はじめに
前回のブログでは、ECCTAで新たに創設された詐欺防止不履行罪(詐欺防止懈怠罪)について、その概要及び英国政府のガイダンス(以下「政府ガイダンス」)を踏まえ、日系企業が今後講ずべき実務対応を解説しました。
今回は、英国の金融業界団体であるUK Financeが2025年2月11日に公表した、金融機関向けの詐欺防止懈怠罪に関するガイダンス(以下「UKFガイダンス」)をご紹介します。UKFガイダンスはUK Financeに加盟する金融機関を対象としていますが、既存のコンプライアンス体制や規制の枠組みを前提とした具体的・実践的な内容であり、非金融機関である日系企業が詐欺防止不履行罪に対応する場合にも、実務上有益な示唆となります。
UKFガイダンスの位置付けと概要
UK Financeは、銀行、信用供与、マーケット、決済関連サービスを含む英国の金融サービス業界を代表する業界団体であり、日系金融機関の現地法人を含む300社以上が加盟しています。UKFガイダンスは政府ガイダンスを補完する形で作成されたものであり、両者に矛盾がある場合は政府ガイダンスが優先されます。
UKFガイダンスでは、以下の3点について、金融機関の業務特性を踏まえた解釈や指針が示されています。
- 詐欺防止不履行罪の概要及び解釈
例えば、詐欺防止不履行罪の構成要件である「関連する者(a person who is associated with the body)」に該当する可能性のあるサービス提供者の具体例として、決済サービス、アドバイザリーサービス、ファンド管理、カストディ業務などが挙げられています。一方で、シンジケートローンの共同アレンジャーやキャピタル・マーケッツにおける共同幹事・引受人は、原則として該当しないとされています。 - 合理的な詐欺防止措置
政府ガイダンスと同様に、企業が講ずべき合理的な詐欺防止措置として6つの主要原則が提示されています。これらの原則は、全ての詐欺を防止することは現実的に不可能であるとの認識の下、各社の業務内容やリスクの程度に応じて柔軟に適用するリスクベースのアプローチが強調されています。金融機関においては、既存のガバナンス体制、内部統制、法規制の枠組みを最大限活用しつつ、これらの原則を実効的に取り入れることが期待されています。 - 合理的な詐欺防止措置を講じないことが正当化され得る状況
例えば、英国国外でのみサービスを提供する場合や、顧客からの指示に基づき執行業務のみを行うサブ・カストディアン、清算機関、コルレス銀行、又はMiFID II等の同等規制の下にあるディストリビューターなどが例示されています。
本稿では、このうち2.合理的な詐欺防止措置について、以下で詳しく取り上げます。なお、詐欺防止不履行罪の対象となる企業規模、「関連する者」の範囲、適用対象となる詐欺罪、海外企業が適用対象となる場合、及び政府ガイダンスの主な内容等については、前回のブログをご参照ください。
合理的な詐欺防止措置に関する6つの原則
UKFガイダンスでは、政府ガイダンスでも示された以下の6つの原則について、より詳細な指針が示されています(政府ガイダンスでは1番目に位置づけられたトップレベルのコミットメントが6番目に変更されています。)。
- リスク評価(Risk Assessment)
- 適切な防止措置(Proportionate Prevention Procedures)
- デューデリジェンス(Due Diligence)
- コミュニケーション(トレーニング)(Communication (training))
- 監視とレビュー(Monitoring and Review)
- トップレベルのコミットメント(Top level commitment)
以下では、それぞれの原則について詳しく見ていきます。
1. リスク評価(Risk Assessment)
企業が詐欺防止不履行罪への抗弁として、合理的な詐欺防止措置を講じていると主張するためには、詐欺のリスクに基づく実効性あるリスク評価が必要であることが強調されています。リスク評価は企業の実情に応じて行われるべきであり、文書化・定期的な見直しが求められます。但し、リスク評価や詐欺防止措置は、詐欺を完全に防ぐことを目的とするものではなく、高リスク領域に焦点を当てた対応が合理的であることを示すためのものとされております。なお、金融機関では、既存の金融犯罪リスク管理要件(例:英国の金融規制当局であるFinancial Conduct Authority , FCAが定めるSenior Management Arrangements, Systems and Controls , SYSC)など既存の法令遵守やリスク管理の一環として実施でき、新たな制度や頻度を導入することは必須ではないとされております。
UKFガイダンスでは、合理的なリスク評価の要素として特に以下を挙げています:
- リスクの特定:関係する者が行う業務・部門・役割ごとに、詐欺の動機や機会が生じやすいかを評価(報酬体系、第三者である販売業者、規制・財務報告、マーケティングなど)
- 地理的範囲:詐欺行為に英国との関連(UK nexus)があるかを検討(オンライン取引も含める)
- リスクの度合い:既存の統制・防止措置の有効性も踏まえ判断
- 責任の明確化:評価や対応の実施責任を適切な職位・専門性を持つ者に割り当て
- 文書化と統合:評価結果と防止措置との関係を記録し、整合性を持たせる
- レビュー:重大な変化や新情報があれば、臨時の見直しを実施
また、企業の性質や業務の複雑さに応じて、事業部門ごとの個別リスク評価も容認されます。企業としては、少なくとも政府ガイダンスに示された検討事項については、対象外と判断した場合でもその理由を記録しておくことが推奨されています。
2. 適切な防止措置(Proportionate Prevention Procedures)
合理的な詐欺防止措置を講じていると認められるためには、上記リスク評価に基づき、現実的かつ適切な対応を取っている必要があります。企業は全てのリスクを排除する必要はなく、自社の規模や統制能力に応じた措置で足りるとされております。また、金融機関においては、新たな体制の構築は必須ではなく、既存の枠組み(上記SYSCやSenior Managers and Certification Regime, SM&CR又はMiFID/MiFIRの規制など)を活用することが可能です。
UKFガイダンスでは、合理的な詐欺防止措置のポイントして以下を強調しています:
- 文書化と見直し:防止措置は実務に即したものである必要があり、内容・実施状況は文書化され、定期的又は重大な変化があった際に見直すことが求められます。
- 統制可能性に応じた対応:企業が直接管理できる従業員や子会社には厳格な措置が期待されますが、一方、サプライチェーンや外部委託先には契約条項や監督を通じた間接的な統制が合理的とされます。
- グループ対応:親会社によるグループ全体の防止措置が合理的であれば、子会社はそれを活用可能です。但し、自社のリスク評価に照らして補完すべき点があれば対応が必要です。
- 特定の関係がある者への措置:
- 自社の商品のディストリビューター:適格性基準、販売記録、業績レビュー、マネジメント情報の取得等。
- 従業員・代理人:行動規範、スクリーニング、アクセス管理、利益相反の監視、強制休暇の導入など。
- 既存措置との統合:市場濫用対策、財務報告の正確性確保、内部通報制度などの既存措置を詐欺防止措置へと統合。
- 3つのディフェンスライン(Three Lines of Defence):現業部門の実務対応、管理部門のリスク管理、内部監査部門の内部監査が機能的に分担されていることが、合理性の裏付けとなります(日本でも金融庁の監督指針や経産省のグループガバナンスに関するガイドラインで同様の考えが示されております。)。
企業はこれらの要素を踏まえ、自社のリスクに見合った措置を継続的に整備・運用し、その妥当性を証明可能な形で保持することが求められます。
3. デューデリジェンス(Due Diligence)
デューデリジェンスは、リスク評価の一環であり、同時に、リスク軽減手段としても機能します。企業は、リスクに応じた柔軟な対応をとる必要があり、例えば、第三者ディストリビューターが高リスクと判断される場合は、詐欺防止に特化した追加的なデューデリジェンスを実施する必要があります。一方、リスクが低い場合には、特別な措置を不要と判断することも合理的となります。
関係する者との関係構築・見直しの際には、リスクベースで評価を行い、懸念があれば対応し、その記録を残すことで、合理的な詐欺防止措置を講じていることの証拠とすることが可能です。また、過去に不適格とされた関係する者が再登用される際は、リスクが軽減されていることの確認が必要となります。
4. コミュニケーション(トレーニング)(Communication (training))
従業員や代理人、子会社及びその従業員に対する研修・意識向上プログラムは、リスクベースの設計が求められます。一般的な行動規範・詐欺防止方針に加え、高リスク業務には役割別の研修を補完することが推奨されております。
また、詐欺防止に関する責任(取締役や上級管理職を含む)や第三者リスク管理の内容は明確に伝える必要があります。内部通報制度の周知や方針へのアクセス性も重要です。これらは既存の贈収賄・脱税防止研修を活用することも可能とされております。
5. 監視とレビュー(Monitoring and Review)
企業はコンプライアンス体制を継続的に見直し・強化するサイクルの運用が期待されます。特にトップの姿勢や3つディフェンスラインモデルと連動し、関連する委員会や監査機能を活用した定期的な見直しが推奨されています。対応の更新や改善は不備の証拠ではなく、むしろ合理性の証拠となり得ます。
異常取引、内部通報、ニアミスなどの監視結果をもとに新たなリスクを把握し、既存の監視体制を必要に応じて強化することが求められます。インシデント対応体制には、迅速な動員、社内知見の活用、手順の整備が重要とされております。既存のルールや報告体制を活用しつつ、将来の失敗を防ぐ教訓とすることが合理的とされています。
6. トップレベルのコミットメント(Top level commitment)
経営陣は、誠実性・統制・適切な行動の模範を示す「トップの姿勢」を担う最終的な責任者です。詐欺防止に関するコミットメント声明を出すことで、企業文化としての金融犯罪防止への姿勢を明確にすることが推奨されます。英国では、大規模な組織では、取締役会の責任が部門に委譲されることが一般的であり、詐欺リスクの管理は上級管理職から取締役会への報告事項として扱われることが多くなります。
なお、政府ガイダンスは、詐欺防止に関する責任を文書化することを求めており、金融機関ではFCAのSM&CRに基づく職務記録に、詐欺防止措置への具体的な言及を含めることが期待されます。
さいごに
前回のブログでご説明したとおり、詐欺防止不履行罪は、英国に拠点(子会社・支店)があるか否かにかかわらず、英国向けビジネスなど英国との接点がある場合には、日本企業にも適用され得ます。
日本企業としては、自社及びグループの規模や英国との関連性を踏まえ、詐欺防止不履行罪の適用対象となるかを検討し、該当する場合には、2025年9月1日までに社内で合理的な詐欺防止措置を整備することが推奨されます。もっとも、同日までに詐欺防止措置の整備が完了していなかったとしても、その時点で直ちに詐欺防止不履行罪が成立するわけではありません。同罪は、関連者によって対象となる詐欺行為が実行された場合に初めて適用されるものです。したがって、仮に9月1日までに合理的な詐欺防止措置の整備が間に合わない場合であっても、可及的速やかに整備を進めることが重要となります。
また、すでに一定の内部統制や、英国の贈賄防止・脱税防止への対応措置を講じている企業であっても、本罪に固有のリスク評価と、既存措置の有効性を見直すことが実務上重要です。特に、詐欺の対象行為や関連者の範囲が広いため、既存の枠組みだけで合理的措置とみなすのは困難な場合もあります(金融機関か否かによっても対応の要否は異なります)。
弊所では、これまでの実績を踏まえ、今後も日系企業によるECCTA対応、とりわけ合理的な詐欺防止措置の整備を引き続きサポートしてまいります。