マネーロンダリングおよび金銭犯罪防止委員会 (SEPBLAC) の行政サービスによる 2024 年のデータによると、スペインでは義務的な KYC (顧客確認) の結果として、疑わしい取引に関する警告が 24,000 件以上 検出されました。警告の大半を金融機関が占め (86%)、続いて非金融機関 (11.6%)、その他の種類の事業体 (2.6%) となっています。

スペインでは、特定の事業体に KYC 管理の導入に関する法的義務があります。ただし、不正の検出と防止を改善したい会社は、自発的に導入することもできます。KYC の導入が義務かどうかにかかわらず、KYC の導入方法を知ることが重要です。この記事では、KYC の目的と手順を含め、KYC について説明します。

目次

• 顧客確認 (KYC) とは
  
• KYC のメリット
  
• スペインで本人認証の導入が義務付けられているのは誰ですか？
  
• スペインにおける本人認証の法的要件
  
• スペインにおける KYC 手続きの例
  
• Stripe Identity による本人認証の簡素化
  
• スペインの KYC に関するよくあるご質問
  

顧客確認 (KYC) とは

KYC 手続きは、サービスの契約またはオンライン購入の完了前に顧客の本人確認を行うことを目的としています。その目的は、不正やその他の金融犯罪 (マネーロンダリングなど) のリスクを軽減することです。

顧客の本人確認を行い、個人情報の盗難や個人データの盗難などのセキュリティの脅威を軽減するために、企業は二要素認証やデジタル署名などのメカニズムを使用できます。

KYC のメリット

KYC の実装は、一部の業界では必須の要件であるだけでなく、デジタル環境で事業を展開する企業にとって、業務レベルや戦略レベルでメリットがあります。本人認証を統合する主なメリットは次のとおりです。

• 不正利用対策
  顧客の本人確認を行うと、不正行為者がアクセスすることが難しくなります。KYC は、各顧客を確認する最初の障壁です。これは、個人情報の盗難のケースが INCIBE (National Cybersecurity Institute) への問い合わせの 14% を占めるデジタル環境では特に重要です。
  
• 業務の安定性
  ビジネス継続性を確保するためには、マネーロンダリング防止法を厳格に遵守することが重要です。KYC システムの不備は、金銭的ペナルティだけでなく、会社活動の停止や取締役の資格喪失につながる可能性があります。
  
• データ処理の自動化と正確性
  最新の KYC ソリューションのほとんどは、OCR (光学式文字認識) と AI (人工知能) の機能を使用して、ドキュメントから高精度で情報を抽出します。これらの KYC ソリューションは、手動でデータを入力する必要をなくすことで、人為的ミスを最小限に抑えます。これにより、信頼性が高く標準化された顧客記録を実現できます。
  
• 迅速なユーザー登録
  ユーザー登録プロセスで離脱が起きる主な理由の 1 つは、登録が遅い、または複雑であることです。柔軟な KYC システムを統合することで、この体験を変えることができます。たとえば、以前は物理的な書類が必要で待ち時間が長かったプロセスを数秒で完了できるようになりました。さらに、KYC ソリューションの中には、数十カ国の本人確認書類に対応しているものもあり、新しい市場での立ち上げが容易になっています。
  

スペインで本人認証の導入が義務付けられているのは誰ですか？

規制 (EU) 2024/1624 は、EU における KYC ポリシーと手続きの適用を管理する規制フレームワークを確立しています。ただし、各加盟国には、独自の法的なニュアンスを導入する権限があります。

スペインでは、マネーロンダリングの防止とテロ資金供与に関する法律 10/2010 が主に KYC システムを規定しています。以下は、スペインで取引関係を確立または維持する際に、識別情報を収集・確認する法的義務を負う事業体のリストです。

金融機関

金融機関は顧客の金融資産の管理に重点を置いているため、不正取引のリスクが高まります。これは SEPBLAC のデータにも表れています。SEPBLAC によると、銀行、貯蓄銀行、決済機関、その他の信用機関は、2024 年に指標に基づく報告が最も多くなりました。本人認証の導入が義務付けられている金融機関の一覧を以下に示します。

• 信用機関
  
• 生命保険会社または投資保険会社
  
• 投資サービス会社
  
• 投資信託マネージャーおよび運用会社
  
• 年金基金マネージャー
  
• ベンチャーキャピタルマネージャーおよびベンチャーキャピタル会社
  
• 相互保証協会 (スペインの中小企業 [SMEs] に融資する非営利団体で、法律 1/1994 が適用されます)
  
• 電子マネーおよび決済機関
  
• 通貨交換業者
  
• 暗号資産サービス代行業者
  

非金融機関

金融セクター以外の一部の事業体も、高リスクの取引に関与しています。SEPBLAC によると、宝くじ管理者、登記官、公証人は、2024 年に指標に基づく報告が最も多くなりました。本人認証の導入が義務付けられている非金融機関は次のとおりです。

• 送金代行業者 (決済機関ではなく物流を主な業務とする事業者)
  
• 銀行免許なしで営業し、法的には信用機関や金融信用機関とは見なされない信用ブローカーおよび貸し手
  
• 不動産開発業者および仲介業者 (月間 €10,000 または年間 €120,000 以上の賃貸取引を行う事業者)
  
• 監査人、外部会計士、および税務アドバイザー
  
• 公証人および土地登記官、個人財産登記官、会社登記官
  
• 弁護士および事務弁護士 (金融取引や不動産取引など、特定の取引において顧客を代理する場合)
  
• 企業や信託にサービスを提供する専門家
  
• カジノ
  
• 宝飾品、宝石、貴金属の業者
  
• 美術品またはアンティークのディーラーおよびブローカー
  
• 買戻しオプション付き商品の販売業者
  
• 宝くじおよびギャンブル運営者 (賞金を支払う際)
  
• スペインの非居住者による購入金額が €10,000 を超え、現金などの高リスクの決済手段で支払われた商品の販売業者
  
• 資金を拠出または受領する財団および団体
  
• 証券決済および決済システムマネージャー
  

KYC システムの採用が法的に義務付けられていなくても、不正リスク管理を改善するために KYC システムの導入をお勧めします。KYC には顧客の本人確認と金融活動が含まれるため、このプロセスは個人情報の盗難などの脅威の軽減に役立ちます。

スペインにおける本人認証の法的要件

また、法律 10/2010 では、本人認証の実施に必要なすべての事業体が満たさなければならない要件も定められています。この要件はデューデリジェンスと管理策に分類されます。以下では、これらの要件のうち最も重要なものについて説明します。

デューデリジェンス

デューデリジェンスには、顧客の本人確認と経済活動に関する情報の収集が含まれます。デューデリジェンス対策は、顧客のリスクレベル、製品の種類、または取引の性質に比例して適用されます。このリスク分析は、リスクプロファイルと最終的に適用される要件を決定するために、事前に書面で正式化する必要があります。

低リスクプロファイルのデューデリジェンス要件

分析によってリスクプロファイルが低いと判断された場合、規制により、簡素化されたデューデリジェンス措置の適用が認められます。これにより、規制への法令遵守を損なうことなく手順が簡素化されます。最も重要な要件は次のとおりです。

• 顧客を特定する
  本人認証を導入する企業または専門家にとって、最初のステップは顧客を正式に特定することです。法人 (オフィスの購入を希望する会社など) の場合は、会社代表者 (25% 以上を所有しているか、会社を運営している個人) を特定する必要があります。
  
• 職業または事業活動を確認する
  KYC 手続きの責任者は、顧客の職業活動または事業活動が実態と一致していること (給与や会社の利益を通じて) を確認する必要があります。この確認は妥当なもの (取引のリスクレベルに比例したもの) である必要があります。
  
• 取引の目的を決定する
  次に、金融取引を行う顧客の目的を確認する必要があります。これは、以前に確認済みの職業活動またはビジネス活動と一致している必要があります。たとえば、取引の目的が法人の貯蓄の一部を暗号資産に投資することである場合、会社の年間収益が数百万ユーロであれば、€500,000 のビットコインの購入は妥当です。ただし、月給が €1,500 の個人にとっては妥当ではありません。
  
• 継続的なモニタリングを導入する
  KYC システムは、取引関係の始まりに限定されません。継続的なモニタリングも含まれます。たとえば、顧客がファンドに投資したときに €2,900 の給与を得ていたが、現在は失業中で収入がない場合、金融機関はその情報を把握することが重要です。したがって、プロフィールに大きな変化が生じたときに顧客データを更新することが重要です。
  

高リスクプロファイルのデューデリジェンス要件

分析の結果、顧客プロファイル、取引、または取得資産が高リスクであると判断された場合、強化されたデューデリジェンス対策が実施されます。これらは、低リスクプロファイルの要件に追加されるものです。以下では、スペインで最も一般的な対策をいくつか説明します。

• 資金の出所を特定する
  この強化された措置は、たとえば、顧客が大臣や、議会に代表者を置く政党の上級指導者など、公的な責任を負う役職に就いている場合に適用されます。
  
• 電子署名を要求する
  取引が電子的に行われる場合、事業体は規則 (EU) 910/2014 で定められた要件を満たす電子署名で顧客の本人確認を行う必要があります。
  
• 明示的な承認を得る
  スペインの銀行から外国の銀行への一部のクロスボーダー決済では、資金を送金する前に上級経営陣からの明示的なオーソリが必要です。
  

管理および情報対策

デューデリジェンスの結果が違法行為の可能性を示している場合、KYC 手続きの責任者である会社は、次の管理および情報対策を採用する必要があります。

• 特別審査
  法人は、内部統制プロトコルを導入して特定のケースを調査し、疑いの理由と結論を詳述したレポートを作成する必要があります。
  
• 指標に基づく報告または体系的な報告
  特別調査の結論によって最初の疑いが確定または補強された場合、会社は顧客の身元、活動、疑わしい取引の詳細を記載したレポートを SEPBLAC に送付する必要があります。疑いの証拠がない場合でも、マネーロンダリングのリスクが高い国の送金元または送金先との取引を体系的に報告することが義務付けられています。
  
• 取引のキャンセル
  会社は、取引が不可能であるか、調査の進行に支障をきたす可能性がある場合を除き、取引を行うことを控えなければなりません。
  
• 開示の禁止
  法人は、報告が指標に基づくものか体系的なものかを問わず、SEPBLAC への報告について顧客または第三者に通知することが禁止されています。
  
• 当局との連携
  関係当局が追加情報をリクエストした場合、調査を円滑に進めるために、その情報を迅速かつ正確に提供する必要があります。
  
• 書類の保持
  会社は、スペインの本人認証の法的要件への遵守を証明するすべての書類を 10 年間保存する必要があります。
  

スペインにおける KYC 手続きの例

顧客デューデリジェンスの確認はリスクプロファイルと事業形態によって異なりますが、ほとんどの場合、基本的な手順は似ています。以下は、スペインにおける KYC 手続きの例です。

• フォームにアクセスする
  Booking.com は、スペインの B2C 環境で、ホテルによる直接予約を凌ぐ最も利用されている宿泊予約システムです。従来のホテルの経営陣は、デジタルトランスフォーメーション戦略の一環として、このオンライン旅行代理店との取引を開始することを決定しました。このプラットフォームで事業を運営するには、まず Booking.com KYC フォームに入力する必要があります。
  
• 法人のタイプを決定する
  Booking.com は、法人のタイプに応じて異なる要件を適用します。たとえば、自営業者は、個人情報と銀行口座情報のみを入力する必要があります。ただし、ホテルは商業登記簿に有限責任会社 (SL) として登録されているため、ホテルの管理者は「法人」オプションを選択します。
  
• フォームに記入する
  代表者が SL の代理としてフォームに入力します。パートナー会社として運営するために、Booking.com は会社名、設立日、国際銀行口座番号 (IBAN) などの 会社の銀行口座情報をリクエストします。
  
• 情報を確認してリスクを分析する
  フォームを受け取った Booking.com は、SL の所有者の確認や商業登記簿の記載内容と情報が一致しているかの確認など、いくつかのステップを含む確認プロセスを実行します。次に、リスク分析を行い、結果が良好であれば、ホテルとの取引関係を開始します。
  
• KYC 手続きの導入 （予約向け）
  Booking.com などのプラットフォームでは、KYC プロトコルを強化するために、この手続きをホテルの予約を行う顧客に拡張することが一般的です。このビデオでは、本人確認プロセスと Stripe Identity による予約プロセス中に顧客が実行する必要があるステップをご紹介します。
  

Stripe Identity による本人認証の簡素化

スペインで KYC システムの導入が法的に義務付けられている場合は、情報収集手順が一般データ保護規則 (GDPR) に準拠していることを確認する必要があります。Stripe Identity は、ユーザー登録プロセス中の本人確認を簡素化し、スペインの KYC 規制に準拠することで、このタスクを円滑化します。

Stripe Identity を使用すると、顧客の本人確認を行い、機密データ漏洩のリスクを軽減できます。さらに、手作業を減らして不正利用対策チームの作業負荷を簡素化しながら、正当な顧客が確認プロセスをより迅速かつ簡単に利用できるよう支援します。

さらに、Stripe のオンライン決済プラットフォームである Stripe Payments と、同社の不正利用ツールである Stripe Radar を組み合わせることで、不正利用攻撃を防ぐことができます。これは、これらのシステムのセキュリティ対策と、コンバージョンに影響を与える可能性のある誤検出の防止によるものです。

プラットフォームとマーケットプレイスの場合、Stripe Connect は複数当事者の決済管理に伴う本人認証を簡素化できます。KYC 認証は、ウェブサイトで商品やサービスを提供する企業や専門家の確認に加えて、顧客の本人確認にも統合されます。

スペインの KYC に関するよくあるご質問

すべての取引に本人認証の実施が義務付けられているか？

本人認証が必須かどうかは、法人のタイプによって異なります。金融機関 (信用機関や暗号資産サービス代行業者など) は、すべての取引に本人認証を適用する必要があります。ただし、一部の非金融機関は、特定の場合にのみこれらの確認を実行する必要があります。たとえば、ショップや専門家は、高リスクの決済手段で支払われた金額が €10,000 を超える非居住者への取引で本人認証を実行する必要があります。

KYC 手続きが義務付けられているにもかかわらず実施されない場合はどうなりますか？

会社は本人認証の義務を果たさなかった場合、適用される罰則を受け入れる必要があります。1 回の取引で顧客を特定できなかったなどの軽微な違反は、厳重注意または最大 €60,000 の罰金が科される可能性があります。マネーロンダリングやテロ資金供与の兆候または確実性があるときに顧客を特定できなかったなどの重大な違反の場合、最低罰金は €60,000 です。繰り返しの違反を含む、非常に重大な違反の場合、最低罰金は €150,000 です。罰金に加えて、重大および非常に重大な違反は、営業認可の一時的な停止や経営陣の資格喪失などの結果につながる可能性があります。

EC ビジネスに本人認証を導入するのはお勧めですか？

EC ビジネスは法的に KYC システムの導入を義務付けられていませんが、EC での不正利用の検出と防止には KYC システムの導入をお勧めします。顧客とその経済活動に関する情報を収集することで、取引関係のリスクレベルを判断し、必要に応じて個人情報の盗難などの脅威を回避するための追加の予防措置を講じることができます。KYC 手続きの導入が義務付けられていない場合でも、暗号資産決済や分割払いを受け付ける EC ビジネスなど、リスクの高い決済手段を受け付けるビジネスには特に推奨されます。