金融庁の仮想通貨交換業者への検査結果は一読の価値あり

f:id:naoto0211:20180815102922j:plain

金融庁が「仮想通貨交換業者等の検査・モニタリング中間とりまとめ」を発表しました。

これは、コインチェックが不正アクセスを受け、ネットに接続された状態で管理していた暗号資産（※金融庁は当該公表では仮想通貨ではなく暗号資産としています）が流出するという事案がきっかけとなり、金融庁がモニタリングや立入検査を実施した内容をまとめたものです。

そして、金融庁は、立入検査において、暗号資産のリスク特性を適切に評価の上、システムリスク管理態勢などを整備しているか、マネロンなどの不正行為を防止するための実効的な対策を実施しているか、利用者資産を適切に分別管理しているかなどを重点的に検証したとしています。

今回は、この金融庁の「中間とりまとめ」の内容について確認していくことにしましょう。

仮想通貨交換業者の問題点が分かると思います。

仮想通貨交換業者の規模
検査等で把握された実態
まとめ

仮想通貨交換業者の規模

金融庁は、これまでみなし業者 16 社及び登録業者 16 社に対しモニタリングを実施しており、また、みなし業者全社及び登録業者 7 社に対し、順次、立入検査を実施してきています。

その中で、昨年秋以降の暗号資産の価格の急騰もあり、仮想通貨交換業者の会社規模（総資産）が平均して前事業年度比 553％拡大している実態が確認されました。

総資産も以下の割合となっており急激に総資産が拡大したことが分かります。

（※登録業者 13 社、みなし業者４社が対象。各業者から提出された資料に基づいて金融庁が作成）

＜前事業年度の総資産＞

10億円未満 47%
10億円～ 100億円 41%
100億円～ 1,000億円 12%

＜直近事業年度の総資産＞

10億円未満 24%
10億円～ 100億円 35%
100億円～ 1,000億円 29%
1,000億円以上 12%

＜総資産額の推移＞

前事業年度　1,061億円
直近事業年度　6,928億円

以上の通り、仮想通貨交換業者の規模は1年で急激に拡大しました。

次に検査等で把握された問題点について見ていきましょう。

検査等で把握された実態

以下は、金融庁の立入検査等で認められた問題事象・事例です。

ポイントとなる点を抜粋して取り上げます。

① 取扱い暗号資産の選定（多数の業者で認められた事例）

取扱い暗号資産の選定に当たっては、暗号資産の利便性や収益性のみが検討されている反面、取扱い暗号資産ごとにセキュリティやマネロン・テロ資金供与等のリスクを評価した上で、リスクに応じた内部管理態勢の整備を行っていない。

② 暗号資産の不適切な販売（複数の業者で認められた事例）

暗号資産を販売するに際して、利用者の年齢、取引経験、資力等を考慮した取引限度額の設定や販売・勧誘を開始する基準を定めていない。

③ 暗号資産の不適切な販売（個社で認められた事例）

暗号資産を販売するに際して、当該暗号資産のリスクを正確に把握していない第三者に販売の勧誘を委託しているが、当該第三者による勧誘行為等の内容を把握しておらず、事後的な検証も行っていない。
自社で発行する暗号資産（以下「自社発行暗号資産」という。）を販売するに際して、１単価当たりの販売価格を１ドル当たりの円換算レートと連動させるなど、合理的な根拠に基づかない価格設定を行っている。
役職員が数十回にわたり高値の買い注文を対当させることによって暗号資産の価格を不当に釣り上げるなど恣意的な価格操作が行われている。

④ 広告宣伝（個社で認められた事例）

テレビ CM において、有名人が特定の暗号資産を連呼するなど、利用者の購買意欲を煽る一方で、暗号資産のリスクに関する表示は数秒に留まっている。
利用者が検証できない投資収益の表示や特別割引期間の設定などを記載した広告を行っている。
取引の内容やリスクの適切な開示が行われているかを事前に確認するなどの広告内容の審査等が行われていない。

⑤ マネロン・テロ資金供与対策

＜運用の問題＞（複数の業者で認められた事例）

取引時確認において、確認対象となる利用者の職業や取引目的について空欄である等、具体的な詳細を確認していない。また、確認記録において、法人の事業内容の確認を行った方法や実質的支配者と利用者との関係など、法令で求められる記録事項に関する記載がない。
反社会的勢力との取引を排除するための事前審査が行われていない。また、取引開始後、利用者等が反社会的勢力と判明した場合の具体的な対応方針を定めていない。
厳格な取引時確認や再度の取引時確認が必要となる具体的な手続及び基準等が定められておらず、なりすましの疑いがある取引等に関して必要な取引時確認が行われていない。

＜運用の問題＞（個社で認められた事例）

特定の利用者との間で複数回にわたり多額取引を行っているにもかかわらず、法令上求められる取引時確認を行っていないほか、疑わしい届出の判断も行っていない。
内部管理規程にて閾値を設定の上、当該閾値を超える疑わしい取引を検知するシステムを開発しておらず、取引モニタリングが行われていない。
利用者が反社会的勢力と判明したにもかかわらず、一定期間、暗号資産の外部アドレスへの移転を許容している。
自社発行暗号資産を販売するに際して、購入者のメールアドレスを受領するに留まり、法令上求められる取引時確認を行っていないほか、疑わしい届出の判断も行っていない。

⑥ 分別管理

＜暗号資産の管理の問題＞（複数の業者で認められた事例）

取扱い暗号資産について、ハッキングリスクの高いホットウォレットで管理している。
利用者の暗号資産に係る帳簿とブロックチェーン上の有高との照合作業を毎営業日実施しておらず、照合作業が適切に行われているかについて事後的な検証を行っていない。
利用者の暗号資産を分別管理するに際して、ブロックチェーン等のネットワーク上の有高を帳簿上の残高よりも上回らせる目的で、同一のウォレット内において、必要以上の多額の自己保有の暗号資産を混蔵して管理している。

＜暗号資産の管理の問題＞（個社で認められた事例）

利用者の暗号資産について、ブロックチェーン上の有高が帳簿上の残高を下回っていることを認識しているにもかかわらず、当該事象の原因分析や対応を行っていない。
一部の暗号資産について、利用者の暗号資産と自社保有の暗号資産を同一のウォレットで管理するなど、利用者財産と自社財産を分別して管理していない。

＜金銭の管理の問題＞（複数の業者で認められた事例）

利用者財産の銀行口座の残高について、毎営業日、帳簿等と照合していない。また、照合作業が適切に行われているかについて事後的な検証を行っていない。

＜金銭の管理の問題＞（個社で認められた事例）

利用者財産を管理する銀行口座の残高が帳簿上の残高を下回る状況が、頻繁に発生しているにもかかわらず、その原因を究明していない。
利用者財産を管理する銀行口座の資金を、一時的に他の目的のために流用している。

⑦ システムリスク管理

＜システム安全管理等の問題＞（多数の業者で認められた事例）

業容や事務量に比べ、システム担当者が不足している。
サイバー攻撃に関するリスクシナリオやコンティンジェンシープランを策定しておらず、セキュリティに関しての研修を実施していない。

＜システム安全管理等の問題＞（個社で認められた事例）

使用されるブロックチェーンやスマートコントラクトの安全性等の評価を行わないまま、暗号資産を自社で発行し、販売している。

＜システム障害対応の問題＞（複数の業者で認められた事例）

システム障害に関する管理台帳（発生件数、発生日、発生時間、影響範囲、改善措置の網羅性及び再発防止策の策定等）を作成しておらず、システム障害の発生状況を把握していない。
システム障害が多数発生しているにもかかわらず、根本原因の分析が行われていない。

＜開発の問題＞（個社で認められた事例）

システム開発時に限界値を把握していない中、システム運用時に取引量がシステムのキャパシティを超え、利用者に影響を及ぼすシステム障害が発生している。

⑧ 利用者保護

＜自社発行暗号資産の問題＞（個社で認められた事例）

自社発行暗号資産と関連する事業の詳細や会社の財務状況、当該暗号資産の販売内容等について、利用者への情報提供が行われていない。
自社発行暗号資産の販売に際して、当該暗号資産の販売によって取得した資金を、自社の経費として費消するのみで、利用者に事前に説明していた新規事業の実現のための事業資金として利用していない。
自社発行暗号資産の販売に際して、当該暗号資産の販売によって取得した資金及び自社で保有する当該暗号資産の財務諸表上の取扱いについて検討を行っていない。
自社発行暗号資産を販売後、事前に公表していた事業計画等を記載したホワイトペーパーの内容と相違する事実が発生したにもかかわらず、これを開示していない。
自社発行暗号資産について、縁故者への大幅なディスカウント販売や無償付与、役職員による販売に対する多額のボーナス付与などの情報が利用者に説明されていない。

＜情報管理の問題＞（複数の業者で認められた事例）