公開日:2022年9月2日
FCRM(金融犯罪リスク管理:Financial Crime Risk Management)とは、不審なアクティビティの調査と分析、脆弱性の根絶、金融業界などの組織の被害リスクを低減するための対策実施など、金融犯罪にプロアクティブに対応するためのセキュリティなどのプラクティスを指します。具体的にFCRMはAML(アンチマネーロンダリング)、金融機関に対するサイバー犯罪対策、贈賄路・汚職対策などがあげられます。
人々が商品やサービスを通貨と交換するようになった時代から金融犯罪は存在します。また、テクノロジーの進化とともに、攻撃対象、アクセスレベル、サイバー犯罪の機会も変化しています。今日では、ほぼすべての銀行や証券会社といった金融業界の組織がオンラインでビジネスを行っているため、組織はサイバー犯罪の標的になりやすくなっています。攻撃者は、重要な財務データにアクセスし、その痕跡を消すために、よりステルス性が高く高度なアプローチを取り入れています。さらに脅威なのは、多くの金融犯罪が、重要なデータの場所と痕跡の巧妙な消し方をよく知る内部関係者によって行われることです。
これらの点を踏まえると、ほぼ半数の金融業界の組織が金融犯罪の被害に遭っているという事実は驚くには当たらないでしょう。内部関係者による犯罪の急増を受けて、アメリカ政府は監視と法律を強化して、組織に対して内外の脅威からデータを保護し規制法に準拠することを義務付けています。組織が金融犯罪を特定して対処するために必要な措置を講じない場合、数百万ドルから数十億ドル規模の厳しい罰金を科される可能性があります。
そのため、効果的なFCRM戦略を立てることがこれまで以上に重要になっています。この記事では、金融犯罪の種類とコスト、AMLとコンプライアンスの役割、金融リスク評価の実行方法、金融犯罪対策におけるFCRMソリューションのメリットについて説明します。
金融犯罪の種類
金融犯罪とは、簡単に言えば、自身の利益のために他の人や組織から金銭や財産を違法に奪う行為を指します。金融犯罪の主な種類には、マネーロンダリング、テロ資金供与、詐欺、賄賂と汚職、市場濫用とインサイダー取引、脱税、横領、偽造、なりすまし、電子犯罪などがあります。これらの犯罪は、外部の攻撃者によって行われることも、組織のトップレベルのリーダーを含む内部の従業員によって行われることもあります。
金融犯罪には、より軽度の犯罪行為も多く含まれます。上記の主な犯罪に比べればコストや法的な影響は小さいかもしれませんが、以下の行為も金融犯罪に該当します。
- 個人購入:従業員が組織の資金を使って業務とは無関係の商品を購入することです。
- 窃盗:従業員がレジや金庫から現金を盗んだり、組織の備品を持ち出して換金したりすることです。
- スキミング:従業員が取引の売上を少しだけ横領することです。通常は、見つからない程度の少額を抜き取りますが、積み重ねれば多額になります。これは、現金主体の小売業で発生しやすい犯罪です。
- 給与計算不正:給与計算の担当者が架空の従業員を作り上げ、その従業員への給与を、自身がアクセスできる銀行口座に振り込むことです。また、未承認の小切手や賞与を支給したり、勤務時間を不正に上乗せしたりする行為も該当します。
- 不正請求:従業員が組織に偽の請求書を提出し、その従業員または共犯者が支払を受け取ることです。
- 文書偽造:従業員が他人の署名を使って文書に署名したり文書を複製したりすることです。タイムカード、経費報告書、契約書、さらには小切手などが偽造対象になります。
金融犯罪の加害者も、単独の窃盗犯から影響力の大きい世界的な犯罪組織までさまざまです。
- 組織的犯罪グループ:大規模な犯罪者集団で、大きな影響力を持つ危険人物が参加することもあります。
- 単独犯:犯罪グループとはかかわりのないハッカーや、組織のビジネスについてある程度の知識を持つ顧客、サプライヤー、請負業者が該当します。
- ビジネスリーダー:横領や組織の業績の不正報告(財務データを操作して利益を実際より大きく見せるなど)を行う経営幹部や取締役が該当します。
- 従業員:何らかの方法で組織の資金を盗み、その痕跡を消すための措置を講じる犯罪(スキミングなど)を犯すのが一般的です。外部の犯罪者が従業員をそそのかして犯罪の実行をサポートすることもよくあります。
金融犯罪の本当のコスト
金融犯罪は組織の収益に重大な影響を及ぼします。PwC社が2018年に行った経済犯罪実態調査によると、所属する組織が不正行為や経済犯罪の被害に遭ったことがあると回答した割合は49%で、2016年の36%から増加しています。また、不正行為による直接的な損失が推定で100万ドル以上に達したと回答した割合も64%にのぼりました。また、46%の回答者が、組織が不正行為によって直接失った額と同等かそれ以上の額の資金を調査やその他の予防策に費やしたと回答しています。さらに、不正行為の52%は組織の内部関係者によって行われたことも明らかになりました。
こうした不正行為の発見と対処にかかる費用、コンプライアンス違反の罰金、訴訟費用は、通常、利益を大きく損ないます。さらに、組織の評判に対するダメージが何年も続くこともあります。
金融犯罪のコストは高く、件数は増加傾向
金融犯罪コンプライアンスとは
金融犯罪コンプライアンスは、組織が、所属する業界と組織自体に適用される内外の基準、ポリシー、規制といったものに、厳格に準拠するためのプロセスです。
米国では、FinCEN(金融犯罪取締ネットワーク部局)が金融犯罪コンプライアンスの枠組みを策定しています。
- 銀行秘密法(BSA):「通貨および外国取引報告法」とも呼ばれ、金融機関に対して、マネーロンダリングや詐欺の疑いがある取引について米国政府への協力を義務付けています。
- 米国愛国者法:国際的なマネーロンダリングやテロ資金供与を防止、発見、起訴するための対策を定めています。
- 顧客確認(KYC):愛国者法の一部で、組織に対して、顧客の身元を確認し、顧客の行動の性質を理解することを求めています。
AMLに関するリスク
銀行や証券会社など、すべての金融機関がアンチマネーロンダリング(AML)に関するリスクにさらされています。その要因は主に3つあります。
- 商品やサービスのオンライン化:オンラインでの事前資格審査やモバイル決済など、消費者にとって使いやすいサービスは、現金取引よりもセキュリティなど、監視が難しくなります。
- コンプライアンスの優先順位の低下:競合他社よりも価格を抑えた魅力的な取引を提供するために、コンプライアンス対応のリソースを削減する金融機関が増えています。
- コンプライアンス維持の難しさ:扱う顧客データと取引データの量があまりに多いため、コンプライアンスに準拠してデータを管理するのが難しく、不審なアクティビティを調査する際、解析に利用できるデータが少なくなりがちです。
これらの要因により、AMLコンプライアンスを遵守するための対策が十分にとれず、多額の罰則を科せられるリスクを負っています。このリスクを回避するには、以下の対応が必要です。
AMLアナリストの役割
AMLアナリストは、AML調査員とも呼ばれ、不審な財務活動の監視、調査、対応を専門的に行います。AMLアナリストになるには、組織の事業、その運営方法、顧客、製品とサービスをしっかりと理解する必要があります。主に以下の職務を担います。
- リスクを軽減するための手続きと手順を定めて他の従業員に説明する
- 顧客との取引を文書化する
- マネーロンダリングやその他の犯罪の防止策を規制当局や監査人に説明する
- 組織によるすべてのAML規制の遵守を徹底する
金融犯罪を防止するための取り組み
法律は、組織内で起きる金融犯罪の防止および対処策の先例を示します。まず取り組むべきは、どの規定が自組織に適用されるかを知ること、法律の変更を注視すること、そして関連する法律に対する認識を組織全体で高めることです。以下のベストプラクティスは金融犯罪の防止にも役立ちます。
- トップダウンで取り組む:FCRM戦略の効果を最大限に引き出すには、経営幹部がプロセスに積極的に関与して、現場で働く従業員から経営幹部まですべての関係者の賛同を得ることが重要です。セキュリティチームは、問題点や脆弱性について、ビジネスリーダーと十分な時間をかけて話し合う必要があります。また、組織として脅威にどのように対処しているかを明示したインテリジェンスレポートを経営幹部に提出する必要もあります。
- 責任と役割を明確に割り当てる:従業員が不審な行動を見かけたときに報告するための十分な機会を設けると同時に、金融犯罪の脅威の特定と管理の責任を持つ従業員に適切な研修を実施します。また、すべての従業員を対象に、組織のFCRMポリシー、組織内での果たすべき具体的な役割、犯罪行為の見分け方を学ぶための研修を実施します。
- 部門横断的なチームを作成する:金融犯罪防止の責任を担うチームでは、IT、法務、コンプライアンス部門が大きな役割を果たします。しかし、考え得るすべてのリスクシナリオを調査することを考慮すると、カスタマーサービス、人事、営業、経理・会計、事業開発、その他の部門からもメンバーを選出することが重要です。
- 外部ベンダーを調査する:ベンダーに違反があるとその取引先も責任を問われることがあるため、ベンダーが同じ規制に準拠していることを確認します。
- 金融犯罪/AMLアナリストをテクノロジーでサポートする:不正検出、AMLソリューション、セキュリティ自動化などのテクノロジーに投資します。アナリストが行き詰ったり、誤検知に悩まされたり、繰り返し作業に煩わされる時間を減らして、実際の脅威やコンプライアンス活動に集中してもらうことができます。
金融犯罪リスク評価とは
金融犯罪リスク評価は、金融犯罪に対する組織の脆弱性を分析する体系的かつ段階的なプロセスです。金融犯罪リスク評価は、以下の手順で進めます。
リスクを特定する:組織の複雑さ、現在参入している市場、提供しているサービスと製品、オンラインビジネスの量に基づいてリスクを洗い出し、文書化します。また、組織内で過去に起きたインシデントや、市場での以下の金融犯罪の増加状況を調べて、各犯罪のリスクレベルを見積もります。
- マネーロンダリング
- テロ資金供与
- 詐欺
- 賄賂と汚職
- 市場濫用とインサイダー取引
- 脱税
- 横領
- 文書偽造
- 贋造
- なりすまし
- 電子犯罪
- 個人購入
- 窃盗
- スキミング
- 給与計算不正
- 不正請求
リスクを文書化したら、組織にとっての脅威の度合いに基づいてリスクに優先順位を付けます。
リスクを緩和するための保護対策を確立する:組織内で特に脆弱な領域を特定したら、内外の金融犯罪を防止するためのセキュリティコントロールとシステムを計画します。以下のコントロールについて検討します。
- コンプライアンス確保に関する任務の担当者を決める(セキュリティチームの各メンバーに業務を割り当てる、AMLアナリストを新たに雇用するなど)
- 組織レベルのポリシーと手順を策定する
- CDD(顧客デューデリジェンス)とEDD(エンハンスドデューデリジェンス)を実施して、リスク評価に必要なすべての顧客情報を確実に取得できるようにする
- データとコンテキストの両方を提供する効果的な管理情報(MI)レポートを作成する
- IT担当者だけでなく組織内の全従業員に適切な研修を実施して、金融犯罪を発見および報告する方法を周知する
コントロールをレビューして改善する:監査を定期的に実施して、現在のコントロールが新たなリスクに対応していることを確認します。市場や全体の環境の変化に応じて、新たな問題に対処してコンプライアンスを確保するための新しい手順とポリシーを作成する必要があります。
監視を行ってレポートを作成する:コントロールの効果を監視して、不審なアクティビティと、問題を解決するために実行した手順を文書化することが欠かせません。さまざまなコンプライアンス規制で適切なレポートの作成が求められるため、必要な情報をすぐに利用できるようにしておくことが重要です。
FCRMシステムとは
FCRMツールは、潜在的な脆弱性のプロアクティブな検出、アクティビティの継続的な調査、継続的なリスク評価、不審なアクティビティの管理と対応に役立ちます。主に以下のメリットがあります。
脅威をリアルタイムで検出する:トランザクションが大量であっても、不審なアクティビティを即座に検出し、セキュリティ担当者にアラートを送信して、次に実行すべきアクションの判断をサポートします。
- ユーザーの異常な行動を検出する:一部のFCRMツールでは、高度な行動分析や機械学習によって、ユーザー、デバイス、アプリケーションに関する不正な挙動や異常な行動を検知できます。
- 調査の効率と結果を向上する:優れたFCRMソリューションでは、リアルタイムや過去の大量のマシンデータをすばやく検索して金融犯罪を発見できます。
- 過剰なアラートを削減する:カスタムルールや自動化ルーチンを作成して、アラートの繰り返しや誤検知を減らすことができます。
- 不正行為/AML関連の規制に準拠する:非構造化データを構造化して、規制に適切に準拠できるようにサポートします。
- 分析とレポートを提供する:金融犯罪リスクを簡単に分析、測定、管理し、重要な情報を組織内の関係者と共有できます。
FCRMソリューションによる金融犯罪への対処方法
FCRMソリューションは2つの面から金融犯罪対策をサポートします。まずは、多くのノイズを排除して、アナリストが金融犯罪防止のための戦略実行とコンプライアンス確保に集中できるようにします。また、可視性を向上し、インサイトを提供して、不審な行動を検出したときにアナリストにアラートを送信します。
一般的な犯罪への対処におけるFCRMテクノロジーのメリットは以下のとおりです。
- 電子決済詐欺:Fiserv社によると、ACH (自動決済システム)詐欺による損失は年間12億ドルを超えます。FCRMソリューションを使用すれば、ACHや電信送金(FedwireやSWIFT)トランザクションでの資金盗難の試みをより簡単に検知、調査し、対応できます。
- 詐欺:顧客やアカウントに関するデータをすべてのチャネルから継続的に集約して行動プロファイルを作成し、異常な行動パターンや、詐欺に関する主要なリスク指標を自動的に調査します。
- 電子犯罪:特定の挙動について、アナリストが調査できるようにフラグを立てるカスタムルールやカスタムアラートを設定できます。
- マネーロンダリング:AML機能を備えたFCRMツールを使用することで、顧客トランザクションの履歴データを取り込む不審なパターンを検出し、特定のトランザクションを突き止めて、リスクの高い個人を特定できます。
- テロ資金供与:高度なFCRMソリューションでは、あらかじめ組み込まれた制裁リストやブラックリストに照らして組織のアカウントのアクティビティを確認できます。リストと一致した場合、権限を持つ人が許可または拒否するまで支払が保留されます。
- 賄賂と汚職:組織と請負業者や公務員との関係を識別し、賄賂がやり取りされている可能性を示す異常な支払パターンを検出できます。
- 市場濫用とインサイダー取引:従業員による取引を管理し、証券市場での動きとリアルタイムで比較して、違法取引の兆候を調査できます。
FCRMソリューションの選び方
FCRMソリューションを選択するときは、組織のニーズによって最適なプラットフォームがほぼ決まります。そのため、ツールの調査を開始する前に十分なリスク評価を行う必要があります。選定の際には、以下の点を確認することをお勧めします。
- データの信頼性と完全性:高度な行動分析や機械学習によって、事業にかかわる人や団体に関する包括的かつ詳細なリアルタイムのプロファイルを作成できるツールがお勧めです。
- ダッシュボードのカスタマイズと簡単なレポート作成:概要の表示、トレンド分析統計、ワークフローベースのレポート機能は欠かません。また、ドリルダウンや、調査に必要な特定のデータへのアクセス、コンプライアンス要件に対応するためのレポートの取り込みも必要です。
- 規制コンプライアンス機能:組織の所在地域、地方、国、および国際的な規制への準拠をサポートするツールを選択します。ログデータをすばやく取得し、監査で要求されるレポートを生成する機能も重要です。
- 使いやすさ:カスタマイズ性が高く直感的なインターフェイスを提供し、作業スタイルに合わせて操作できるシンプルなプラットフォームがお勧めです。ソリューションを最大限に活用できるように、ベンダーが継続的なトレーニングやサポートを提供しているかどうかも重要な点です。
顧客は安全でリアルタイムなオムニチャネル体験を期待しています。eコマースやデジタルデータトランザクションは金融犯罪リスクの評価と管理に関する新たな課題を生み出しますが、導入はもはや不可避で、先延ばしにすることも得策ではありません。
規制当局は、外部者の犯行であっても、組織の監視下で発生した金融犯罪は組織の責任とみなします。FCRMソリューションは、こうした脅威の特定、対応、防止を効率化し、規制がますます複雑化する中でコンプライアンスを維持するために役立ちます。
