関東財務局、暗号資産が不正流出したDMM Bitcoinに業務改善命令…不十分な原因究明やシステム管理の不備、杜撰な暗号資産管理を指摘

関東財務局は、本日9月26日、DMM Bitcoinに対し業務改善命令を出した。管理していた暗号資産（BTC）が不正に外部に送信され、顧客からの預かり資産（4502.9BTC）が流出するという事案が発生したが、関東財務局が立入検査に着手し、業務運営状況を確認したところ、システムリスク管理態勢や暗号資産の流出リスクへの対応について、重大な問題が認られた、としている。

■具体的な事実関係及び根本原因の分析・究明
同社から提出された報告では、未だ本流出事案についての具体的な事実関係が明らかになっていないため、具体的な事実関係及び発生した根本原因を分析・究明すること。

■顧客への対応
被害が発生した顧客の保護を引き続き、徹底すること。また、本事案に関して、顧客に対し十分な説明・開示等を行うとともに、顧客からの苦情に適切に対応すること。

■適正かつ確実な業務運営の確保
暗号資産交換業の適正かつ確実な遂行のため、以下に掲げる事項について業務の運営に必要な措置を講じること。

①システムリスク管理態勢の強化
不適切なシステムリスク管理態勢が常態化しているなどの根本的な原因を分析・評価の上、十分な改善が可能となるようシステムリスク管理態勢を見直し、強化すること。

②暗号資産の流出リスクへの対応が適切に行われるための態勢の整備
暗号資産の移転等に係る流出リスクの低減に関して、実効性のある低減措置を講じることを含め、流出リスクへの対応が適切に行われるための態勢を構築すること。

③経営責任の明確化及び経営管理態勢等の強化
今回の事案に至った経営責任の明確化を図ること。また、代表取締役及び取締役は、暗号資産交換業の業務運営に対応したリスク等を議論し、その対応を着実に実施すること。さらに、取締役会の機能強化を図り、法令等遵守や適正かつ確実な業務運営を行うために必要な実効性のある経営管理態勢、内部管理態勢及び内部監査態勢を構築すること。

そのうえで、現在停止している取引の再開と新規口座開設を行うにあたって原因究明を踏まえた必要な態勢を整備の上、実効性を確保するほか、業務改善計画については10月28日までに報告することを求めた。そして業務改善計画については、実施完了までの間、1か月毎の進捗・実施状況を翌月10日までに報告する、とした。

システム担当役員が不在で、暗号資産交換業に及ぼすシステムリスクを検討することなく、システムを統括管理する役員を配置していないほか、システムリスクの管理やシステム開発・運用管理、情報セキュリティ管理の権限を一部の者に集中させ、システムリスク管理部門として自らのモニタリングを行わせており、システムリスク管理態勢の牽制機能が発揮されていないと指摘した。

また、監査スキルを保有する人材を配置していない中、被監査部署に監査を実施させるなど内部監査の独立性が保たれていない。さらに外部ウォレットの導入に際し、暗号資産を移転する際の流出リスクについて議論を行っていないほか、外部ウォレットのセキュリティ管理状況の評価について、外部ウォレット利用に係る評価内容の妥当性を確認していないことに加え、外部ウォレットに問題が発生した場合の対応方法を理解することなく利用開始したと明かした。

加えて、不正行為等による暗号資産の流出を防止するための適切な措置を講じていない問題も指摘した。暗号資産移転の秘密鍵の取扱いについて、署名作業を単独で実施しており牽制が図られていないほか、秘密鍵を一括で管理するなど、「事務ガイドライン第三分冊：金融会社関係 16．暗号資産交換業者関係」に反する取扱いであることを認識していたにもかかわらず、当該取扱いを継続していた。

また、預かり暗号資産の規模が増大している中、流出等のリスクを分散する必要性を認識しているにもかかわらず、複数のウォレットを設置し、分散管理するなどリスクに応じた対応について検討を行っていなかったという。

さらに、暗号資産の流出時の証拠保全に係るログを保存する期間等を検討していないなど、今回の不正流出事案の被疑事項の調査及び原因分析を迅速に行うために必要な証拠保全を適切に行っていない。

内部不正や盗難に対する安全性が確保されておらず、暗号資産の移転等に関し、杜撰な管理実態が認められ、さらに、内部監査は、こうした管理実態を容認するなど機能しておらず、暗号資産の流出リスクへの対応が適切に行われるための態勢を構築していないと批判した。