香港デジタル資産発展政策宣言2.0が先日発表され、金融財務局(以下「FSTB」)と証券先物委員会(以下「SFC」)は共同で、デジタル資産取引および保管サービスプロバイダーのライセンス制度構築に関する立法提案について意見を募るための意見募集文書を発表しました。意見募集は8月29日までの2ヶ月間実施されます。アジアを代表するデジタル資産セルフカストディソリューションプロバイダーであるSafeheronは、この文書の詳細な解釈をいち早く提供しました。
保管モデル、規制範囲、コンプライアンス基準を分析する
この協議文書における香港政府のデジタル資産保管サービスの定義は、2つの主要なシナリオをカバーしています。
顧客に代わってデジタル資産を保管:ビジネス形態で顧客に代わってデジタル資産を保管する活動
管理転送ツール:顧客のデジタル資産の転送を可能にするツール。これには秘密鍵の管理が含まれますが、これに限定されません。
この定義では、規制の対象範囲が主にカストディウォレットサービスプロバイダーに絞られていることが明確にされています。これらの機関は、顧客のデジタル資産を管理したり、資産を移転する権限を有しており、通常は顧客に代わってウォレットの秘密鍵を保管するサービスモデルの形で提供されます。協議文書の内容から判断すると、この政策は主に以下のカストディモデルを対象としています。
集中型カストディサービス:取引所、カストディアン、その他の機関が顧客のためにデジタル資産を直接保管します。例えば、個人顧客は特定の取引所に口座を保有しており、その口座にある資産も取引所によって直接保管され、非公開で保管されます。
サードパーティの保管サービス:独立した専門の集中保管サービスによって提供されるサービスは、取引所や決済サービスプロバイダーのプラットフォーム資金の保管にも役立ちます。
秘密鍵管理サービス:顧客の秘密鍵を管理するサービス。資産を直接保有したり、サービスプラットフォーム上に資産を保管したりしない場合でも、顧客の秘密鍵を管理します。
この文書に記載されている規制要件とコンプライアンス基準に関しては、デジタル資産保管サービスのライセンスを取得する機関は、以下の規制要件を満たす必要があります。
適切性と適合性の評価:経営陣と主要職員は、適切性と適合性の基準を満たしている必要があります。
自己資本比率:最低資本要件を満たし、財務の安定性を確保する
サイバーセキュリティ基準:顧客の資産を保護するために、厳格なサイバーセキュリティ対策と技術的ソリューションを実装します。
資産分離:顧客資産は機関自身の資産から厳密に分離されなければならない
リスク管理:運用リスク、技術リスクなどを含めた包括的なリスク管理フレームワークを確立します。
マネーロンダリング防止コンプライアンス:香港のマネーロンダリング防止およびテロ資金供与対策条例の関連規定を遵守する
保険契約:管理資産には保険またはその他の金融保護が必要となる場合があります
これらの規制要件は、従来の金融カストディアンの基準を参照しています。この文書における規制機関の役割分担と調整に関して、香港のデジタル資産カストディ規制枠組みは二層制の規制構造を採用しています。
CSRCは標準設定機関として、ライセンスおよび登録を受けたデジタル資産保管サービスプロバイダーに適用される規制要件を策定する責任を負います。
香港金融管理局は最前線の規制当局として、関連サービスを提供するために登録された銀行およびストアードバリュー決済施設を規制する。
香港政府のデジタル資産カストディに関する規制政策は、商業カストディサービス提供者を明確に位置付けていることがわかります。この規制システムは「同一事業、同一リスク、同一ルール」という規制原則を堅持し、個人が自己管理型ウォレットを利用する自由を維持しながら、商業カストディサービスを従来の金融サービスと同様の規制範囲に含めています。注目すべきは、この規制枠組みがすべてのカストディモデルを対象としているのではなく、顧客に代わってデジタル資産を保管したり、資産移転ツール(秘密鍵など)を管理したりできる商業サービス提供者に焦点を当てていることです。
セルフホスティングモデルの監督とコンプライアンスに関する簡単な分析
MPCセルフカストディサービス、MPC + TEEセルフカストディサービスなど、主流のセルフカストディサービスビジネスモデルでは、顧客は自身の企業ウォレット/アカウントの秘密鍵を100%完全に管理できます。本文書には、「第三者を利用して顧客の仮想資産を保管する」という関連表現も含まれていますが、原文は以下のとおりです。
私たち(本文書の発起者)は、暗号資産カストディサービスプロバイダーが、サービス提供の過程で、企業グループ内の独立した事業体を通して、あるいは顧客の暗号資産を保管する他の技術インフラ企業を通して、第三者を利用する可能性があることを理解しています。例えば、暗号資産カストディサービスプロバイダーは、関連会社に秘密鍵の断片を保管したり、マルチパーティコンピューティング(MPC)技術を用いて顧客の暗号資産を移転したりすることがあります。市場における様々なビジネスモデル、第三者の関与、技術インフラの状況について、皆様からのご意見・ご感想をお聞かせください。これにより、より正確な定義を策定し、新制度におけるライセンス要件および適用される規制要件の対象となる事業体および/または個人を決定することができます。
これは、香港政府がセルフホスティングサービスモデルに対する深い技術的理解と広範なビジネス洞察力を持っていることを十分に示しており、将来の関連規制枠組みの策定に向けた確固たる基盤を築くものとなるでしょう。しかし、明確なコンプライアンス規制枠組みが確立されるまでの間、セルフホスティングサービスプロバイダーは、規制動向に積極的に適応し、ビジネスのセキュリティとコンプライアンスを確保し、市場の信頼を獲得するために、どのように取り組んでいくべきでしょうか。
包括的な資格と安全基準
ISO/IEC 27001:2022、SOC 2といった、広く認められた権威あるセキュリティ認証や資格は、セルフカストディアンのコンプライアンス実践を大幅に向上させることができます。これらの認証は、規制環境が不明確であっても、セルフカストディアンは最高水準のセキュリティとコンプライアンスの実践を遵守できることを保証します。例えば、シンガポール通貨庁(MAS)は、ISO/IEC 27001:2022やSOC 2といった権威ある認証を高く評価しています。さらに、保険による保護も無視できない重要な要素です。保険は、機関投資家の資産のセキュリティを強化するだけでなく、セルフカストディアンがより高いセキュリティとコンプライアンス基準を満たすよう促します。
同時に、セルフホスティングサービスプロバイダーは、権威あるセキュリティ機関による監査を継続的に受け、定期的に製品のセキュリティ評価と侵入テストを実施することで、技術の追跡可能性とセキュリティの検証可能性を確保する必要があります。権威ある第三者機関や社内のセキュリティ専門家による継続的な監視を通じて、これらの対策はサービスプロバイダー自身の信頼性を高めるだけでなく、機関ユーザーが安心してサービスを利用できるようにします。機関ユーザー向けのサービスプロバイダーとして、これらの認証と監査結果は、機関が新しいビジネス市場に進出する際に強力なコンプライアンスの証拠となり、異なる地域や国の規制要件に柔軟に対応するのに役立ちます。
革新的なテクノロジーと包括的な安全性およびコンプライアンスソリューション
集中型ホスティングサービスとは異なり、セルフホスティングサービスは、暗号化MPC(セキュアマルチパーティコンピューティング)やハードウェアレベルのTEE(信頼された実行環境)技術など、より高度な革新技術を採用しています。これらの技術を適切に組み合わせることで、集中型ホスティングよりも優れたセキュリティを実現できるため、組織ユーザーはホスティングサービスプロバイダーがサプライチェーン内の他のサプライヤーと共謀したり、チーム内で不正行為を行ったりする心配がありません。同時に、継続的に強化されるハッカー攻撃にも効果的に対抗できます。
さらに、コンプライアンス設計は、セルフホスト型サービスプロバイダーが技術アーキテクチャの設計、技術実装、製品実現、そして法人顧客へのサービス提供に至るまでの全プロセスに及ぶ必要があります。これには、AML(アンチマネーロンダリング対策)およびKYT(顧客キートラスト)機能の組み込み、多層承認メカニズムの確立、分散型秘密鍵管理の実装、そして完全な取引追跡などが含まれます。DevSecOpsガイドラインを実装することで、技術開発における持続可能なセキュリティと品質保証が実現し、ゼロトラスト・セキュリティ・アーキテクチャが構築され、あらゆるリンクにおける各リンクが単独で悪用されることがなくなります。
オープンソース技術は検証可能
ブロックチェーン業界を従来の金融業界と区別する顕著な特徴は、現在、よりオープンであり、技術革新のペースが速いことです。技術の急速な発展に伴い、多くの革新的な技術が規制を先取りする可能性があり、これは技術革新と規制の遅れという矛盾にもつながります。セルフホスト型サービスにとって、オープンソース技術は技術の透明性を効果的に向上させ、サービスの信頼性を高めることができます。さらに、規制の更新が技術革新よりも遅い場合でも、オープンソースはコンプライアンスを支援し、規制当局と市場が技術をより深く理解するのに役立ちます。
シンガポール通貨庁(MAS)による規制措置
世界的な規制がどのように拡大しているかを見る
シンガポールの金融エコシステム全体を一元管理する政府機関として、シンガポール通貨庁(MAS)は、2020年に早々に「決済サービス法2019」を施行しました。この法律に基づく決済サービスの一種であるデジタル決済トークンサービス(DPT)では、関連企業が合法的に事業を行うために以下のライセンスを申請する必要があります。
主要決済機関ライセンス(MPl):金額制限なしに幅広い決済サービスを提供できます。
標準決済機関ライセンス(SPl):企業が支払える金額には制限があります(月間取引額:単一取引が300万ドルを超えず、または取引総額が600万ドルを超えない)
銀行(認可銀行): DPTサービスを提供する銀行は、既存の銀行認可の下で認められ、企業は金額制限なしに幅広い決済サービスを提供できるようになります。
シンガポール通貨庁は、デジタル決済トークン サービスを次のように定義しています。
デジタル決済トークン(イーサリアム、ビットコインなど)の売買
他者がデジタル決済トークンを取引するためのプラットフォームを提供する(例:取引所)
顧客のデジタル決済トークン資産の保有(例:保管サービス)
デジタル決済トークンと法定通貨(OTCなど)の交換を容易にする
シンガポール通貨庁が最も重視する 5 つの主要なコンプライアンス ポイントは次のとおりです。
マネーロンダリング対策(AML)/テロ資金対策(CFT):例えば、当社は完全なKYC/KYTプロセス、制裁リストスクリーニング、およびSTR報告機能を備えています。
顧客資産の保護:顧客資産を運用資金から完全に分離し、顧客資産の不正流用を禁止します。コールドウォレットに保管される資産の割合は98%以上でなければならず、ホットウォレットの資産は完全に保険で保護されていなければなりません。
技術的セキュリティと制御性:ウォレット署名セキュリティ、権限管理、多段階承認、完全かつ追跡可能な監査ログの提供など、包括的な技術的セキュリティ制御
経営幹部の資格は適切かつ妥当である(適格性):経営陣は金融または暗号コンプライアンスの経歴を持ち、犯罪歴がないこと
実体:登録地域に実質的な事業体を設立し、専任のコンプライアンス担当者を配置し、実際のオフィスを設置し、「シェル会社」の運営モデルを厳しく禁止する
上記の5つの主要なコンプライアンスポイントから、シンガポール金融管理局は、顧客資金の安全性、マネーロンダリング対策のコンプライアンス手順の厳格な実施、サードパーティサービスプロバイダーとの関係管理、制裁対象国との取引の有無、そしてその後のコンプライアンス業務の継続性に特に注意を払っていることがわかります。これらの規制の焦点は、(前述の)現在の香港協議文書の規制範囲およびコンプライアンス基準と明らかな類似点を示しています。
注目すべきは、デジタル資産保管サービスの分野において、香港とシンガポールの規制アプローチは基本的に同じであり、主な適用対象は、機関投資家の秘密鍵を直接保持したり、顧客資金を保管したりする集中型保管サービスプロバイダーに集中している点である。
香港政府がデジタル資産取引およびカストディサービス提供者に対するライセンス制度の確立に向けた立法措置を講じたことは、香港のデジタル資産発展における新たな段階を示すものであり、世界的なデジタル資産センターとしての香港の戦略的地位の強化・強化を目指していることは間違いありません。ますます明確になる規制枠組みは、カストディサービスの高度化を促進する重要な触媒となり、コンプライアンスおよびリスク管理システムの改善を促進するだけでなく、ビジネスモデルの革新を刺激することが予測されます。こうした背景から、機関投資家や法人顧客向けに高セキュリティかつ高コンプライアンスのカストディサービスを提供することに注力する市場参加者は、活発な発展の戦略的機会期を迎えることになるでしょう。
