暗号資産交換業者の内部管理体制について②
今回も前回に引き続き、暗号資産交換業者の内部管理体制について解説をしていきたいと思います。
暗号資産交換業者の内部管理体制(内部統制)には様々な種類のものがあり、非常に独特ですので一つ一つ理解することが重要です。
1.監査の観点からの内部統制
暗号資産交換業者に対する『監査』という観点からも内部統制の理解は重要です。
監査人は、監査基準委員会報告書等に則って監査を進めていきますが、その際には『企業及び企業環境の理解』と『重要な虚偽表示リスクの識別』が大切になります。
これは、人員、時間などが限られる中で効果的に監査を行うためには、企業を深く理解した上で、特に財務数値などの影響の大きい箇所について特に重点的に監査資源を配分するリスクアプローチに欠かせないものです。
この企業環境の理解の一環として、暗号資産交換業者の内部統制の理解がありますが、内部管理の手順等を理解するに止まらず、取り扱う暗号資産の種類ごとの技術的な特徴やアドレスの管理方法など、暗号資産全般の管理状況、保有状況についても理解をする必要があります。
また、例えばディリバティブ取引を暗号資産交換業者が行っている場合には、必要に応じてデリバティブ取引に対する十分な知識と経験を有する者が必要ですし、暗号資産全般について言えることですが、非常に専門性が高いので、暗号資産の技術的な特徴を理解するためには、十分な知識と経験を有する専門家を利用することがあります。
いずれにしても、ある程度以上の規模の暗号資産交換業者について適正かつ効果的な監査を行うためには、現状ではおそらく専門家の関与が必須であり、これは暗号資産交換業者の内部統制の理解の観点からも非常に重要になってきます。
2.システムリスクの管理
暗号資産はデジタルデータにその基礎を置いていることから、暗号資産交換業者にとって、情報の安全管理が非常に重要です。
また、暗号資産は、ブロックチェーンをはじめとするIT技術によって成り立っているので、内部管理の面でも高度なITシステム・IT技術の活用が必要不可欠です。
一方で、暗号資産及び暗号資産交換業者の内部統制の多くがITシステムに依存するため、不正アクセスやハッキング、システム障害といったITシステム特有のリスクは特にリスクの高い領域となります。
そのため資金決済法(63条の8)では、暗号資産交換業者に対し、システムで取り扱う情報について、システムを十分に管理して安全管理措置を講じる必要があることが明記されています。
例えば2018年1月のコインチェック事件では、暗号資産交換事業者「コインチェック」から約580億円相当の仮想通貨「NEM(ネム)」が流出しました。
(その後警視庁は、約188億円分のNEMの不正な交換に応じたとして、計31人を組織犯罪処罰法違反容疑で摘発したと発表しました。)
こうしたシステムリスクは、暗号資産交換業者にとって事業継続が危ぶまれるような事態にまで発展しかねない大きなものであるので、適正な内部統制により確実に防止する必要があります。
3.アドレス及び暗号鍵の生成に関する内部統制
システムリスクへの対処方法は無数にありますが、アドレス及び暗号鍵に関する内部統制は大前提として重要です。
暗号資産の所有者の帰属状況は、アドレスや暗号鍵を通じて確認されるため、これらに対するセキュリティが甘いと容易にハッキング等される事態が予想され得るからです。
また、アドレスが勝手に作成されると、自社の暗号資産が網羅的に把握できず、簿外資産等が生じるリスクもありいます。
したがって暗号資産交換業者は、暗号資産交換業者の生成した全てのアドレスと暗号鍵が、自己用と利用者用を区分した形でアドレス管理簿及び暗号鍵管理簿に記録されることを担保される内部統制を構築しなければなりません。
具体的には
①アドレス生成の明確なポリシーがあり、無秩序にアドレスが生成されないようになっていること
②アドレス生成時の承認手続、アドレス管理簿や暗号資産の取引システムのアドレスマスターの登録が適切に行われるための内部統制が構築されていること
③利用者からの入金アドレスを利用者ごとに設定することで区分を強化すること
④口座開設時に暗号資産の取引システムに利用者IDを登録すると、自動で入金アドレスが設定され、利用者IDと紐づくような業務処理統制、及びそれが事後的に変更できないような業務処理統制を構築すること
⑤利用者の入金用アドレス、出金用アドレス、利用者の保管用アドレス、自己(暗号資産交換業者)の保管用アドレスを明確に区分すること
⑥HDウォレット等の利用による効率的な暗号鍵の管理
※HDウォレット(Hierarchical Deterministic Wallet: 階層型決定性ウォレット)
1つのシードからマスターキーとなる秘密鍵を生成し、そこからツリー(木)構造のような階層的に複数の派生秘密鍵と派生公開鍵及びアドレスを生成する機能。
といった方法があります。
いかがでしたか?
次回も、暗号鍵についてより詳細な解説をしていきたいと思います。