金融庁
暗号資産交換業等におけるサイバーセキュリティ強化に向けた取組方針(案)」の公表について
暗号資産交換業者にはサーバーセキュリティの義務が課せられています。
2025年7月からの金融審議会「暗号資産制度に関するワーキング・グループ」の中でサイバーセキュリティの高度化が取り上げられており、2026年2月10日にサイバーセキュリティ強化の取組方針(案)が公表されました。
全体像が分かる内容となっているので一部引用させていただきます。
<資金決済法>
【第63条の8】
暗号資産交換業者は、内閣府例で定めるところにより、暗号資産交換業に係る情報の漏洩、滅失又は毀損の防止その他の当該情報の安全仮のために必要な措置を講じなければならない。
【第63条の11の2号】
暗号資産交換業者は、その行う暗号資産交換業に関して、内閣府令で定めるところにより、暗号資産交換業の利用者の暗号資産と分別して管理しなければならない。この場合において、暗号資産交換業者は、利用者の暗号資産を利用者の保護に欠けるおそれが少ないものとして内閣府令で定める方法で管理しなければならない。
【第63条の11の2】
暗号資産交換業者は、前条第二項に規定する内閣府令で定める要件に該当する暗号資産と同じ種類及び数量の暗号資産を自己の暗号資産として保有し、内閣府令で定めるところにより、履行保証暗号資産以外の自己の暗号資産と分別して管理しなければならない。この場合において、当該暗号資産交換業者は、履行保証暗号資産を利用者の保護に欠けるおそれが少ないものとして内閣府令で定める方法で管理しなければならない。
<暗号資産ガイドライン>
【II−2−2−3−2(3)5】
自己で対象暗号資産を管理する場合には、当該対象暗号資産が外部に流出することがないよう、当該対象暗号資産を移転するために必要な秘密鍵等を、常時インターネットに接続していない電子機器等に記録して管理する方法その他これと同等の技術的安全管理措置を講じて管理する方法により管理しているか。
<現行の法制度のもとでの義務>
上記ガイドラインにあるとおり、顧客の暗号資産をコールドウォレット等で管理することが義務付けられています。
<現行の法制度のみでのセキュリティ上の懸念>
近年の暗号資産の流出事案については、必ずしも秘密鍵の盗難が原因ではなく、ソーシャルエンジニアリングや外部委託先への侵入など、間接的な攻撃を含む巧妙の手法が用いられており、
単にコールドウォレットを用いれば安全に管理できていると言える状況ではなくなっています。
<取組方針の内容>
【自助の着実な実施】
- 各事業者のサイバーセキュリティ態勢について、重点的にモニタリングを行い、業界横断的に実態把握と分析を実施
- 暗号資産交換業者向け事務ガイドラインで定めるサイバーセキュリティ水準の引き上げを検討(例えば、サイバーセキュリティに係る人的構成、外部監査、委託先管理の水準等)
【共助の促進】
- 自主規制機関に対して、サイバーセキュリティに関する自主規制の整備・会員への監査能力向上を図るべく、体制整備を慫慂
- 暗号資産交換業者による情報共有機関(JPCrypto-ISACなど )への積極的な参加を通じた業界全体としての情報共有機能の強化を慫慂
【公助の取組】
- 国内外の暗号資産交換業者等への過去のサイバー攻撃の分析調査を実施
- 金融庁による金融業界横断的なサイバーセキュリティ演習(Delta Wall)における暗号資産交換業者向けのシナリオを継続的に改善
- 脅威ベースのペネトレーションテスト(TLPT)を暗号資産交換業者のうち数組織に対して実施し、その有用性を実証
<所感>
暗号資産に対するサイバー攻撃は世界中から行われており、日本での取引を法的に保護していくためには、技術レベルも含めて規制を更新していなかければなりません。
暗号資産交換業者に関する法規制について、日本は世界に先駆けて整備をしています。
法体系そのものは他の産業とは変わりませんが、自助だけでなく、共助、公助の取り組みを定めている点については非常に特徴があると言えます。
日本で暗号資産交換業を行う事業者は、事業者に課せれる義務の最新の更新内容を常に把握して対応をしていくことだけでなく、共助の仕組みに参画し、公助の仕組みを積極的に活用していくことが望まれると言えます。