2018年1月29日、不正アクセスによって約600億円分もの仮想通貨XEM(ネム)を流出させてしまったcoincheck(コインチェック)に対し、金融庁が改正資金決済法に基づく「業務改善命令」を出しました。国内の仮想通貨取引所に向けて業務改善命令が発表されるのは初めてのケースであり、1月26日の事件発生からわずか3日間で業務改善命令が出るのは異例です。
警視庁も不正アクセス禁止法違反容疑などを視野に入れた調査に着手。仮想通貨業界内に続々と行政機関が介入しており、不穏な空気を察した市場は再びリスク回避に動きつつあります。
業務改善命令とは?
出典:中二階の住人
業務改善命令は、金融庁が監査対象の事業者に下す行政処分の一種です。
金融庁は金融機関の健全な経営を確保するために、監督事業者に対して是正措置を命じることができる強い権限を持っています。銀行検査によって財務の悪化や経営管理体制の不備などが発見された場合、事業者に経営内容の改善を要求します。そして命令を受けた事業者は所定の期間内に業務改善計画を提出し、金融庁の監督のもとで業務の改善を遂行しなければなりません。
あまりにも違反内容が悪質な場合は、「業務停止命令」や「免許取り消し」といった非常に重い処分が下されることもあります。これまで数多の保険会社・証券会社が保険業法・金融先物取引法を根拠に業務停止・業務廃止処分を受けてきた歴史があります。
金融庁がコインチェックに出した業務改善命令の詳細
今回コインチェック株式会社が金融庁から発令された「資金決済に関する法律第63条の16に基づく業務改善命令」の内容は以下の通りです。
- 本事案の事実関係及び原因の究明
- 顧客への適切な対応
- システムリスク管理態勢にかかる経営管理態勢の強化及び責任の所在の明確化
- 実効性あるシステムリスク管理態勢の構築及び再発防止策の策定等
上記1から4までについて、平成30年(2018年)2月13日(火)までに書面で報告すること。
簡単にまとめれば、「今回これほど大規模なハッキング被害が発生してしまった原因を明らかにし、再発防止策を講じて顧客にちゃんと謝罪しなさい」という事です。
コインチェックは公式サイト上で、今回の措置を厳粛かつ真摯に受け止め、深く反省していることを発表しました。全ての関係者へのお詫び、ならびに顧客の信頼回復に向けて最善の努力を実施していくことを宣誓しており、コインチェックの運営が再起に向けて真剣に動いている決意が伝わってきます。
金融庁幹部から見たコインチェックの実態
しかし、1月28日にコインチェック関係者からヒアリング(聞き取り調査)を行った金融庁の幹部は、コインチェックの報告を「極めて不十分な内容」と断じています。
金融庁はネムの不正流出が発覚した当初から迅速に実態把握に向けて動いており、
- 事実関係と発生原因
- 顧客への対応
- 被害の拡大防止策
- 資金繰り
の4点について報告を求めていました。
その後コインチェックが行ってきた対応、被害状況・顧客に対する補償方針の説明を見てきた金融庁幹部は、彼らの危機意識の低さに絶句したそうです。
事件が発生した26日深夜に急遽開かれた記者会見では、両者で過半数の株式を保有する和田晃一良社長と大塚雄介取締役が出席していながら、「株主の許可を得ないと……」と口ごもって基本的な経営指標の開示さえ出来ず、参加していた記者たちから失笑を買いました。経営者が自社の経営指標を把握していない時点でガバナンス体制の未熟さは明らかです。
関係者から再三指摘されていたにもかかわらず、ネットから隔離された「コールドウォレット」ではなく、常時ネットワークに接続された「ホットウォレット」で仮想通貨を管理し、マルチシグ導入を見送るなど、目先の利益優先でセキュリティ対策も極めてないがしろにされていました。
そして被害に遭った約26万人の投資家への補償・総額約460億円を自己資金によって行う方針が示されたものの、その返済原資・日程について具体的な説明は一切ありませんでした。金融のプロから見れば、その場逃れのハッタリと判断されても仕方ありません。
一連の対応を見た金融庁は、コインチェック社内で不適切なシステムリスクの管理体制が常態化していたと判断。安全管理を徹底させるために、今回の業務改善命令に踏み切った模様です。
関係者が今後予定している行動
金融庁は今後も他の仮想通貨取引所で同様の流出事件が起きる可能性を強く危惧しており、大規模なサイバー攻撃への対策を打ち出しました。
その一環として、約30の国内仮想通貨取引所に対して文書を送り、セキュリティシステムの再点検を要請。識者を交えて報告内容を分析・協議し、システム管理体制が不十分であると見られる仮想通貨取引所に対しては緊急の立ち入り検査も辞さない覚悟のようです。
また、これまで仮想通貨業界には、大手仮想通貨取引所bitFlyer(ビットフライヤー)が中心となって設立された「日本ブロックチェーン協会」と、zaif運営のテックビューロ株式会社などが参加している「日本仮想通貨事業者協会」の2つの自主規制団体が存在していました。協議がまとまらず、なかなか両団体の統合ができずにいましたが、今回のハッキング事件を契機に一本化されることが決定しました。
片方の団体を吸収する形になるのか、それとも新団体を新設するのか等の詳細は未定ですが、これで投資家保護のルール整備を進めやすくなることは確実です。仮想通貨業界に義務付けられていない信託保全の確立や取引所の正確な情報開示等が実現すれば、仮想通貨取引の安全性・信用性が大幅に高まることでしょう。
まとめ
2017年4月に施行された改正資金決済法により、国内で法定通貨と仮想通貨の交換業務を行う事業者は金融庁に登録しなければならなくなりました。
- 事業の概要
- 取り扱う仮想通貨の詳細
- 預託金の保管体制
- システムリスク管理体制
等の要件が厳しく審査され、パスした事業者だけが登録されます。2018年1月現在、登録済みの仮想通貨事業者は以下の16社のみです。
| 仮想通貨交換業者名 | 登録年月日 | 主な取扱仮想通貨 |
|---|---|---|
| 株式会社マネーパートナーズ | 2017年9月29日 | BTC(ビットコイン) |
| QUOINE株式会社 | BTC(ビットコイン) ETH(イーサリアム) BCH(ビットコインキャッシュ) QASH(キャッシュ) |
|
| 株式会社bitFlyer | BTC(ビットコイン) ETH(イーサリアム) ETC(イーサリアムクラシック) LTC(ライトコイン) BCH(ビットコインキャッシュ) MONA(モナコイン) |
|
| ビットバンク株式会社 | BTC(ビットコイン) ETH(イーサリアム) XRP(リップル) LTC(ライトコイン) MONA(モナコイン) BCC(ビットコインキャッシュ) |
|
| SBIバーチャル・カレンシーズ株式会社 | BTC(ビットコイン) | |
| GMOコイン株式会社 | TC(ビットコイン) ETH(イーサリアム) BCH(ビットコインキャッシュ) LTC(ライトコイン) XRP(リップル) |
|
| ビットトレード株式会社 | BTC(ビットコイン) ETH(イーサリアム) XRP(リップル) LTC(ライトコイン) MONA(モナコイン) BCC(ビットコインキャッシュ) |
|
| BTCボックス株式会社 | BTC(ビットコイン) BCH(ビットコインキャッシュ) ETH(イーサリアム) LTC(ライトコイン) |
|
| 株式会社ビットポイントジャパン | BTC(ビットコイン) ETH(イーサリアム) XRP(リップル) LTC(ライトコイン) BCC(ビットコインキャッシュ) |
|
| 株式会社フィスコ仮想通貨取引所 | BTC(ビットコイン) MONA(モナコイン) FSCC(フィスココイン) NCXC(ネクスコイン) CICC(カイカコイン) BCH(ビットコインキャッシュ) |
|
| テックビューロ株式会社 | BTC(ビットコイン) MONA(モナコイン) BCH(ビットコインキャッシュ) XCP(カウンターパーティー) ZAIF(ザイフ) BCY(ビットクリスタル) SJCX(ストレージコインエックス) PEPECASH(ぺぺキャッシュ) FSCC(フィスココイン) CICC(カイカコイン) NCXC(ネクスコイン) Zen(ゼン) XEM(ゼム(ネム)) ETH(イーサリアム) CMS(コムサ) |
|
| 株式会社DMM Bitcoin | 2017年12月1日 | BTC(ビットコイン) ETH(イーサリアム) |
| 株式会社ビットアルゴ取引所東京 | BTC(ビットコイン) | |
| エフ・ティ・ティ株式会社 | BTC(ビットコイン) | |
| 株式会社Xtheta | BTC(ビットコイン) ETH(イーサリアム) BCH(ビットコインキャッシュ) XRP(リップル) LTC(ライトコイン) ETC(イーサリアムクラシック) XEM(ネム) MONA(モナコイン) XCP(カウンターパーティー) |
|
| 株式会社BITOCEAN | 2017年12月26日 | BTC(ビットコイン) |
同法の施行前から仮想通貨交換業を行っていた事業者は「みなし業者」として扱われ、半年間の登録猶予期間が設けられていました。コインチェックもそのみなし業者の一社であり、「匿名性の高い仮想通貨を扱っている」点などがネックになって審査が保留になっていました。
結果論ですが、今回のハッキング事件は、みなし業者の営業を容認していた政府の方針が裏目に出てしまった形と言えます。
ちなみに、コインチェックのように登録申請中のみなし業者は他にも10社以上あり、金融庁はこれらを含めたすべての仮想通貨事業者に厳しい目を向けています。「なんでもかんでも規制すりゃ良いってもんじゃない」と発言していた麻生太郎財務大臣ですが、これから仮想通貨の規制がより厳しくなることは避けられないでしょう。
当のコインチェックは現在、出金・取引等の機能が依然として利用できない状態ですが、なぜか日本円の入金だけは可能です。(笑)まさか他の投資家が入金した日本円を補償に充てる気なのでは……と勘ぐりたくなるほど、コインチェックに対する世間の信頼は地の底に落ちています。
ハッキングの被害金を政府が補償すべきだと主張している方もちらほら見かけますが、その可能性には期待しない方が良いでしょう。厳しい言い方になりますが、ハッキングも含めて仮想通貨取引のリスクであり、法的補償義務の無い取引所に自己資産を預けていた時点で自己責任です。
ハッキング補償が法律で義務付けられるかどうか、今後の政府の動きにも注目です。それまでは、最低限自分の身を自分で守る努力を怠らないようにしましょう。
