執筆者:黄文景
2025年末に近づく中、各大企業は依然として「ライセンス取得」に向けて加速している:スタンダードチャータードの管理機関Zodia Custody、決済大手Stripe、さらにはCoinbase、Kraken、Circleなどの暗号ネイティブ企業が、次々にMiCAや米国の銀行免許などの重要な許認可を取得している。
しかし、「ライセンス取得」がゴールではなく、あくまでスタート地点に過ぎない。免許は参入資格を与えるだけでなく、長期的なコンプライアンス責任も伴う。規制がますます厳格化する今日、ライセンスを持つ機関が継続的にコンプライアンス義務を果たさなければ、手元の免許が逆に規制当局からの処罰の「正当な理由」となる可能性もある。
Binanceの43億ドルの高額和解案件や、トルコにおけるBinance TRの罰則事案を振り返ると、規制の核心的な告発は一つの欠陥に向かっている:それは、効果的な疑わしい取引報告メカニズムを構築できていないことだ。STR(Suspicious Transaction Report:疑わしい取引報告)とSAR(Suspicious Activity Report:疑わしい活動報告)—これら二つの略称はコンプライアンス担当者の神経を緊張させるが、単なるフォーム記入以上の意味を持つ。
これらの背後には、どのような規制ロジックと実務リスクが潜んでいるのか?本稿では法律実務の観点から、深く解説していく。
【概念整理:STRとSARの違い】
この二つの用語は業界内で混同されがちだが、国や法体系によって明確な焦点の違いが存在する。
例:システムが特定のアカウントの短期間内の頻繁な入出金や、資金の流れに高リスクのアドレス(例:ミキサー、ダークウェブ)を含む場合、その具体的な取引についてSTRを提出する必要がある。
例:ユーザーが繰り返し本人確認(KYC)の境界を試す行為や、IPアドレスを頻繁に変更して地域制限を回避しようとする行為、または「制限された地域に送金できるか」といった問い合わせを行う場合、SARの報告義務が生じる可能性がある。
マン昆(Mankiw)の指摘:STRの概念を採用した体系は、単に取引履歴を見るだけではない。実際には、すべてのコンプライアンス体系は実質を重視しており、形式だけにとらわれてはいけない。資金の流れだけに注目し、ユーザーの身元や行動パターンを無視すれば、報告漏れやコンプライアンスリスクを招く。
【規制の動向:免許体系別の報告ポイント】
Web3の海外展開において、どの地域の免許を選ぶかは、その地域の規制ルールに従う必要がある。地域ごとに重点ポイントは大きく異なる。
規制の核心:銀行秘密法(Bank Secrecy Act)を遵守し、疑わしい活動報告義務を果たすこと。原則は「報告すべきはすべて報告する」。
主要課題:FinCENのシステムは膨大な報告を処理し、部門間のデータ共有を実現しているため、機関の監視・報告能力に極めて高い要求がある。米国ユーザーを対象とする場合は、厳格に対応しなければならない。
マン昆の指摘:米国人を対象とするビジネスにおいては、疑わしい活動の監視と報告を厳格に行う必要がある。Binance事件の教訓は、リスク(例:制裁対象地域)を知りながら報告しなかった場合、故意の違反とみなされ、重い罰則が科されることだ。
規制の核心:STRはTravel Ruleと密接に連動し、特にMiCA法案の施行後はその重要性が増す。
主要課題:ユーザーが非管理ウォレットに1000ユーロ超の送金を行った場合、プラットフォームはウォレットの所有者を確認しなければならない。確認できない場合やリスクを発見した場合は、取引を阻止し、疑わしい報告を行う。
マン昆の指摘:Travel Ruleの実施とユーザー体験の両立を図りつつ、疑わしい取引報告の要求とどう連携させるかが、コンプライアンスとビジネスのバランスを取る鍵となる。
規制の核心:迅速な対応(例:48時間以内の報告)と、AML(アンチマネーロンダリング)担当者の実質的な現地履行。
主要課題:MLRO(マネーロンダリング報告責任者)が「名義だけ」の場合、海外チームが実質的に操作し、資格剥奪や免許への影響を受ける可能性がある。
マン昆の指摘:コンプライアンス業務は外部委託可能だが、最終的な責任は現地のMLROが負う必要があり、「システムの問題」として責任を回避してはいけない。
規制の核心:暗号資産サービス提供者を金融機関と同等に厳格に規制。
主要課題:規制は国家の重点取締り(例:詐欺、ギャンブル)に応じて追加要求を出す。例えば、こうした活動に関わる取引は金額に関わらず報告義務がある。
マン昆の指摘:既存の枠組み内で、規制動向に注意を払い、コミュニケーションを維持し、リスクの監視と報告を積極的に行う必要がある。
【業界の痛点:防御的申告に注意】
具体的な案件対応において、弁護士が気付いた点は、多くの関係者が責任回避のため、「少なくとも警告が出たらすべて報告すれば良い」とする「防御的申告」の習慣を持つことだ。これは重大なリスクを孕む。
金融情報機関や規制当局も専門スタッフで構成されており、情報処理の効率化を求めている。低品質な大量報告を行い、調査の手がかりを提供できなければ、逆に内部システムの監査対象となる可能性がある。規制当局は合理的に疑う:あなたのリスク管理パラメータの設定ミスか、コンプライアンス担当者の判断力不足か。
したがって、コンプライアンス報告の核心は「質」にあり、「量」ではない。盲目的に大量報告を行うことは、リスク管理に役立たず、むしろ自社の能力不足を露呈し、より厳しい規制の監視を招く。
【マン昆の実務提言:効果的な申告体系の構築方法】
コンプライアンスコストと規制の安全性のバランスを取るために、暗号業界のコンプライアンスチームは以下の4つのポイントに集中すべきだ。
コスト削減のために、同一ユーザーのオンチェーン行動とプラットフォーム内取引を分離して監視するのは避けるべきだ。この分離は、モデルや担当者がユーザーの全体像を把握できなくなり、STR/SARの報告の質に直接影響する。データを連携させ、全景リスクビューを実現する必要がある。
硬直したルールは大量の無効な警告を生み、「警告疲労」を引き起こし、真の高リスクを見逃す原因となる。内部のサンドボックスを設け、規制動向や案件フィードバックを定期的に反映させ、システムのパラメータとルールを見直し、警告の精度と有効性を確保すべきだ。
高品質な報告は、データの積み重ねではなく、一つの完結したストーリーを語ることだ。5W1H(誰が、何を、いつ、どこで、なぜ疑わしいのか、どう操作したのか)に答える必要がある。その中でも「なぜ疑わしいのか」が最も重要で、論理的に一貫し、規制の底線と機関のリスク許容度に適合している必要がある。これにより、「合理的な慎重さ」を果たした証明となる。
「未報告」も時には記録が必要だ。アラートを人手で確認し、報告しないと決めた場合、その理由を詳細に記録し、証拠を保存しておくことが重要だ。これは将来的な規制の追及や、企業・担当者の保護に不可欠な証拠となる。
これら4つのポイントを押さえることで、コストを抑えつつ、堅実で証明可能なコンプライアンス申告体系を構築できる。
【結語】
マネーロンダリング対策のコンプライアンスには近道はなく、「法は多くの者を責めない」という楽観も存在しない。
世界の規制実務を見ると、暗号通貨分野の監査は、すべての取引データの提供と、規制当局が自社開発したモデルによる透過分析を求める方向に進んでいる。規制当局のSTR/SARへの関心は、報告の数量やタイミングだけでなく、「この取引は報告すべきか」「なぜ報告しなかったのか」にまで及んでいる。
STRとSARの違いを理解することは出発点に過ぎない。真に重要なのは、規制の情報ニーズを満たしつつ、ビジネスの円滑な運営を支える監視・報告体制を構築すること—これがすべての機関にとって必修科目となっている。
