンスを達成するためには、以下のことが必要です。

• マネーロンダリングの防止に重点を置いた内部ポリシーと手順を確立する
• AML調査員を任命し、AMLソフトウェアを導入して調査員がデータをすばやく効率的に処理できるようにサポートする
• 従業員研修を継続的に実施し、マネーロンダリングについての理解を深め、不審な点を発見したときの対処方法を周知する
• 記録と報告を徹底するための体制を維持する

金融犯罪のリスクを評価する方法

金融犯罪リスク評価は、金融犯罪に対する組織の脆弱性を分析する体系的かつ段階的なプロセスです。金融犯罪リスク評価は、以下の手順で進めます。

リスクを特定する：組織の複雑さ、現在参入している市場、提供しているサービスと製品、オンラインビジネスの量に基づいてリスクを洗い出し、文書化します。また、組織内で過去に起きたインシデントや、市場での以下の金融犯罪の増加状況を調べて、各犯罪のリスクレベルを見積もります。

• マネーロンダリング
• テロ資金供与
• 詐欺
• 賄賂と汚職
• 市場濫用とインサイダー取引
• 脱税
• 横領
• 文書偽造
• 贋造
• なりすまし
• 電子犯罪
• 個人購入
• 窃盗
• スキミング
• 給与計算不正
• 不正請求

リスクを文書化したら、組織にとっての脅威の度合いに基づいてリスクに優先順位を付けます。

リスクを緩和するための保護対策を確立する：組織内で特に脆弱な領域を特定したら、内外の金融犯罪を防止するためのセキュリティコントロールとシステムを計画します。以下のコントロールについて検討します。

• コンプライアンス確保に関する任務の担当者を決める(セキュリティチームの各メンバーに業務を割り当てる、AMLアナリストを新たに雇用するなど)
• 組織レベルのポリシーと手順を策定する
• CDD(顧客デューデリジェンス)とEDD(エンハンスドデューデリジェンス)を実施して、リスク評価に必要なすべての顧客情報を確実に取得できるようにする
• データとコンテキストの両方を提供する効果的な管理情報(MI)レポートを作成する
• IT担当者だけでなく組織内の全従業員に適切な研修を実施して、金融犯罪を発見および報告する方法を周知する

コントロールをレビューして改善する：監査を定期的に実施して、現在のコントロールが新たなリスクに対応していることを確認します。市場や全体の環境の変化に応じて、新たな問題に対処してコンプライアンスを確保するための新しい手順とポリシーを作成する必要があります。

監視を行ってレポートを作成する：コントロールの効果を監視して、不審なアクティビティと、問題を解決するために実行した手順を文書化することが欠かせません。さまざまなコンプライアンス規制で適切なレポートの作成が求められるため、必要な情報をすぐに利用できるようにしておくことが重要です。

FCRMシステムとは

FCRMツールは、潜在的な脆弱性のプロアクティブな検出、アクティビティの継続的な調査、継続的なリスク評価、不審なアクティビティの管理と対応に役立ちます。主に以下のメリットがあります。

• 脅威をリアルタイムで検出する：トランザクションが大量であっても、不審なアクティビティを即座に検出し、セキュリティ担当者にアラートを送信して、次に実行すべきアクションの判断をサポートします。
• ユーザーの異常な行動を検出する：一部のFCRMツールでは、高度な行動分析や機械学習によって、ユーザー、デバイス、アプリケーションに関する不正な挙動や異常な行動を検知できます。
• 調査の効率と結果を向上させる：優れたFCRMソリューションでは、リアルタイムや過去の大量のマシンデータをすばやく検索して金融犯罪を発見できます。
• 過剰なアラートを削減する：カスタムルールや自動化ルーチンを作成して、アラートの繰り返しや誤検知を減らすことができます。
• 不正行為/AML関連の規制に準拠する：非構造化データを構造化して、規制に適切に準拠できるようにサポートします。
• 分析とレポートを提供する：金融犯罪リスクを簡単に分析、測定、管理し、重要な情報を組織内の関係者と共有できます。

FCRMソリューションを使用した金融犯罪対策

FCRMシステムは2つの面から金融犯罪対策をサポートします。まずは、多くのノイズを排除して、アナリストが金融犯罪防止のための戦略実行とコンプライアンス確保に集中できるようにします。また、可視性を向上させ、インサイトを提供し、不審な行動を検出したときはアナリストにアラートを送信します。

一般的な犯罪への対処におけるFCRMテクノロジーのメリットは以下のとおりです。

• 電子決済詐欺：FCRMソリューションを使用すれば、ACHや電信送金(FedwireやSWIFT)トランザクションでの資金盗難の試みをより簡単に検知、調査し、対応できます。調査によると、FCRMソリューションは効果を発揮しています。決済詐欺による攻撃やその試みの影響を受けている組織の割合は2019年をピークに、その後徐々に減少しています。
• 詐欺：顧客やアカウントに関するデータをすべてのチャネルから継続的に集約して行動プロファイルを作成し、異常な行動パターンや、詐欺に関する主要なリスク指標を自動的に調査します。
• 電子犯罪：特定の挙動について、アナリストが調査できるようにフラグを立てるカスタムルールやカスタムアラートを設定できます。
• マネーロンダリング：AML機能を備えたFCRMツールを使用すると、履歴データを取り込んで顧客トランザクションにおける不審なパターンを検出し、特定のトランザクションを突き止めて、リスクの高い個人を特定できます。
• テロ資金供与：高度なFCRMソリューションでは、あらかじめ組み込まれた制裁リストやブラックリストに照らして組織のアカウントのアクティビティを確認できます。リストと一致した場合、権限を持つ人が許可または拒否するまで支払が保留されます。
• 賄賂と汚職：組織と請負業者や公務員との関係を識別し、賄賂がやり取りされている可能性を示す異常な支払パターンを検出できます。
• 市場濫用とインサイダー取引：従業員による取引を管理し、証券市場での動きとリアルタイムで比較して、違法取引の兆候を調査できます。

金融犯罪のリスク管理に関するベストプラクティス

法律は、組織内で起きる金融犯罪の防止および対処策の先例を示します。まず取り組むべきは、どの規定が自組織に適用されるかを知ること、法律の変更を注視すること、そして関連する法律に対する認識を組織全体で高めることです。

以下のベストプラクティスは金融犯罪の防止にも役立ちます。

適切なFCRMソリューションの選択

FCRMソリューションを選択するときは、組織のニーズによって最適なプラットフォームがほぼ決まります。そのため、ツールの調査を開始する前に十分なリスク評価を行う必要があります。選定の際には、以下の点を確認することをお勧めします。

• データの信頼性と完全性：高度な行動分析や機械学習によって、事業にかかわる人や団体に関する包括的かつ詳細なリアルタイムのプロファイルを作成できるツールがお勧めです。
• ダッシュボードのカスタマイズと簡単なレポート作成：概要の表示、トレンド分析統計、ワークフローベースのレポート機能は欠かせません。また、調査に必要な特定のデータのドリルダウンとアクセス、コンプライアンス要件に対応するためのレポートの取り込みも必要です。
• 規制コンプライアンス機能：組織の所在地域、地方、国、および国際的な規制への準拠をサポートするツールを選択します。ログデータをすばやく取得し、監査で要求されるレポートを生成する機能も重要です。
• 使いやすさ：カスタマイズ性が高く直感的なインターフェイスを提供し、作業スタイルに合わせて操作できるシンプルなプラットフォームがお勧めです。ソリューションを最大限に活用できるように、ベンダーが継続的なトレーニングやサポートを提供しているかどうかも重要な点です。

結論：金融犯罪と真剣に向き合う

顧客は安全でリアルタイムなオムニチャネル体験を期待しています。eコマースやデジタルデータトランザクションは金融犯罪リスクの評価と管理に関する新たな課題を生み出しますが、導入はもはや不可避で、先延ばしにすることも得策ではありません。

規制当局は、外部者の犯行であっても、組織の監視下で発生した金融犯罪は組織の責任とみなします。FCRMソリューションは、こうした脅威の特定、対応、防止を効率化し、規制がますます複雑化する中でコンプライアンスを維持するために役立ちます。

このブログはこちらの英語ブログの翻訳です。