【解説】「仮想通貨交換業者の登録審査について」について(2)

【解説】「仮想通貨交換業者の登録審査について」について(2)

前回までのまとめ

  • 交換業者としての申請が多数寄せられている。
  • しかし、申請内容が形式的だったり、空白だったり、申請内容が曖昧だったりするため、申請に時間がかかっている。
  • これまでに発表している文書(中間とりまとめ)や、申請時に必要な書類をきちんと読み込んで、速やかに審査ができるように配慮してほしい。

今回は、別紙3の残りの部分である「質問票の抜粋」と、別紙2について、FISC安全対策基準をベースに解説します。


別紙3:質問票の抜粋等

金融庁の公表内容からすると、質問票である別紙2の参考資料として別紙3を付けている、と言う意図があるようにも見えますが、申請する側としては、別紙3の内容を十分にくみ取った上で別紙2の質問票に回答する必要があります。

では、別紙3の質問票の抜粋を解説します。

1 仮想通貨交換業者の登録審査における主な論点等

1. 質問票の抜粋等

質問票では、各項目について、事業者のビジネスプラン等に応じた具体的な説明を求めている。以下では、質問内容のうち中間とりまとめで示した検査・モニタリングで把握された問題事例にかかる項目を中心に抜粋した。

「中間とりまとめで示した検査・モニタリングで把握された問題事例にかかる項目を中心に抜粋した」とあります(下線部は筆者)。つまり、中間とりまとめの内容は非常に金融庁としては重視しています。中間とりまとめの内容をチェックリストとすることで、十分な対応態勢を整備してほしいという金融庁の強い思いが伝わります。

<ビジネスモデル>
○貴社及び貴社グループは、仮想通貨に関連する業務として、どのような業務を行うか。

さすがに、こちらはFISC安全対策基準で明確にするようなものではありません。各社で明確に定めるべきものでしょう。

<仮想通貨の取扱いリスク>
○取扱仮想通貨の審査に関する社内規則を定めているか。定めている場合、どのような項目を審査項目としているか。
○取扱仮想通貨に関する取扱リスクの特定・評価を含めて、取扱仮想通貨の取扱の適否にかかる審査判断をどのようなプロセスで行うのか。
○取扱仮想通貨に関して特定・評価した取扱リスクについて、どのような方法を用いて当該仮想通貨の取扱いの適否にかかる審査判断に反映させているか。

<経営管理等>
○経営陣は、業務を行うことにより生じ得る経営上のリスクをどのように特定し、評価することとしているか(特定・評価する頻度も含めたその検討プロセス及び結果含む)。
○経営陣は、上記に基づき特定・評価した経営上のリスクに関して、どのように経営計画及び経営管理に反映しているか(その検討プロセス及び結果含む)。
○財務の健全性を維持・検証するためにどのような社内管理態勢を構築しているか(その検討プロセス及び結果を含む)。

こちらも、どちらかと言えばシステムに関する議論ではなく、業務に関する議論であって、FISC安全対策基準では明確に打ち出している項目はありません。あえて言えば、リスクを特定し、そのリスクに対する対応策(それが転嫁であったり受容だったりしますが)を明確にするプロセスは、システムに限る話ではなく、経営として定められるべきものだと言えます。

その結果として、業務をシステムにおいてどのように実装するのか、といったことを中長期計画やシステム開発計画として制定すべきものと考えられ、ここまで検討された結果については、【統2】や【統3】が該当するものと考えられます。

<内部監査>
○内部監査を行うにあたり、どのような態勢を構築しているか。

ここでの内部監査は、システム監査だけの話ではなく、業務監査の部分も含まれています。システム監査の部分については【監1】が該当しますが、それだけでは今回の質問項目を充足せず、業務監査の態勢構築が必要であることに注意してください。

<利用者保護措置>
○利用者との適正な取引を行うために、顧客属性(年齢、資産・所得の状況、投資経験等)の異なる利用者との取引開始の適否を判断する際の基準を定めているか。定めている場合、どのような事項を含んでいるか。
○利用者との取引を管理するための態勢(ルール、体制等)をどのように構築しているか。

項目だけをみると、口座開設の方法や適否を判断する基準があるのか、といった質問項目に見えますが、タイトルが「利用者保護」であることに注意してください。例えば、オンラインの口座開設にあたっての基準は【実117】に記載がありますが、これは本人確認の手段を定めているのであって、利用者を保護するための基準ではないことに注意が必要です。

本来であれば、利用者保護のためのポリシーが定められ、そのポリシーに沿ってシステム化が行われ、そのシステム化の際に参照されるものがFISC安全対策基準です。

<利用者財産の分別管理>
○利用者財産のうち、利用者から預託を受けた金銭(以下「預り金」という。)(又は仮想通貨)に関し、どのような方法により、自己の金銭(又は仮想通貨)と分別して管理しているか。
○預り仮想通貨を管理・処分するために必要な秘密鍵(以下「対象秘密鍵」という。)の管理方法。

中間とりまとめでも、かなり強く指摘されていた内容です。当然ですが、この項目はFISC安全対策基準に記載するようなものではありません。

<利用者情報管理>
○利用者に関する情報管理の適切性を確保するために、いかなる社内管理態勢を構築しているか。
○特定職員に集中する権限等の分散や、幅広い権限等を有する職員への管理・けん制の強化を図る等、利用者に関する情報を利用した不正行為を防止するための適切な措置について定めているか。定めている場合、どのような事項を含んでいるか。

システムとしては、【統1】【統4】【統6】【統7】【統9】あたりが該当するものと思いますが、社内管理態勢についての質問項目となるため、これだけでは充足しません。

<外部委託>
○外部委託先の選定基準を定めているか。定めている場合、どのような事項を含んでいるか。
○外部委託が行われても、利用者に対しては、貴社が業務を行ったものと同様の権利が確保されていることが明らかとなるような措置を講じているか。講じている場合、どのような事項を含んでいるか。

こちらは【統20】が該当します。システムに関する委託だけではなく、システムに関連する外部委託について広く適用できる基準となっているため、この基準を確認すると、ひととおりの充足性は確保できるものと考えられます。

<システムリスク管理>
○経営陣は、システムリスク管理の重要性を十分認識した上でどのような取組方針(システムリスク管理基本方針等)を定めているか。
○情報セキュリティ・サイバーセキュリティを適切に管理するために、どのようなプロセス(計画・実行・評価・改善等の一連の手続き/フロー)を定めているか。
○システム障害等に適切に対応するために、外部委託先を含めた報告態勢、指揮・命令系統、及び緊急時体制(コンティンジェンシープラン)をどのように定めているか。
○貴社のシステムにおける利用者情報の管理の概略(仮想通貨別に管理方法が異なる場合には、相違点を明記)。
○利用者財産(金銭及び仮想通貨)をサイバー攻撃や不正アクセス(なりすまし、脆弱性攻撃や内部者による不正行為を含む)から保護するために、どのような対策を実施しているか。

広くFISC安全対策基準にそった管理態勢ができているのであれば、こういった基準については明確な回答が打ち出せるでしょうが、質問項目として「基本方針」を定めることを求めているため、広く統制基準に厳格に従った対応が求められるものと考えられます。

<マネー・ローンダリング及びテロ資金供与対策>
○『マネー・ローンダリング及びテロ資金供与対策に関するガイドライン(平成30年2月6日公表)』上の【対応が求められる事項】について、どのような運用をどのような体制で行っているか。

システム的には【実17】が該当しますが、社内としてどのような基準を設け、どのように運用するのか、といった内容が求められることから、FISC安全対策基準だけでは充足しないと言う点には注意が必要です。


別紙2:質問票

続いて、別紙2を確認してみます。

こちらは質問票となっていて、経営や資本に関する記載、取り扱う仮想通貨の種類や取引内容に関する質問が含まれています。

質問票のPDF版では36ページから46ページがシステム部分に該当するものと考えられますが、それ以外にもシステム的な対応が求められる部分が散見されます。ただし、事業者としての方針があることが前提となっている点に注意が必要です。つまり、FISC安全対策基準をツールとして利用するとしても、前提となる方針がなければ、まったく意味がないということです。


質問項目をひととおり確認しましたが、金融庁としては「これが最低限」というラインであることは否定しませんし、金融システムにかかわった人であれば、「当然の内容」であることも否定しません。参入事業者としては、経験のある銀行や証券会社の規定を参考にしながら(または銀行システムや証券システムの構築を担当したことのある専門家に依頼しながら)、質問票に誠実に答える必要があるものと考えられます。

 

 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です