オンラインで楽器を販売しているカリフォルニア州のあるギターメーカーは、最近、OFACの告発を和解するために41,591ドルを支払いました。同社が直面していた法定最高額は? 3,313,224ドル、つまり約80倍です。この差を生んだのは、ある一つの決断でした。規制当局に発見される前に、会社側が自ら違反を自主的に開示したのです。
この比率こそが、2026年における制裁執行のすべてを物語っています。財務省の外国資産管理局(OFAC)は、もはやウォール街の銀行だけを追いかけているわけではありません。不動産投資家、フィンテックのスタートアップ、eコマースのセラー、楽器の輸入業者、暗号資産ウォレットのプロバイダーなどが、過去18ヶ月の間に次々と執行リストに名を連ねています。国際緊急経済権限法(IEEPA)に基づく民事罰の最高額は現在、1件の違反につき377,700ドル、または取引額の2倍のいずれか高い方となっており、OFACは無過失責任を適用します。つまり、違反の意図があったかどうかは問われません。
あなたのビジネスに米国国外(あるいは国内であっても)の顧客、ベンダー、または支払い相手がいる場合、あなたはすでにリスクにさらされています。以下に、専任のコンプライアンス部門を持たない企業にとって効果的なOFACプログラムのあり方を示します。
なぜ中小企業が突然OFACの標的になったのか
OFACの歴史の大半において、執行の焦点は銀行にありました。それが過去5年間で変わりました。当局は、執行の方向性を「伝統的な銀行業務から、フィンテックや暗号資産などの新しいハイリスク・セクターへと転換する」と公言しており、最近の行動がそれを裏付けています。
- Exodus Movement(暗号資産ウォレット):イランとの取引・制裁規則に対する254件以上の明らかな違反(うち12件は悪質で、自主的開示もされていなかった)
- Poloniex:760万ドルの和解金
- Payoneer:150万ドルの和解金
- BitPay:507,375ドルの和解金
- Kraken:362,158ドルの和解金
- ある個人の不動産投資家:470万ドルの民事罰
- 2026年現在まで、公表されたわずか3件の執行アクションの合計:6,607,661ドル
パターンは明確です。国境を越えて金銭、物品、サービスを扱うビジネス、あるいは制裁対象者が支払い可能なウェブサイトを運営しているビジネスには、制裁プログラムが必要です。これには、Shopifyストア、海外顧客に請求書を発行するSaaS企業、フリーランスのマーケットプレイス、決済プロバイダー、暗号資産取引所、海外のオーナーから家賃を回収する不動産会社、オフショア資産を保有するクライアントを受け入れる会計事務所などが含まれます。
OFACが実際に制限しているもの
OFACは30以上の異なる制裁プログラムを管理しています。これらは大きく2つのカテゴリーに分けられます。
包括的禁輸措置(全国家禁止)
2026年現在、以下の4カ国は、米国人との貿易、金融取引、およびサービスがほぼ全面的に禁止されています。
- キューバ
- イラン
- 北朝鮮(DPRK)
- シリア
ウクライナの占領地域であるクリミア、ドネツク、ルハンシクも、包括的制裁の対象となります。これらの管轄区域内、またはこれらに関連するビジネスを行うには、OFACの特定のライセンスが必要です。さもなければ法律違反となります。
個別およびセクター別制裁
ロシアは今日、世界で最も激しく制裁を受けている国ですが、包括的な禁輸措置の下にはありません。その代わりに、OFACはエネルギー、金融、防衛、テクノロジーの各セクターにわたるターゲットを絞った禁止措置を層状に重ね、さらに数千の個人および団体を指定しています。ベネズエラ、ベラルーシ、ミャンマーも、重要なターゲット型制裁体制が敷かれています。
国別のプログラムに加えて、OFACは国籍に関係なく、麻薬密売人、テロリスト、人権侵害、サイバー攻撃者、腐敗した外国官僚をターゲットにしたリストベースの制裁を維持しています。
実際にスクリーニングが必要な制裁リスト
「SDNリストをチェックしている」と言うのは、最も一般的なコンプライアンスの近道であり、かつ最も一般的なコンプライアンスの失敗です。OFACは複数のリストを公開しており、そのうちの一つでも飛ばしてしまうと、罰金が積み重なることになります。
| リスト | 対象範囲 | 資産凍結(ブロック)が必要な場合 |
|---|---|---|
| 特別指定国民(SDN)リスト | 個人、団体、船舶、航空機。SDNの財産は凍結される必要がある。 | 常に必要 |
| 統合制裁リスト | すべての非SDNリストを集約したマスターファイル | 常に必要 |
| セクター別制裁識別(SSI)リスト | ロシアのエネルギー、金融、防衛セクターのターゲット | 指令(ディレクティブ)による |
| 外国制裁回避者(FSE)リスト | 米国の制裁回避を支援する人物 | 常に必要 |
| 非SDNメニューベース制裁(NS-MBS)リスト | 多くの場合CAATSAに基づく、ターゲットを絞った措置 | 適用されるメニュー項目による |
| パレスチナ立法評議会(NS-PLC)リスト | 選挙に参加したPLCのメンバー | 常に資産凍結対象 |
これらすべては、OFACの制裁リスト検索ツール(sanctionssearch.ofac.treasury.gov)で無料で検索できますが、この無料ツールは一回限りの検索用であり、大量のスクリーニングには向いていません。本番環境では、商用のスクリーニング・プロバイダー、自動API、またはOFACが毎日公開する差分データを取り込む自社ツールが使用されます。
50パーセント規則:名前照合だけでは不十分な理由
ほとんどすべての企業が不意を突かれる規則がこちらです:
1名以上の封鎖対象者(Blocked persons)によって(直接的、間接的、または合計で)50%以上所有されている事業体は、たとえOFACのいかなるリストにも名前が記載されていなくても、それ自体が封鎖対象となります。
ここで重要な2つの意味合いがあります:
- SDN間での合算がカウントされる。 もしSDN Aがケイマン諸島の持株会社の30%を所有し、SDN Bが25%を所有している場合、個々の所有率は50%に達していなくても、その持株会社は封鎖対象となります。
- 間接的な所有がカウントされる。 制裁対象者が親会社の60%の持分を持ち、その親会社が子会社の60%を所有している場合、直接的な計算(60% × 60% = 36%)では50%を下回るように見えますが、その子会社は封鎖対象となります。OFACは親会社を完全に封鎖されたものとして扱い、その子会社に対する完全な所有権が引き継がれるとみなします。
この規則こそが、単純な名前照合(ネームスクリーニング)が失敗する理由です。「Atlas Logistics LLC」という名前のベンダーは、SDNリストには表示されません。しかし、もしその実質的支配者(UBO)が、3層のペーパーカンパニーを通じて合計51%を保有する制裁対象のロシアのオリガルヒであれば、その請求書を支払うことは米国の制裁法に違反することになります。
小規模ビジネスにおける実務的な対応策:
- ベンダーや高額顧客に対し、実質的支配者の開示を求め、理想的にはUBO証明書と紐付ける
- 名前だけでなく、所有関係を解決できるスクリーニングプロバイダーを使用する
- 高リスク管轄区域(英領バージン諸島、ケイマン諸島、UAE、キプロス、香港、ロシア、中国・香港間のクロスボーダー構造)の取引先については、個人レベルまでの法人登記情報の抜粋を要求する
- オンボーディング時だけでなく、定期的に再スクリーニングを行う(OFACは毎週新しいSDNを追加しているため)
OFACの5つの柱:コンプライアンス・プログラムのあるべき姿
財務省は、何が「効果的な」制裁コンプライアンス・プログラム(SCP)を構成するかを明確にするため、『OFACコンプライアンス・コミットメントのためのフレームワーク』を公開しました。そこには5つの要素があり、OFACは制裁金を算出する際に各要素を明示的に評価します。
1. 経営陣の関与(Management Commitment)
シニアリーダーシップは、プログラムを承認し、リソースを提供しなければなりません。小規模な会社の場合、創業者、CEO、またはCFOが書面によるポリシーに署名し、コンプライアンス責任者を指名し、少なくとも年に一度はプログラムの有効性を確認することを意味します。形式的な承認だけでは不十分です。OFACは、リーダーが関与している証拠を求めています。
2. リスク評価(Risk Assessment)
自社が直面している具体的なOFACリスクを文書化します。世界中で販売しているSaaS企業は、国内の不動産会社やクロスボーダー決済代行業者とは異なるリスクを抱えています。評価では以下をカバーする必要があります:
- 顧客ベース — 地理、業界、実質的支配のパターン
- 製品とサービス — 国境を越えてルート設定されるもの、または米ドル以外で建てられたもの
- 流通チャネル — 直接販売、マーケットプレイス、サードパーティの再販業者、アフィリエイト
- 地理的拠点 — 顧客、ベンダー、従業員、または取引先が活動する管轄区域
- パートナーと仲介者 — 代理店、ブローカー、決済代行業者
新しい市場、新しい決済手段、新しい買収チャネルなど、ビジネスモデルが変化したときは、評価を更新してください。
3. 内部統制(Internal Controls)
ここでプログラムが運用フェーズに入ります。内部統制には以下が含まれます:
- 書面によるポリシーと手順
- 文書化されたスクリーニングワークフロー(いつスクリーニングするか、どのリストか、どの閾値か、誰がヒットを確認するか)
- 潜在的な一致(マッチ)が浮上した際の明確なエスカレーションパス
- 記録保持 — OFACは、封鎖または拒絶された取引について、5年間の取引およびスクリーニング記録を求めています
- 封鎖メカニズム — 資金を隔離できる銀行口座、フルフィルメントを凍結できる注文システム
- 義務付けられた報告書を提出するための報告ワークフロー(封鎖資産の年次報告書は9月30日まで、封鎖または拒絶された取引の初回報告書は10営業日以内)
4. テストおよび監査(Testing and Auditing)
独立したテストにより、プログラムが実際に機能していることを検証します。小規模な会社の場合、四半期ごとのセルフテスト(テスト用のSDN名をスクリーニングツールに通すなど)と、年一回の外部レビューが考えられます。調査結果は文書化し、改善しなければなりません。
5. トレーニング(Training)
制裁リスクに触れる役割のすべての従業員がトレーニングを受ける必要があります。これには、営業、顧客オンボーディング、財務、売掛/買掛管理、ベンダー管理、およびスクリーニングロジックを構築するエンジニアリングチームが含まれます。OFACは、少なくとも年一回のトレーニングに加え、新しいプログラムの開始や新しい制裁プログラムの発効時に役割に応じたトレーニングを行うことを期待しています。
マッチングが見つかった場合:資産凍結(Block)か拒絶(Reject)かの判断
スクリーニング中に明らかな一致が見つかった場合、一連の厳格な義務が発生します。
ステップ1:一致を確認する。 誤検知(フォールス・ポジティブ)は日常茶飯事です。「John Smith」や「Vladimir Petrov」などは多くのヒットを生みます。生年月日、住所、パスポート番号、事業所、およびOFACが公開しているその他の識別データを使用して確認してください。
ステップ2:確認された場合、凍結するか拒絶するかを決定する。
- 凍結(Block):対象者がSDNリストに記載されているか、SDNによって50%以上所有されている場合。資産/資金を隔離された利息付き口座に凍結し、10営業日以内に報告しなければなりません。
- 拒絶(Reject):取引は禁止されているが、SDNの資産が関与していない場合(例えば、まだ送金が行われていないイランとの無許可の取引など)。処理を拒否し、10営業日以内に報告します。
ステップ3:報告書を提出する。 封鎖または拒絶された取引の初回報告書は、「OFAC Reporting and License Application Forms」ポータルを通じてOFACに提出します。封鎖資産の年次報告書は、毎年9月30日が期限です。報告を怠ること自体が、独立した違反行為となります。
ステップ4:必要に応じてライセンスを申請する。 本来禁止されるはずの取引の多くは、特定ライセンスまたは一般ライセンスの下で許可される場合があります(人道支援物資、特定の個人的な送金、農業および医療輸出、ジャーナリズム、インターネット通信サービスなど)。
自主的自己申告(VSD)の決断
違反が既に発生していることを発見した場合 — スクリーニングで捕捉される前に制裁対象の取引先への支払いが決済された、禁止されている管轄区域に出荷が行われた、誤ってSDNが所有する顧客をオンボーディングしたなど — あなたはOFACコンプライアンスにおいて最も重大な決断を迫られることになります。
申告するか、しないか。
自主的自己申告(VSD)がもたらすメリット
OFACの経済制裁執行ガイドライン(31 CFR Part 501, Appendix A)に基づき、適格なVSDは以下のメリットを提供します。
- 悪質なケースと悪質でないケースの両方において、基礎罰金計算額を50パーセント削減
- 悪質でないケースでは、基礎金額の上限を取引額の半分、かつ1違反あたり188,850ドルに制限
- OFACの全体的な罰金決定における主要な軽減要因としてカウント
強力なコンプライアンス・プログラム、是正措置、協力体制などの他の軽減要因と組み合わせることで、最終的な和解金は法定上限を大きく下回る可能性があります。Córdoba Music Groupの事例(法定上限330万ドルに対し、和解金41,591ドル)がその例です。
「自主的」が実際に意味すること
申告が「自主的」と見なされるのは、OFACまたは他の連邦、州、地方機関が当該の違反または「実質的に同様の」違反を発見する前に、自発的に行われた場合に限られます。取引先の銀行が既にあなたの取引に言及したSAR(怪しい取引届出)を提出している場合、あなたの申告は適格とならない可能性があります。競合他社や内部告発者が既に報告している場合も同様です。
これがスピードが重要な理由です。違反の疑いが生じた瞬間から、時間は刻一刻と過ぎていきます。
2026年新設のVSDポータル
2026年2月、OFACは disclosure.ofac.treasury.gov にオンライン自主的自己申告ポータルを開設しました。これは、数十年にわたって主流だったメールやファックスによる継ぎ接ぎの提出方法に代わるものです。ポータルはより安全なチャネル、構造化された入力項目、受領確認を提供しますが、実体的な規則に変更はありません。
- 初期通知:何が起こったのかを要約形式で記述
- 詳細なフォローアップ報告書:180日以内に提出。根本原因、範囲、是正措置、関与した人員を網羅
企業は、最初の提出前に弁護士を関与させる必要があります。ポータルは法的なリスクを変えるものではなく、単に提出窓口が変わるだけです。
罰金の計算:実際にさらされるリスク
IEEPA(ほとんどの現代の制裁プログラムを規定する法律)に基づき、2026年の1違反あたりの民事罰は以下の通りです。
- 法定上限額:377,700ドル(毎年インフレ調整)
- または、取引額の2倍の、いずれか大きい方の金額
各取引が個別の違反となる可能性があります。1人の顧客が2年間にわたって40件の注文を行った場合、それは40件の違反を意味します。
OFACの罰金計算は、以下の3つのステップで行われます。
- 基礎金額 — ケースが悪質かどうか、VSDが適用されたか、および取引額(法定スケジュール)によって決まる
- 調整 — 加重要因(意図、認識、制裁プログラムの目的への害、洗練された当事者、コンプライアンス・プログラムの欠如)および軽減要因(協力、是正措置、初回の違反、小規模、財務状況)に基づく
- 最終提示罰金額 — 罰金事前通知(Pre-Penalty Notice)で発行され、対象者はこれに異議を申し立てることができる
意図的な違反には刑事罰が加算されます。1違反あたり最大100万ドルの罰金、および個人には最大20年の禁錮刑が科せられます。
小規模企業のための実務的なコンプライアンス・チェックリスト
これを開始点として活用してください。これは法的助言に代わるものではありませんが、当局が公表している執行結果の中で繰り返し指摘している事項を網羅しています。
基盤 (Foundation)
- 経営陣が署名した書面による制裁コンプライアンス方針
- 指名されたコンプライアンス責任者(創業者やCFOでも可。未割り当てのままにしないこと)
- 文書化されたリスク評価(ビジネスに重大な変化があった際に更新)
- 自社ビジネスに関連するすべての制裁対象管轄区域および対象者のインベントリ
スクリーニング (Screening)
- オンボーディング時にすべての顧客、ベンダー、受取人、取引先をスクリーニング
- 更新されたSDN/統合リスト/SSIリストに対する毎日または毎週の再スクリーニング
- 高リスクの取引先に対する実質的支配者の開示要求
- 一致の可能性(誤検知 vs 真の検知)を評価するための文書化された手順
- Webプラットフォーム上での既知の禁輸管轄区域に対するジオロケーション/IPフィルタリング
取引 (Transactions)
- 資産凍結または拒絶(Block-or-reject)の意思決定ツリーと、履行を停止する明確な権限
- 凍結資金のための、分離された利息付き口座の準備
- 許可される可能性のある取引のための、OFACライセンス申請ワークフロー
記録管理と報告 (Recordkeeping and Reporting)
- スクリーニング記録および取引記録の5年間保存
- 10営業日以内の初期資産凍結/拒絶取引報告書の提出
- 9月30日までの年次凍結資産報告書の提出
- すべてのスクリーニング・ヒットとその処理に関する監査証跡
テストとトレーニング (Testing and Training)
- 四半期ごとのセルフテスト(スクリーニングツールにダミーデータを流す)
- 年次の独立したレビュー(外部弁護士またはコンプライアンス・コンサルタントによる)
- すべての関連従業員に対する年次トレーニング、および出席の文書化
インシデント対応 (Incident Response)
- OFAC案件に精通した外部弁護士の事前特定
- 文書化されたVSD決定プロトコル — 誰が決定を下すか、どのような証拠がトリガーとなるか、誰が提出書類を起草するか
執行を誘発するよくある間違い
公開されているOFACの制裁事例に見られるパターンには、ほぼ例外なく以下のいずれかが含まれています。
- 「SDNリストのみをスクリーニングしている」:Consolidated(統合)、SSI、FSE、またはNS-MBSリストの漏れは頻繁に見られる指摘事項です。
- 静的なスクリーニング:オンボーディング時のチェックのみでは不十分です。なぜならSDNリストは毎週更新されるからです。1月にクリアした顧客が、6月に指定されることもあります。
- 実質的支配者の無視:取引相手の名前は問題なくても、その二層上にいる60%の所有者が制裁対象である場合があります。
- ジオフェンシングの不備:ウェブプラットフォームがイランからのIPをブロックしていても、VPN経由のトラフィックを無制限に許可している場合、OFACはフィンテックの事例でこれを指摘しています。
- 一致候補に対する文書化された手順がない:顧客対応担当者が、上申(エスカレーション)ガイドラインなしに場当たり的な判断を下しているケースです。
- 必要な報告の怠慢:元となる取引が適切にブロックされていても、10日以内の報告や、毎年9月30日の年次報告を怠ることは、それ自体が違反となります。
- 不適切なトレーニング:OFACのトレーニングを受けていないために、営業スタッフが禁輸国・地域へのサービス提供を約束してしまうケース。
- 開示の遅れ:発見した違反を放置している間に、別の機関が独自にそれを突き止めてしまうこと。これにより、自主的自己開示(VSD)の資格と50%の制裁金減免を失います。
財務記録をOFAC対応の状態に保つ
制裁コンプライアンスの成否は文書化にかかっています。ブロックされたすべての取引、拒否されたすべての支払い、すべてのスクリーニング決定、すべてのライセンス申請など、OFACは5年間の監査期間中にこれらいずれかの提示を求める可能性があります。ブラックボックス化した元帳インターフェースの背後にこれらのエントリーを隠してしまう記帳システムは、召喚状への対応を遅らせることになります。
Beancount.io はその逆のアプローチを取ります。すべてのエントリーが読み取り可能な行であり、すべての変更がバージョン管理され、すべての勘定科目にOFACの注意を引くようなクロスボーダー活動のタグを付けることができる、プレーンテキスト会計です。監査人や、自主的自己開示を準備する外部顧問弁護士から特定の取引相手への全支払履歴を求められた際、数日ではなく数分で提示できます。無料で始める ことで、OFACがコンプライアンス・プログラムに期待するのと同じ透明性を、自社の財務にもたらしましょう。