ERP システムにおける AML コンプライアンス: 顧客の把握とトランザクションの監視

マネーロンダリング対策 (AML) コンプライアンスは、もは​​や銀行や金融機関だけの関心事ではありません。専門サービスや不動産から高級品、仮想通貨取引所、多額の支払いを処理する企業に至るまで、さまざまな分野の企業は、ERP システムがサポートしなければならない AML 義務に直面しています。金融活動作業部会 (FATF) 基準は、200 以上の管轄区域で国内法を通じて導入されており、支払い処理、顧客のオンボーディング、取引監視、記録保持、および不審な活動の報告に関わる一連の義務を生み出しています。

ERP システムは、AML リスクであると同時に AML コントロールでもあります。彼らは顧客の支払いを処理し、売掛金を管理し、サプライヤーの取引を処理し、規制当局が調査する財務証拠を生成します。 AML コンプライアンスをサポートし、金融犯罪の手段となることを回避するように ERP を構成するには、法的義務と技術的管理の両方を理解する必要があります。

重要なポイント

• AML義務は、不動産業者、会計士、弁護士、高額商品販売業者、信託および企業サービスプロバイダーなど、幅広い非金融業に適用されます。
• 顧客確認 (KYC) と顧客デューデリジェンス (CDD) が基礎です - ビジネス関係を確立する前に顧客の身元を確認します
• 強化デューデリジェンス（EDD）は、PEP（政治的暴露者）、高リスクの管轄区域、複雑な所有構造を含む高リスクの顧客に必要です
• 取引監視では、異常なパターンを検出する必要があります: 構造化、資金の急速な移動、顧客プロファイルと一致しない取引、高リスクの仕向国
• 不審な活動が特定された場合は、不審活動報告書 (SAR) を国家金融情報局 (FIU) に提出する必要があります。件名を密告することは犯罪です。
• FATF の 40 の勧告が世界的な AML 標準を形成します。管轄区域は国内法を通じて実施する
• AML 用の ERP 構成: 顧客分類、支払いスクリーニング、トランザクション ルール、監査証跡、および SAR ワークフロー統合
• 違反の罰則: 刑事訴追、多額の罰金 (大手銀行の場合 50 億ドル以上)、営業許可の取り消し、評判の破壊

---

AML 規制の枠組み

FATF と 40 の勧告

金融活動作業部会 (FATF) は、マネーロンダリング、テロ資金供与、拡散資金提供を防止するための国際基準を設定する政府間機関です。その 40 の勧告 (最終更新 2023 年) は、AML/CFT (テロ資金供与との闘い) プログラムの世界的に認められたベンチマークです。 FATF は加盟国の相互評価を実施します。低格付け国はグレーリストまたはブラックリストに指定される可能性があり、金融​​アクセスに大きな影響を及ぼします。

企業向けの主要な FATF 推奨事項:

• 推奨事項 10: 顧客デューデリジェンス (CDD)
• 推奨事項 11: 記録の保管 (最低 5 年間)
• 推奨事項 12: PEP 要件
• 提言 13: コルレス銀行業務
• 推奨事項 14: 金銭または価値の転送サービス
• 推奨事項 15: 新しいテクノロジーと仮想資産
• 勧告 20: 疑わしい取引の報告
• 勧告 22: 指定された非金融事業および専門職 (DNFBP)

AML 義務の対象となるのは誰ですか?

金融機関: 銀行、信用機関、決済サービスプロバイダー、両替所、証券会社、保険会社、暗号資産サービスプロバイダー (EU の MiCA に基づく)

指定された非金融事業および専門職 (DNFBP):

• 不動産業者（不動産の売買）
• 弁護士、公証人、会計士 (金融取引、会社設立、信託契約に関与する場合)
• 信託および企業サービス プロバイダー (TCSP)
• 貴金属および宝石のディーラー (しきい値を超える取引、通常は 10,000 米ドルまたは 10,000 ユーロ)
• カジノ (オンライン カジノを含む)

高額商品: 美術品販売業者 (EU では 10,000 ユーロを超える取引)、基準値を超える高級品販売業者、一部の管轄区域におけるヨットおよび航空機のブローカー

暗号資産サービスプロバイダー: FATF 勧告 15 および EU MiCA (暗号資産規制における市場、2024 年 12 月に完全適用) に基づき、暗号資産取引所、カストディアン、および特定の DeFi プラットフォームには完全な AML 義務があります。

企業部門への警告: 一般的な営利企業 (DNFBP カテゴリーに含まれていない) には通常、FATF に基づく AML 報告義務はありません。しかし、多くの企業は部門固有の要件に直面しており (規制取引所に上場している企業、政府請負業者など)、ほとんどの法域で一般的な犯罪収益報告義務があります。

---

顧客確認 (KYC) と顧客デューデリジェンス (CDD)

標準 CDD 要件

CDD は、ビジネス関係を確立する前、またはしきい値を超える取引を時折行う前に実行する必要があります。標準 CDD には次のものが含まれます。

1.顧客識別: 識別情報を取得します。個人の場合: 正式な氏名、生年月日、国籍、住所、国民 ID またはパスポート番号。法人の場合: 正式な法人名、法的形態、設立管轄区域、登記上の事務所の住所、取締役/受益者の身元。

2.検証: 信頼できる独立した情報源を通じて提供された情報を検証します。個人の場合: 政府発行の写真付き身分証明書、住所の公共料金請求書。法人の場合: 会社登記書類、定款、定款、正式な登記記録。

3.受益者所有者: 法人の最終受益者 (UBO) を特定し、確認します。通常は、法人の 25% 以上を所有または管理する自然人です (一部の法域では、これより低いしきい値が使用されます)。複雑な所有権構造（信託、名義人、オフショア車両）では、自然人レベルまで追跡する必要があります。

4.ビジネス関係の理解: ビジネス関係の性質と目的、および資金源を理解します。

5.継続的なモニタリング: ビジネス関係と取引を継続的にモニタリングして、顧客プロファイルとの一貫性を確保します。

強化されたデューデリジェンス (EDD)

EDD は、リスクの高い顧客、ビジネス関係、および取引に必要です。トリガーには次のものが含まれます。

政治的暴露者 (PEP): 政府高官、国有企業の幹部、国際機関の幹部、政党の幹部、およびその家族および側近。 PEP の場合、EDD は次のことを要求します。関係を確立する前に上級管理者の承認を得る。富と資金の源を確立する。継続的なモニタリングが強化されました。

高リスク管轄区域: FATF のグレーリストまたはブラックリストに載っている国、または重大な AML 欠陥がある管轄区域。高リスクの管轄区域が関与する取引には、他のリスク要因に関係なく EDD が必要です。

非対面のオンボーディング: 対面での認証よりもリスクが高くなります。強化された認証 (証明書のコピー、ビデオ認証、電子的本人確認サービス) を使用してください。

複雑な所有権構造: 階層的な企業構造、信託、指名手配 — 自然人 UBO に遡ります。構造の原理を理解します。

異常な取引パターン: 取引が記載されているビジネスまたはリスク プロファイルと一致しない顧客。

簡易デューデリジェンス (SDD)

リスクの低い顧客や取引の場合は、識別要件が少ない、または検証の深さが少ないため、SDD が適切な場合があります。 SDD は PEP や高リスクの管轄区域には適用できません。例: 規制市場に上場されている確立された公開会社、政府部門。

---

KYC/CDD のための ERP 構成

最新の ERP システムは、顧客のオンボーディング プロセス内で KYC/CDD ワークフローをサポートするように構成できます。 Odoo および同様のプラットフォームの場合:

顧客分類フィールド: ・顧客の種類（個人/法人/政府/金融機関）

• 法人登録番号、国、設立日
• UBOの名前、生年月日、国籍、所有割合
• PEP ステータス (はい/いいえ/アソシエイトを閉じる)
• 顧客リスク評価 (低/中/高)
• CDD 完了日と審査担当者
• 書類チェックリスト（本人確認済み、会社登録確認済み、UBO確認済み）
• 次回のレビュー日 (リスク評価に基づく - 高リスク: 毎年、中リスク: 2 年、低リスク: 3 年)

ドキュメント管理: ドキュメントのアップロードを顧客記録にリンクします。身分証明書 (パスポート、免許証) および会社登録の有効期限切れアラートを実装します。

ワークフローの自動化:

• 新規顧客の作成が CDD チェックリストをトリガーする
• PEP フラグにより EDD ワークフローと上級管理者の承認キューがトリガーされます
• 高リスク管轄フラグにより EDD がトリガーされる
• 文書の有効期限切れアラートによりレビューキューがトリガーされる
• 年次レビューリマインダーが自動的に生成されます

スクリーニングの統合: ERP は、API を介して制裁スクリーニング サービス (Refinitiv World-Check、Dow Jones Risk & Compliance、Comply Advantage) と統合し、以下に対して顧客と受益者を自動的にスクリーニングできます。

• OFAC SDN リスト (米国)
• EU 統合制裁リスト
• 国連安全保障理事会の制裁
• PEP データベース

---

トランザクションの監視

トランザクション監視は、顧客のトランザクションを体系的にレビューして、顧客のプロファイル、ビジネス、またはリスク レベルと一致しないパターンを検出することです。効果的なトランザクション監視には、ルールベースのアラートと、AI を活用した異常検出の両方が必要です。

高リスク取引の指標 (危険信号)

構造化 (スマーフィング): 大規模なトランザクションを報告しきい値未満の小さな金額に意図的に分割します。危険信号: 同じ顧客または関連当事者からの 10,000 ドル (または現地の同等額) をわずかに下回る複数の取引。

迅速な資金移動: 口座に滞留する時間がほとんどなく、明らかなビジネス目的もなく、資金が受け取られてすぐに送金されます (「レイヤリング」)。

四捨五入取引: 異常な数の四捨五入取引 (ちょうど 50,000 ドル、100,000 ドル) は、構造化された支払いを示している可能性があります。

高リスクの地理的パターン: FATF ブラックリスト/グレーリストに登録された管轄区域、特定の犯罪類型に関連する管轄区域 (タックスヘイブン、オフショア金融センター) との間の支払い。

事業概要と一致しない取引: 外国の取引相手から多額の電信送金を受け取る小売事業。何百もの異なる個人から支払いを受け取る個人事業主。

現金集約型取引: 多額の現金支払い (不動産、高額商品)。複数の現金預金。現金収入が記載された事業収益と一致しない。

第三者支払い: ビジネス関係に直接関係のない第三者に支払いを行う顧客。顧客に代わって未知の第三者からの支払い。

緊急リクエスト: 適切なビジネス上の正当な理由がないのに、取引を迅速に完了するよう求めるプレッシャー。緊急性を理由に通常の管理を回避する。

ERP トランザクション監視ルール

ERP またはトランザクション監視システムで次のルールを構成します。

Rule 1 — Structuring Alert:
TRIGGER if sum of transactions from a single customer within 24 hours
        approaches or exceeds reporting threshold (e.g., $9,500 aggregate)
TRIGGER if multiple transactions in 7 days total exceed 150% of customer's
        historical average transaction volume

Rule 2 — High-Risk Geography Alert:
TRIGGER if payment destination country is on FATF blacklist/greylist
TRIGGER if beneficial owner is resident in high-risk jurisdiction

Rule 3 — Unusual Volume Alert:
TRIGGER if single transaction exceeds 3× the customer's average transaction size
TRIGGER if monthly transaction volume exceeds 5× the historical 12-month average

Rule 4 — Rapid Movement Alert:
TRIGGER if funds received are transferred out within 48 hours
        and transfer exceeds 80% of received amount

Rule 5 — PEP/Sanctions Hit:
TRIGGER if customer or beneficial owner matches sanctions or PEP database
TRIGGER on name change or new beneficial owner addition

---

不審な活動の報告 (SAR/STR)

取引監視アラートが調査され、不審な活動が確認された場合、または従業員が不審な活動を特定した場合、不審な活動報告書 (SAR) または不審な取引報告書 (STR) を国の金融情報局 (FIU) に提出する必要があります。

管轄区域別の主な FIU:

• 米国: FinCEN (金融犯罪取締ネットワーク) — BSA 電子申告経由で提出された SAR
• 英国: 国家犯罪庁 (NCA) — SAR オンライン経由で提出された SAR
• EU 加盟国: 各国には国内 FIU があります (例: ドイツの BaFin/FIU、フランスの TRACFIN、ルクセンブルクの CSSF)
• オーストラリア: AUSTRAC — AUSTRAC オンライン経由の SAR
• UAE: マネーロンダリングおよび不審事件対策ユニット (AMLSCU)

重要なルール: 密告の禁止: SAR が提出された後、または SAR を提出する合理的な理由がある場合、SAR の対象者に SAR が提出されたこと、または捜査中であることを伝えてはなりません。ほとんどの管轄区域では、密告は刑事犯罪となります。不審な行為について顧客に連絡しないでください。彼らに警告を与える明らかな資金を凍結しないでください。 SAR の処理中も通常の業務を継続します。

SAR content:

• 不審なアクティビティの説明
• 取引の日付と金額
• 顧客情報（名前、身分証明書、口座詳細）
• アクティビティが疑わしい理由の説明
• 過去の不審なアクティビティ
• とられた措置（ある場合） - 関係を継続するか終了するかのビジネス上の決定を文書化します。

記録保持: SAR 記録は少なくとも 5 年間保持します。これらの記録は、検査中に規制当局によって要求されることがよくあります。

---

記録保持の要件

FATF 勧告 11 および各国の施行法では、以下の情報を最低 5 年間保存することが求められています。

• 顧客の身元確認および検証記録（取引関係の終了時のもの） ・取引記録（取引日以降）
• SAR 記録とサポート文書

記録保持のための ERP 構成:

• 保持期間が終了する前に顧客 ID レコードの削除を許可しないでください。
• 記録が保持された閉鎖アカウントをアーカイブする
• 自動保存スケジュール: 5 年ごとにアーカイブ/レビューの対象となるレコードにフラグを設定します。
• 顧客記録への変更の不変監査ログ
• AML レコードを対象としたバックアップおよびリカバリ手順

---

企業向けの AML リスク評価

AML 義務の対象となるすべての企業は、以下を対象とする AML リスク評価を実施し、文書化する必要があります。

1. 顧客リスク: 顧客は誰ですか?高リスク（PEP、非居住者、複雑な構造）はありますか?
2. 製品/サービスのリスク: どの製品/サービスがより高い ML/TF リスク (現金受領、高額取引、世界的な展開) を伴いますか?
3. 地理的リスク: 高リスクの管轄区域内で事業を行っていますか、またはサービスを提供していますか?
4. 取引/配信チャネルのリスク: オンライン オンボーディング、非対面配信、仲介業者

リスク評価は、AML プログラムにおけるリスク選好度、CDD しきい値、トランザクション監視ルール、および EDD トリガーを推進します。

---

ERP AML コンプライアンス チェックリスト

• 貴社の業種および管轄区域に対する AML 義務の評価が完了しました
• 書面による AML ポリシーと手順の文書化
• マネーロンダリング報告責任者 (MLRO) が指名される
• 顧客リスク評価フレームワークの文書化 (低/中/高基準)
• ERP 顧客オンボーディング ワークフローに実装された KYC/CDD チェックリスト
• UBO の識別と検証プロセスが文書化されています
• PEP、リスクの高い地域、複雑な構造向けの EDD ワークフロー
• 顧客データベースと統合された制裁およびPEPスクリーニング
• トランザクション監視ルールの設定とテスト
• アラートレビュープロセスの文書化 (レビュー担当者、エスカレーション、タイムライン)
• SAR 提出プロセスの文書化 (フォーム、提出手順、密告の禁止)
• AML義務、危険信号、SARプロセスに関するスタッフトレーニング
• 記録保持の設定: CDD およびトランザクション記録については最低 5 年間
• 年次AMLリスク評価を文書化
• 上級管理職への MLRO 年次報告書が完成

---

よくある質問

銀行ではない場合、通常のビジネスに AML コンプライアンスは必要ですか?

それはあなたのビジネスの種類、管轄区域、取引の性質によって異なります。 FATF 勧告 22 は、不動産業者、会計士、弁護士、TCSP、貴金属/宝石のディーラー、カジノなどの特定の DNFBP に AML 義務を適用します。あなたのビジネスがこれらのカテゴリに該当する場合、完全な AML 義務が適用されます。そうでない場合は、正式な AML 報告義務はない可能性がありますが、意図的にマネーロンダリングを促進することを禁止する一般的な犯罪収益に関する法律に直面することになります。特定のセクター (暗号通貨、ゲーム、決済サービス) には、DNFBP ステータスに関係なく、追加の AML 義務があります。

不審行為報告を提出するための基準はどれくらいですか?

SAR の申告には金銭的な基準はありません。その義務は取引規模ではなく、疑いから生じます。顧客またはその資金がマネーロンダリングまたはテロ資金供与に関連しているという知識や疑い、または疑いの合理的な理由がある場合は、SAR を提出する必要があります。多くの法域では個別の取引報告要件が定められています (たとえば、米国では 10,000 ドルを超える現金取引の通貨取引報告書)。これらは SAR とは異なり、疑いの要件なしで自動的に適用されます。

制裁リストに照らして顧客をどのようにスクリーニングするのですか?

制裁スクリーニング サービスは、制裁対象の個人、団体、国のデータベースを提供し、ビジネス システムとの API 統合を提供します。主要プロバイダーには、Refinitiv World-Check、Dow Jones Risk & Compliance、LexisNexis、Comply Advantage、ComplyAdvantage が含まれます。これらを API 経由で ERP と統合し、オンボーディング時およびリストの更新時に継続的にスクリーニングを行うことができます。少なくとも、OFAC SDN リスト (米国)、EU 統合制裁リスト、国連安全保障理事会統合リスト、および管轄区域の国家制裁リストに対してスクリーニングを行ってください。ヒットを処理するための明確なプロセスを実装します。すべてのヒットが真に一致するわけではありません (似た名前では誤検知がよくあります)。

SAR を提出し、不審なアクティビティについて間違っていた場合はどうなりますか?

SAR 申告者は、たとえ報告された活動が最終的にマネーロンダリングであることが証明されなかったとしても、誠実に申告した場合には一般に民事責任から保護されます。ほとんどの管轄区域では保護が強力です。FIU が調査し、犯罪行為が存在するかどうかを判断します。誠実な SAR を提出することは、本当に疑いがある場合に提出しないよりも常に安全です。密告の禁止により、SAR を提出したことを顧客に伝えることができなくなります。故意に虚偽の SAR を提出することは別の犯罪となりますが、善意の過失は保護されます。

企業に対する AML 違反に対する罰則は何ですか?

罰則は管轄区域と違反の性質によって大きく異なります。規制対象の金融機関にとって罰金は巨額で、AMLの破綻に対してHSBCは19億ドル（2012年）、ゴールドマン・サックスは29億ドル（2020年）、コメルツ銀行は14億5000万ドル（2015年）を支払った。 DNFBP の場合、罰金は軽いですが重大です。英国の HMRC は、AML の失敗に対して不動産業者に最大 80 万ポンドの罰金を科しています。すべての企業にとって、マネーロンダリングそのものに対する刑事訴追（犯罪収益に関する法律に違反した場合）は、投獄される可能性があります。公的強制執行による風評被害は、金銭的な罰金を超えることがよくあります。

---

次のステップ

AML コンプライアンスを ERP システムに組み込むことは、金融犯罪責任、規制上の制裁、マネーロンダリングの手段として特定されることによる風評被害からビジネスを守るための投資です。構成作業 (顧客の分類、スクリーニングの統合、トランザクション監視ルール、SAR ワークフロー) は、顧客データの品質とトランザクションの可視性を向上させることで、AML コンプライアンスをはるかに超えた利益をもたらします。

ECOSIRE の Odoo 実装チームは、顧客のリスク分類、文書管理、トランザクション監視ルールの設計、監査証跡の構成など、AML をサポートするワークフローを使用して ERP システムを構成した経験があります。

始めましょう: ECOSIRE Odoo サービス

免責事項: このガイドは情報提供のみを目的としており、法的アドバイスを構成するものではありません。 AML の義務は管轄区域ごとに大きく異なり、FATF の更新や国内法を通じて定期的に進化します。組織固有のアドバイスについては、資格のある法律顧問および認定 AML コンプライアンス専門家にご相談ください。