ITによる規制対応の高度化・効率化 - RegTechによる統合フレームワークの実現

本稿は、RegTech(レグテック)の背景と期待効果、RegTechにより実現可能な統合フレームワーク、RegTechの取組みにおける成功要因について解説します。

本稿は、RegTech(レグテック)の背景と期待効果、RegTechにより実現可能な統合フレームワーク、RegTechの取組みにおける成功要因について解説します。

RegTechとは造語で、規制(Regulation)に対し、IT(Technology)を用いて、高度化・効率化をはかることを指します。近年の規制強化・拡大・グローバル化に伴い、規制違反のリスクが増大している中で、グローバル・グループ全体でコストを最適化しながら確実に規制対応を進めるために、IT活用、すなわちRegTechが注目されています。
RegTechを単に個別の規制対応活動の自動化に適用するだけでは、規制対応のリスクの抜本的な低減には繋がりません。グローバル拠点やグループ会社での規制対応、またEnd To Endで業務を見たときの拠点間・部署間・業務間の規制対応活動の重複や不整合に対し、RegTechを活用し、抜本的に解決することが望まれます。
本稿は、RegTechの背景と期待効果、RegTechにより実現可能な統合フレームワーク、RegTechの取組みにおける成功要因について解説します。
なお、本文中の意見に関する部分については、筆者の私見であることをあらかじめお断りいたします。

ポイント

  • 規制が強化・拡大される中で、欧米の先進的な企業においてはRegTechを活用し、コストの最適化をはかりながら、規制対応の標準化・統合を目指している。
  • RegTechは投資を伴う活動であるため費用対効果の高い規制や活動を見極めることが重要。
  • RegTechの核となる技術やサービスプロバイダーは発展途上にあるため、段階的に効果・費用を検証しながら進める必要がある。
  • RegTechにより業務の自動化がはかられる場合、そのデータ品質が規制対応の確実さに影響を及ぼす。そのため、データ品質マネジメントの構築・レベルアップが必要となるケースがある。

I.RegTechの背景と期待効果

1.RegTechが注目される背景

RegTechとは造語で、規制(Regulation)に対し、IT(Technology)を用いて、高度化・効率化をはかることを指します。近年の金融規制強化・拡大をはじめ、規制対応の難易度が上がり、かつコストが増大する環境の中で着目される活動です。最近は金融業界以外においても、品質偽装、粉飾決算、労働環境等、さまざまなコンプライアンス違反に伴う不祥事が発覚し、その対応の選択肢として、RegTechが注目されています。
2008年に起きたリーマン・ショックは、グローバルの金融システムの脆弱性と「Too Big To Fail(大きすぎてつぶせない)」と言われた大規模な金融機関に潜在していたリスクを浮き彫りにしました。その結果、各国金融規制当局は、危機再発防止を確実にするため、規制強化・拡大に舵をきりましたが、その方向性は大規模な金融機関以外にも適用され、各金融機関は、より厳格かつ迅速な規制対応を余儀なくされており、経営上大きな課題となっています(図表1参照)。

図表1 規制対応の課題

企業が直面する規制対応の課題 RegTechによる効果
  • 規制の複雑化、厳格化
  • 対応の迅速化
  • レガシーシステムによる制約
  • 不十分な顧客満足度
  • コスト高
  1. 標準・統合化された管理態勢
  2. 継続的・拡張可能な管理態勢
  3. コストの抑制・最適化

課題の具体例としては以下のようなものがあげられます。

  • 迅速に規制対応しようとするあまり、既存の業務プロセスに新たな規制要件の対応手続を単純に追加してしまい、業務プロセスの複雑化と高コスト化を招いている。
  • 個別業務ごとに規制対応を検討するため、業務プロセス全体を通じてみた場合に統制活動の重複が生じ、効率性の低下とコストの増大を招いている。
  • 子会社、グループ会社、および海外の拠点に適用される規制の対応が各拠点任せとなっており、本社で状況を適時把握できていない。その結果、子会社等のコンプライアンス違反等に早期対応できず、グループ全体に影響が及ぶ。

また、規制の厳格化は違反時のペナルティの重さに繋がっています。KPMGの「Survey of cross-industry CCOs 2016」によると、2012年1月から2015年10月までに支払われたコンプライアンス違反の罰金の上位20件の合計は1,310億ドルに達しています。ペナルティの厳格化は、罰金と共にブランドの棄損に繋がるため、規制対応の経営課題としての重みは増しています。

2.RegTechの期待効果

RegTechの取組みによる期待効果は、どのようなものでしょうか。それは、従来の規制要件に対し、その時々に個別に対応し、規制対応を高コスト化・複雑化してきたことからの脱却を意味します。具体的には、各社にとって重大な規制要件をいち早く察知し、その対応を組織全体として統合化・全体最適化したうえで自動化をはかることが狙いです。


(1)標準化かつ統合化された管理態勢

規制対応を各拠点や部門任せにせず、グループ横断で規制を一元管理し、その対応活動とあわせて統合管理します。

取組み例:対象とすべきコンプライアンス要件とその対象を一元的に管理する仕組み、規制要件の追加・変更があった場合の影響分析の仕組み、規制対応状況を適時に可視化し、経営層が把握できる仕組みなど


(2)継続的かつ拡張可能な管理態勢

規制の新規制定や対象範囲の拡大、また、自社のビジネスの拡大や変質に備え、柔軟に拡張可能な管理態勢を構築します。また、知見やノウハウの特定個人に対する過度の依存を防ぐことで、組織として継続可能な管理態勢を構築します。

取組み例:個人の知見や経験を「見える化」し、その判断基準を業務プロセスに取り込む仕組みなど


(3)コスト抑制・最適化

規制対応の標準化・統合や自動化により、確実に対応しながらコストを抑制し、最適化をはかります。規制対応の標準化は、単純なオペレーションコストの削減に加え、地域を超えた拠点集中を可能にします。また、規制対応を統合することで、End To Endで業務プロセスを一貫して見たときに、重複した統制活動の排除が可能です。

II.RegTechにより実現される統合フレームワーク

1.規制対応の統合フレームワーク

統合化された規制対応フレームワークはIT活用、つまりRegTechにより実現可能となるものです(図表2参照)。

図表2 規制対応の統合フレームワーク

図表2 規制対応の統合フレームワーク

(1)ホライズンスキャニング

規制対応に影響を及ぼす情報を適時に捉えるために、規制情報の発信元や外部データベースから継続的に情報を収集し、分析することを指します。

取組み例:規制情報を発信しているWebサイトの更新情報収集の自動化、収集した規制情報の一元管理など


(2)規制のマッピング・改訂

収集した規制情報のうち、新規制定/改訂されたものを組織、社内規程、および、業務プロセスにマッピングし、影響箇所を特定したうえで、規程等を改訂し承認を得ることを指します。

取組み例:規制情報の変更箇所の差分抽出、自然言語処理技術を用いた変更箇所と社内規程との自動マッピング、ワークフローによる規程等の回付・承認の自動化など


(3)モニタリング・テスト

類似の規制要件を統合したテストプログラムを作成したうえで、テストを実行し、その要件の充足状況を確認します。また、規制要件の充足状況をモニタリングします。

取組み例:規制要件に対する統制活動のうち、類似のコントロールのテストプログラムとして統合、テストの自動実行、テスト進捗・結果のダッシュボードによる可視化など

2.統合フレームワーク実現の取組み状況

一部の先進的な欧米の企業では、このようなフレームワークの構築に取り組んでいます。既に稼働しているさまざまな仕組みを有効活用するために、一から仕組みを作り直すのではなく、統合フレームワークを意識しつつ、既存の取組みを統合する動きとなっています。統合作業それ自体においても、移行対応を含め、ITが有効活用されています。
規制対応への投資は、今までは個別規制要件が中心でした。今後は統合フレームワークを意識した長期的な計画のもと、規制対応活動の自動化・統合・横断的な管理に投資の軸足が移ると予想されます。

III.RegTechの取組みにおける成功要因

RegTechの取組みにおける課題は、投資を伴うため、その投資効果の見極めが困難なことと、より高い効果を見込むには新技術の活用に取り組む必要があることです。ここでは、RegTechの取組みにより、期待した効果をあげるためのポイントとして、効果が見込まれる対象領域の選定、適切かつ実現可用性のある技術の選定/検証、データ品質マネジメントの3点について解説します。

1.RegTechの対象領域の選定

RegTechの取組みでは、投資から回収できる効果が高い領域を選ぶことが重要です。具体的には1.自動化の効果が高い(対応が労働集約的である)、2.グローバル/グループ会社に広く適用される(コミュニケーション/モニタリングコストが高い)、3.違反時のペナルティが重いといった特徴を持った規制対応は費用対効果が高いと想定できます。
これらの特徴を満たす規制としては、KYC(Know Your Customer:顧客確認業務)を伴う規制やプライバシー規制への対応が考えられます。また、業務としては、モニタリング・テストの自動化、規制制定/改正対応、サードパーティの評価/管理が注目されています。

2.技術の選定/検証

RegTech活用の成功には、その取組み目的と整合がとれている、規制対象業務や組織に適合した技術の選定が必須であり、人工知能技術、RPA、データ分析、ブロックチェーン等、さまざまな技術の適用が試みられています。
たとえば、KYCプロセスにおいて、顧客とインターネット経由でビデオ通話ツールを用いて面談し、それに動画像認識の技術を用いることにより、偽造された証明書による申し込みを防止することが検討されています。また、営業員が規制に基づいた営業活動を行っているかどうかを電話の通話記録を音声認識技術で加工し、モニタリングしている事例があります。動画像認識技術や音声認識技術は、必ずしもRegTechとして開発された技術ではありませんが、このように活用されつつあります。RegTechの取組みは、まだ、発展途上であり、新たな技術の台頭や既存技術の新たな活用方法が常に提案されています。また、RegTechにかかわるサービスを提供するサービスプロバイダーには大手の企業もありますが、多くはスタートアップ企業に分類されます。
RegTechはこのような環境での取組みとなるため、技術検証が終わったところで、新たな革新的な技術の台頭やパートナーとなったサービスプロバイダーの買収や倒産といった事態により、振出しに戻るといったリスクが内在しています。そのため、段階的にリスクを確認しながら進めることが重要です。


(1)新業務モデルの設計

現行業務モデルを整理のうえ、ITを活用することにより、「何を実現するか」、その結果としてどのような業務モデルを構築できるかを検討します。設計された業務モデルに対し、実現可能性、初期構築費用・運用費用の超概算見積もり、新業務モデルのベネフィットの観点から、評価を実施します。


(2)技術の選定

新業務モデルと要件を実現する技術・サービスプロバイダーを調査します。調査にあたっては、技術自体の有効性や問題点に加え、チーム体制、今後の開発ロードマップ、マーケットの実績、競合の動向等、総合的に観点を設定します。また、コストについても精緻化をはかり、そのうえで候補選定と評価の基準を決定してパートナーを選定します。


(3)Proof of Concept(検証工程)の実行

選定したパートナーと共に新業務モデルの一部を試験的に実施し、その有効性、および実現可能性を検証します。その結果に対し、想定要件の達成状況、想定効果の達成見込、コストの精緻化、新業務モデル実現までの期間等の観点から評価し、今後のアクションプランを具体化します。

3.データ品質マネジメント

RegTechの取組みによる規制対応プロセスの自動化は、データを拠り所とし、人手を介さずに処理の完結に繋がります。すなわち、データの品質が規制対応の確実さに直結します。人手を介している場合は、人間がさまざまな目線で処理結果の異常を検出できますが、自動化されている場合はあらかじめ定められた条件によってしか処理結果の異常を検出できなくなります。これは、自然言語処理やディープラーニング技術を用いて、規制対応プロセスの高度化をはかった場合も同様です。
RegTechにより業務の自動化や高度化をはかる場合は、取り扱うデータ品質のリスクに着目する必要があります。また、データ品質を向上させる取組みや品質状況のモニタリングといった管理プロセスの整備が必要となります。
データ品質の確認観点は、以下の例のように多様なものとなります。

  • 正確性…データが原票と一致している度合い
  • 網羅性…データが取り扱うべき範囲を網羅している度合い
  • 有効性…データが定められた値に収まっている度合い
  • 適時性…データが必要な鮮度を満たしている度合い
  • 完全性…データが関連するデータと不整合がない度合い

データ品質管理プロセスの整備において、データを取り扱う業務内容から、上記の観点ごとにデータ品質要件を定義し、その充足状況をモニタリングする仕組み、データ品質未充足の場合の対応からその改善をはかる仕組みを整備します。
なお、データ品質観点のうち、網羅性についてはデータの上流をさかのぼらなければ、取り扱うべき範囲を確認することができません。そのため、網羅性が重要となるデータ項目については、データフローやデータ項目の系統図(データリネージュ)の可視化が必要となります。

IV.最後に

経済のグローバル化・複雑化に応じ、規制強化・拡大の流れは今後も継続するでしょう。グローバル・グループに及ぶ規制については、規制対応を直接対象となる部署任せとするのではなく、戦略的かつ計画的に取り組むことが企業グループ全体としての競争力の源泉の一つとなります。さらにテクノロジーを活用することで、コストの最適化と厳格な規制対応の両立が可能となります。

執筆者

KPMGコンサルティング株式会社
リスクコンサルティング
ディレクター 津田 圭司

お問合せ