関東財務局長から、株式会社DMM Bitcoinに対して、資金決済に関する法律第63条の16の規定に基づく業務改善命令が発出されました(2024年9月26日付)。
5月に起きた暗号資産流出事件の関連です(→当サイトの関連記事)。
処分理由は...
「当社において、令和6年5月31日に当社が管理していた暗号資産(BTC)が不正に外部に送信され、顧客からの預かり資産(4,502.9BTC)が流出するという事案が発生した。
これを踏まえ、当社に対し法第63条の15第1項に基づく報告を徴求、関東財務局において立入検査に着手し、当社の業務運営状況を確認したところ、以下のとおり、当社のシステムリスク管理態勢等及び暗号資産の流出リスクへの対応について、重大な問題が認められた。
(1)システムリスク管理態勢等
当社は、業務開始以降、システム担当役員が不在であることによる暗号資産交換業に及ぼすシステムリスクを検討することなく、システムを統括管理する役員を配置していないほか、システムリスクの管理やシステム開発・運用管理、情報セキュリティ管理の権限を一部の者に集中させ、システムリスク管理部門として自らのモニタリングを行わせており、システムリスク管理態勢の牽制機能が発揮されていない。
また、当社においては、監査スキルを保有する人材を配置していない中、被監査部署に監査を実施させるなど、内部監査の独立性が保たれていない。
さらに、当社は、外部ウォレットの導入に際し、暗号資産を移転する際の流出リスクについて議論を行っていないほか、外部ウォレットのセキュリティ管理状況の評価について、外部ウォレット利用に係る評価内容の妥当性を確認していないことに加え、外部ウォレットに問題が発生した場合の対応方法を理解することなく、ウォレットの利用を開始している。
こうした中、以下(2)に掲げる態勢の不備が認められるなど、暗号資産交換業を適正かつ確実に遂行する体制の整備が行われていない。
(2)暗号資産の流出リスクへの対応
当社は、暗号資産移転に係る秘密鍵の取扱いについて、署名作業を単独で実施しており牽制が図られていないほか、秘密鍵を一括で管理するなど、「事務ガイドライン第三分冊:金融会社関係 16.暗号資産交換業者関係」に反する取扱いであることを認識していたにもかかわらず、当該取扱いを継続していた。
また、当社は、預かり暗号資産の規模が増大している中、流出等のリスクを分散する必要性を認識しているにもかかわらず、複数のウォレットを設置し、分散管理するなどリスクに応じた対応について検討を行っていない。
さらに、当社は、暗号資産の流出時の証拠保全に係るログを保存する期間等を検討していないなど、今回の不正流出事案の被疑事項の調査及び原因分析を迅速に行うために必要な証拠保全を適切に行っていない。
以上のとおり、当社においては、不正行為等による暗号資産の流出を防止するための適切な措置を講じていないことなどから、内部不正や盗難に対する安全性が確保されておらず、暗号資産の移転等に関し、杜撰な管理実態が認められ、さらに、内部監査は、こうした管理実態を容認するなど機能しておらず、暗号資産の流出リスクへの対応が適切に行われるための態勢を構築していない。
そもそも、暗号資産の流出リスクへの対応は、経営上の最重要課題のひとつであり、暗号資産の不正流出を防止するための適切な措置を図ることは暗号資産交換業者の健全かつ適切な業務運営の基本である。したがって、その管理態勢は高い実効性が求められているにもかかわらず、上記(1)及び(2)に述べたとおり、代表取締役等は、システムリスク管理態勢の整備を劣後させ、一部の者へ権限を集中させるなど牽制機能を発揮させておらず、また、暗号資産の流出リスクへの対応に係る重要性を認識することなく、議論・検討を行っていないなど、不正行為等による暗号資産の流出を防止するための適切な措置を講じていない。このように、当社は顧客からの預かり資産を管理する暗号資産交換業者に求められる態勢について著しい不備が認められる。
本流出事案については、未だ具体の手口の究明に至っていないが、暗号資産交換業を適正かつ確実に遂行するために必要なシステムリスクに係る経営管理態勢等及び暗号資産の流出リスクへの対応に係る当社の管理態勢については、本流出事案についての具体の手口にかかわらず、利用者保護の観点から一刻も早く抜本的な改善を促す必要があり、こうした状況は、「暗号資産交換業の適正かつ確実な遂行のために必要があると認めるとき」に該当するものと認められることから、法第63条の16の規定に基づく業務改善命令を発出するものである。」
事件から4か月近く経っているのに、真相究明は進んでいないということなのでしょうか。
金融庁、DMMビットコインに業務改善命令 体制に著しい不備(ロイター)
「金融庁は26日、暗号資産(仮想通貨)交換業のDMMビットコイン(東京都中央区)に業務改善命令を出したと発表した。5月末に起きた約482億円相当のビットコインの不正流出に絡み、システムリスクの管理体制や流出リスクへの対応に重大な問題があり、顧客の預かり資産を管理する業者に求められる体制に「著しい不備」があると認めた。」
DMMビットコインに業務改善命令 不正流出問題受け 金融庁(NHK)
「金融庁によりますと、会社は、システムの開発や運用、安全管理などを行う権限を一部に集中させていたほか、顧客の暗号資産を管理するウォレットを複数設置して分散するなど、流出リスクを最小限にするような対応を検討していなかったということです。
金融庁は命令で、こうしたリスク管理態勢の見直しに加え、巨額の不正流出を招いた経営責任の明確化も求めています。
DMMビットコインは「業務改善命令を厳粛に受けとめ、引き続き改善および再発防止に取り組み、信頼回復に努めてまいります」とコメントしています。」
