金融庁、DMM Bitcoinに業務改善命令
金融庁は25日、暗号資産(仮想通貨)交換業者DMM Bitcoinに対し、資金決済法に基づく業務改善命令を下した。同社で5月31日、顧客から預かった約4,500ビットコイン(BTC)が不正に外部へ流出する事案が発生していた。
関東財務局(金融庁から事務委任)の立入検査で、DMM Bitcoinの管理体制に重大な欠陥が判明。主に、システムリスク管理態勢の不備、経営陣の認識不足、暗号資産の流出リスクへの杜撰な対応が指摘された。
具体的には、システム担当役員が不在で、リスク管理権限が一部の者に集中。内部監査の独立性も保たれていなかった。また、経営陣が暗号資産流出リスクを重要課題と認識せず、システムリスク管理態勢の整備を後回しにしていた点も問題視された。
これを受け金融庁は、流出事案の根本原因の分析・究明、顧客保護の徹底、適正な業務運営の確保などを求めた。DMM Bitcoinは10月28日までに改善計画を提出し、11月末から実施完了まで毎月進捗を報告する必要がある。
一連の問題を受け、金融庁は業界団体の日本暗号資産取引業協会(JVCEA)にも、流出リスクへの対応に関する注意喚起と自主点検を要請した。
関連:DMMビットコインの不正流出、北朝鮮ハッカー集団「ラザルス」が関与か
DMM Bitcoin、システムリスク管理に深刻な欠陥
関東財務局の立入検査で明らかになったDMM Bitcoinの問題点は、暗号資産取引所としての基本的な管理体制が欠如していたことを示している。
まず、システムリスク管理態勢に重大な不備が見られた。システム担当役員が不在で、リスク管理の権限が一部の者に集中。さらに、監査スキルを持つ人材が配置されておらず、被監査部署が自ら監査を行うなど、内部監査の独立性が保たれていなかった。
経営陣の認識不足も深刻だ。暗号資産の流出リスクを重要課題として認識せず、システムリスク管理態勢の整備を後回しにしていた。不正行為防止のための適切な措置も講じられていなかった。
特に問題視されたのが、暗号資産の流出リスクへの杜撰な対応だ。秘密鍵の管理が単独での署名作業で行われ、一括管理されるなど、業界の「事務ガイドライン」に反する取り扱いが常態化していた。
外部ウォレット利用に関しても問題が山積みだ。預かり資産の規模が増大しているにもかかわらず、複数ウォレットへの分散管理など、リスク分散の対策も検討が不十分。流出時の証拠保全に必要なログの保存期間も定められていなかった。セキュリティ管理状況の評価や、問題発生時の対応方法が不十分なまま、ウォレットの利用を開始していた。
金融庁の「事務ガイドライン第三分冊:金融会社関係」の暗号資産交換業者向け指針では、秘密鍵の安全管理に関する具体的な方策を示している。特に、複数の担当者による管理体制の構築や、ハードウェアウォレットなどの物理的な媒体を使用する場合の厳格なアクセス制限など、セキュリティ強化のための実践的な規定を設けている。
関連:金融庁、暗号資産やステーブルコイン含むフィンテック時代の資金決済法を検討開始