ミニマムスタンダード化も辞さず
取組方針案では、暗号資産を標的としたサイバー攻撃の脅威が広がる中、間接的な攻撃を含めてその手口が複雑化、巧妙化している現状を指摘。「国内外の投資家において暗号資産が投資対象と位置付けられる状況が生じている」とした上で、暗号資産交換業者として登録を受ける事業者自身の「自助」、事業者どうしが協調する「共助」、行政を巻き込んだ「公助」の3つのアプローチから、セキュリティの強化を促す考えを示しています。
このうち自助については、各事業者のサイバーセキュリティ態勢について「重点的にモニタリング」を行う姿勢を明示。ガイドラインで求めるサイバーセキュリティの水準の引き上げを通じ、人的構成、外部監査、外部委託先に求められる要件などについて、それぞれのあり方を検討するとしています。
また、既存の他業種にこれまで実施を求めてきた自己評価の枠組み(サイバーセキュリティセルフアセスメント、CSSA)については、2026事務年度以降、暗号資産交換業者についても全社を対象に実施を求める姿勢を明記しています。
共助に関しては、日本暗号資産等取引業協会(JVCEA)などを念頭に、自主規制機関における監査能力向上を促すとともに、各事業者に対し、JPCrypto-ISACなど情報共有機関への積極的な参加を促す姿勢を打ち出しました。公助の領域では、業界横断的に実施しているサイバーセキュリティ演習(Delta Wall)について、暗号資産交換業者向けのシナリオに磨きをかける構えを見せています。
金融庁幹部は「曲がりなりにも暗号資産交換業を営んでいる方々が、サイバーセキュリティについて何ら取り組んでいないということはおよそないと信じている。私たちが求めていくものは既にやってらっしゃることではと期待している」と説明。その上で、「そこ(事業者側のセキュリティの取り組み)が足りないということであれば、一定の時間猶予の中で水準感を高めていただくこともあるし、ミニマムスタンダードとベストプラクティスという考え方もあるだろう。そこを含めて、業界と対話していく」と発言しました。
取組方針そのものは直接的な法的拘束力を持たないものの、将来的なルール整備の可能性をほのめかした格好です。
うちの会社が暗号資産ETFを取り扱う場合は…?
暗号資産が資金決済法の枠組みから金融商品取引法に移行されることを見据え、すでに大手証券会社の間では、暗号資産交換業の新規登録に向けた準備の動きが見られます。
ただし今回の取組方針案に示されているように、実際の登録には人材確保、体制整備などのハードルがあり、リソースの制約を意識する中小事業者にまで参入の機運が波及するとは考えにくそうです。暗号資産の現物よりも、既存の金融商品取引業のライセンスで取り扱える暗号資産ETFの取り扱いを検討する方が、多くの事業者にとって現実的と言えるでしょう。
今回の取組方針はあくまで暗号資産登録業者におけるサイバーセキュリティを対象としているため、暗号資産ETFは範疇外です。しかし、ETFであっても現物と同じように、暗号資産の流出リスクが形を変えて存在します。
ある金融庁職員は「取組方針案の前提となる問題意識には、暗号資産ETFの取り扱いにも共通するところがある」と指摘。「海外で出回っている暗号資産ETFを見ると、流出などが生じた際の補償範囲について、あらかじめ明示している。日本国内で今後組成される商品も同様だとすれば、それを取り扱う販売会社の営業現場において、万が一の際の補償のルールを含め、商品性について顧客にきちんと説明できるかが新たな論点になるだろう」といいます。
金融庁は今回の取組方針案について、3月11日夕方までパブリックコメントを実施して業界内外から意見を募り、その中身を踏まえて方針を最終化する予定です。
