マルティン・ペルッカ:「不正を防ぐことは、組織の価値提案を強くする」
マルティン・ペルッカ(Martín Perucca)は、20年以上にわたり不正対策とマネーロンダリング防止に取り組んできました。アルゼンチン、そしてラテンアメリカ全体で、彼はこの分野を代表する専門家の一人です。その理由は豊富な経験だけではありません。彼が繰り返し口にする「セキュリティは価値提案の一部にならなければならない」というメッセージにもあります。
「これは利益の出る投資です。もっとも懐疑的なCFOでさえ説得できるはずです」と彼は言います。彼の視点は、単なる規制対応を超えています。守るべき対象は「ルール」ではなく、そこで働く人や組織そのもの。さらに彼は、本当の意味での予防文化は数日・数週間ではなく、数年かけて築かれるものだと強調します。この考え方は、私たちが現在「コンプライアンス」をどう捉えているかを根本から問い直すものです。
質問:これまでコンサルティング、教育、そして金融サービスと、さまざまな領域でキャリアを積んでこられました。なぜ不正防止とセキュリティにフォーカスするようになったのでしょうか? 今、あなたを突き動かしている課題は何ですか?
回答: 私のキャリアのスタートは、アルゼンチンのコルドバにある金融機関の与信分析部門でした。ところが、しばらくして不正の領域に強い興味を持つようになったんです。不正を見抜くことにある種の「勘」があると気づきましたし、それを未然に防ぐことができたとき、いつも二重の満足感がありました。組織の損失を防ぐと同時に、身元盗用の被害に遭っていたかもしれない誰かを守ることができたからです。
これは2000年代初頭の話で、当時の書類偽造はとても原始的なレベルでした。偽造書類にステッカーを貼るような、非常に単純な手口です。それでも私は、不正防止は企業の損失を減らすだけでなく、コミュニティ全体に価値を生む行為だと気づきました。その「目的意識」は今も変わらず、私を動かし続けています。仕事であると同時に、より大きな善に貢献していると感じられる分野だからこそ、この道を選び続けているのです。
質問:あなたはMooyを共同創業し、その中でコンプライアンスを重要領域の一つに据えています。いま、企業にとって規制対応・コンプライアンスはどれほど重要だと考えますか?
回答: 規制は理由があって存在します。そして「守る・守らない」は議論の余地がないテーマです。組織は必ず適応しなければなりません。ただ、実務では新しい規制が出てから呼ばれることが多いんです。「新しいルールが出たので、不正防止の戦略を設計してほしい」といった具合に。
そのたびに、私は会話の軸を変えようとします。コンプライアンス(規制順守)は交渉の余地がない前提ですが、不正防止は企業の価値提案を直接的に強化するものです。この観点から戦略を組み立てると、結果としてコンプライアンスは自然に達成されていきます。
質問:セキュリティを価値提案の中心に据えるとしたら、一般的なオンボーディングや取引プロセスはどのように変わるべきでしょうか?
回答: セキュリティは、顧客との関係が始まる最初の瞬間から存在しているべきです。口座開設、商品の申し込み、オンボーディングのすべてのプロセスで、です。
そのためには、本人確認・認証・検証を一気通貫で行うエンドツーエンドの戦略が必要になります。一つのツールですべてを解決できるケースはありません。
ここで最も重要なのは「ツールそのもの」ではなく、「人と仕組み」です。十分にトレーニングを受けたチーム、明確なポリシーとプロセス、適切なツール、そして潜在的な不正を管理し予防するための権限。これらが揃って初めて、不正防止が機能します。
オンボーディング
- バイオメトリクス(顔認証、指紋認証、音声認証など)
- ネガティブリスト/ウォッチリストとの照合
- 顧客データの整合性チェック
- 既存顧客データベースとの内部クロスチェック
- 公的・公式な記録との照合・検証
トランザクション(取引)
- 各種テクノロジーによるコントロールをオーケストレーションし、「リスクベース」の管理戦略に統合すること。これにより、マルチチャネルかつマルチプロダクト環境でリアルタイムモニタリングと予防的なアクションが可能になります。
そしてもう一つ大事な点があります。セキュリティは「全員の責任」だということです。取締役会から現場のフロントスタッフに至るまで、誰もが役割を持っています。当然ながら、最終責任を負う機能部門は必要ですが、予防の文化は常にトップダウンで築かれていきます。
そのためには、次のような要素が欠かせません。
- 従業員の行動と、その社会的・ビジネス的インパクトを結びつける明確なパーパス(存在意義)
- 全員一律ではなく、役割ごとに設計された研修プログラム
- ツールとプロセスに投資する専用予算
- 責任範囲と限界を明示した倫理規定・行動規範
- 匿名性が担保され、十分に認知され、継続的に運営される内部通報窓口(ホットライン)
そして何よりも重要なのがリーダーシップです。カルチャーは一夜にして生まれません。私の経験上、目に見える成果が出始めるまでに少なくとも3年はかかります。これらの取り組みは一貫性を持って進められなければなりませんし、常に「人」を中心に据える必要があります。ここで言う「人」には、従業員と顧客の両方が含まれます。
従業員が「手順に従うことは形式ではなく、顧客体験と組織の評判を守る行為だ」と理解したとき、そのコミットメントは大きく変わります。
質問:いまもなお、コンプライアンスを「チェックボックスを埋めるだけ」と見ている企業もあります。こうした考え方はビジネスにどのようなコストをもたらすのでしょうか?
回答: それを会計上のコストとしてしか見ないなら、価値を生み出すチャンスを失ってしまいます。価値提案の一部として統合できれば、それは投資になります。
私たちが行うコンサルティングプロジェクトでは、必ずビジネスケースを作成します。どれだけの損失を防げるのか、顧客体験やポートフォリオにどのようなインパクトがあるのか。その数字を出してみると、結果はいつもポジティブです。
ACFEの試算によると、組織は年間売上の約5%を不正によって失っていると言われています。この数字だけでも不正防止への投資が正当化されるはずです。さらに、テクノロジーツールへの投資回収期間は概ね12〜14か月です。
そこに「レピュテーション(評判)」の問題が加わります。自社を市場からどう見られたいのか? 不正と結び付けられた状態で新商品をローンチしてしまえば、失われた信頼を取り戻すためのコストは、どんな予防投資よりも高くつくでしょう。
KPMGによると、83%の消費者が金融機関を選ぶ際にセキュリティを重視し、不正被害に遭った人の76%がその銀行を離れるといいます。これらの数字は、セキュリティがビジネスにどれほど直接的な影響を与えるかを雄弁に物語っています。
質問:現在の不正防止モデルの中で、あなたが見る「最大のブラインドスポット(見落とし)」は何ですか?
回答: 最大の見落としは「内部不正を軽視すること」です。多くの組織は「うちには内部不正なんてない」と信じています。しかし、私たちが診断に入ると、程度の差こそあれ、必ず何らかの事例が見つかります。工場、クリニック、金融機関など、業種を問わず内部不正はどこにでも存在します。
こんな言葉があります。「組織には2種類しかない。すでに内部不正を経験した組織と、これから経験する組織だ。」
質問:企業はどのようにして、こうしたブラインドスポットの是正に着手できるのでしょうか?
回答: 第一歩は、現状を認めて診断することです。データを集め、顧客からの苦情をレビューし、損失を分析します。これをきちんと行うと、公式レポートが示している以上の問題が必ず見つかります。
そのうえで、次の3つの柱に基づいて計画を立てるべきです。
- テクノロジー(Technology) – 取引の100%をモニタリングし、構造化データ・非構造化データの両方を対象とする。
- セキュアなプロセス(Secure Processes) – バランス感覚を持って設計する。ロックをかけすぎたプロダクトはユーザビリティを失います。「完璧」を求めるのではなく、「十分に良い」状態を目指すこと。
- 人材(People) – 予防文化こそが土台です。不正対策部門は、サイバーセキュリティ、AML、テクノロジー部門と連携しなければなりません。戦略が統合されているほど、不正防止は効果を発揮します。
いま発生している不正の90%以上はデジタル空間で起きています。したがって、各部門がバラバラに動く「サイロ構造」は解消されるべきです。
そして忘れてはならないのは、「あらゆる不正の背後には一人の人間がいる」という事実です。私は被害者へのインタビューを通じて、恐怖、恥ずかしさ、不安を何度も目にしてきました。多くの人が「司法は動いてくれない」と思い込んでいるため、被害を届け出ることすらしません。こうした人間的な経験は、不正防止が単にバランスシートを守る行為ではなく、人を守る行為なのだと私たちに思い出させます。
質問:ユーザーエクスペリエンスを損なわずに、コンプライアンスとセキュリティのバランスを取るにはどうすればよいでしょうか?
回答: 鍵を握るのは、セキュリティ、サイバーセキュリティ、プロダクト、テクノロジーの各チームが一つのテーブルに座ることです。これらの領域がサイロ化していると摩擦が生まれます。逆に、協働できれば、自然とバランスが取れていきます。そして、すべての施策は組織の「パーパス(存在意義)」と結び付いていなければなりません。
たとえば、ある金融機関が「テクノロジーを通じて生活をもっと便利にする」と掲げているにもかかわらず、不正が起きてしまったら、その約束は破られたことになります。このパーパスをコンパスとして意思決定を行えば、規制に準拠し、顧客を守り、それでいてユーザーに過度な負担をかけない解決策を見つけやすくなります。
質問:このマインドセットは業界の標準になると思いますか? それとも、いつまでも例外的な存在にとどまるでしょうか?
回答: 数年前であれば、こうした話は理想論に聞こえたかもしれません。しかし今は違います。アルゼンチンやブラジルのような国では、明確なパーパスを持ち、全社をその方向にアラインさせようとする組織がすでに多数存在します。この流れに乗らない企業は、競争力を失っていくでしょう。例外がゼロになることはないにせよ、トレンドは明らかです。「義務感としてのコンプライアンス」から、「コアバリューとしての予防」へのシフトが進んでいるのです。
質問:リスクベース・アプローチという言葉が出ましたが、実務的には何を意味するのでしょうか?
回答: これはAML(アンチマネーロンダリング)の領域ではよく使われるアプローチで、不正防止においても広まりつつありますが、単なるバズワードではありません。
要するに、ビジネスを深く理解し、ペインポイントを洗い出し、それを具体的なリスクに落とし込み、優先順位をつけ、残存リスクが最も高い部分にリソースを配分するということです。
不正は非常にダイナミックなリスクです。リスクが低いからといって完全に無視できるわけではなく、再び顕在化する可能性は常にあります。すべてのリスクをモニタリングする必要がありますが、その強度や頻度はリスクレベルに応じて変えるべきです。
私がマリオ・アデル(Mario Ader)と共同でディレクションしているディプロマプログラムがあります。これはラテンアメリカ初の「不正防止」に特化したプログラムですが、その中で私たちはモデルを次の3つの柱に要約しています。
理解する(Understand)/介入する(Intervene)/測定して改善する(Measure to Improve)。この3つが、あらゆる戦略の土台であるべきだと考えています。
質問:コンプライアンスや不正防止の分野でキャリアを始めたばかりのジュニア層に、どんなアドバイスを送りますか?
回答: まず第一に、自分が本当にこの仕事を楽しめるかどうかを確かめてほしいですね。誰にでも向いている仕事ではありません。リスクインシデントが起きれば、午前4時に電話が鳴ることもあります。そのときにすぐ動ける覚悟が必要ですし、そのためには明確な目的意識と情熱が欠かせません。
第二に、「毎日学ぶこと」です。最低でも1日1時間は勉強すること。私は今、大学時代よりも多く勉強していると感じています。
第三に、ネットワーキングです。LinkedInで積極的に情報発信し、ウェビナーに参加し、本を読み、質問しましょう。
第四に、コラボレーションです。不正を働く側は互いに協力し合いますが、金融機関同士の協力はまだ十分とは言えません。私たちはもっと連携を深める必要があります。
質問:金融機関同士の間で、本当の意味でのコラボレーションは存在しているのでしょうか? それとも、まだ「口だけ」の段階でしょうか?
回答: 実際のところ、本物のコラボレーションは確実に増えています。特にラテンアメリカで顕著です。アルゼンチン、ブラジル、エクアドルなど各国にフォーラムがあり、エコシステム全体で情報共有が進んでいます。時間が経つにつれ、そこに参加しないプレイヤーは少しずつ周縁化されていくでしょう。もちろん、まだやるべきことはたくさんありますが、方向性はポジティブです。
しかも、コラボレーションのために個人データを共有する必要はありません。不正のタイポロジー(類型)、パターン、攻撃ベクトルなどの情報を共有するだけでも、大きな助けになります。
質問:5〜10年先を見据えたとき、金融業界にどのような文化的変化が起きてほしいと考えていますか?
回答: もっとも重要なのは、「不正防止を価値提案の一部として理解すること」です。これが組織の中にインストールされれば、他の要素は自然とついてきます。
より広い視点では、公共セクターと民間セクターの対話をもっと増やす必要があります。ときに規制当局が現実離れした要求を出すことがありますが、それは悪意ではなく、金融システムがどう機能し、どこへ向かっているのかを十分理解していないことが原因の一つです。彼らも金融エコシステムとその進化の方向性について、より深い理解を持つ必要があります。
同時に、不正犯罪に対する刑事法規をもっと強化することも求められます。現在、多くの犯罪者はシステムの「出入りの仕方」をよく知っています。司法システムはより重大と見なされる犯罪への対応で手一杯で、不正に十分な注意が向けられていないのが現実です。この状況は、これから変えていかなければなりません。
マルティン・ペルッカ:「不正を防ぐことは、組織の価値提案を強くする」
