暗号資産交換業者のシステムリスク管理

暗号資産交換業者は、一般投資家を相手に暗号資産の売買を仲介するため金融業に分類され、金融商品取引法や資金決済法といった法律の遵守が求められます。

 

一般に金融業では、他の事業会社と比較してもより強固な社内体制(内部統制)が求められます。

 

特に昨今のトレンドは取引自体やその管理、モニタリングに至るまですべてのプロセスがIT化される傾向にあるため、暗号資産交換業者にとって、システムリスクの管理は非常に重要となっています。

 

当然会社の経営幹部もその重要性を認識し、システムに対する知識をもった人材を採用し、可能であればシステム統括役員を登用するなど、十分な対策を立てる必要があります。

 

1.サイバー攻撃等への対応とコンティンジェンシープラン

暗号資産交換業者は、様々な緊急事態を想定し、それに対する対策を講じなければなりません。

 

具体的には、①サイバー攻撃、②災害・パンデミック、③会員の内部⼜は外部に起因するシステム障害、④情報漏えい事案、⑤バッチ処理の⼤幅な遅延などといった事態が考えられます。

 

こうした緊急事態に対処するには、⼗分なリスクシナリオを想定し、緊急時に機動的な対策を遂行できるよう専門的な対策チームを編成するなど、平時から準備をしておく必要があります。

 

こうした緊急時の対応のことをコンティンジェンシープランと言い、暗号資産交換業者は必ず策定しておかなければなりません。

 

2.システムリスク対応の基本方針について

暗号資産交換業者は、社内規則等によりシステムリスク管理の基本方針やセキュリティポリシーを定めておくことが求められます。

 

暗号資産交換業者といっても、その規模や取り扱う暗号資産の種類、業務内容等によりシステムの求められるレベルは異なります。

 

また、時代や技術的な進歩によってリスク管理の特性や要求水準は変化する可能性が高く、経営陣は常に最新の情報にアクセスしつつ、適宜対応していくことが求められます。

 

例えば、ガイドライン等が示されていたとしても、あくまで例示と一定水準を示したものに過ぎず、利用者保護という観点から各種の施策により、その目的を果たすよう善良な管理者としての注意義務を果たさなければなりません。

 

なお、実務的には、システムリスク以外のリスクも含んだ包括的な『リスク管理規定』等を定めている場合でも、システムリスクについては、技術的で多岐にわたる内容が必要なのが普通です。

 

したがって、こうした包括的な規定に止まらず、さらに具体化した規則やマニュアル等を整備することが望ましいと考えられています。

 

3.セキュリティ対策

まず一般的なセキュリティ対策として、①ファイアーウォール、②不正侵入感知システム、③不正侵入防御システム、④ウイルス等のマルウェア対策ソフト等、サイバー攻撃からの防御を意識したシステムの設計と構築が必須です。

 

また、ユーザ認証として、①ワンタイムパスワード、②電子証明書、③複数経路による認証、④ログインパスワードと取引パスワードの二重の認証等の機能を実装することはさらなる統制強化につながります。

 

その他の一般的なセキュリティ対策としては、下記のようなものがあります。

 

・重要な情報の暗号化・マスキング

・適切な権限管理とアクセス制御

・不要なIDの削除(空IDの利用による不正・ハッキング等の事前の防止)

・セキュリティパッチの適用

・アクセスログの保存(適宜の検証を含む)

・定期的なデータのバックアップ

・本番環境と分離したテスト環境下でのシステムテストの定期的な実施

・開発担当者と運用担当者の分離(適切な相互牽制)

・USB等の外部記録媒体ヘの保存・持ち出しの管理

 

これらに加え、暗号資産独特の内部統制も必要になります。

 

たとえば、暗号資産交換業者が不正アクセスを事前に防止するための統制として、

 

・常時ネットワークに接続されるホットウォレットの利用を一定の場合に限定して、原則ネットワークから隔離されているコールドウォレットを利用することによって、暗号資産の流出を防止する統制

 

・暗号資産の秘密鍵を分散管理するマルチシング

 

などが挙げられます。

 

4.業務委託先の管理

大規模システムを運用するにあたっては、業務の一部または全部を外部委託するケースが多いと思われます。

 

外部委託先に発注したとしても、それによって暗号資産交換業者の責任が免責される訳ではありませんから、委託先の選定や適切な指導が必要となります。

 

具体的には、下記ような施策を統制として組み込む必要があります。

 

・委託先選定基準の策定と、選定基準の適切な運用(選定基準に基づく委託先の評価と選定)

・委託先が遵守すべきルール及びセキュリティ要件の策定

・それらを反映し、下請法等を充足した業務委託契約の網羅的な締結

・再委託などを含む多段階の委託の場合の適切なリスク管理方針の策定と運用

・委託先に対するモニタリング

・重要な委託先に対する監査もしくは委託先の内部統制に対する報告書の入手

・委託先に問題が生じた際の速やかな委託先の変更が行える体制の整備

 

いかがでしたか?

 

内部統制に関する論点は非常に重要ですので、今後も引き続きコラムで取り上げていきたいと思います。