8月3日、筆者の手元にSquire Patton Boggs 法律事務所の所属弁護士である シェイ・M.リーチ(Shea M.Leitch)とジセル・トミンビン(Gicel Tomimbang)の共著レポートが届いた。
Shea M.Leitch氏
Gicel Tomimbang氏
8月1日、ニューヨーク州金融サービス局(「NYDFS」または「DFS」)は、Robinhood Financial LLCによる人気のある投資アプリの完全所有の暗号資産取引ユニットである「Robinhood Crypto, LLC(以下、「RHC」という)」に対し、同意命令(Consent Order)(注1)と3,000万ドル(約39億9900万円)の罰金を課す旨発表したとある。
同命令の中で、NYDFSは、RHCが「連邦銀行等に対する機密性が高くまたは不審な現金払いおよび海外との金融取引等に関する報告義務法(federal Bank Secrecy Act:「機密取引報告義務法」という)」(注2)、州および連邦のマネーロンダリング防止規則(「BSA/AML」)およびNYDFSのサイバーセキュリティ規則に関するNYDFS規則を遵守しなかったと主張した。
さらにDFSが発行したプレスリリースによると、この調査では、RHCのBSA/AMLコンプライアンスプログラムの「重大な欠缺(significant deficiencies)」と、同社のサイバーセキュリティ・プログラムの「重大な違反(critical failures)」が明らかとなった。
今回のブログは、初めに(1)OCC のBank Secrecy Act (BSA) & Related Regulations の仮訳、解説を行い、次に(2)両弁護士の解説blog内容を補足しながら仮訳する。
Ⅰ.OCC のBank Secrecy Act (BSA) & Related Regulations解説
機密取引報告義務法(BSA)(31 USC 5311 et seq)は、以下のとおり国法銀行、連邦貯蓄機関、連邦支店および外国銀行の代理機関に対するプログラム、記録管理および報告要件を確立している。
(1) 機密取引報告義務法/マネーロンダリング防止:取引主体の顧客に対する顧客のデューデリジェンスと受益所有権の要件の概要と審査手続き
(2) 機密取引報告義務法/マネーロンダリング防止:改訂されたFFIEC BSA/AML 審査マニュアル
(3)連邦財務省、国家マネーロンダリングとテロ資金供与のリスク評価の発表
OCCの実施規則は、12 CFR 21.11および12 CFR 21.21に定める。BSAは、すべての銀行がBSAコンプライアンスプログラムの一環として顧客識別プログラムを採用することを義務付ける米国テロ阻止愛国者法の規定を組み込むために改正された。
1.BSAおよび関連法令
連邦銀行等に対する機密性が高くまたは不審な現金払いおよび海外との金融取引等に関する報告義務法(Bank Secrecy Act:BSA) - 31 USC 5311 – 5330
外国資産管理規則 (Foreign Assets Control Regulations (OFAC)) 31 CFR 500
テロ行為阻止のための適切な手段の提供よる米国民の団結強化に関する法律(USA PATRIOT Act:「米国テロ阻止愛国者法」 筆者ブログ の(筆者注4)参照。
2.BSAコンプライアンスを監視するための手順 - 12 CFR 21.21
この規制は、すべての国法銀行および貯蓄貸付組合(savings association)が、BSAの遵守を保証および監視するために合理的に設計された書面による取締役会承認したプログラムを持つことを義務付けている。このプログラムは、少なくとも次のことを行う必要がある。
(1)継続的なコンプライアンスを保証するための内部統制システムを提供する。
(2)コンプライアンスのための独立したテストを提供する。
(3)日々のコンプライアンスの調整と監視を担当する個人を指定する。
(4)適切な人員のためのトレーニングを提供する。さらに、米国テロ阻止愛国者法第326条の実施規則では、すべての銀行がBSAコンプライアンスプログラムの一環として顧客識別プログラムを採用することを要求している。
3.連邦法違反または疑わしい取引・活動の報告 - 12 CFR 21.11 および 12 CFR 163.180
この規則により、すべての国法銀行は、マネーロンダリング活動またはBSA違反に関連する連邦法違反または疑わしい取引の特定の既知または疑いを検出した場合、疑わしい活動報告書(SAR)を提出する必要がある。SARの提出は、次のとおり潜在的な犯罪のために必要とされる。
(1)金額に関係なくインサイダー取引の濫用を伴う。
(2)特定可能な容疑者がいて、取引に5,000ドル以上が含まれる場合。
(3)識別可能な容疑者がいないが、取引に25,000ドル以上が含まれる場合。潜在的なマネーロンダリングまたはBSA違反を示す疑わしい活動の場合にもSAR提出が必要であり、取引には$ 5,000以上が含まれる。
4.一次ロンダリングに関する懸念の機関(Institutions of Primary Laundering Concerns)
米国テロ阻止愛国者法第311条によって追加された機密取引報告義務法第5318A条は、財務長官が外国の管轄権、機関、取引クラス、または口座の種類を「マネーロンダリングの主な懸念事項」として指定し、5つの「特別措置」のうちの1つ以上を課す権限を与えている。
5.BSAの報告要件(BSA Reporting Requirements)
国法銀行および貯蓄金融機関のBSA関連の報告要件は、米国財務省の金融犯罪執行ネットワーク(FinCEN)によって管理されている。金融機関は、BSA Eファイリングシステム(注3)を通じて電子的に報告書を提出する必要がある。
■通貨取引レポート (CTR)
Currency Transaction Report (CTR)
■通貨又は貨幣商品の国際輸送に関する報告書(CMIR)
Report of International Transportation of Currency or Monetary Instruments (CMIR)
■外国銀行及び金融口座の報告書(FBAR)
Report of Foreign Bank and Financial Accounts (FBAR)
■疑わしいアクティビティ レポート (SAR)
Suspicious Activity Report (SAR)
Designation of Exempt Person Form
Ⅱ.ニューヨーク州金融サービス局(「NYDFS」または「DFS」)は、「Robinhood Crypto, LLC(以下、「RHC」という)」に対し、同意命令(Consent Order)と3,000万ドルの罰金を課す旨発表
1.NYDFSのBSA/AML 違反の立証内容
同意命令の中で、NYDFSはRHCのBSA/AMLプログラムの調査で多くの欠陥が明らかになったと主張している。NYDFSおよび連邦BSA/AML規制の下では、企業、組織等は疑わしい活動を検出して報告し、米国連邦財務省の金融資産管理規則局によって禁止されている取引をブロックするためのポリシーと手順を実装および維持する必要がある。
しかし、DFSはRHCがこれらの要件を満たすための適切なポリシーと手順を実装していないと主張した。特にDFSは、RHCが「ライセンシーのリスクプロファイルに見合った」BSA/AMLプログラムを維持できなかったと主張し、RHCが2019年9月30日時点で1日あたり合計530万ドルの平均106,000件の取引を処理したにもかかわらず、RHCが手動の内部報告システムに依拠し続けたと指摘している。手作業による報告システムと不十分な人員配置の結果、NYDFSは「[RHCの]AMLスタッフが単にトランザクション・アラートに追いつくことができず、アラート処理の[a]重大なバックログ」をもたらしたと主張した。RHCは、2019年12月にBSA/AMLプログラムを見直すために第三者のコンサルタント(以下「コンサルタント」)を雇ったため、BSA/AMLの方針と手順が不十分であることを認識していたようである。コンサルタント契約中、コンサルタントはRHCにBSA/AML手順が「最小限の価値」であったと報告した。それでも、RHCの最高コンプライアンス責任者は、2019暦年のニューヨーク取引監視規則の遵守を認定した。
3.RHCのサイバーセキュリティ遵守義務の欠陥の指摘(Cybersecurity Deficiencies)
NYDFSはまた、RHCサイバーセキュリティ・プログラムの重大な不備を特定した。他の不備の中でも、DFSはRHCが親会社のポリシーと手順に過度に依存しており、RHCの運用、リスク、報告ライン、またはサイバーセキュリティ規則の完全な要件に完全には対応していなかったとRHCを非難した。他の欠缺に関し、DFSの調査は、RHCが(i)サイバーセキュリティリスクを管理し、サイバーセキュリティ規則に規定されたコア機能を実行するために、不十分なサイバーセキュリティ要員を採用したと判断した。(ii) データガバナンスと分類、IT資産管理、ビジネス継続性と災害復旧計画、システム運用、システムとネットワークの監視、システムとアプリケーションの開発、リスク評価、インシデント対応活動を導くための詳細なポリシーと手順が不十分であった。(iii)サイバーセキュリティ規則の要件を満たすリスク評価を実施しなかった。
特定されたコンプライアンスの欠缺に加えて、NYDFSはRHCのDFS監督協定に違反して、RHCが連邦および州の規制当局による調査を開示しなかったと指摘し、調査におけるRHCの協力と率直さに異議を唱えた。
4.同意命令の要件
同意命令に基づき、RHCはDFSに3,000万ドルの民事罰金を支払わなければらない。特に、この命令は、RHCが保険証券、補償、または税額控除を通じて罰金の費用を回収することを禁じている。またRHC は、既存のコンサルタントを再雇用して、BSA/AML およびサイバーセキュリティ規則の要件に対する RHC の現在のコンプライアンス・プログラムの包括的なレビューを実施し、RHC の改善を支援する必要がある。新しい契約の下では、コンサルタントはRHCの規則の遵守についてDFSに定期的な報告を提供する義務を負う。
【金融企業、組織における本事案における主な重要ポイント】
(1)以上述べたとおり、米国金融サービス業界は長年にわたり厳しい法規制の対象となっており、スタートアップはこれらの義務を免除されていない。非伝統的産業の革新的な組織は、しばしば独自のコンプライアンスの課題に直面している(たとえば、詐欺、マネーロンダリング、暗号通貨分野での違法行為のリスクの高まりと、従来の金融機関が直面する同様のサイバーセキュリティの課題)。指数関数的な成長はすべての組織の夢であるが、急速な拡大は多くの場合、コンプライアンスの負担の増加(そして潜在的に規制の精査)も伴う。したがって、組織は思慮深いコンプライアンス評価と、特定されたギャップの迅速な修復に取り組み、適用される法的、規制的、および契約上の要件を満たしていることを確認する必要がある。
このような評価を実施する場合、金融組織、機関は、可能な限り、評価結果が特権で保護され、裁判所または規制調査での後の生産を防ぐために、弁護士を介してコンサルタントや他のベンダーを関与させることを検討する必要がある。このような評価は、法律上およびコンプライアンス上および情報技術上の目的に役立ち、弁護士の監督下でそのような評価を実施することにより、弁護士は、適用される法律および規制の遵守に関する法的助言を組織に提供することができるといえる。
(2)特定のサイバーセキュリティ制御と評価を義務付ける既存の法律に加えて、多くの金融組織はまもなく、今後のカリフォルニア州、コロラド州、コネチカット州、バージニア州のプライバシー法の下でプライバシー影響評価を実施することが義務付けられる。したがって、複数の管轄区域で金融事業を展開する企業は、適用される法律や規制(これらの法律に含まれる比例性、データの最小化、保持義務など)に基づいて確立された要件を満たしていることを確認するために、プライバシーおよびセキュリティ評価プログラムを確立する必要がある。
さらに、企業は、適用される業界固有の義務(金融サービス業界のAMLなど)に留意し、それらのニーズを満たすようにコンプライアンスプログラムを調整する必要がある。チームSPBは、「2023年州プライバシー法コンプライアンスガイド(2023 State Privacy Law Compliance Guide)」を作成した。この無料で読むことができるリソースは、現在施行されている各州のプライバシー法の要件に関する情報と、新しい2023年の州プライバシー法の計画と準備でコンプライアンスチームを支援するための効率向上のために定められた一連の作業や優先事項サンプル(sample workstreams)を提供する。
*****************************************************************
(注1) 同意命令(同意審決とも呼ばれる)は、すべての当事者の同意を得て裁判官によって行われた命令または審決である。厳密には判決ではなく、裁判所が承認した「和解合意」である。合意は、当事者が和解に達した後に書面で裁判所に提出され、裁判官によって承認されると、合意は両当事者に拘束力があり、執行可能となる。同意命令は、一方の当事者の詐欺、または両当事者の側の誤りのために裁判所によって脇に置かれることを除いて、上訴することはできない。(コーネル大学ロースクールの解説を仮訳)。
(注2) わが国では「Bank Secrecy Act」を「銀行秘密法」と直訳されるケースが未だに多い。
これでは何が秘密なのか、誰の秘密なのかが分からない。同法は、現在では「愛国者法」に基づく改正も行われており、テロ資金防止法(BSA/AML)と引用されることが多いが、1970年に制定された当時は脱税のための資金洗浄阻止も重要な目的であったようであり、企業に対する同法の報告義務に関し、連邦財務省内国歳入庁(IRS)が多く関与している。分かりやすく言うと「銀行等に対する機密性が高くまたは不審な現金払いおよび海外との金融取引等に関する報告義務法」である。つまり、報告義務を課されるのは、狭義の金融機関(規制内容や罰則は金融機関の場合が厳しいが)だけでなく、現在は外国の銀行に金融資産を有する企業、さらに貴金属・宝石取扱業者もFinCENへの報告義務が課されるなど範囲が広がっている。IRSのサイトでは企業向けにBSAについて報告義務の内容や罰則規定についてQ&A等で詳しく説明している。(2009.4.3 筆者ブログの(筆者注4)参照)
(注3) BSA Eファイリングシステムは、FinCENセキュアネットワークを介した機密取引報告義務法(BSA)フォームの電子ファイリング(個別またはバッチ)をサポートしている。BSA Eファイリングは、BSAフォームを提出するためのより速く、より便利で、より安全で、より費用対効果の高い方法を提供します。BSA Eファイリングの詳細については、こちらを参照されたい。連邦財務省の解説を仮訳。
************************************************************
Copyright © 2006-2022 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.
※コメント投稿者のブログIDはブログ作成者のみに通知されます