前のセクションでは、Web3プロジェクトにおける最も一般的な2つの「組織構造に関する誤解」、すなわち財団の「偽りの中立性」とDAOの「空虚な殻」について検証しました。これらに共通するのは、形式的なコンプライアンスでは実際の管理権限を隠蔽できず、いわゆる「権力の分散化」が責任回避の裏付けとなっていることです。
しかし、コンプライアンスリスクは組織形態に限りません。日常業務において、多くのプロジェクトが「サービスアウトソーシング」「複数拠点登録」「チェーン上の免除」といったパス依存性に陥り、責任の境界を曖昧にすることで規制のトレーサビリティを弱めようとしています。
これらの戦略は「運用余地が大きい」ように聞こえ、「業界慣行」とさえみなされていますが、規制の観点から見ると、まさに最もリスクの高い盲点です。
次に、Portal Labsは、残りの3つの典型的な高リスク構造を分析・分析し、実際の事例と組み合わせることで、運用レベルの構造的な落とし穴を特定できるよう支援します。
「サービスアウトソーシング」は運用責任を隠蔽する
規制の不確実性に直面し、多くのWeb3プロジェクト関係者は「アウトソーシング」戦略を採用する傾向があり、契約開発、フロントエンド保守、マーケティングプロモーションといったコア機能を第三者に委託することで、自社の運用特性を弱め、規制責任を回避しようとしています。
しかし、規制当局は契約の相手だけでなく、「誰が実際に意思決定を行い、誰がその恩恵を受けているか」にも注目します。つまり、アウトソーシングの法的効果は、表面的な形式ではなく、実際の支配権の帰属によって決まります。規制当局が、いわゆるサードパーティサービスプロバイダーとプロジェクトチームの間に、利害の拘束、指揮命令系統、人員の重複などがあると判断した場合、契約が独立していても、プロジェクト当事者の拡張された運営単位とみなされる可能性があります。この時点で、すべての行為はプロジェクト主体に帰属することになります。
2022年、米国証券取引委員会(SEC)がDragonchainを提訴した際、SECは、Dragonchainのチームが複数の法人を設立し、一部の業務をアウトソーシング会社にアウトソーシングしていたにもかかわらず、SECは電子メール記録、業務の軌跡、人事上の地位などから、すべての重要な意思決定は依然としてDragonchainの親会社によって管理されており、アウトソーシング構造は責任の分離を構成していないと判断したと指摘しました。
香港では、特定の種類の仮想資産サービスプロバイダーのコンプライアンス調査において、金融監督庁(SFC)は、中核業務と技術的決定が依然として同一の実質的管理者によって行われている場合、たとえ業務が「サービスプロバイダー」によって遂行されていたとしても、独立した事業とはみなされないことを明確にしました。このような「形式的な分割」契約は、むしろ規制義務の故意の回避の否定的な証拠とみなされます。
サービスアウトソーシング自体は違法ではありません。問題は、管理と責任の連鎖が真に分離されているかどうかです。実行機能のみが形式的に移管され、管理が移管されていない場合、規制の浸透に直面した際に、最終的にはプロジェクト主体が非難されることになります。真に弾力性のあるコンプライアンスパスは、初期の構造設計段階で、どのリンクを第三者に移管できるか、どの機能を社内で実施する必要があるか、そして責任者を外部に開示する必要があるかを明確にする必要があります。
「複数拠点登録+分散ノード」はコントロールセンターを隠蔽する
「ボーダーレスな物語」と「規制のグレーゾーン」のバランスを追求するため、一部のWeb3プロジェクトは登録拠点と運用ノードを人為的に分割することを選択します。これらのプロジェクトは通常、エストニア、ポルトガル、リトアニアといった規制環境が緩い国にシェル会社を設立し、グローバルなノード展開を主張することで、「単一のコントロールセンターがない」という分散的な印象を与えようとします。
しかし実際には、これらの構造のほとんどは依然として高度に中央集権化された管理体制を示しており、意思決定は少数の中核メンバーに集中し、資本の流れは単一の組織または個人によって支配され、主要なコード更新権限は単一のアドレス内で管理されています。このような「分散構造、集中管理」の仕組みは、規制当局による侵入特定に抵抗することがますます困難になっています。特にプロジェクトが法的紛争や国境を越えた調査に直面した場合、規制当局は管轄権を確立するために「実際の管理者の所在地」と「主要な行動の所在地」の追跡を優先します。分散ノードは技術的な展開方法に過ぎず、運用の本質を隠すことはできません。
2024年のウィリアムズ対バイナンス事件において、米国第二巡回裁判所は、バイナンスが米国法人を持たないと主張していても、米国ユーザーがバイナンスプラットフォームを通じて暗号トークンを購入し、取引システムインフラ(AWSノードなど)が米国に所在する限り、米国法が適用されるという判決を下しました。この事件は、米国の規制当局が「無国籍」の主張に同意していないことを示しています。ユーザーがエンジニアリング行為や主体的管理に結びついている限り、侵入される可能性があります。
他の地域の規制も同時に進化しています。シンガポールの金融サービス局(MAS)は、2024年から、暗号資産サービスライセンスを申請するプロジェクトに対し、「実際の管理場所」と「主要管理者の実際の居住地」の開示を明示的に義務付けます。香港金融管理局(SFC)もガイドラインの中で、「海外の登録構造は、現地の規制権限が管理者にまで遡ることを阻止できない」ことを強調しました。
「複数拠点登録」や「分散ノード」は、構造的な安全クッションにはなりません。プロジェクトの戦略、コード、資金、ガバナンスの権限が特定のチームや個人に集中している場合、規制の視点はコントロールセンターに直接焦点を当てることになります。隠蔽のためにシェル構造を構築するよりも、プロジェクトの実際の管理者の責任と規制上の義務の分担を明確にすることで、法的リスクを軽減できます。
「オンチェーンリリース ≠ 無人運用」
一部の技術チームは、スマートコントラクトがデプロイされると、Web3プロジェクトは「そこから切り離される」と考えています。彼らはチェーン上のコードを「分散型配信」と見なし、テクノロジーによって法的責任分担を完了しようとします。つまり、私たちは運用するのではなく、コードを書くだけです。
しかし、規制当局はこの「テクノロジーは免除」という主張を受け入れません。オンチェーンは単なる形式であり、オフチェーンは行動です。誰がマーケティングを開始したのか?誰が配信を組織したのか?流通経路を実際に管理しているのは誰なのか?これらの要素は、責任の帰属に関する規制判断の中核を成す。監督当局は、コードに管理者が存在せず、契約が恣意的に呼び出されるという理由だけで、プロジェクトが分散化されていると判断することはない。プロジェクト当事者が依然としてトークンのプロモーション、取引インセンティブの設定、公式コミュニティの維持、KOLとの連携による流通、早期資金調達などを行っている限り、その運営上のアイデンティティは消去されない。
2024年、米国の投資家はPump.Funプラットフォームに対し、ミームコインの発行、パンプアンドダンプによるマネーロンダリングと投機行為を通じて運営されているとして集団訴訟を起こした。「オンチェーン契約はオープンである」と主張していたものの、訴訟では「マーケティング活動とKOLのプロモーションが取引の推進の中核である」と明確に述べられていた。この事例は、監督当局がコードだけでなく、オフチェーンで誰が運営しているかの審査にも焦点を当てていることを指摘している。
2025年2月、SECはスタッフ声明を発表し、「エンターテインメント型」のミームトークンであっても「免除」の対象とすることはできず、資産増加やマーケティング介入が期待される限り、依然としてハウイーテストに基づいて判断する必要があることを改めて強調しました。さらに、世界的な監督管理においてもコンセンサスが形成されました。2024年以降、SEC、CFTC、香港証券先物取引委員会(SFC)、シンガポール金融管理局(MAS)などの地方規制当局は、「行動指向」の判断ロジックを強化し、オフチェーンでのプロモーションと流通経路、特にKOL、エアドロップ、取引所上場を通じた「主導的発行」モデルを主要な審査項目に挙げており、これらはほぼ全て典型的な運用行動とみなされています。
オンチェーン展開は責任の終着点ではなく、責任の出発点です。プロジェクト関係者がオフチェーンでの行動を通じてトークンの流通を促進している限り、常に監督下に置かれます。真の分散化の鍵は、技術的な形式ではなく、運用から撤退し、コントロールを放棄し、市場が自ら進化できるかどうかです。
「構造」だけでなく、「コントロール関係」にも注目しましょう。
過去2年間で、監督の論理はますます明確になってきています。つまり、どのような構造を構築したかではなく、どのように運用し、誰が利益を得るかが重要になるということです。
Portal Labsが常に強調してきたように、Web3プロジェクトに真に必要なのは、複雑な構造の積み重ねではなく、責任とコントロールの境界を明確に設定することです。「構造ゲーム」でリスクを隠蔽しようとするのではなく、最初から回復力と説明可能性を備えた、コンプライアンスに準拠したアーキテクチャを構築する方が賢明です。
