イベントレポート
「弱いところから狙われる」仮想通貨取引所に求められるマネロン対策とは
PwCあらた有限責任監査法人が解説。BCCC第18回リスク管理部会より
2019年7月17日 06:00
一般社団法人ブロックチェーン推進協会(BCCC)は6月26日、東京・大手町で第18回リスク管理部会を開催し、仮想通貨取引所の関係者に向けてマネーロンダリングおよびテロ資金供与対策のポイントを解説した。
登壇したのは、PwCあらた有限責任監査法人の小山和博氏と竹内秀輝氏。両氏は「リスクに備えるには、まずは自社にとって何がリスクなのか、何が通常の取引で何が異常値なのかを定めること」と説明する。
マネーロンダリングの概念は拡大しており、仮想通貨取引所も対策が求められる
壇上に上がったのは竹内氏。同氏は「マネーロンダリングという言葉が表す概念は年々広がってきている」と説明する。
マネーロンダリングという言葉は、当初は麻薬犯罪をはじめとする犯罪への対策として使われていた。テロ対策という意味合いが加わったのは、アメリカで同時多発テロが起きた2000年代に入ってからのことだ。それが2010年代には大量破壊兵器の拡散対策、そして今はブラックマーケットで得た収益の資金洗浄と、カバーする範囲がどんどん広がってきてるという。
「今年の秋に、FATFの日本に対する第4次審査がある。日本は前回、第3次審査の結果が非常に悪くて、当局が今必死に対応している。個人的に日本は仮想通貨が審査のポイントになるのではと予想しており、銀行など既存の金融業だけでなく、仮想通貨を扱う業者も対策が必要になる」と竹内氏は説明する。
金融機関のチェックが厳しさを増す今、狙われるのは仮想通貨
同社の小山氏は、マネーロンダリングを構成する3つのステップを挙げた。
- Placement 現金を動かしやすい形に変える(証券、為替、宝石、仮想通貨など)
- Layering 資金を移動することで出どころを隠匿する
- Integration 資金を再び経済に統合して戻す
古典的なものでは、資金を宝石や貴金属に替えたり、郵便で送ったり、人が持って移動したりする手法が挙げられる。2017年の例では、オーストラリアの銀行で200万円以下の預金なら本人確認が不要なことを利用して、180万円以下の口座を複数作り、その口座から海外の不動産に投資したかのように見せかけて資金を移動する手法が使われたという。
「今、銀行は法人の海外送金に対してすごく慎重になっていて、しつこいほど用途を聞かれ、それを裏付ける書面の提出も求められる。それに対して仮想通貨の取引所はそこまで厳しくない。マネーロンダリングをしようとする“ユーザー目線”でいうと、仮想通貨を利用しようと考えるのは当然」(小山氏)
実際に指定暴力団が仮想通貨を利用して資金洗浄をした例もある。手順は次の通り。依頼を受けた業者は、仮想通貨取引所で仮名アカウントを作成して資金をBTCやETHに交換する。その仮想通貨を海外の取引所に送金し、複数の口座を移動したのちに現地で現金化。最終的に海外貿易に見せかけて国内に戻すわけだ。小山氏によると約300億円がこのスキームで洗浄され、業者の手数料は約10%と見られるという。
弱いところから狙われる。免許証の確認だけでは不十分
上記の例では、仮想通貨取引所はどこで見分けなければならなかったのか。「そもそもあやしい口座を作らせてはいけなかった。そして、あやしい取引をモニタリングして検知しなければならなかった」と小山氏は指摘する。
「eKYCで免許証をオンライン確認すれば安心というわけではない。それは最低ラインで、その顧客がどんな人で、どんな目的で口座を作って、普段どう使うつもりなのか。人によって取引の異常値は変わってくるので、そこまで確認しないといけない」(小山氏)
運転免許証の偽造は驚くほど簡単だ。小山氏によると、実際に摘発された工場の例では相場は4~8万円、納期は2、3日だったという。あるいは海外で偽造免許を作って、それを国内に持ち込んで正規の運転免許証に変える手口もある。「本人確認書類があるから安心というわけではない」と小山氏はくり返し強調する。
「弱いところ、甘いところから狙われる。この取引所はチェックが甘い、この会社は利用できるという情報は価値があり、裏ではその情報自体が取引されている」(小山氏)
過去、海外対応が不慣れな日本の地方銀行や信用金庫が集中して狙われたこともあった。「最近海外からの口座開設が多いね」と話していたら、実は狙い撃ちされていたわけだ。今は海外送金を扱わない銀行も増えているという。
「向こうもビジネスだから、一度うまくいったら反復する。たとえば最初は1000万円、2回目は5000万円という具合に。1回目、2回目は気が付かなくても仕方がないかもしれない。しかし10回くり返されたなら、なぜ気が付かなかったのかと責任を問われることになる」と小山氏は警告する。
リスク低減策を整備する4つのポイント
それでは、仮想通貨交換業者は具体的にどのような対策を取ればいいのか。竹内氏は「どこまでやればいいか、明確な答えはない」としながらも、「自社の事業におけるリスクをこう考えていて、それに対してこう対応している、と説明できることが大切」と説明する。そのうえで、仮想通貨交換業者がリスク低減策を整備するポイントを4つ挙げた。
(1)顧客管理
eKYCで本人確認書類を取得しても、分かるのは名前と住所くらいしかない。何のために口座を開設するのかという目的など、どんな情報があれば後から取引のモニタリングに利用できるのかを考えることが重要だ。もちろんあまりしつこく聞きすぎるとユーザーの利便性を損ねることになるので、そこは見極めが必要になる。仮想通貨取引所は、多くが非対面取引であることから国がハイリスクであると位置づけている。そのリスクに対して自社がどう考え、対策しているのかを説明できるようにしなければならない。
(2)フィルタリング
フィルタリングは正当な顧客の選別のことで、スクリーニングとも呼ばれる。国連制裁対象者は当然として、反社組織もフィルタリングする必要がある。しかし法人の場合は判断が難しく、「株主は誰か」「実質的支配者は誰か」まで考えなければならない。どこで線引きするのか悩ましくはあるが、一定のリスクがあると思われた顧客は追加で資料提出を求めるといった対応も必要だろう。
(3)取引のモニタリング
モニタリングは、通常と異なる疑わしい取引があったら異常を検知する取り組みだ。たとえば20代の会社員が資産管理を目的に口座を開設したはずなのに、月末に複数箇所から受金があったり、定期的に大きな金額を海外に送金していたら、何かの商売や取引に使っている可能性がある。それを判断するためにも、(1)で顧客の属性や目的を取得することが必要になるわけだ。
(4)疑わしい取引の調査
「疑わしい取引」を見つけたら、調査することも必要だ。気付くきっかけはシステムアラートとマニュアルアラートの2つがある。システムアラートは、たとえば異常値を検知してから1週間しても案件がクローズしていない場合にワーニングを出して調査を行うといったものだ。マニュアルアラートは、たとえば「海外送金の限度額はいくらまでで、1日に何回くらい可能か」といった問い合わせがあった場合に「なぜそんな質問をするのか」と気付いて調査を行うといったケースが考えられる。いずれにせよ、自社のビジネスにどんなリスクがあって、それに対して具体的にどんな対応をしているか説明できることが重要という点ではすべてつながっている。
大事なのは従業員1人1人のカルチャーと危機感
小山氏は「従業員1人1人がリスクに対する危機感を持たない限り、どんなに優秀な制度を作っても生かされない」と語る。
「従来の金融機関は手続きの文化で、失敗してはならないという減点主義。それに対して仮想通貨取引所などのテック系企業は、失敗を恐れずにトライして、グレーかどうかは後から考えるという文化がある。どちらも利点はあるが、どちらかだけでは危ない。新しい金融機関のあり方、文化を定義していかなければならない。同業種だからリスクカルチャーも同じというわけではなく、抱える顧客も企業によって異なる。自分の会社はこうありたい、こうすべきなんだということをしっかり考えて、何をしたらOKで、何がNGなのかを言葉にして従業員と共有する必要がある」(小山氏)
小山氏は最後に「カルチャーは作れるし、修正もできる。従業員が100人を超えるころには、リスクに対して自社がどうあるべきかを一度考え直してみては」と提案し、部会を締めくくった。