サイバー攻撃は今や企業のCEOや役員が最も懸念するビジネス上の脅威となっています。しかし、PwCが実施したグローバル情報セキュリティ調査2018では、その回答者の44%が、いまだ包括的な情報セキュリティ戦略を策定していないと回答しています。また、経済犯罪実態調査2018からは、グローバル企業の約半分が過去2年の間に不正の被害に遭っていることが明らかになりました。この数は2016年から13%増加しています。金融機関が金融犯罪の脅威をより明確に把握し、不審な取引を迅速に特定するとともに、調査を効率的に行うためには、サイバーセキュリティ、不正対策、マネーロンダリング対策(AML)管理を統合的に強化する必要があります。
サイバーセキュリティ、不正防止、AMLプログラムには共通する要素や管理体制があります。これらを統合することで、人員、プロセス、テクノロジーの全体を通じて多くの相乗効果が期待できます。企業は今後、統合すべき特定のプロセスと、分割したままにしておくべきではあるものの、より緊密な情報共有が必要なプロセスがあることを認識するでしょう。
共通するタスクやプロセスを統合することで、金融機関は金融犯罪の防止に適切に対処することが可能となります。これは同時に決済の迅速化やオープンバンキングといった新たなテクノロジーの可能性を追求することにもつながります。金融機関は、不審な取引があった場合、即座に取引を差し戻すことができなくてはなりません。顧客は決済やその他の依頼が瞬時に処理されることを当然のこととして期待しています。支払指図の真偽を見極めるために、ユーザーが使用する携帯端末のモデルやIPアドレス、過去の決済履歴といった顧客の行動パターンに関する情報を即座に参照できるようにする必要があります。これは金融機関内で情報共有の仕組みが整い、完全なデータを得られるようになって初めて可能となるのです。
金融犯罪防止プロセスの統合を実現するためには、プログラム全体の骨格となる明確な運用モデルを構築することが重要です。効果的な運用モデルの成立には、構造、監視、機能というそれぞれの構成要素が適切である必要があります。
金融犯罪リスク委員会やその方針、エスカレーションの手順、組織構造、人事、職員の配属や意思疎通のモデルから成る企業全体のガバナンスモデルを規定します。これには、組織における三つの防衛線全体にわたり、その役割、責任、コミュニケーションを具体化(そして明確に文書化)することも含まれます。三つの防衛線とは、不正リスクの管理・対処に一義的な責任を負う事業部門、不正リスクの監視および管理を担う独立したリスク管理部門、そして不正リスク管理に対して独立した監査を通じて保証を提供する内部監査部門を指します。
こうしたタイプのガバナンスモデルを構築するにあたり、金融機関はどのチームであれば合併可能であるかを見定めた上で、プロセスを統合しなければなりません。この方法を用いることで、重複する作業の洗い出しと整理が可能となります。例えば、エスカレーションされたマネーロンダリングのアラートを調査する専門チームと、同じようにエスカレーションされた不正のアラートを調査する専門チームを別々に設置するのではなく、合同チームを設置して両者に対応することが考えられます。マネーロンダリングに関する調査業務と不正に関する調査業務には重複する内容が多く、データの可視性が向上すれば、同じチームで対処する方がより効果的となるでしょう。
金融犯罪の防止にかかわるさまざまな規律を効果的に管理するために、全社にわたるガバナンスのフレームワークを構築し、サイバーセキュリティ、不正防止、AMLプログラムの管理・実施・監視を支援する金融犯罪リスク委員会を正式に組織内に設置します。これにより、金融犯罪の防止戦略や方針の実行が可能になり、事業部門が戦略を策定するにあたり、金融犯罪に対するリスク許容度を確実に理解し、考慮することができるようになります。統合プロセスの第一段階として、経営幹部や取締役会が金融犯罪リスクを一元的に把握できるよう、現行の報告体制を見直し、合理化する箇所を特定する必要があるでしょう。これはつまりサイバーセキュリティ、脅威・脆弱性情報、物理的なセキュリティ、不正防止などを含む関連業務を、チーフ・セキュリティ・オフィサーの下に集約するということにもなります。
標準化されたプロセスや、単一のケース・マネジメント・システム、そして一貫性のある根本原因分析といった中央集権型のテクノロジーソリューションを用いることで、協調的で効果的、かつ再現しやすい調査プロセスが実行できるようになります。
グループ間の情報共有は、包括的な調査を促進しますが、同時に企業は一つのフレームワークの中で、一貫性のあるプロセスを育成することが求められます。しかしこれらの対応により、金融犯罪リスクは全般的に軽減するでしょう。AML、サイバーセキュリティ、不正防止管理を収束することは、金融機関が規制義務を果たしながら、いかにこれらのプロセスを統合するかを改めて考察する良い機会ともなります。
プロセス統合への道のりは、金融機関の規模などにより異なり、容易でもなければ、即座に対応できるものでもありません。ただちに統合の機が熟す場合もあれば、将来的に統合すべきもの、また統合すべきではない(今後も別々であるべき)ものもあるでしょう。
適切なソリューションは組織により異なり、導入に際してはさまざまな要因を考慮する必要があります。例えば提供する製品・サービス、組織の地理的拠点、現地の法律および規制上の要求事項、顧客ベースなどがあげられます。
他の金融犯罪対策部門の責任者と統合案に関する議論を始めましょう。統合がもたらす短期的な利益を明らかにし、相手方のフィードバックを引き出すことで、継続的に対話する機会を持ちます。そして、活用できるさまざまなテクノロジーやツールを見極め、より効果的なソリューションの導入に向けたステップについて協議を始めましょう。
コンプライアンスのなかでもマネーロンダリング/テロ資金供与対策に関する領域は全ての金融機関にとって最重要の経営課題になっています。遵守に支障をきたした場合のペナルティーは重くブランドの毀損も不可避です。一方で管理態勢の構築や運用にかかるコストは増大しており効果的な対応が求められます
日本企業がDXを推進し、ビジネスを持続的に成長させていくためには、デジタル時代において必要とされる信頼、すなわち「デジタルトラスト」の構築が求められています。PwCは、サイバーセキュリティ、プライバシー、データの安全性、信頼性などさまざまな観点から、クライアントのデジタルトラスト構築を支援します。