2017.11.03 FATF는 민간 영역에서의 정보 공유를 위한 가이드라인을 발표하였다.
제목은 "FATF Guidance - Private Sector Information Sharing" 이다.
주요 내용은
23. 감독기관은 AML/CFT 목적의 정보 공유를 지원하기 위해 통합 및 그룹 차원 감독을 수행하도록
교환할 정보를 명시하는 양자간 / 다자간 협약을 증진하여야 한다.
24. 금융사는 금융사의 모든 지점, 금융 그룹은 다수 지분의 모든 자회사에 그룹의 프로그램이 적용되어야 한다.
여기에는 BL/TF 위험 관리를 위해 필요한 정보를 공유하기 위한 정책 및 절차가 포함되어야 하며,
그룹에서 AML/CFT 목적에 필요한 경우, 지사, 지점, 자회사의 고객, 계좌, 거래 정보가 제공되어야 한다.
이것은 정보의 기밀성과 의도된 목적만을 위한 사용을 보장하기에 충분한 안전 장치의 대상이 되어야 한다.
28. 금융 기관의 정보 공유는 그룹의 ML/TF 위험을 효과적으로 식별, 관리, 완화하기 위한 것
이를 위해 비정상 거래 / 활동에 대한 정보 및 분석이 포함되어야 함. STR, 기본 정보, STR이 제출되었다는 사실이
포함될 수 있음. 이는, 입법 체계(국내 및 해외)에 따라 정보 공유의 범위 및 메커니즘이 결정되어야 함.
29. 아래 표를 통해 정보 공유의 목적을 이해할 수 있음.
정보 유형 |
정보 요소의 예(필요한 경우 사용 가능한) |
그룹 내에서 정보를 공유하기위한
AML / CFT 목적 |
Customer Information |
법인 및 계약의 경우 고객 신원 및 연락처 정보 (이름 및 식별자) : 비즈니스의 본질 및 소유권 및 통제 구조에 대한 정보; 법적 형식과 존재 증명; 등록된 사무실의 주소 및 주요 사업장; 고객이 PEP (관련자 또는 가족 구성원 포함)인지 여부에 관계없이 LEI (Legal Entity Identifier) 정보, 금융 자산 기록, 세금 기록, 부동산 소유물, 자금 및 자산 출처에 대한 정보, 경제적 / 전문적 활동 및 계정 파일, 공공 출처 또는 ML / TF와 관련된 내부 조사 또는 고객의 위험 분류 등과 관련하여 고객 Onboarding 또는 기록 업데이트, 대상 금융 제재 정보 및 기타 정보 수집시 수집한 문서와 관련된 기타 요소 |
고객 및 지리적 위험 관리, 그룹 내의 여러 주체가 동일한 고객에게 온보드한 결과로 글로벌 Risk Exposure를 식별하고 고객 정보를 보다 효율적으로 기록. |
Beneficial Owner Information |
실 소유자가 PEP이든 아니든 간에 실질적 소유자 식별 정보 및 연락처 정보, 부동산 보유, 자금 및 부의 출처, 경제적 / 전문적 활동 및 계정 파일, 고객 Onboarding 도중에 수집된 문서의 기타 관련 요소 또는 기록 갱신. |
실소유자 및 지리적 위험 관리, 그룹 내의 여러 주체가 동일한 실 소유자 식별, 실 소유자 정보를 보다 효율적으로 기록 관리. |
Account Information |
계좌 개설 목적, 고객과 비즈니스 범위 등으로 표현된 거래 / 활동의 예상 위치 등을 포함한 은행 / 기타 계좌 세부 정보 |
그룹 차원에서 효과적인 실사 및 거래 모니터링, 금융 프로필에 대한 거래 패턴의 정당화, 그룹 전체의 경보 또는 비정상적인 거래 패턴에 대한 후속 조치. |
Transaction Information |
거래 기록, 신용 카드 및 직불 카드 기록 및 사용, 과거 신용 기록, 디지털 흔적 (IP 주소, ATM 사용 정보 등), 시도 / 실패 거래 정보, 통화 거래 보고서, 계정 폐쇄 또는 비즈니스 관계 종료에 대한 정보, 의심스럽거나 의심스런 거래를 탐지하기 위한 분석 |
글로벌 트랜잭션 모니터링, 의심스러운 트랜잭션의 경보 처리 및 식별, 그룹 내의 비즈니스 라인에서 유사한 행동의 존재를 확인하고 확인. |
34. 본사로 정보를 공유한다해서 모든 지역의 전체 그룹에 대한 그룹 컴플라이언스로 평가되어야 하는 것은 아님.
각각 자체 책임을 져야 하며, 자체 위험 평가와 관련된 정보가 있어야 함.
35. 중앙 집중식 저장은 기록에 포함된 정보의 그룹 차원의 공유는 아님.
전자적 / 중앙 집중적으로 관리되는 기록은 기밀 유지 및 기타 의무 사항이 준수되어야 함.
글로벌 거래 모니터링은 항상 다국적 그룹이 운영되는 모든 지역의 의무를 강화하는 방식으로 수행되어야 함.
따라서 한 곳에서 모니터링하는 것은 그룹이 운영되는 다른 지역의 약한 의무를 기준으로 하지 말아야 함.
38. 글로벌 금융사의 현지 운영은 현지 법률 및 규정에 부합하여야 함.
동시에 그룹 차원의 통제가 일관되게 적용될 수 있도록 그룹 차원의 컴플라이언스 프로그램을 준수해야 함.
현지국에서 정보 공유를 포함, 내부 통제를 적절하게 수행하지 못할 경우
ML/TF 위험 관리를 위한 적절한 추가 조치를 적용하고 감독기관에게 보고해야 함.
43. 지점 / 지사에서 정보 공유를 그룹으로 제출되면 그룹 차원의 준수 프로그램의 효과적인 구현을 촉진.
마찬가지로 지점/자회사는 그룹 수준 기능에서 이러한 정보를 수신하여야 함.
50. STR을 국가간에 공유할 때, 관활권에 금지되어 있는 STR 자체를 공유할 필요 없음.
다양한 방법을 통해 STR이 공유될 수 있음.
54. 금융 기관은 (a) 공유된 정보의 기밀성과
(b) 정보가 AML / CFT 목적으로만 사용되고 다른 목적으로 사용되지 않도록 보장하기 위해
공유된 정보와 관련하여 충분한 안전 장치를 마련해야 함.
55. 국가는 금융그룹 내의 정보 흐름을 방해하는 법적 / 규제 장벽을 다루어야 하고,
정보 공유를 제한하는 기존 조항(DPP; Data Protection Program)에 대한 철저한 평가가 필요할 수 있음.
이 가이드라인은 EU 등의 국가에서 GDPR 등의 정보 보호 규정이 강화되면서,
AML / CFT의 금융 그룹 및 다국적 금융사의 중앙 통제 및 관리를 위해
DPP(Data Protection Program)와의 상충되는 규정에 대한 해석을 제공하기 위함으로 보이며,
이에 따라 각 금융사는 법률적 검토 및 해석에 따라 진행되어야 할 것이고,
KoFIU에서는 이에 대한 가이드라인이 제시되어야 할 것으로 보인다.
원문은 아래에서 확인할 수 있다.
Private-Sector-Information-Sharing.pdf