これまで暗号資産(仮想通貨)では数々のハッキング事件が世界各国で発生してきています。これによって実際に取引しているユーザーだけでなく、一般的に暗号資産の安全性を危惧させるものとなってきました。
暗号資産取引の安全性や暗号資産業者の信頼性確保のために各国の当局は動いてきており、日本でも金融庁をはじめとして、国が法改正を通じて様々な試みを取り始めています。
こうした状況下において、Coincheckはこれまでコンプライアンス体制の構築と強化、様々な取引のための安全対策を講じてきました。そこでこれまでの暗号資産の安全面の課題や、Coincheckが取引の安全やセキュリティ強化のために取り組んできた体制づくりなどについてご紹介します。
目次
ハッキング事件と暗号資産取引の安全性の課題
暗号資産とはインターネット上にのみ存在し、普段私たちが使っている紙幣や硬貨などの実物がないのが暗号資産です。
暗号資産の多くはブロックチェーンという技術的な基盤の上に成りたっています。このブロックチェーンによって、全ての取引データがブロックとして記録され、ユーザー同士で監視することで不正を防ぐ仕組みをもっています。
理論上では暗号資産はこのような安全性を担保され、ハッキング(改ざん)するのが難しいブロックチェーン技術を基盤とするものの、残念ながらこれまで数々の不正流出事件が発生してきました。
中にはモナコイン事件のようにブロックチェーンの仕組みを悪用されたことで起きた事件もありますが、不正流出事件の大半は顧客資産の横領やウォレットへの攻撃等によるハッキング事件が主流でした。
そしてそのほとんどの原因が顧客資産の分別がされていないといった脆弱なコンプライアンス体制や、取引業者の安全対策が間に合っていなかったことなどによるものでした。
暗号資産業界の安全性や信頼性確保のための国の動き
こうした数々の不正流出事件などを受けて、近年は各国で暗号資産取引の安全性や信頼性の確保に向けた動きが出てきました。
日本においても以下にご紹介する資金決済法の改正を通じて、国が暗号資産取引や業界への監視強化や管理体制構築に動き始めています。
改正資金決済法
日本では一連のハッキング事件や暗号資産取引業者の不正取引、乱立する業者の管理体制不備などの状況を受けて、顧客保護と業者への管理を主とする法的な整備がおこなわれてきました。
国は2017年4月から資金決済法を改正と施行を実施しています。資金決済法とは、銀行業以外による資金決済に関する適切なサービス実施の確保や利用者利益の保護をはかることを目的とする法律です。
この改正資金決済法は主に「暗号資産や暗号資産交換業(暗号資産交換業者)の定義」「暗号資産交換業者に対する登録制の導入」「暗号資産交換業への規制」から構成されています。以下に順を追ってその概要を説明していきます。
国の暗号資産業者に対する新たな管理体制
改正資金決済法では、金融庁をはじめとする国による暗号資産取引業者への管理体制構築と管理強化を目的としています。
その主な内容は、暗号資産取引業者の登録制の実施の他、暗号資産取引業者への財務規制、行為規制、監督規制、マネーロンダリング規制の4つの規制の導入となっています。
暗号資産取引業者の登録制
暗号資産取引業者の登録制ですが、全ての取引業者は暗号資産取引業務をおこなうにあたり、内閣府宛ての登録申請書提出による登録が必要になりました。
この登録せずに暗号資産交換業をおこなった場合、3年以下の懲役または300万円以下の罰金などの罰則規定があります。
財務規制
財務規制として、全ての暗号資産取引業者が登録に際して、「資本金額1,000万円以上であること」と「純資産額がプラスであること」の要件を満たす必要があります。
これらの要件を満たさなければ登録申請が受理されず、業務がおこなえません。
行為規制
また、行為規制として取引業者には以下の6つの義務の順守が求められています。
1.名義貸しの禁止
2.情報の安全管理義務
3.委託先に対する指導
4.利用者の保護等に関する措置
5.利用者財産の管理義務
6.指定暗号資産交換業務紛争解決機関との契約締結義務など
特に5の「利用者財産の管理義務」とは後述する顧客資産の保護強化を狙ったものとして注目されます。
暗号資産業者が自社の資産と顧客からの預かり資産を分別して管理することが求められ、分別管理をおこなわなかった場合には2年以下の懲役や300万円以下の罰金といった罰則となります。
監督規制
監督規制としては、暗号資産業者に対する監督規制として、以下の6つのルールが新たに設定されました。
1.帳簿書類の作成・保存義務
2.報告書の提出義務
3.立入検査等
4.業務改善命令
5.登録の取消等
6.登録の抹消
この中で特に3~6は国による監督強化のための規制として注目されます。金融庁を主体として検査の実施や検査結果に基づいた業務改善命令などが発令できるようになっています。
登録申請時に虚偽記載をした業者や業務改善命令に従わない業者への業務の一部または全部の停止や登録取消しも可能とする内容となっています。ただし、昨今は金融検査マニュアル廃止など金融機関の自主性を促すための体制への変化も生まれており、暗号資産業者への影響も注目です。
マネーロンダリング規制
その他にマネーロンダリング規制として反社組織などを念頭にした不正資金洗浄への対策が盛り込まれました。その内容としては暗号資産業者も銀行や証券会社同様に顧客ユーザーの新規口座開設時には本人確認の徹底を促すものとなっています。
そのために業者には「口座開設時の取引時確認義務」「確認記録・取引記録等の作成・保存義務」「疑わしい取引の届出義務」「社内管理体制の整備(従業員の教育、統括管理者の選任、リスク評価書の作成、監査等)」の4つの義務が課されています。
Coincheck(コインチェック)の安全性確保のための体制構築やセキュリティ対策
国によるこうした業者への規制や管理体制強化に呼応するように、Coincheckでも安全性確保に向けて、コンプライアンス体制の強化やセキュリティ対策の実施に努めてきています。
ガバナンス体制やコンプライアンス体制の強化
Coincheckは東証プライム市場上場企業であるマネックスグループ株式会社の子会社となってからは、これまでガバナンス体制やコンプライアンス体制の強化に努めてきています。
そのために経営体制の見直しをはかり、取締役会がリードして、ガバナンス体制構築のために社外取締役を中心とする役員構成で執行部の監督をおこなえる体制を整えました。また、経営戦略も見直し、内部管理やシステムリスク管理を強化するために経営資源を積極的に投入してきました。
同時に顧客保護やサービス強化のために顧客への説明の場や苦情・問い合わせに対応する体制拡充にも努めてきました。さらにコンプライアンス、システムリスク両委員会に外部の専門家を招聘することでガバナンス強化のための諸制度を整備してきています。
また、後述する顧客資産保護のための分別管理をおこなうとともにCoincheckの役員や従業員が暗号資産関連の情報を利用して不正に利益を得る取引をおこなうのを防ぐために内部規定を制定し、厳重に管理しています。
対象となる具体的な情報としては、Coincheckが現行取り扱っている、あるいは今後取り扱うことを検討している暗号資産に関して公表されていない重要な情報で、顧客ユーザーの取引判断に影響するものなどが挙げられます。このような情報管理はCoincheckの法務部が主体的におこなっています。
顧客資産分別管理の実施
Coincheckでは改正資金決済法の規定に従って、顧客ユーザーからの預かり資産である法定通貨や暗号資産を自社の資産と分別して管理しています。
この顧客資産の分別管理はこれまで銀行や証券会社でおこなわれてきており、顧客資産を預かる金融機関が顧客資産を勝手に売買したり、不正に引き出させないようにするために信託銀行などに顧客資産を保全管理してもらう仕組みです。
これまでは顧客資産の分別管理は暗号資産業者に義務付けされてきていませんでしたが、改正資金決済法によって義務化されています。
Coincheckが預かる顧客ユーザーの法定通貨や暗号資産それぞれについて、日次で実際の残高と当社が計算上把握している残高を照合し、顧客ユーザーの残高が不足していないかを確認しています。
コールドウォレットや二段階認証などのセキュリティ対策強化
Coincheckがおこなってきた具体的なセキュリティ対策としては、「コールドウォレット」「マルチシグ」「二段階認証」「SSL(Secure Sockets Layer)」などがあります。
以下に順番にご紹介していきます。
コールドウォレット
常時ネットにつながった状態のものは「ホットウォレット」、ネットにつながっておらず、完全に隔離されているものが「コールドウォレット」と呼ばれています。
ホットウォレットの場合、暗号資産の売買や送金をリアルタイムで取引するのに便利な反面、常時ネット回線に接続されていることから、ハッカーによる侵入や保管している暗号資産の流出がおこるリスクが高くなります。
USBやペーパーなどで秘密キーを保管するコールドウォレットを利用することで、オンラインから隔絶され、ハッキング対策には非常に有効です。
マルチシグ
マルチとは「複数」、シグは「署名」を意味しており、秘密のキーを複数用意した公開認証方式のことです。秘密のキーを複数用意して、別々の場所に保管しておくことでハッカーが一つの端末に侵入しても全てのキーを入手しなければハッキングできないようにされています。
これまでの個人認証では予め設定したIDとパスワードを入力して個人を認証する方式でしたが、秘密キーがパスワード一つのみとなるため、個人の端末などへハッキングされると簡単に保管している暗号資産が持ち出されてしまいます。
マルチシグを利用することでハッキングが困難になり、セキュリティ対策として非常に有効です。
二段階認証
セキュリティ向上のためにログイン時に「二段階認証」と呼ばれる方式を採用しています。
取引画面へのログイン時には通常、登録済みのメールアドレスやパスワードを入力しますが、二段階認証ではさらにスマートフォン宛てにログインの都度発行されるワンタイムのパスワードの入力を必要としています。
この仕組みによって、仮にメールアドレスやパスワードの情報が盗まれても、アカウントにアクセスされたり、不正出金されるといった被害を防いでくれます。
SSL(Secure Sockets Layer)
悪意のある第三者に取引データの内容が覗かれたり、個人情報が抜き去られるのを防いでくれるSSL(ソーシャル・ソケッツ・レイヤー)が採用されています。
SSLとは通信データをインターネット上の暗号化技術によって暗号化するためのプロトコル(通信方式)のことです。SSLを利用すれば暗号資産取引の際のデータ通信も安心です。
財務情報の開示とその意味
Coincheckではかねてより財務情報を、適切なタイミングで適切な範囲で情報開示していくことを検討していました。
そして、マネックスグループ株式会社によるCoincheckの子会社化を2018年4月6日に公表した際、その資料の中でCoincheckの財務情報を開示しました。
財務情報の開示はユーザーや関係者全般にCoincheckの財務内容を判断する情報を提供することで透明性を高め、安心して取引してもらうことを目的としています。付随して提供される業務状況とともにこれからも透明性確保に努めていくのがCoincheckの方針です。
暗号資産業者を選ぶ際に大切なこと~大手の業者を選ぶ安心感
暗号資産取引業者を選ぶ際にコンプライアンス体制やセキュリティ対策が強化されていることも大切なポイントですが、同様に大切になってくるのが財務基盤の強い安定した大企業や大企業のグループ会社であることです。
特にハッキング事件や業者の破綻等のリスクを考えた場合、資金調達能力や資本力のある大手であればユーザーへの救済等の面でも安心です。さらにそのような資金のある大手の方が、システムセキュリティ対策など取引の安全を確保するための対策に多くの人員とコストがかけられます。
Coincheckは東証プライム市場上場企業のマネックスグループのグループ子会社ですので、安心して取引していただくための体制が整っています。
Coincheckの安全性やセキュリティに関するまとめ
この記事では、これまでの度重なる暗号資産ハッキング事件などに触れ、暗号資産業者の安全性や信頼性確保のために、金融庁をはじめとする国が法改正を通じてどのようなアプローチを取ろうとしてきたのかをご紹介しました。
それと同時にCoincheckがこれまで安全対策のためにとってきた体制構築等についても触れました。このような体制構築においてCoincheckはネット証券大手のグループ企業である強みが活かされています。
Coincheckは今後も継続してユーザーに安心して取引できる環境を提供して参ります。