DMMビットコインに業務改善命令、リスク管理態勢などで多数の問題点

by BITTIMES 2024/09/27

DMMビットコインに対する行政処分の発表

金融庁と関東財務局は2024年9月26日に、今年5月に約482億円相当のビットコイン（BTC）が不正流出した暗号資産取引所「DMMビットコイン」に対して行政処分を行なったことを発表しました。

DMMビットコインは2024年5月31日に当時の価格換算で約482億円に相当する「4,502.9 BTC」が不正流出したことを報告しており、現在も不正流出の原因究明などの調査が行われています。

同社は2024年6月14日に「不正流出したビットコインの全額保証に向けて合計550億円の資金調達を実施し、保証分のビットコインを全て調達したこと」を発表していましたが、今回の発表ではDMMビットコインの運営に関する様々な問題点が指摘されています。

関東財務局は公式発表の中で、DMMビットコインへの立入検査によってシステムリスク管理態勢や暗号資産流出リスクへの対応について重大な問題が認められたと報告しており、行政処分の理由や問題点として以下のようなものを挙げています。

【システムリスク管理態勢などの問題点】

業務開始以降システム担当役員が不在で、それが暗号資産交換業に及ぼすシステムリスクを検討することもなく、システムを統括管理する役員を配置していない。
システムリスクの管理やシステム開発・運用管理、情報セキュリティ管理の権限を一部の者に集中させ、システムリスク管理部門として自らのモニタリングを行わせており、システムリスク管理態勢の牽制機能が発揮されていない。
監査スキルを保有する人材を配置していない中、被監査部署に監査を実施させるなど、内部監査の独立性が保たれていない。
外部ウォレットの導入に際し、暗号資産を移転する際の流出リスクについて議論を行っていない。
外部ウォレットのセキュリティ管理状況の評価について、外部ウォレット利用に係る評価内容の妥当性を確認していない。
外部ウォレットに問題が発生した場合の対応方法を理解することなく、ウォレットの利用を開始している。

【暗号資産流出リスクへの対応における問題点】

暗号資産移転に係る秘密鍵の取扱いについて、署名作業を単独で実施しており牽制が図られていない。
事務ガイドラインに反することを認識していたにもかかわらず、秘密鍵を一括で管理するなどの取扱いを継続していた。
預かり暗号資産の規模が増大している中で、流出等のリスクを分散する必要性を認識していたにもかかわらず、複数のウォレットを設置して、分散管理するなどリスクに応じた対応について検討を行っていない。
暗号資産の流出時の証拠保全に係るログを保存する期間等を検討していないなど、今回の不正流出事案の被疑事項の調査及び原因分析を迅速に行うために必要な証拠保全を適切に行っていない。
上記のように不正行為などによる暗号資産流出を防止するための適切な措置を講じていないことなどから、内部不正や盗難に対する安全性が確保されておらず、暗号資産の移転等に関して杜撰な管理実態が認められた。
さらに、内部監査はこのような管理実態を容認するなど機能しておらず、暗号資産の流出リスクへの対応が適切に行われるための態勢を構築していない。

DMMビットコインで発生した流出事件の手口はまだ究明に至っていませんが、関東財務局は「DMMビットコインの管理体制は、流出の手口に関わらず一刻も早く抜本的に改善する必要がある」と指摘しており、そのような理由から業務改善命令を発出したと説明しています。