OFACの和解事案から学ぶ 制裁コンプライアンス管理におけるテストと監査の重要性

2026年3月17日、米国財務省外国資産管理局（OFAC）は、米国に本社を置く証券会社TradeStation Securities（以下、「TradeStation」）との和解を発表しました。TradeStationは、イラン、シリア、ウクライナのクリミア地域に所在する顧客に対して投資サービスを提供し、一連のコンプライアンス管理の不備により証券取引を可能にしてしまったとして、100万米ドル（約1.5億円）以上の制裁金を支払うことに合意しました。

TradeStationには技術システムを用いた制裁コンプライアンス・プログラムが存在していたものの、技術的な不具合や、担当者による監視の不行き届きが重なり、500件近くに上る違反の疑いが生じる結果となりました。

今回の和解事案は、制裁コンプライアンス・システムを意図した通りに確実に機能させるためにシステムを積極的に管理し、テストや検証を定期的に行うことがいかに重要であるかを改めて浮き彫りにしています。

1. 執行措置の概要

1. 違反の疑いが生じた原因

TradeStationの和解の背景にある違反の疑いは、イラン、シリア、およびクリミアに所在するユーザーによって、同社のモバイル証券取引プラットフォーム上で実行された500件近くの取引に起因しています。OFACは、この違反の疑いの主な原因として次の2点を特定しました。

（1）TradeStationのジオブロック（地域制限）機能に関連する不備

（2）TradeStationの制裁コンプライアンス担当者がジオブロック機能のテストや検証を怠ったこと

TradeStationの制裁コンプライアンス・システムには、顧客のオンボーディング（口座開設）手続き時の制裁スクリーニングと、その後の日次スクリーニングが含まれていました。また同社は、口座開設を希望する顧客の主な居住地が制裁対象地域に該当しないかどうかもスクリーニングしていました。

さらに、TradeStationのコンプライアンス・プログラムは、制裁対象地域に所在する顧客が取引プラットフォームにアクセスするのを防ぐため、2段階のジオブロック機能を活用するように設計されていました。具体的には、（1）制裁対象地域に関連するIPアドレスを持つユーザーをブロックするファイアウォール、および（2）ユーザーのIPアドレスを認証して特定した現在地に基づき、ログイン段階でユーザーをブロックするツール、の2つです。TradeStationは、このジオブロック機能によってブロックされたユーザーを特定する、外部プロバイダーが生成した日次アラートを受信していました。

OFACは、違反の違いを招いたジオブロック機能に関する2つの問題を特定しました。第1に、TradeStationが2018年にモバイル取引プラットフォームを支えるソフトウェアをアップグレードした際に、2段階目のジオブロック機能が意図せず無効になっていました。この機能は、ユーザーのIPアドレスを識別する代わりに、モバイル取引プラットフォームを支える米国内のTradeStationのサーバーに関連付けられたIPアドレスを識別するようになっていました。その結果、制裁対象地域に所在するユーザーであっても、2段階目のジオブロック機能ではブロックされませんでした。第2に、2021年のソフトウェア・アップデートのために1段階目のジオブロック機能が一時的に無効化された際、TradeStationの従業員は約1年後まで同機能を再有効化しませんでした。これら2つの不備が重なった結果、約1年間にわたり、制裁対象地域のユーザーがTradeStationのモバイルプラットフォームにアクセスし、合計約440万米ドルに上る500件近くの取引を実行する事態となりました。

OFACはまた、TradeStationがジオブロック機能のテストまたは検証を怠ったことも、違反の疑いの原因であると指摘しています。第1に、2021年後半以降、TradeStationはジオブロック機能のテストを停止していました。同社は以前、自社運用サーバー用のテスト・プロトコルを設けていましたが、インターネット・サービス・プロバイダーやクラウド・プロバイダーがテスト通信をブロックしてしまい、TradeStationのシステムまで届かないという問題に直面しました。その際、より効果的なテスト・プロトコルに変更するのではなく、TradeStationはテストそのものを完全に中止してしまいました。さらに、同社にはモバイル・プラットフォーム用のテスト・プロトコルが欠如していました。第2に、ジオブロック機能によってブロックされたユーザーを特定する日次アラートについて、その配信サービスの契約期限切れを知らせる通知を受信した際、TradeStationは何ら対応を取りませんでした。期限切れの通知を受け取った従業員が、制裁コンプライアンス部門の同僚に報告しなかったため、TradeStationは8カ月以上にわたって日次アラートを受信できない状態となっていました。

1. 2. 制裁金

TradeStationは今回の違反の疑いをOFACに自主開示しており、これを受けてOFACは本件が極めて悪質なケースではないと判断しました。民事制裁金の基本額は約220万米ドルと算出されましたが、これは違反が疑われる各取引額の50％に相当する金額です。この制裁金額は、いくつかの軽減要因が存在したことによりさらに減額されました。この減額要因には、TradeStationが新たな管理体制を導入し、制裁コンプライアンス機能に関する不具合を早期に発見できるよう迅速に是正措置を講じたこと等が含まれます。ただしOFACは、TradeStationが2021年にもジオブロック機能の別の問題に起因する違反の疑いでOFACから警告状（Cautionary Letter）を受け取った事実について、増額要因として指摘しました。これらの減額・増額要因等を含めて算定した結果、最終的な制裁金額は、1,110,661米ドルとなりました。

2. コンプライアンスに関する実務上の留意点

TradeStationのOFACとの和解事案は、制裁コンプライアンスの実務担当者にとって非常に参考になるケースです。最も重要な点として、この和解事案は、制裁コンプライアンス・プログラムを積極的に管理し、定期的にテストおよび監査を行わなければならないことを示しています。コンプラアンス部門は、もし制裁コンプライアンス・プログラムを「導入したまま放置した状態」で運用していると、コンプライアンス上のギャップを見落とすリスクを冒すことになり、それが制裁規則違反に直結する可能性が非常に高くなります。

TradeStationの和解事案から得られる主な教訓は以下の通りです。

• テストと監査：コンプライアンス・システムに対する徹底したテストと監査を実施することで、企業のコンプライアンス管理におけるあらゆる不備を発見できるはずです。経営陣は、テストおよび監査のスケジュールを策定し、それを厳守することの重要性を社内に周知することが求められます。実際に、OFACの「コンプライアンス・コミットメントのためのフレームワーク」では、テストと監査は効果的な制裁コンプライアンス・プログラムの「不可欠な要素」であると明記されています²。OFACは、企業の経営陣が「テストまたは監査部門が、上級経営陣に対して確実に説明責任を負う体制を構築することにコミットする」ことを期待しています³。担当者が主体的にこれらの業務に取り組み、当事者意識を持てる環境づくりの一環として、経営陣は、該当する担当者の年次人事評価にテストや監査の実施項目を組み込むことも一つの有効な手段です。
• IT部門とコンプライアンス部門の連携：IT部門は、ソフトウェアのアップグレードやバグ修正等の作業を行う際、コンプライアンス部門に常に情報提供を行うよう細心の注意を払う必要があります。これにより、IT部門の作業後もコンプライアンス管理機能が完全に作動するかどうか、コンプライアンス部門側でテストを実施できるようになります。たとえIT部門の作業がコンプライアンス管理に直接影響を与えないと思われる場合であっても、意図せずコンプライアンス管理機能に変更が加えられていないかを確認するため、やはりテストを実施することが重要です。
• コンプライアンス関連アラートのチェックリスト化：コンプライアンス部門は、社内システムや外部プロバイダーから生成されるものを含め、受信を予定しているアラートのチェックリストを維持・管理する必要があります。これらのアラートが日次、週次、月次のいずれのスケジュールで設定されているかにかかわらず、チェックリストを管理しておくことで、コンプライアンス部門はアラートを受信できなかった場合にいち早く気づくことができます。そこから、コンプライアンス部門はアラートの配信サービス契約等の更新が必要かどうかを確認することができます。
• すべての顧客チャネルのコンプライアンス管理：企業は、顧客が商品を購入できるすべてのチャネルに対して、コンプライアンス管理が設けられていることを確実にする必要があります。例えば、企業が自社の製品やサービスをウェブサイトとモバイルアプリの両方で提供している場合、それぞれのチャネルを支えるソフトウェアが異なっていたとしても、各チャネルに制裁規則違反を防ぐための十分なコンプライアンス機能が備わっている必要があります。
• 過去の執行措置における検討事項の反映：企業がコンプライアンス機能の不備を指摘する執行措置（制裁金や警告等）を受けた場合、今後はそのような執行措置を招いた根本的な原因にしっかりと目を向け、対策に注力することが重要です。過去の執行措置を踏まえ、どのような場合に違反の疑いを自主的に開示・申告すべきかを検討するコンプライアンス方針を定めておくことは、企業の経済的利益に大いに役立つ可能性があります。

TradeStationの和解事案は、効果的な制裁コンプライアンス・プログラムとは、単に立派な方針や手順書が存在すること以上のものであることを私たちに示しています。強固なコンプライアンス・プログラムであっても、継続的な注意と適切な監視のもとで運用されなければ機能しない可能性があります。制裁コンプライアンス・プログラムの運用において、人的・技術的なミスを完全に無くすことは難しいかもしれませんが、今回の事例を今後の運用に活かすことで、万が一エラーが生じた際のリスクや悪影響を最小限に抑えることにつながります。

東京

¹米国財務省執行措置リリース：「TradeStation Securities, Inc.、複数の制裁規則違反の疑いに関連して1,110,661米ドルでOFACと和解」（2026年3月17日）
https://ofac.treasury.gov/media/935351/download?inline

² OFAC「OFACコンプライアンス・コミットメントのためのフレームワーク」（2019年5月2日）
https://home.treasury.gov/system/files/126/framework_ofac_cc.pdf

³同上