RegTechの最新動向~“コンプラ疲れ”を防ぐ、テクノロジーの活用
規制強化に伴う金融機関としての課題と、それを克服するための成功のカギを握るRegTechの戦略的な導入について解説します。
規制強化に伴う金融機関としての課題と、それを克服するための成功のカギを握るRegTechの戦略的な導入について解説します。
グローバルに、マネーローンダリング(以下マネロンという)対策等が一層求められるなか、日本での対策はまだまだ遅れているのが現状です。
しかし、これまで各金融機関が個別に取り組んでいたマネロン対策に対して、各社が共同で取り組むことへの検討が、2019年10月に官邸主導で開催された未来投資会議で盛り込まれました。金融規制は今後さらに強化されていくと予想されます。その対応に必要不可欠なのが、テクノロジーの活用「RegTech」です。
本稿は、規制強化に伴う金融機関としての対応上の課題と、それを克服するための成功のカギを握るRegTechの戦略的な導入について解説します。
なお、本文中の意見に関する部分については、筆者の私見であることをあらかじめお断りいたします。
ポイント
- 日本は、欧米に比べて実務レベルでの金融犯罪対策がまだまだ遅れている。
- 金融規制を厳格化することによる“コンプラ疲れ”が生じている。
- “コンプラ疲れ”の防止には、「デジタルレイバーの導入」と「顧客体験の向上」のための情報基盤の再設計が必要である。
- AIの導入においては、インプットとアウトプットを分かりやすく、かつ正しく使用されているかを確認する。
I. 規制強化が招く“コンプラ疲れ”
現在、金融規制では、(1)金融犯罪(マネロン等)、(2)サイバーリスク、(3)コンダクトリスク※1の3つへの関心が高まっています。なかでも金融犯罪は日々複雑化・高度化し続け、海外の金融規制もいっそう厳格なものとなっています。
たとえば、欧州のある金融機関が、マネロン対策の不備で700億円の制裁金を科されました。金融当局の公表文書やメディア報道等では、当該金融機関の不備に対して、コンプライアンスの軽視、営業重視の企業姿勢等の問題が指摘されていますが、事実を冷静に見てみると、当該金融機関の内部統制の度合いは、日本の多くの金融機関のそれと大差ない、むしろ当該金融機関の方が進んでいることさえあるということがわかります。
欧米に比べて実務レベルでの金融犯罪対策がまだまだ遅れている日本では、金融規制はますます厳格化されることが予想されます。規制が強化されれば、日本の金融機関は内部手続きをさらに厳格にしたり、チェックリストを新たに作るなど、真摯に対応していくでしょう。
しかし、ここで考慮しなければならないのが、いわゆる“コンプラ疲れ”です。金融庁が公表している「コンプライアンス・リスク管理に関する検査・監督の考え方と進め方(コンプライアンス・リスク管理基本方針)」(平成30年10月)には、
『過度に詳細かつ厳格な社内規程の蓄積、形式的な法令違反の有無の確認、表面的な再発防止策の策定等の形式的な対応が何重にも積み重なり、いわゆる「コンプラ疲れ」が生じている。』
出典:金融庁ウェブサイト 「コンプライアンス・リスク管理に関する検査・監督の考え方と進め方(コンプライアンス・リスク管理基本方針)」(案)へのパブリックコメントの結果等について
と明記されています。
“コンプラ疲れ”は実務の形骸化を生み、結果、金融犯罪横行の見逃しを招き、コンプライアンス対応のためのさまざまな施策自体が、かえって実効性を損なう、ひいては、日本の一国としての金融システムの健全性や円滑な運営が阻害されるということに繋がりかねません。
※1「顧客保護」「市場の健全性」「有効な競争」に対して、金融機関が悪影響を及ぼす行為に対するリスク
II. テクノロジーで“コンプラ疲れ”を防ぐ
では、“コンプラ疲れ”をどう防止するか? 答えの1つが、最新テクノロジーを活用したデジタルレイバーの導入です。
デジタルレイバーの導入には、以下の3段階があります(図表1 参照)。
図表1 デジタルレイバーの3つの段階
Class1 定型処理の自動化
RPA(ロボティック・プロセス・オートメーション)で定型業務を自動化する段階で、さまざまな分野で既に実用化されています。
定型業務の範囲は意外と広く、一般に属人的だと思われている業務でも解析してみると8割以上が定型業務だったという報告もあります。ポイントは、業務プロセスをリエンジニアリングし、機械が作業する部分、人間の判断が真に必要な部分をうまく切り分けるなど、人がより付加価値の高い業務を遂行できるような業務設計にすることです。
Class2 非定型処理の自動化
機械学習の手法によって、非定型業務を処理させる段階です。
既に医療の分野では、MRI画像等の診断に機械学習が活用されています。同様にマネロンのトランザクションモニタリングシステムでのアラートをAIに学習させ、当局に届けるべきレベルか判定させるなどの処理が実用段階に入り、実績を上げつつあります。
Class3 高度な自律処理
人間がAIに正解を示す必要さえない段階です。
顧客属性、入出金データ等と定義されたデータだけでなく、音声やSNSのログ等含め、ありとあらゆるデータをAIに与えて、“不審な”(数学的に特異な)取引を特定し、アラートを出させるようなシステムです。ただし、AIの判定プロセスが現在はブラックボックスで、なぜこの取引が疑わしいと思ったのかという人間が判断できる材料をAI側は一切出してくれません。そのため、AIの結果を人間が再検証して、最終判断を下さなくてはいけないという問題が残ります。
III. 「顧客体験の向上」を真の目的に
“コンプラ疲れ”を防ぐためのもう1つの答えが、カスタマーセントリックの視点で情報基盤を再設計することです。
これまでの規制対応は「規制が厳しくなったのでシステムを変える」という屋上屋的・場当たり的なものでした。しかもその対応は、既存の市場や顧客、商品サービス、従来のチャネル等を前提としたものではなかったでしょうか。「○○Pay」といったスマホ決済等、さまざまなディスラプションが起きている中で、レガシーな基盤を前提にした規制対応は無意味なものになりかねません。
規制対応はお金を生まないと言われていました。その発想自体を変えるべき段階に来ています。屋上屋的な規制対応は、結果として顧客の利便性を阻害することになりかねません。コンプライアンス要件を満たすため、顧客が何度もクリックしなければ目的の画面にたどり着けないような設計では、面倒で、いずれ使われなくなってしまうかもしれません。ビジネス環境は常に変化し、それに呼応してコンプライアンスも変わります。規制厳格化に対応するためには、部分最適な追加対応ではなく、テクノロジーを利用して情報基盤そのものを変える必要があるのです。
重要なのは、顧客体験の向上です。金融機関として顧客をより正しく理解し、顧客からもこの金融機関と取引を実施するメリットを体感してもらうためには、どういう情報基盤、どういう機能、どういうチャネルが必要なのかを、顧客を金融機関の中心に据えて再設計していく必要があるのです。
IV. AI導入では、目的を理解可能な 言葉で説明できることが大切
顧客体験を向上させながらコンプライアンス要件を満たすためには、AIの活用が期待されます。ただし、AIは従来のシステムとは違い、導入に際しては以下の3点に留意する必要があります。
1. AIの目的等、容易に理解可能な言葉で説明できること
AIは、人間が理解できるような形で、どうしてその結果になったのかを説明しません。ただ答えだけを出します。したがって、そのAIはどういう問題を解決しようとしているのか、そのためにどんなロジックを利用しているのか、AIソリューションを設計する段階で、人間が明確に定義しなければなりません。経営陣がAIのテクニカルな専門的な部分まで理解するという意味ではありません。AIが最適解を抽出する際にパラメーターをどのようなアルゴリズムによって最適化しているのか、それが本来の機能目的にどのように適合しているのかの説明可能性を確保することがAIガバナンスの要となります。
2. フェアネスが確保されていること
AIのモデルの中に、性差別や宗教差別、人種差別に繋がる判断基準が含まれていないかをチェックする必要があります。いくら説明可能かつ有用なモデルであっても、それを利用することで倫理的に問題がある等と批判される可能性があります。
3. 整合性(リネージュ)を確認すること
AIといってもシステムです。したがってレガシーシステムでもそうでしたが、インプットからアウトプットまでの全プロセスを通じて、データが正しく本来の目的どおりに使われているかどうかを確かめる必要があります。
たとえばウェブサイトからの情報収集を自動化する場合、情報が掲示されている画面上の特定の箇所(たとえばページの右上)を文字認識させてデジタル化するといったテクノロジー(スクリーンスクレイピング)が使われます。しかし、サイトの改訂等でページのデザインが変わり、必要な情報がページの左下に掲示されるようになることもあります。システムは相変わらず右上の無関係な情報を取得してきます。このような事が起こり得るとの想定で変更管理の枠組みを導入しないと、意味のないデータを処理し続けていることに気づかない状態が長期間放置されるということになってしまいます。このような設計上の不備は、テクノロジー専門家に任せきりにすると起きがちなケースであり、よりゼネラリスト的なガバナンスの発想で管理することが求められます。
各国当局による金融機関への巨額制裁金、あるいはその背景となっている金融機関側のコンプライアンス不備の深刻度が明らかになるにつれ、海外では国を挙げて「KYC(Know Your Customer)」の共通化やプラットフォームの構築を真剣に考え始めています。
欧州では、オランダが2019年1月に大手行がKYC共通化のプラットフォームを試験的に開始することを公表し、同年9月に4大銀行と金融当局で犯罪が疑われる金融取引情報を共有するパイロットプロジェクトが開始されました。また、スウェーデンなどの北欧諸国では、大手5行がKYC共有のための運営会社を2018年に設立すると公表し、既に欧州委員会の許可を得て、実証実験が開始されており、2020年度中には運用開始を予定しています。
アジアでは、シンガポールが2017年から金融機関の本人確認に、政府のデジタルID「MyInfo」の活用を認めたり、2018年にシンガポール銀行協会が法人顧客を対象としたKYC共有化プロジェクトを実施したりするなど動きが活発です。インドでも2009年から開始された政府によるデジタルIDプロジェクト「Aadhaar」を活用したeKYCのベータ版を既に導入しています。このほかタイでは、2018年に政府によるデジタルIDが導入されましたが、それに先立つ2016年にeKYCに関する法改正が実施されており、デジタルIDを活用したeKYCが既に認められています。
一方、日本はこういったテクノロジー導入が遅れているのが現状です。2019年10月に官邸主導で開催された未来投資会議では、これまで各金融機関が個別に取り組んでいたマネロン対策に対して、各社が共同で取り組むことへの検討が盛り込まれました。今後、さらに厳しくなる金融規制に対して、金融機関は対応に苦慮する局面が増えることが懸念されますが、その際にRegTechの戦略的な導入の可否が、成功のカギを握ると考えます。
執筆者
有限責任 あずさ監査法人
金融事業部 金融アドバイザリー部
RegTechサービスライン
マネージング・ディレクター 山﨑 千春