株式会社DMM Bitcoinに対する行政処分について
関東財務局は、本日、株式会社DMM Bitcoin(本社:東京都中央区。法人番号:5010401128129。以下「当社」という。)に対し、資金決済に関する法律(平成21年法律第59号。以下「法」という。)第63条の16の規定に基づき、下記のとおり行政処分を行った。
記
1.業務改善命令(法第63条の16)
- 本流出事案についての具体的な事実関係及び根本原因の分析・究明
令和6年5月31日付及び令和6年7月2日付で法第63条の15第1項の規定に基づき発出した報告徴求命令に従い当社から提出された報告では、未だ本流出事案についての具体的な事実関係が明らかになっていないため、本流出事案についての具体的な事実関係及び発生した根本原因を分析・究明すること。
- 顧客への対応
被害が発生した顧客の保護を引き続き、徹底すること。
また、本事案に関して、顧客に対し十分な説明・開示等を行うとともに、顧客からの苦情に適切に対応すること。 - 適正かつ確実な業務運営の確保
暗号資産交換業の適正かつ確実な遂行のため、以下に掲げる事項について業務の運営に必要な措置を講じること。
①システムリスク管理態勢の強化
不適切なシステムリスク管理態勢が常態化しているなどの根本的な原因を分析・評価の上、十分な改善が可能となるようシステムリスク管理態勢を見直し、強化すること。
②暗号資産の流出リスクへの対応が適切に行われるための態勢の整備
暗号資産の移転等に係る流出リスクの低減に関して、実効性のある低減措置を講じることを含め、流出リスクへの対応が適切に行われるための態勢を構築すること。
③経営責任の明確化及び経営管理態勢等の強化
今回の事案に至った経営責任の明確化を図ること。また、代表取締役及び取締役(以下、「代表取締役等」という。)は、暗号資産交換業の業務運営に対応したリスク等を議論し、その対応を着実に実施すること。さらに、取締役会の機能強化を図り、法令等遵守や適正かつ確実な業務運営を行うために必要な実効性のある経営管理態勢、内部管理態勢及び内部監査態勢を構築すること。
- 令和6年9月26日現在停止している取引の再開及び新規口座開設を行うにあたっては、上記(2)及び(3)に基づく対応の実施とともに、上記(1)に記載の原因究明を踏まえた必要な態勢を整備の上、実効性を確保すること。
- 上記(1)から(4)(上記(3)及び(4)については、業務改善計画(具体策及び実施時期を明記したもの))について、令和6年10月28日(月曜)までに報告すること。
- 上記(3)及び(4)に関する業務改善計画については、実施完了までの間、1か月毎の進捗・実施状況を翌月10日までに報告すること(初回報告基準日を令和6年11月末日とする。)。
2.処分の理由
当社において、令和6年5月31日に当社が管理していた暗号資産(BTC)が不正に外部に送信され、顧客からの預かり資産(4,502.9BTC)が流出するという事案が発生した。
これを踏まえ、当社に対し法第63条の15第1項に基づく報告を徴求、関東財務局において立入検査に着手し、当社の業務運営状況を確認したところ、以下のとおり、当社のシステムリスク管理態勢等及び暗号資産の流出リスクへの対応について、重大な問題が認められた。
- システムリスク管理態勢等
当社は、業務開始以降、システム担当役員が不在であることによる暗号資産交換業に及ぼすシステムリスクを検討することなく、システムを統括管理する役員を配置していないほか、システムリスクの管理やシステム開発・運用管理、情報セキュリティ管理の権限を一部の者に集中させ、システムリスク管理部門として自らのモニタリングを行わせており、システムリスク管理態勢の牽制機能が発揮されていない。
また、当社においては、監査スキルを保有する人材を配置していない中、被監査部署に監査を実施させるなど、内部監査の独立性が保たれていない。
さらに、当社は、外部ウォレットの導入に際し、暗号資産を移転する際の流出リスクについて議論を行っていないほか、外部ウォレットのセキュリティ管理状況の評価について、外部ウォレット利用に係る評価内容の妥当性を確認していないことに加え、外部ウォレットに問題が発生した場合の対応方法を理解することなく、ウォレットの利用を開始している。
こうした中、以下(2)に掲げる態勢の不備が認められるなど、暗号資産交換業を適正かつ確実に遂行する体制の整備が行われていない。
- 暗号資産の流出リスクへの対応
当社は、暗号資産移転に係る秘密鍵の取扱いについて、署名作業を単独で実施しており牽制が図られていないほか、秘密鍵を一括で管理するなど、「事務ガイドライン第三分冊:金融会社関係 16.暗号資産交換業者関係」に反する取扱いであることを認識していたにもかかわらず、当該取扱いを継続していた。
また、当社は、預かり暗号資産の規模が増大している中、流出等のリスクを分散する必要性を認識しているにもかかわらず、複数のウォレットを設置し、分散管理するなどリスクに応じた対応について検討を行っていない。
さらに、当社は、暗号資産の流出時の証拠保全に係るログを保存する期間等を検討していないなど、今回の不正流出事案の被疑事項の調査及び原因分析を迅速に行うために必要な証拠保全を適切に行っていない。
以上のとおり、当社においては、不正行為等による暗号資産の流出を防止するための適切な措置を講じていないことなどから、内部不正や盗難に対する安全性が確保されておらず、暗号資産の移転等に関し、杜撰な管理実態が認められ、さらに、内部監査は、こうした管理実態を容認するなど機能しておらず、暗号資産の流出リスクへの対応が適切に行われるための態勢を構築していない。
そもそも、暗号資産の流出リスクへの対応は、経営上の最重要課題のひとつであり、暗号資産の不正流出を防止するための適切な措置を図ることは暗号資産交換業者の健全かつ適切な業務運営の基本である。したがって、その管理態勢は高い実効性が求められているにもかかわらず、上記(1)及び(2)に述べたとおり、代表取締役等は、システムリスク管理態勢の整備を劣後させ、一部の者へ権限を集中させるなど牽制機能を発揮させておらず、また、暗号資産の流出リスクへの対応に係る重要性を認識することなく、議論・検討を行っていないなど、不正行為等による暗号資産の流出を防止するための適切な措置を講じていない。このように、当社は顧客からの預かり資産を管理する暗号資産交換業者に求められる態勢について著しい不備が認められる。
本流出事案については、未だ具体の手口の究明に至っていないが、暗号資産交換業を適正かつ確実に遂行するために必要なシステムリスクに係る経営管理態勢等及び暗号資産の流出リスクへの対応に係る当社の管理態勢については、本流出事案についての具体の手口にかかわらず、利用者保護の観点から一刻も早く抜本的な改善を促す必要があり、こうした状況は、「暗号資産交換業の適正かつ確実な遂行のために必要があると認めるとき」に該当するものと認められることから、法第63条の16の規定に基づく業務改善命令を発出するものである。
本ページに関するお問い合わせ先
関東財務局理財部金融監督第6課
電話番号:048-600-1152
