RegTech（レグテック）イノベーションの必要性とビジネスにもたらされる価値

• なぜRegTechが注目されているのか
• RegTechで実現できること
• RegTechに必要な戦略ビューとコンプライアンスのあり方
• データを利用するための顧客基盤に山積する課題
• RegTech 3.0への進化
• まとめ

RegTechとは、規制（Regulatory）と、技術（Technology）の造語であり、規制とコンプライアンス要求に対し、テクノロジーを用いることで、コンプライアンス管理体制の高度化を図る活動です。RPA（Robotic Process Automation）、AI技術、ビッグデータを用いたアナリティクスといった新たなテクノロジーを取り入れることで、客観的なデータに基づいたリスクベース・アプローチの実効性を向上させ、部門やシステムを横断した高度な管理態勢を築きます。また、自動化によってコスト削減や迅速化をもたらします。

では、なぜRegTechが注目されているのでしょうか。グローバルでは、金融機関に対して当局が巨額の制裁金を科す事例が増えています。この背景には、テロのリスクの高まりや、租税回避、マネー・ローンダリングなどの金融犯罪の横行があり、当局が国家存亡の危機として、これまでになく厳格に規制を適用するようになっているのです。金融システムが悪用され犯罪の温床となることを防止し、国家や国民を脅威から守ることを目的としています。金融機関はコンプライアンス・プログラムを適切に構築・運用し、継続的な改善を行うことが期待されていますが、従来どおりの方法では、実効性・効率性の観点から必ずしも当局の要求水準を満たしていないと判断されかねないリスクも高まっています。KPMGインターナショナルによるグローバルフィンテック調査2017では、「グローバル規制の複雑化」が、金融機関にとっての破壊要因になるという回答が過半数でした。

従来から金融機関は規制とコンプライアンス要求に対しシステム対応してきましたが、これまでの開発手法・対応ではスピードが追いつかないという危機感が高まっています。なぜなら金融システムを悪用する側も、テクノロジーを駆使するようになっているからです。これに対抗するために、金融機関も、アジャイル開発^※、ビッグデータ解析等をRegTechとして戦略的に取り込むことが求められます。RegTechが注目されている背景として、このようなテクノロジー側の進展も無視することができません。

^※アジャイル開発：従来のウォーターフォール型開発と異なり、機能をすぐに実行に移し、失敗が起きても、修正と実行の反復を繰り返す開発手法。

金融犯罪対策におけるRegTech適用事例をいくつか紹介します。

• トランザクション・モニタリングの最適化
  金融機関は取引モニタリングシステムを導入し、不正が疑われる取引を発見すると当局に報告しなければなりませんが、疑わしい取引としてシステムから吐き出されたアラートには、実際には正常な取引（フォルスポジティブ - 誤検知）も含まれるため、職員がアラートを深掘りして確認する負荷が生じます。これに対し、AIを適用し、顧客をいくつかのグループに類型化、取引モニタリング結果の精度をより高めたり、フォルスポジティブ確認負荷を削減したりすることを可能としました。

• 新規取引先のデューデリジェンス
  法人の口座開設で行われるデューデリジェンスは、平均3時間を要すると言われています。AIを使って一連の処理を自動化することで20分程度に短縮され、さらに情報収集だけなら7分で完了します。（参考：KPMG Third Party Intelligent Diligence）

• 経済制裁対象者フィルタリング
  経済制裁対象の人物等でないかを確認する際、取引モニタリングと同様にフィルタリング・システムからのアウトプット情報を人がチェックすることは、大変負荷がかかっていて、多くの人員で処理するため、人によって観点が異なり一貫性が保たれないこともありました。AIを適切に導入することによって、複数の担当者の知識を集約化し一貫性を持った処理が高速で行えるようになります。従来、一次処理で1件あたり1分要していたところ、KPMG Sanctions Alert Classifierの実証実験では1分間で100万件の処理を実現しました。

• 銀行の方針との矛盾を分析
  銀行はリスク管理方針やコンプライアンス方針を定めていますが、方針が求めていることと、これを実現するためのシステムやデータの関係性は、必ずしも適切に保持できていないことがあります。本来なら、方針変更によって当然に修正されなければならないシステムやデータが放置され、かつその事実が長期にわたって気づかれないといったことも現に発生しています。規制変更や方針変更によって、どのシステム・データにどのような影響があり、どのように変更する必要があるかを効率的に把握する必要があります。このための可視化ツールも登場しており、システム・データ上の対応漏れや不備を防ぐことができます。（参考：KPMG Know Your Customer Due Diligence Navigator）

RegTechの取り組みでは、まず何を目的にするかを考えることが大切です。目的によって、活用すべきテクノロジーも変わってくるからです。目的は「当局規制の厳格化」、「コスト削減圧力」だけでなく、「顧客体験の向上」を目指すのもRegTechの目的であり、これらは相互に関係しているため統合的に考える必要があります。

金融機関としては、不法行為を行う顧客との取引は避けたいと考えますが、顧客を精査するには時間がかかり、半年以上を要するケースもあります。これは顧客満足度の観点からも大きな問題です。また、不法行為とは無縁な顧客にとっては迷惑なことであり、顧客体験を著しく損なうことになってしまいます。

こうした問題を解消するにもRegTechは効果的です。規制をクリアするためではなく、規制の先に顧客体験の向上があり、ビジネスで前向きな競争力を得るチャンスだと位置づけることが、海外で進んでいる考え方です。金融犯罪対策には巨額の投資が行なわれているのですが、コンプライアンスの不備に対応するステージはすでに終わり、顧客体験向上に活かすための投資として正当化され、株主から評価される状況が成立しつつあります。

例えば、インターネットバンキングのサービスを利用する場合を考えてみてください。さまざまな注意メッセージや確認のポップアップが表示されます。顧客が犯罪に巻き込まれないように、よかれと思って設計されたインターフェースですが、顧客からすればわずらわしく感じることもあるでしょう。触れて楽しい優れたユーザーエクスペリエンス（UX）のなかで、顧客にそれと気づかれないような形で適切にチェック機能が働けば、顧客も協力的になるため、コンプライアンス強化にもつながります。コンプライアンス対応は従来の顧客・市場、商品を所与とするのではなく、このような新たなUXの取り組みを踏まえて検討されなければいけません。

だからこそ、システムそのものを顧客側に向いたものとし、その背後にコンプライアンス・チェック機能が足りている、というように、情報基盤のあり方を見直す必要があります。それこそがRegTechが目指すべき姿であり、それを目指すためのツールとしてRegTechを戦略的に活用すべきです。

しかし、現行の顧客管理基盤や顧客管理プロセスには課題が山積しており、RegTech以前に解消する必要があります。大前提として必要なデータが「可用性」「完全性」「正確性」を担保した状態で正しく格納されておらず、意味のある情報を引き出せる形になっていないことが少なくないのです。手作業データ入力プロセスにより、データの客観性・適時制・正確性・完全性が確保できていない場合があります。また、複数システム間では、データ重複やデータの不整合が随所で発生しています。一例として、紙をスキャンしただけでデータとして扱える状態になっていな場合や、顧客の業種分類がビジネスを正確に反映していない場合です。せっかくデータを保有しているのに、実際は使えないという状況が現実として起きているのです。

こうした課題に対して、1つの金融機関が単独で取り組んだのでは、対応できることが限られてしまいます。そこで現在、共同運営の形で顧客管理の共通基盤を構築して、複数の金融機関で利用しようという取り組みが各国で精力的に検討されています。

顧客管理（KYC; Know Your Customer）を通して収集された顧客情報は、顧客保護、金融犯罪対策、信用リスク管理等の様々な目的のために、利用・管理されます。

ただし顧客から見れば、取引を行う必要がある複数の金融機関に対して都度同じような情報を提供したり、煩わしい質問に回答したりしなければいけないという課題があります。このようなことから、共通基盤に情報を預けていれば、顧客・金融機関双方にとって、無駄を排除することができるのではないか、という観点で検討されているのがKYCユーティリティです。ブロックチェーン技術もこのような取り組みと親和性が高いことで注目を浴びており、実証実験も進んでいます。

かつてのRegTechは、定量的なリスク管理のための導入されるRegTech 1.0でしたが、RegTech 2.0として、リスク管理からコンプライアンスへと適用領域が広がり、さらに、RegTech 3.0では、リスク管理やコンプライアンス目的のための利用するデータの範囲や粒度を飛躍的に拡大させて、リアルタイムで多面的かつプロアクティブな利用が想定されています。KYCの背後に、KYD（Know Your Data）という発想が求められるというパラダイムシフトが起きています。

RegTech 2.0の主眼は「悪いことの検知」にあったといえますが、RegTech 3.0では、職員がどのようなマインドセットであるべきかといった、カルチャーにまで踏み込んだ取り組みになります。例えば、データを起点にトラブルが起きやすい行動を予測し、回避する行動をとれるようになることが期待されます。

当然ながら、顧客から提供された情報は徹底的に活用する一方で、使ってはならない情報も存在するため、攻めと守りの両方を考えて適性にデータを利用する必要があります。

コンプライアンスの要求水準が高くなると、従来のシステムやレガシーデータ、手作業では対応が困難な状況になりがちですが、RegTechを戦略的に活用することで、この状況を解消する可能性が注目されています。
さらに、顧客体験の目線を加えることが、コンプライアンス管理の実効性を戦略的に確保するためのカギとなります。言い換えれば、単に規制通り対応するだけでなく、規制の向こう側にある本当のリスクを排除する、本来あるべき金融機関の姿を再定義するということが、求められているのです。

本ページは、REGULATION TECHNOLOGY FORUM 2019において、あずさ監査法人 金融事業部　金融アドバイザリー部 マネージング・ディレクター　山﨑 千春が講演した解説をウェブコンテンツとして編集したものです。

当日の様子をご紹介します。（外部サイト）

#RegTech