金融庁はお墨付きを与えず、仮想通貨の自主規制団体に課せられる重責

「新たな仮想通貨の『上場』を審査するのは誰なのか。仮想通貨交換所か、金融庁か、自主規制団体か。誰も審査の基準を示してくれない」。

 記者にそう苛立たしげに語ったのは、仮想通貨カルダノ(Cardano)の設計やソフト開発を手掛ける香港Input Output(IOHK)創業者CEO(最高経営責任者)、チャールズ・ホスキンソン氏だ。仮想通貨としての時価総額は約6400億円(2018年3月8日現在)で世界7位につける。

 ホスキンソン氏は、国内のいくつかの仮想通貨交換所から「カルダノを交換所で扱いたい」と上場の誘いがあったと明かす。同氏もカルダノの取り扱いを事業者や金融庁に働きかけてきたという。だが「コインチェック事件の後は、検討のスピードが明らかに落ちた」(同氏)うえ、上場の評価基準について業界の誰も明確に答えてくれず、袋小路に陥ったという。

 カルダノは評価のブレが激しい仮想通貨だ。2015年9月頃、カルダノプロジェクトに関わる国内組織が、日本で仮想通貨の販売(プレセール)を開始。だが、コインの価格上昇をあからさまにうたう販売手法に加え、プレセール後に当初予定通りに上場しなかったことから「詐欺コイン」との評価を受けることもあった。

 カルダノは2017年9月、アルトコインを積極的に取り扱うことで知られる米国Bittrexに上場。その後は中国Binanceや韓国Coinnestに上場した。

 ただし、現時点でも取引の合意形成に参加できるノードを制限している点で、ビットコイン(Bitcoin)やイーサリアム(Ethereum)のように誰もが取引や承認に参加できるパブリックチェーンではない。世界7位の時価総額に見合った決済やスマートコントラクトの実績があるとも言い難い。真っ当なコインと言えるか否か、評価が定まっていないのが現状だ。




自主規制団体、ようやく設立へ

 コインチェック流出事件や7社への行政処分を受け、国内の仮想通貨交換業への信頼は地に墜ちた。この信頼を回復させる重責を担うのが、ホスキンソン氏も言及していた「自主規制団体」である。


 仮想通貨交換業大手、マネーパートナーズの奥山泰全社長とbitFlyerの加納裕三社長は3月2日、2018年4月をメドに業界団体を新設することを明らかにした。金融庁から自主規制団体(認定資金決済事業者協会)として認定を受けることを目指す。認定を受ければ、加盟社へのペナルティー(罰則)を含めた実効性の高い自主規制を制定できるようになる。


 新設する自主規制団体が優先して手掛けるべき課題は2つある。1つはコインチェック事件の再発防止に向け、サイバー攻撃や内部犯行から顧客の資産を守るセキュリティ標準を策定すること。そしてもう1つは、交換所に上場できる仮想通貨を選定する基準やプロセスを整備することだ。




金融庁は実質的な審査を担わず?

 金融庁が仮想通貨交換業者として登録した16業者が取り扱っている仮想通貨のリスト(PDF)は、業界内で「ホワイトリスト」と称される。

 金融庁は交換業者から「新規の仮想通貨を扱いたい」と届け出があった場合、利用者保護や公益の観点で審査し、取り扱いの可否を判断する。制度上は、金融庁が「お墨付き」を与えた仮想通貨のみが上場に至っているようにみえる。

 だが、記者が取材した金融庁担当者のニュアンスはやや異なる。仮想通貨の性質やリスクを明らかにする責任はあくまで交換業者が負っており、金融庁は交換業者から説明を受けたうえで、資金決済法上「仮想通貨」の定義に該当するかを確認するにとどまるという。金融庁が仮想通貨にお墨付きが与えているわけではない、という見解だ。

*ただし一点、実質的に金融庁が「審査」をしていると思われる項目がある。AML/CFT、つまりマネーロンダリング(資金洗浄)やテロ資金供与対策に関するリスクの有無だ。金融庁によれば、取り扱う仮想通貨について業者に求めるリスクの説明には、AML/CFTのリスクも含まれるとする。この点で、送金先の追跡が難しい「匿名通貨」と呼ばれる仮想通貨の取り扱いが認められる可能性は低いとされる。AML/CFTのリスクを抑える手段について、交換業者が金融庁への説明責任を果たすのが困難だからだ。

 実際、仮想通貨の業界内からも「金融庁内にブロックチェーン技術に精通した人材がいるわけではない。実質的には自主規制団体が、仮想通貨を選定する責任を負うことになりそうだ」との声が漏れる。金融庁も、自主規制団体を認定した後は、同団体が公表する仮想通貨の分析情報(ホワイトペーパー)を審査の参考にするとしている。

 このホワイトペーパーの作成は、自主規制団体の信頼を左右する重要な仕事になりそうだ。詐欺コインを詐欺と見抜けず排除に失敗する事態が頻発すれば、自主規制団体どころか仮想通貨ビジネス全体の信用失墜につながりかねない。

 団体の構成員である交換所の運営事業者が、仮想通貨の新規発行による資金調達(ICO:Initial Coin Offering)を自ら実施していることも、問題を複雑にしている。テックビューロが発行する仮想通貨「CMS(コムサ)」、同じくQUOINEが発行した「QASH(キャッシュ)」のICOは、いずれも100億円前後の資金調達につながった。

 交換所の運営事業者によるICOをベンチャー企業の株式上場になぞらえれば、上場を目指すベンチャー、支援する証券会社、上場審査をする取引所が全てが同一の企業、という構図になる。

 自主規制団体は、構成員が発行する仮想通貨(ICOトークン)についても、実質的な審査を引き受けることになる。ホワイトペーパー作成にあたり、利益相反を招かないような体制の整備が求められそうだ。

 企業によるICOは今後も続く。メルカリは傘下のメルペイを通じ、仮想通貨交換業の登録と仮想通貨の発行を検討している。無名のスタートアップ企業によるICOも相次ぐだろう。健全な投資のエコシステムを醸成できるかは、自主規制団体の双肩にかかっている。




「コールドウォレット」も定義はバラバラ

 自主規制団体にとってもう一つの重要な任務であるセキュリティ標準の策定については、コインチェック事件の反省を受けて現在進行形で議論が進んでいる。

 bitFlyerの加納社長は3月2日の会見で「運用についてはPCI DSSのような既存の基準も参考にしたい」と語った。業界内では、クレジットカード情報を取り扱う上での具体的な実装や運用を示した「PCI DSS」、金融機関のセキュリティ運用態勢を規定した「FISC安全対策基準」が参考になるとの意見が挙がっている。

 利用者から預かった仮想通貨を保護する要となる秘密鍵とウォレットの管理については、仮想通貨の教科書「Mastering Bitcoin」の著者などが策定した「CryptoCurrency Security Standard (CCSS) 」が参考になるとの意見がある。CCSSは、秘密鍵を生成するための疑似乱数の安全性など、仮想通貨の管理に特化した実践的な基準を示している。

 CCSSを策定した団体の主要メンバーで、交換所のCISO(最高情報セキュリティ責任者)も務めるマイケル・ペクリン氏は「世界ではかなりの数の交換所が、CCSSをセキュリティ水準の評価や向上に役立てている」と語る。CCSSは誰でも無償で参照できるが、現時点で日本の交換所からCCSSを使っているとの報告は受けていないという。

 セキュリティ標準の策定には、交換業者のセキュリティ対策水準を底上げする意味に加え、もう一つ重要な意義があると記者は考える。セキュリティ関連用語の定義を明らかにすることで、利用者への説明の透明性が高まることだ。

 例えば、多くの交換所は安全対策として「コールドウォレット(コールドストレージ)の運用」をうたう。だが、この言葉一つとっても、記者が取材した技術者ごとに定義が異なっていた。これでは、利用者は交換所のセキュリティ水準について判断できない。

 コールドウォレットは、一般には「ネットワークに接続していないオフライン状態で管理されたウォレット」を指す。だが実際には、ウォレットの運用方式によって不正送金のリスクは大きく変わる。

 ある技術者は、USBトークンに秘密鍵を封入したハードウエアウォレット自体を「コールドウォレット」と称していた。だが、ハードウォレットをUSBポートに差し込むPCがインターネットに接続しているなら「コールドウォレット」としての安全は保てない。実際、PCに感染したマルウエアが利用者のハードウォレットを操作し、不正送金したとみられる報告も相次いでいる。



 MTGOX事件で管財人による事後処理にも携わったセキュリティコンサルタントの杉浦隆幸氏は、コールドウォレットの運用について「一度もネットワークに接続していない新品のPCでウォレットを管理し、使うたびにPCを廃棄するのが望ましい」と語る。PCを使い捨てにするのは、悪意を持った従業員がPCの内部や筐体に細工する可能性を排除するためだ。

 仮に完全にネットワークから遮断した形でウォレットを運用しても、コールドウォレットから送金する際に人間が取引内容を監査しないのであれば、安全な運用とは言えない。交換所システムの要求に従い、USBストレージやQRコードなどを介して機械的に送金処理を行うような運用では、交換所システムがハックされれば不正送金を容易に実行できてしまう。




サイバー攻撃情報を共有する

 セキュリティ標準の策定と並行し、交換所のセキュリティ担当者同士でサイバー攻撃の情報を共有するコミュニティ(CSIRT協議会やISAC団体など)を醸成することも、自主規制団体の重要な役割になるだろう。

 コインチェックはNEM流出の原因として、標的型攻撃によるマルウエアの感染を挙げている。仮に攻撃の手口を業界で共有していれば、今回のような仮想通貨の流出を防げた可能性がある。

 新設する自主規制団体の副会長を務めるbitFlyerの加納社長は3年半ほど前、bitFlyer創業直後の記者の取材に「MTGOX事件で失墜した業界の信頼を回復させる」と語り、業界によるセキュリティ標準の策定などの対策を挙げた。だがその後は業界団体が乱立し、業界として団体の統一や実効性の高いセキュリティ標準の策定といった対策を打ち出せないまま、「第2の事件」を迎えてしまった。


 「インターネット以来の発明」とも評されるブロックチェーン技術に基づく仮想通貨を、健全な形で社会インフラとして定着させることができるか。もう一度、3年半前の歴史を繰り返すわけにはいかない。


http://tech.nikkeibp.co.jp/atcl/nxt/column/18/00138/030900027/?ST=nxt_thmit_security&P=1


関連記事