スキップしてメイン コンテンツに移動

ニューヨーク州金融サービス局(NYDFS)は暗号資産取引ユニットである“Robinhood Crypto, LLC”に対し、同意命令(Consent Order)と3,000万ドルの罰金を課す旨発表

  8月3日、筆者の手元にSquire Patton Boggs 法律事務所の所属弁護士である シェイ・M.リーチ(Shea M.Leitch)とジセル・トミンビン(Gicel Tomimbang)の共著レポートが届いた。

Shea M.Leitch氏

Gicel Tomimbang氏

  8月1日、ニューヨーク州金融サービス局(「NYDFS」または「DFS」)は、Robinhood Financial LLCによる人気のある投資アプリの完全所有の暗号資産取引ユニットである「Robinhood Crypto, LLC(以下、「RHC」という)」に対し、同意命令(Consent Order)(注1)と3,000万ドル(約39億9900万円)の罰金を課す旨発表したとある。

 同命令の中で、NYDFSは、RHCが「連邦銀行等に対する機密性が高くまたは不審な現金払いおよび海外との金融取引等に関する報告義務法(federal Bank Secrecy Act:「機密取引報告義務法」という)」(注2)、州および連邦のマネーロンダリング防止規則(「BSA/AML」)およびNYDFSのサイバーセキュリティ規則に関するNYDFS規則を遵守しなかったと主張した。

 さらにDFSが発行したプレスリリースによると、この調査では、RHCのBSA/AMLコンプライアンスプログラムの「重大な欠缺(significant deficiencies)」と、同社のサイバーセキュリティ・プログラムの「重大な違反(critical failures)」が明らかとなった。

 今回のブログは、初めに(1)OCC のBank Secrecy Act (BSA) & Related Regulations の仮訳、解説を行い、次に(2)両弁護士の解説blog内容を補足しながら仮訳する。

Ⅰ.OCC のBank Secrecy Act (BSA) & Related Regulations解説

 機密取引報告義務法(BSA)(31 USC 5311 et seq)は、以下のとおり国法銀行、連邦貯蓄機関、連邦支店および外国銀行の代理機関に対するプログラム、記録管理および報告要件を確立している。

(1) 機密取引報告義務法/マネーロンダリング防止:取引主体の顧客に対する顧客のデューデリジェンスと受益所有権の要件の概要と審査手続き

(2) 機密取引報告義務法/マネーロンダリング防止:改訂されたFFIEC BSA/AML 審査マニュアル

(3)連邦財務省、国家マネーロンダリングとテロ資金供与のリスク評価の発表

 OCCの実施規則は、12 CFR 21.11および12 CFR 21.21に定める。BSAは、すべての銀行がBSAコンプライアンスプログラムの一環として顧客識別プログラムを採用することを義務付ける米国テロ阻止愛国者法の規定を組み込むために改正された。

1.BSAおよび関連法令

 連邦銀行等に対する機密性が高くまたは不審な現金払いおよび海外との金融取引等に関する報告義務法(Bank Secrecy Act:BSA) - 31 USC 5311 – 5330 

外国資産管理規則 (Foreign Assets Control Regulations (OFAC)) 31 CFR 500 

通貨および外国取引の財務記録の保持と報告に関する規則 (Financial Record Keeping and Reporting of Currency and Foreign Transactions)- 31 CFR 1010.310 

テロ行為阻止のための適切な手段の提供よる米国民の団結強化に関する法律(USA PATRIOT Act:「米国テロ阻止愛国者法」  筆者ブログ の(筆者注4)参照。

2.BSAコンプライアンスを監視するための手順 - 12 CFR 21.21

  この規制は、すべての国法銀行および貯蓄貸付組合(savings association)が、BSAの遵守を保証および監視するために合理的に設計された書面による取締役会承認したプログラムを持つことを義務付けている。このプログラムは、少なくとも次のことを行う必要がある。

(1)継続的なコンプライアンスを保証するための内部統制システムを提供する。

(2)コンプライアンスのための独立したテストを提供する。

(3)日々のコンプライアンスの調整と監視を担当する個人を指定する。

(4)適切な人員のためのトレーニングを提供する。さらに、米国テロ阻止愛国者法第326条の実施規則では、すべての銀行がBSAコンプライアンスプログラムの一環として顧客識別プログラムを採用することを要求している。

3.連邦法違反または疑わしい取引・活動の報告 - 12 CFR 21.11 および 12 CFR 163.180

 この規則により、すべての国法銀行は、マネーロンダリング活動またはBSA違反に関連する連邦法違反または疑わしい取引の特定の既知または疑いを検出した場合、疑わしい活動報告書(SAR)を提出する必要がある。SARの提出は、次のとおり潜在的な犯罪のために必要とされる。

(1)金額に関係なくインサイダー取引の濫用を伴う。

(2)特定可能な容疑者がいて、取引に5,000ドル以上が含まれる場合。

(3)識別可能な容疑者がいないが、取引に25,000ドル以上が含まれる場合。潜在的なマネーロンダリングまたはBSA違反を示す疑わしい活動の場合にもSAR提出が必要であり、取引には$ 5,000以上が含まれる。

4.一次ロンダリングに関する懸念の機関(Institutions of Primary Laundering Concerns)

 米国テロ阻止愛国者法第311条によって追加された機密取引報告義務法第5318A条は、財務長官が外国の管轄権、機関、取引クラス、または口座の種類を「マネーロンダリングの主な懸念事項」として指定し、5つの「特別措置」のうちの1つ以上を課す権限を与えている。

5.BSAの報告要件(BSA Reporting Requirements)

 国法銀行および貯蓄金融機関のBSA関連の報告要件は、米国財務省の金融犯罪執行ネットワーク(FinCEN)によって管理されている。金融機関は、BSA Eファイリングシステム(注3)を通じて電子的に報告書を提出する必要がある。

■通貨取引レポート (CTR)

Currency Transaction Report (CTR)

■通貨又は貨幣商品の国際輸送に関する報告書(CMIR)

Report of International Transportation of Currency or Monetary Instruments (CMIR)

■外国銀行及び金融口座の報告書(FBAR)

Report of Foreign Bank and Financial Accounts (FBAR)

■疑わしいアクティビティ レポート (SAR)

Suspicious Activity Report (SAR)

BSA E-Filing Systemの免除者の指定

Designation of Exempt Person Form

Ⅱ.ニューヨーク州金融サービス局(「NYDFS」または「DFS」)は、「Robinhood Crypto, LLC(以下、「RHC」という)」に対し、同意命令(Consent Order)と3,000万ドルの罰金を課す旨発表

1.NYDFSのBSA/AML 違反の立証内容

 同意命令の中で、NYDFSはRHCのBSA/AMLプログラムの調査で多くの欠陥が明らかになったと主張している。NYDFSおよび連邦BSA/AML規制の下では、企業、組織等は疑わしい活動を検出して報告し、米国連邦財務省の金融資産管理規則局によって禁止されている取引をブロックするためのポリシーと手順を実装および維持する必要がある。

しかし、DFSはRHCがこれらの要件を満たすための適切なポリシーと手順を実装していないと主張した。特にDFSは、RHCが「ライセンシーのリスクプロファイルに見合った」BSA/AMLプログラムを維持できなかったと主張し、RHCが2019年9月30日時点で1日あたり合計530万ドルの平均106,000件の取引を処理したにもかかわらず、RHCが手動の内部報告システムに依拠し続けたと指摘している。手作業による報告システムと不十分な人員配置の結果、NYDFSは「[RHCの]AMLスタッフが単にトランザクション・アラートに追いつくことができず、アラート処理の[a]重大なバックログ」をもたらしたと主張した。RHCは、2019年12月にBSA/AMLプログラムを見直すために第三者のコンサルタント(以下「コンサルタント」)を雇ったため、BSA/AMLの方針と手順が不十分であることを認識していたようである。コンサルタント契約中、コンサルタントはRHCにBSA/AML手順が「最小限の価値」であったと報告した。それでも、RHCの最高コンプライアンス責任者は、2019暦年のニューヨーク取引監視規則の遵守を認定した。

3.RHCのサイバーセキュリティ遵守義務の欠陥の指摘(Cybersecurity Deficiencies)

 NYDFSはまた、RHCサイバーセキュリティ・プログラムの重大な不備を特定した。他の不備の中でも、DFSはRHCが親会社のポリシーと手順に過度に依存しており、RHCの運用、リスク、報告ライン、またはサイバーセキュリティ規則の完全な要件に完全には対応していなかったとRHCを非難した。他の欠缺に関し、DFSの調査は、RHCが(i)サイバーセキュリティリスクを管理し、サイバーセキュリティ規則に規定されたコア機能を実行するために、不十分なサイバーセキュリティ要員を採用したと判断した。(ii) データガバナンスと分類、IT資産管理、ビジネス継続性と災害復旧計画、システム運用、システムとネットワークの監視、システムとアプリケーションの開発、リスク評価、インシデント対応活動を導くための詳細なポリシーと手順が不十分であった。(iii)サイバーセキュリティ規則の要件を満たすリスク評価を実施しなかった。

  特定されたコンプライアンスの欠缺に加えて、NYDFSはRHCのDFS監督協定に違反して、RHCが連邦および州の規制当局による調査を開示しなかったと指摘し、調査におけるRHCの協力と率直さに異議を唱えた。

4.同意命令の要件

 同意命令に基づき、RHCはDFSに3,000万ドルの民事罰金を支払わなければらない。特に、この命令は、RHCが保険証券、補償、または税額控除を通じて罰金の費用を回収することを禁じている。またRHC は、既存のコンサルタントを再雇用して、BSA/AML およびサイバーセキュリティ規則の要件に対する RHC の現在のコンプライアンス・プログラムの包括的なレビューを実施し、RHC の改善を支援する必要がある。新しい契約の下では、コンサルタントはRHCの規則の遵守についてDFSに定期的な報告を提供する義務を負う。

【金融企業、組織における本事案における主な重要ポイント】

(1)以上述べたとおり、米国金融サービス業界は長年にわたり厳しい法規制の対象となっており、スタートアップはこれらの義務を免除されていない。非伝統的産業の革新的な組織は、しばしば独自のコンプライアンスの課題に直面している(たとえば、詐欺、マネーロンダリング、暗号通貨分野での違法行為のリスクの高まりと、従来の金融機関が直面する同様のサイバーセキュリティの課題)。指数関数的な成長はすべての組織の夢であるが、急速な拡大は多くの場合、コンプライアンスの負担の増加(そして潜在的に規制の精査)も伴う。したがって、組織は思慮深いコンプライアンス評価と、特定されたギャップの迅速な修復に取り組み、適用される法的、規制的、および契約上の要件を満たしていることを確認する必要がある。

このような評価を実施する場合、金融組織、機関は、可能な限り、評価結果が特権で保護され、裁判所または規制調査での後の生産を防ぐために、弁護士を介してコンサルタントや他のベンダーを関与させることを検討する必要がある。このような評価は、法律上およびコンプライアンス上および情報技術上の目的に役立ち、弁護士の監督下でそのような評価を実施することにより、弁護士は、適用される法律および規制の遵守に関する法的助言を組織に提供することができるといえる。

(2)特定のサイバーセキュリティ制御と評価を義務付ける既存の法律に加えて、多くの金融組織はまもなく、今後のカリフォルニア州、コロラド州、コネチカット州、バージニア州のプライバシー法の下でプライバシー影響評価を実施することが義務付けられる。したがって、複数の管轄区域で金融事業を展開する企業は、適用される法律や規制(これらの法律に含まれる比例性、データの最小化、保持義務など)に基づいて確立された要件を満たしていることを確認するために、プライバシーおよびセキュリティ評価プログラムを確立する必要がある。

さらに、企業は、適用される業界固有の義務(金融サービス業界のAMLなど)に留意し、それらのニーズを満たすようにコンプライアンスプログラムを調整する必要がある。チームSPBは、「2023年州プライバシー法コンプライアンスガイド(2023 State Privacy Law Compliance Guide)」を作成した。この無料で読むことができるリソースは、現在施行されている各州のプライバシー法の要件に関する情報と、新しい2023年の州プライバシー法の計画と準備でコンプライアンスチームを支援するための効率向上のために定められた一連の作業や優先事項サンプル(sample workstreams)を提供する。

*****************************************************************

(注1) 同意命令(同意審決とも呼ばれる)は、すべての当事者の同意を得て裁判官によって行われた命令または審決である。厳密には判決ではなく、裁判所が承認した「和解合意」である。合意は、当事者が和解に達した後に書面で裁判所に提出され、裁判官によって承認されると、合意は両当事者に拘束力があり、執行可能となる。同意命令は、一方の当事者の詐欺、または両当事者の側の誤りのために裁判所によって脇に置かれることを除いて、上訴することはできない。(コーネル大学ロースクールの解説を仮訳)。

(注2) わが国では「Bank Secrecy Act」を「銀行秘密法」と直訳されるケースが未だに多い。

 これでは何が秘密なのか、誰の秘密なのかが分からない。同法は、現在では「愛国者法」に基づく改正も行われており、テロ資金防止法(BSA/AML)と引用されることが多いが、1970年に制定された当時は脱税のための資金洗浄阻止も重要な目的であったようであり、企業に対する同法の報告義務に関し、連邦財務省内国歳入庁(IRS)が多く関与している。分かりやすく言うと「銀行等に対する機密性が高くまたは不審な現金払いおよび海外との金融取引等に関する報告義務法」である。つまり、報告義務を課されるのは、狭義の金融機関(規制内容や罰則は金融機関の場合が厳しいが)だけでなく、現在は外国の銀行に金融資産を有する企業、さらに貴金属・宝石取扱業者もFinCENへの報告義務が課されるなど範囲が広がっている。IRSのサイトでは企業向けにBSAについて報告義務の内容や罰則規定についてQ&A等で詳しく説明している。(2009.4.3 筆者ブログの(筆者注4)参照)

(注3) BSA Eファイリングシステムは、FinCENセキュアネットワークを介した機密取引報告義務法(BSA)フォームの電子ファイリング(個別またはバッチ)をサポートしている。BSA Eファイリングは、BSAフォームを提出するためのより速く、より便利で、より安全で、より費用対効果の高い方法を提供します。BSA Eファイリングの詳細については、こちらを参照されたい。連邦財務省の解説を仮訳。

************************************************************

Copyright © 2006-2022 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

コメント

このブログの人気の投稿

米大統領令(EO: Executive Order 14110)の具体的内容と意義およびそれに基づく責任の履行を支援するためNIST「情報提供依頼文書 」の具体的内容

   筆者は、12月6日の本ブログで2023年10月30日の大統領令(EO: Executive Order 14110)(以下、「EO」という)を受けたNISTの具体的行動につき 「 NISTからこのほど公開された「 NIST SP 800-226 草案」および「差分プライバシー保証を評価するためのガイドライン草案」に対するパブリックコメントの背景と意義」 を取り上げた。  しかし、執筆後もいまいち大統領令(EO)のファクトシートも含め真の目的や商務省の規則案のとりまとめ期限など疑問点が残されていた。その内容を補完する意味で今回のブログで補筆するとともに、後段でNISTが2024年2月2日を期限として発布した「情報提供依頼文書 (Request for Information (RFI) )」の概要について解説を試みる。  また、本ブログでは、わが国では詳しく論じられていない米国「国防生産法(Defense Production Act of 1950 :DPA)」の意義と最新動向にも言及した。  なお、今回のブログの内容は12月6日の筆者ブログと重複する部分が一部あるが、 Kilpatrick Townsend & Stockton LLPの和文解説 と併せ読まれたい。 Ⅰ.大統領令 (EO: 14110) の具体的内容の解析    JD Supra, LLCの 「The highly-anticipated US Executive Order on artificial intelligence: Setting the agenda for responsible AI innovation」 を要約しつつ仮訳する。  このEOは、多くの点で AI に関するこれまでのバイデン政権の行動を超えている。 この広範囲かつ堅牢な大統領令は、AI を規制するために既存の当局を利用することを想定して、米国の行政部門および政府機関 (機関) に、①標準、②フレームワーク、③ガイドライン、④最善実践内容を開発するよう指示した (また、独立機関にも同様に奨励する)。 また政府機関は、AI の責任ある使用に関係するほぼすべての連邦法、規則、政策に対して具体的な措置を講じる必要があるとする。  EOは、AI の使用から得られる利点を認識する一方で、国家...

米国CFTCがオハイオ州の男性とその所有企業をデジタル資産取引スキームにおける1200万ドル(約16億214万円)以上の不正勧誘と不正流用を理由に民事起訴

     米国の 商品先物取引委員会(CFTC) は8月12日、オハイオ州ニューオルバニー市住の ラスナキショア・ギリ(Rathnakishore Giri) と彼が所有するオハイオ州に本拠を置く NBD Eidetic Capital, LLC および SR Private Equity, LLC に対して、オハイオ州南部地区連邦地方裁判所に 民事法執行訴訟 を起こしたと 発表 した。   同訴状 は、ギリと彼の会社が150人以上の顧客から1200万ドル以上と少なくとも10ビットコインを不正に勧誘し、またギリと彼の会社がデジタル資産取引を目的とした顧客資金を不正に流用したと主張している。  さらに訴状は、ギリの両親であるギリ・スブラマニ(Giri Subramani)とロカ・パヴァニ・ギリ(Loka Pavani Giri)を、正当な利害関係のない資金を所有している 救済被告 (注1) として起訴している。  今回のブログは、(1)本起訴の詳細、(2)CFTC/SECの投資家アラート:ビットコイン先物における資金取引の注意喚起の概要について概観する。 1. 起訴の内容  CFTCは、その継続的な訴訟において、詐欺被害にあった顧客への補償(restitution)、不正に得た利益の返還(disgorgement of ill-gotten gains)、民事上の金銭的罰則(civil monetary penalties)、恒久的な取引および登録禁止(permanent trading and registration bans)、および 「商品取引法(Commodity Exchange Act :CEA)」 および 「CFTC規則(CFTC regulations)」 のさらなる違反に対する永久的差止命令(permanent injunction)を求めている。 2.本事件の背景  訴状は、2019年3月頃から現在まで、被告が運営しているとされるさまざまなデジタル資産投資ファンドに投資するために、少なくとも150人の顧客から1200万ドル以上と10ビットコイン以上を勧誘し、受け入れた詐欺的なスキームに関与したと訴えている。同訴状によると、被告は顧客への勧誘において、利益の保証やギリのデジタル資産トレーダーとしての成功話など、多数の虚偽で誤解を招くような声...

英国の Identity Cards Bill(国民ID カード法案)が可決成立、玉虫色の決着

  2005年5月に英国議会に上程され、英国やEU加盟国内の人権保護団体やロンドン大学等において議論を呼んでいた標記法案 (筆者注1) が上院(貴族院)、下院(庶民院) で3月29日に承認され、国王の裁可(Royal Assent)により成立した。  2010年1月以前は国民IDカードの購入は義務化されないものの、英国のパスポートの申込者は自動的に指紋や虹彩など生体認証情報 (筆者注2) を含む国民ID登録が義務化されるという玉虫色の内容で、かつ法律としての明確性を欠く面やロンドン大学等が指摘した開発・運用コストが不明確等という点もあり、今後も多くの論評が寄せられると思われるが、速報的に紹介する。 (筆者注3) 1.IDカード購入の「オプト・アウト権」  上院・下院での修正意見に基づき盛り込まれたものである。上院では5回の修正が行われ、その1つの妥協点がこのオプショナルなカード購入義務である。すなわち、法案第11編にあるとおりIDカードとパスポートの情報の連携を通じた「国民報管理方式」はすでに定められているのであるが、修正案では17歳以上の国民において2010年1月(英国の総選挙で労働党政権の存続確定時)まではパスポートの申込み時のIDカードの同時購入は任意となった。 2.2010年1月以降のカード購入の義務化  約93ポンド (筆者注4) でIDカードの購入が義務化される。また、2008年からは、オプト・アウト権の行使の有無にかかわりなく、パスポートのIC Chip (筆者注5) に格納され生体認証情報は政府の登録情報データベース (筆者注6) にも登録されることになる。 ******************************************************: (筆者注1) 最終法案の内容は、次のURLを参照。 http://www.publications.parliament.uk/pa/ld200506/ldbills/071/2006071.pdf (筆者注2) 生体認証の指紋や虹彩については、法案のスケジュール(scheduleとは,英連邦の国の法律ではごく一般的なもので、法律の一部をなす。法本文の規定を受け,それをさらに細かく規定したものである。付属規定と訳されている例がある。わが国の法案で言う「別表」的なもの)...