香港金管局デジタル資産預託活動に関するガイドラインの概要
TechFlow厳選深潮セレクト
香港金管局デジタル資産預託活動に関するガイドラインの概要
香港金融管理局は、デジタル資産のカストディ業務に関するガイドラインを発表し、ガバナンスおよびリスク管理、顧客デジタル資産の分別管理、顧客デジタル資産の保護、委任およびアウトソーシングなど、関連する基準を示した。
Web3業界の深掘り報道に専念し潮流を洞察編集:博聞
デジタル資産のセキュリティは、業界で最も長く議論されてきたトピックの一つです。伝統的な機関がますます参入する中で、ハッカーが跋扈するWeb3の世界でユーザーのデジタル資産をどう安全に保管するかは、業界規模の拡大に伴い解決が不可欠な課題となっています。
2024年、米国SECがビットコイン現物ETFを承認し、Coinbaseはそのうち8本のETF発行体のビットコイン・カストディアンとなり、収益の大幅な支えとなりました。デジタル資産のカストディ業務はもはや技術的問題にとどまらず、有力機関が必争となるビジネス領域へと進化しています。香港が米国に急速に追いつこうとするなら、デジタル資産カストディに関する規制整備も加速させる必要があります。
2024年2月20日、香港金融管理局(金管局)はデジタル資産のカストディ活動に関するガイドラインを発表し、ガバナンスおよびリスク管理、顧客デジタル資産の分離、顧客デジタル資産の保護、委託およびアウトソーシングなどに関する基準を明示し、香港においてデジタル資産のカストディ業務を行う機関およびその子会社に指導を提供しました。
以下は、ガイドライン原文の和訳内容です。
デジタル資産カストディサービスを行う認可機関に対する期待される基準に関するガイドライン
本ガイドラインは、顧客のために保持するデジタル資産(暗号技術および分散台帳または類似技術に主に依存する資産)について、認可機関(AIs)および香港に登録されたその子会社に適用されます。ただし、特定用途のデジタルトークンは除きます。説明として、対象となる資産にはバーチャル資産(VA)、証券化セキュリティおよびその他のトークン化資産が含まれます。本ガイドラインは、AIsまたはそのグループ企業が自ら保有する資産のカストディには適用されず、これらは顧客に代わって保有されるものではありません。
(A) ガバナンスおよびリスク管理
1. デジタル資産カストディサービスを開始する前に、認可機関は関連リスクを特定・理解するために包括的なリスク評価を実施すべきです。認可機関は、識別されたリスクを管理・軽減するための適切な方針、手順および統制措置を確立し、適用される法的および規制要件を考慮しなければなりません。機関の取締役会および上級経営陣は、リスク管理プロセスを効果的に監督し、カストディ業務に従事する前後を通じて、カストディ活動に関連するリスクを識別、評価、管理および軽減できるように確保しなければなりません。
2. 認可機関は、適切なガバナンス、運用および効果的なリスク管理を確保するために、カストディ活動に必要な人的資源および専門知識を含む十分な資源を割り当てるべきです。カストディ活動および関連する統制機能に携わる上級管理職および従業員は、その職務を遂行するために必要な知識、スキルおよび専門性を有している必要があります。
3. デジタル資産分野の急速な進展を踏まえ、認可機関はカストディ活動に従事する上級管理職および従業員に対して継続的なトレーニングを提供し、業務遂行能力を維持しなければなりません。
4. 認可機関は、カストディ活動に関する適切な説明責任体制を確立すべきです。これには、明確に文書化された役割と責任、報告ラインを含みます。また、機関またはその関連者が行う異なる活動間に生じ得る潜在的および/または実際の利益相反を特定、管理および軽減するための十分な方針およびプロセスを策定すべきです。
5. 認可機関は、カストディ活動における事業継続性を確保するために、効果的な予備および災害復旧体制を確立・維持すべきです。
(B) 顧客デジタル資産の分離
6. 認可機関は、自らの資産とは別々の専用顧客口座に顧客デジタル資産を保管し、機関が破産または解散した場合でも、顧客デジタル資産が機関の債権者からの請求から免れるようにしなければなりません。
7. 認可機関は、顧客デジタル資産の権利、利益、所有権、法的および/または実質的所有権を譲渡してはならず、また貸付、担保設定、再担保設定またはその他の負担をかけてはなりません。ただし、以下の場合は例外です。(i)取引決済、および/または顧客が機関に負っている費用および料金の回収のため;(ii)顧客の事前の明示的な書面による同意がある場合;または(iii)法律により規定されている場合。機関は、顧客デジタル資産が自らの口座または顧客との合意目的以外に使用されないよう、十分かつ効果的な措置を講じなければなりません。
(C) 顧客デジタル資産の保護
8. 認可機関は、顧客デジタル資産がタイムリーかつ適切に会計処理され、十分に保護されることを保証するための十分なシステムおよび統制を確立すべきです。特に、盗難、詐欺、過失またはその他の不正行為、および顧客デジタル資産への遅延アクセスまたはアクセス不能によって生じる資産喪失リスクを最小限に抑えるための効果的な統制措置を策定すべきです。
9. 顧客デジタル資産を保護するためのシステムおよび統制を開発する際、認可機関は、カストディするデジタル資産の性質、特性およびリスクを考慮したリスクベースのアプローチを採用できます。リスクは、例えば使用される分散台帳技術(DLT)ネットワークの種類(プライベート許可型、パブリック許可型、パブリック無許可型)および緩和策の有無に依存します。たとえば、パブリック無許可型DLTネットワーク上で保有される顧客デジタル資産は、より高いサイバーセキュリティリスクにさらされ、盗難、ハッキングまたはその他のサイバー攻撃が発生した場合に資産の回復が困難になる可能性があります。一方、パブリック許可型およびプライベート許可型DLTネットワークでは、DLTネットワークへのアクセス制御が可能である場合があります。
10. 顧客デジタル資産を保護するためのシステムおよび統制には、以下に関する文書化された方針および手順が含まれますが、これらに限りません:
-
顧客デジタル資産の預入、出金および移転のためのアクセスの許可および検証。シードおよび秘密鍵を保存するデバイスへのアクセスも含む。
-
顧客デジタル資産のシードおよび秘密鍵の管理および保護。鍵の生成、配布、保存、使用、破棄およびバックアップを含む。
11. 特に、認可機関は関連する業界のベストプラクティスを採用し、保有する資産の性質、特性およびリスクに応じた適用可能な国際セキュリティ基準に従うことが期待されています。以下に列挙する手順および統制は、規範的またはワンサイズフィットオールのものではないですが、顧客VAを保有する認可機関には通常必須とされます。他のデジタル資産については、認可機関はリスクに応じたアプローチを採用してこれらの手順および統制を実施できますが、資産がパブリック無許可型DLTネットワーク上の無許可トークンとして存在する場合は、さらに慎重に審査を行い、実施の妥当性を慎重に評価すべきです。
-
シードおよび秘密鍵(およびそのバックアップ)を、HSM(ハードウェアセキュリティモジュール)などの安全で改ざん防止の環境およびデバイス内で生成および保存すること。可能であれば、シードおよび秘密鍵はオフラインで生成し、適切なライフサイクル制限を設けること。
-
シードおよび秘密鍵を香港国内で安全に生成、保存およびバックアップすること。
-
暗号化デバイスまたはアプリケーションへのアクセスは、適切に選考および訓練された許可された人員に必要な範囲でのみ制限すること。アクセス方法および割り当てられた権限に関する最新のドキュメントを維持すること。多要素認証などの強力な認証方式を使用して、シードおよび秘密鍵へのアクセスを認証すること。暗号化デバイスまたはアプリケーションへのアクセス履歴を監査ログとして記録すること。
-
「単一障害点」を防ぐために、鍵分割(シャミアの秘密共有)または類似技術を採用すること。例えば、秘密鍵を分割し、複数の許可された機関の担当者に分散保管することで、単一の者が完全な鍵を握らないようにすること。通常、一定数の鍵シェア保持者が共同で取引に署名する必要があり、個人が完全なアクセス権を持たないようになります。また、個別のシェアが紛失、利用不能または盗まれた場合にも業務中断を防げます。「単一障害点」を回避するには、複数のウォレットを使用して顧客デジタル資産を保有することも検討できます。
-
リカバリフレーズおよび秘密鍵へのアクセス権を持つ許可された人員間の共謀リスクを防ぎ、軽減するための措置を設けること。
-
リカバリフレーズおよび秘密鍵については、元のデータと同等のセキュリティ統制が適用される十分な遠隔地バックアップおよび緊急時対応体制を策定すること。バックアップされたリカバリフレーズおよび秘密鍵は、元の保管場所とは独立しており、何らかの事象の影響を受けない安全な物理的場所にオフラインで保存すること。
-
特に証明がない限り、大部分の顧客デジタル資産はインターネットに接続されていないコールドストレージに保存すること。
-
顧客デジタル資産の預入および引き出しは、顧客自身のウォレットアドレス(所有権テスト、例えばメッセージ署名またはマイクロペイメントテストによる確認)に基づき、ホワイトリストに登録された方法のみを許可すること。
-
カストディ中に使用されるすべてのスマートコントラクトが、契約上の脆弱性またはセキュリティ欠陥の影響を大きく受けないよう対策を講じること。
-
ハッキング、盗難または詐欺(認可機関の行為、誤り、過失または重大な過失の有無にかかわらず)によって生じる顧客デジタル資産の損失を十分にカバーする適切な保険または補償体制を策定すること。
12. 認可機関が顧客に対して、自身が保有するデジタル資産を管理するためのユーザインタフェースまたはポータルを提供する場合、香港金融管理局(HKMA)が随時策定する関連ガイドラインに従った、効果的な顧客本人確認および通知統制措置を確立すべきです。
13. 認可機関は、新興のセキュリティ脅威、脆弱性、攻撃および詐欺リスク、ならびに技術的解決策の動向および進展に常に注目すべきです。新出現の脅威および技術進歩を踏まえて、セキュリティリスク統制の十分性および堅牢性を定期的に評価し、関連する業界のベストプラクティスおよび適用可能な国際基準に従って、顧客デジタル資産のカストディ技術を導入すべきです。カストディに使用するウォレットストレージ技術は、導入前にテストを行い、信頼性を確保すべきです。
(D) 委託およびアウトソーシング
14. 一般的な原則として、バーチャル資産に関して、認可機関はカストディ機能を(i)他の認可機関(または香港に登録された認可機関の子会社)、または(ii)証券会社にライセンスされたバーチャル資産取引所にのみ委託できます。 無許可トークン形式の他のデジタル資産で、パブリック-無許可型DLTネットワーク上にあるものは、カストディ機能の委託またはアウトソーシングについて特に慎重になり、適切かどうかを徹底的に評価すべきです。
15. 認可機関がデジタル資産カストディサービスの提供において、委託先またはサービスプロバイダーと委託またはアウトソーシング契約を結ぶ場合、委託先またはサービスプロバイダーを選定・任命する前に適切なデューデリジェンスを実施すべきです。認可機関は、委託先またはサービスプロバイダーの財務健全性、評判、経営能力、技術および運用能力、本ガイドラインおよび他の適用される法的・規制要件への遵守能力、およびデジタル資産分野の技術進展への追随能力などを評価し、満足すべきです。デューデリジェンスの評価およびその結果は適切に記録しておくべきです。また、認可機関は委託先またはサービスプロバイダーのパフォーマンスを継続的に監視するための効果的な統制措置を確立すべきです。
16. 認可機関が委託先またはサービスプロバイダーと協力してデジタル資産カストディサービスを提供する場合、顧客デジタル資産の保護におけるソリューションの有効性を評価するための技術的専門知識を有すべきです。また、それが「単一障害点」を導入していないかも評価すべきです。さらに、委託先またはサービスプロバイダーが顧客デジタル資産を保有する条件および条項を十分に理解し、委託先またはサービスプロバイダーが破産した場合に顧客の法的権利に重大な影響を与えないか評価すべきです。認可機関は、委託先またはサービスプロバイダーが本付録第6項および第7項に従って顧客デジタル資産を適切に分離することを確実にする責任を負います。
17. 認可機関の緊急時および災害復旧体制は、委託またはアウトソーシングによるカストディサービスの中断もカバーすべきです。また、認可機関は委託先またはサービスプロバイダーのレジリエンス能力(事業継続性)を評価し、その緊急時計画および手順を確認し、カストディサービスの可用性を確保すべきです。
18. 認可機関は、デジタル資産カストディサービスの委託またはアウトソーシングにおいても、伝統的な金融活動における委託またはアウトソーシングと同様の関連システムおよび統制を維持すべきです。
19. 委託またはアウトソーシングされた業務の最終的な責任および説明責任は、認可機関が負います。
(E) リスク開示
20.認可機関は、以下の内容を含め、カストディ体制について顧客に明確かつ分かりやすい方法で十分かつ公正に開示すべきです:
-
認可機関および顧客それぞれの権利および義務。特に、認可機関が破産または清算手続きに入った場合の顧客の資産に対する所有権。
-
カストディ体制。顧客デジタル資産の保管および分離方法、資産へのアクセス手順および期間、および適用される費用およびコスト。
-
セキュリティ事故または流用などにより生じる顧客デジタル資産の損失をカバーするための補償体制。
-
顧客デジタル資産が他の顧客資産と混合される場合およびそれに関連するリスク。
-
認可機関が顧客デジタル資産の法的および/または有益所有権を取得する場合、またはそれらを譲渡、貸付、担保設定、再担保設定またはその他の負担をかける場合および関連するリスク。
-
投票、ハードフォーク、エアドロップなどのイベントにおける顧客デジタル資産の取り扱いおよびそれらに付随する権利および利益。
-
認可機関は、カストディ活動に関連する潜在的および/または実際の利益相反の存在および性質についても、顧客に包括的かつ公正に開示すべきです。
(F) 顧客デジタル資産の記録保存および照合
21. 認可機関は、各顧客について、顧客デジタル資産の所有権(顧客に帰属する資産の額および種類、および顧客口座間の資産移動)を追跡・記録するための適切な帳簿および記録を保持すべきです。関連するオンチェーンおよびオフチェーン記録を考慮し、顧客ごとに定期的かつ頻繁に顧客デジタル資産の照合を行うべきです。不一致が生じた場合は、速やかに対処し、必要に応じて上級経営陣に報告すべきです。
22. 認可機関は、カストディ活動に関連するすべての記録を保管・保護するためのシステムおよび統制を確立し、香港金融管理局の要求に応じてタイムリーにこれらの記録を提供できるようにすべきです。
(G) 反マネロンおよびテロ資金供与防止(AML/CFT)
23. 認可機関は、反マネロンおよびテロ資金供与防止(AML/CFT)に関する方針、手順および統制が、デジタル資産カストディ活動に伴うマネロンおよびテロ資金供与リスクを効果的に管理・軽減できることを確保すべきです。認可機関は、「反マネロンおよびテロ資金供与防止ガイドライン(認可機関向け)」および香港金融管理局が策定するデジタル資産カストディ活動に関するAML/CFTガイダンスに従う必要があります。
(H) 持続的監視の要件
24. 認可機関は、自らの政策および手順を定期的に見直し、システムおよび統制、ならびに顧客デジタル資産のカストディに関する適用要件への遵守状況について独立監査を実施すべきです。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
