メインコンテンツまでスキップ

規制対応範囲

Merlon は主として、非銀行系金融機関を含む日本の金融機関における AML/CFT 業務を対象に設計されている。デフォルトの保持期間、サンプルルール、ドキュメントはこの運用文脈における一例であり、法的助言や規制遵守の証明ではない。

導入企業は、Merlon を自組織の義務、リスクアセスメント、ガバナンス、証跡要件にマッピングする責任を負う。これには FATF 勧告、EU AMLD 及び GDPR 要件、米国 Bank Secrecy Act、その他適用されるあらゆる法令・監督指針に対する追加的な評価が含まれる。

監査ログ完全性の境界

セルフホスト版は merlon-audit verify による事後検証をサポートする。データベースによって強制される改ざん不能性や、監査ログの暗号学的ハッシュチェーンは提供しない。運用者は自組織の環境に適したデータベースロール、バックアップ、アクセス制御、監視を実施しなければならない。データベースによる WORM 制御及びハッシュチェーンによる完全性保証は将来のエンタープライズ機能であり、本版の保証事項ではない。