デジタル資産のカストディ業務に関する香港金融管理局のガイドラインの概要

Bowen、Bailu Parlour

デジタル資産のセキュリティは、業界で最も長く議論されてきたトピックの1つであり、伝統的な組織の参入が増えるにつれ、ハッカーがはびこるWeb3の世界でユーザーのデジタル資産をいかに安全に保つかは、業界が規模を拡大し続ける中で解決しなければならない問題になっている。

2024年、米SECはビットコインスポットETFを承認し、Coinbaseはそのうちの8つのETF発行会社のビットコインカストディアンとなり、収益の伸びを大幅に強化した。デジタル資産のカストディアンは、もはや技術的な問題だけでなく、強力な組織にとって必須のビジネスとなっている。香港が米国に早く追いつきたいのであれば、デジタル資産のカストディに関する規制の改善も加速させなければならない。

2024年2月20日、香港金融管理局（HKMA）はデジタル資産カストディ活動に関するガイドラインを発表し、ガバナンスとリスク管理、顧客のデジタル資産の分離、顧客のデジタル資産保護、委任、アウトソーシングなどの関連基準を列挙した。香港でデジタル資産のカストディ業務を行う組織とその子会社にガイダンスを提供します。

以下は、ガイドラインのオリジナルの内容をまとめたものです。

デジタル資産カストディサービスにおいて公認機関に期待される基準に関するガイダンス

このガイダンスは、公認機関（AI）およびその現地法人であるAI子会社が顧客のために保有するデジタル資産（すなわち、主に暗号および分散型元帳または類似の技術に依存する資産）に適用されますが、資産の特定の使用については対象としていません。ただし、特定目的のデジタルトークンは除く。例として、対象資産には、仮想資産（VA）、トークン化証券、その他のトークン化資産が含まれる。本ガイダンスは、顧客のために保有されていない、AIまたはそのグループ会社自身の資産の保管には適用されない。

(A)ガバナンスとリスク管理

1.デジタル資産のカストディサービスを開始する前に、公認機関は、関連するリスクを特定し理解するために、包括的なリスク評価を実施すべきである。公認機関は、適用される法的・規制的要件を考慮した上で、特定されたリスクを管理・軽減するための適切な方針、手続き、統制を確立すべきである。当該機関の取締役会及び上級管理職は、デジタル資産のカストディ業務に従事する前及び当該業務の実施中の両方において、カストディ業務に関連するリスクが特定、評価、管理及び軽減されることを確保するために、リスク管理プロセスを効果的に監督すべきである。

2.認可機関は、適切なガバナンス、運営、および効果的なリスク管理を確保するために、必要な人的および専門的な専門知識を含む十分なリソースをカストディ業務に割り当てるべきである。当該機関のデジタル資産のカストディ活動および関連する管理機能に関与する上級管理職および職員は、その責任を果たすために必要な知識、技能および専門知識を有するべきである。

3. デジタル資産の分野における急速な発展に鑑み、認可機関は、上級管理職およびカストディ業務に携わる職員が、継続的な業務能力を維持するために十分な研修を受けることを確保すべきである。

4.公認機関は、明確な書面による役割と責任および報告ラインを含む、カストディ業務に関する適切な説明責任の取り決めを確立すべきである。また、例えば、機関またはその関係者が実施する異なる活動の間で生じる可能性のある、潜在的および／または実際の利益相反を認識し、管理し、緩和するために、適切な方針およびプロセスが整備されるべきである。

5.公認機関は、カストディ業務の事業継続性を確保するために、効果的なスタンバイおよび災害復旧の取り決めを確立し、維持すべきである。

(B)顧客デジタル資産の分離

6.公認機関は、顧客デジタル資産を機関自身の資産とは別の顧客専用口座に保有し、機関の倒産または解散の際に、顧客デジタル資産が機関の債権者による請求から確実に保護されるようにしなければならない。

7. 認定機関は、顧客のデジタル資産のいかなる権利、利益、権原、法的および/または受益的所有権も譲渡しないものとし、また、(i)本取引の決済、および/または顧客が機関に支払うべき手数料および料金、(ii)(iii)法律で要求された場合。機関は、自己の勘定または顧客との合意以外の目的で顧客のデジタル資産が使用されることを防ぐために、適切かつ効果的な手段を講じるものとします。

(C)顧客のデジタル資産の保護

8.公認機関は、顧客のデジタル資産が適時かつ適切な方法で会計処理され、適切に保護されることを保証するために、適切なシステムとコントロールを導入するものとします。特に、当該機関は、盗難、詐欺、過失またはその他の横領による顧客のデジタル資産の損失リスク、および顧客のデジタル資産へのアクセスの遅延または不能のリスクを最小化するために、効果的な管理体制を整備しなければならない。

9.顧客のデジタル資産を保護するためのシステムおよびコントロールの開発において、公認機関は、ホスティングするデジタル資産の性質、特性およびリスクを考慮し、リスクベースのアプローチを採用することができます。リスクは、例えば、使用される分散型台帳技術（DLT）ネットワークのタイプ（例えば、私的ライセンス、公的ライセンス、公的非ライセンス）、及び講じられる軽減措置によって異なる可能性があります。例えば、公的にライセンスされたDLTネットワークや私的にライセンスされたDLTネットワークで実施されているDLTネットワークへのアクセスを制御する対策と比較すると、公的にライセンスされていないDLTネットワークで保有されている顧客のデジタル資産は、より高いサイバーセキュリティリスクにさらされる可能性があり、盗難、ハッキング、その他のサイバー攻撃が発生した場合、紛失した資産の回復がより困難になる可能性があります。

10.顧客のデジタル資産を保護するために使用されるシステムおよび管理には、以下のための書面による方針および手順が含まれますが、これらに限定されるものではありません。鍵の生成、配布、保管、使用、破棄、バックアップを含む、顧客のデジタル資産の管理および保護。

11.特に、認可された組織は、関連する業界のベストプラクティスを採用し、保有する資産の性質、特性、リスクに合致する、適用される国際的なセキュリティ基準に準拠することが期待されます。以下に定める手続及び管理は、規定的又は画一的であることを意図するものではないが、一般的に、顧客VAを保有する公認機関に求められるものである。その他のデジタル資産については、公認機関はリスクに応じたアプローチを採用して、直面するリスクに見合った以下の手続きと管理を実施することができますが、これらのデジタル資産が公的に認可されていないDLTネットワーク上の認可されていないトークンの形態である場合、公認機関はさらに慎重を期し、実施について慎重な評価を行う必要があります。例えば、ハードウェアセキュリティモジュール HSM)を用いて、バックアップも含め、シードおよび秘密鍵を生成・保管すること。

- シードおよび秘密鍵を安全かつローカルに香港で生成、保管、バックアップする。

- 暗号化されたデバイスまたはアプリケーションへのアクセスを、適切な審査と訓練を受けた、必要な権限を与えられた人員のみに制限する。アクセス方法を常に最新の状態に保つ。

- 暗号化されたデバイスやアプリケーションを保護するために、秘密鍵の使用など、鍵のスライシングや類似のテクニックを使用して、あらゆる「単一障害点」から保護する。鍵の分割や類似の技法を用いることで、「単一障害点」を防ぐ。例えば、秘密鍵を分割し、分散保管のために認可された当局で複数の認可された人物に配布するなどして、単一の当事者がすべての鍵を保持しないようにする。一般的に、鍵スライス保有者の一定数がトランザクションにまとめて署名することで、一人の人間が完全にアクセスできないようにし、単一のスライスが失われたり、利用できなくなったり、盗まれたりした場合の混乱を防ぐ。単一障害点（single point of failure）」を防ぐために、顧客のデジタル資産を保持するために単一のウォレットではなく、複数のウォレットを使用することを検討することも有用でしょう。

- 補助語および秘密鍵にアクセスする権限を持つ者同士の共謀のリスクを防ぎ、軽減するための手段を確立すること;

。

- 補助的な単語と秘密鍵の両方について、適切なオフサイト・バックアップと不測の事態への備えを行う。補助ワードと秘密鍵のバックアップは、元の補助ワードと秘密鍵が保管されている主要な場所とは無関係で、いかなる事象にも影響されない安全な物理的場所にオフラインで保管されるべきである。

-別段の証明がない限り、顧客のデジタル資産の大部分は、インターネットに接続されていないコールドストレージに保管されるべきである。

-顧客のデジタル資産の入出金を許可するためにホワイトリストに登録された、顧客に属するウォレットアドレス（例えば、メッセージ署名やマイクロペイメントテストなどの所有権テストを通じて）を通じてのみ行う。

-エスクロープロセスで使用されるスマートコントラクトが、契約上の脆弱性やセキュリティ上の欠陥からほぼ免れるようにするための措置を講じる。ハッキング事件、盗難または詐欺（公認機関の作為、過失、不作為または重大な過失によるものであるか否かを問わない）、顧客のデジタル資産の損失の結果として生じる可能性のあるリスクを適切にカバーするために、適切な保険または補償の取り決めを行うこと。

12.公認機関がその顧客に対して、公認機関が保有するデジタル資産を管理するためのユーザー・インターフェースまたはポータルを提供する場合、香港金融管理局（HKMA）が随時定める関連ガイドラインに従って、効果的な顧客認証および通知管理を導入する必要がある。

13.公認機関は、新たなセキュリティ脅威、脆弱性、攻撃および詐欺リスク、ならびに技術的ソリューションの動向および発展を注意深く監視し、新たな脅威および技術の進歩を考慮して、セキュリティリスク管理の適切性および堅牢性を定期的に評価し、関連する業界のベストプラクティスおよび適用される国際基準に従って、顧客のデジタル資産にカストディアル・テクノロジーを採用するための措置を講じるべきである。技術を採用する。顧客のデジタル資産の保管に使用されるウォレット保管技術は、展開前に信頼性をテストする必要があります。

(D)委任およびアウトソーシング

14.一般原則として、仮想資産の場合、公認機関はそのカストディアン機能を、(i)別の公認機関（または現地で法人化された公認機関の子会社）、(ii)仮想資産取引機関、(iii)公認機関（または現地で法人化された公認機関の子会社）のいずれかにのみ委任することができる。または（ii）SFCによって認可された仮想資産取引プラットフォーム。公認されていない分散型台帳ネットワーク上にある、公認されていないトークンの形態のその他のデジタル資産については、公認機関は特に慎重になり、カストディアン機能を委任または外部委託することが適切かどうかについて綿密な評価を行う必要があります。

15.デジタル資産のカストディサービスの提供に関連して、認定機関が委任者またはサービスプロバイダーと委任またはアウトソーシングの取り決めを行う場合、認定機関は、委任者またはサービスプロバイダーを選択し任命する前に、適切なデューデリジェンスを実施すべきである。受認機関は、プリンシパル又はサービス・プロバイダーの財務的健全性、評判、管理能力、 技術的及び運用能力、並びに本付属文書及びその他の適用される法的及び規制上の要件を遵守する 能力及び能力、並びにデジタル資産分野の技術的発展に後れを取らない能力を含むが、これらに限定 されない満足度を評価し、確保しなければならない。デューディリジェンス評価及びその結果は、適切な記録として保管されなければならない。認定機関は、プリンシパルまたはサービス・プロバイダーのパフォーマンスを継続的に監視するための効果的な管理体制を確立しなければならない。

16.デジタル資産のカストディサービスを提供するために、プリンシパルまたはサービスプロバイダーと協働する場合、公認機関は、顧客のデジタル資産を保護する上で、導入されたソリューションの有効性、および単一障害点をもたらすかどうかを評価する技術的専門知識を有するべきである。また、公認機関は、本人又はサービス・プロバイダーが顧客のデジタル資産を保有する 条件を十分に理解し、本人又はサービス・プロバイダーが倒産した場合に、顧客の法的権利に 重大な影響を及ぼす可能性があるかどうかを評価すべきである。本付属書の第 6 項及び第 7 項に従って、本人又はサービス・プロバイダが顧客のデジタル資産を 適切に分別管理することを保証することは、認定機関の責任である。また、公認機関は、ホスティングサービスの可用性を確保するために、その緊急時対応計画および手順を含め、委託先またはサービスプロバイダーの回復能力を評価する必要があります。

18. >認可機関は、デジタル資産カストディサービスの委任または外部委託された取決めにおいても、伝統的な金融活動の委任または外部委託された取決めに見合った、関連するシステムおよびコントロールを維持するよう留意されたい。

19. >委任またはアウトソースされた活動に対する最終的な責任と説明責任は、認可機関にあります。公認機関が破産または清算に入った場合の資産に関する顧客の所有権を含む、公認機関のそれぞれの権利および義務。

- 顧客のデジタル資産が保管および分離される方法、顧客のデジタル資産にアクセスするための手順およびタイミング、ならびに適用される手数料および費用を含む、エスクローの取り決め。

- 顧客のデジタル資産が他の顧客の資産と混同される状況およびそれに関連するリスク

- 公認機関が顧客のデジタル資産の法的および/または受益的所有権を取得する状況および取り決め、またはその他の方法で顧客のデジタル資産を譲渡、貸与、抵当権設定、再抵当権設定、または配置する状況および取り決め

- 公認機関が顧客のデジタル資産の法的および/または受益的所有権を取得する状況および取り決め。

- 議決権行使、ハードフォーク、エアドロップなどのイベントにおける顧客のデジタル資産の取り扱い、および対応する権利および資格。

- 公認機関は、カストディアン活動に関連する潜在的および／または実際の利益相反の存在および性質など、カストディアンの取り決めについて、完全かつ公正に顧客に開示するものとします。存在及び性質。

(F)顧客のデジタル資産の記録保持および照合

21. 公認機関は、顧客に対して負っている資産の金額および種類、ならびに顧客口座間の資産の移動を含む、顧客のデジタル資産の所有権を追跡および文書化する目的で、各顧客の適切な帳簿および記録を保持するものとします。顧客口座間の移動顧客デジタル資産の定期的かつ頻繁な照合は、関連するオフチェーン及びオンチェーンの 記録を考慮に入れて、顧客毎に実施されなければなりません。不一致があれば速やかに解決し、必要に応じて上級管理職にエスカレーションすべきである。

22. >公認機関は、カストディ業務に関連するすべての記録を保管・保護するためのシステムおよび管理体制を整備し、香港金融当局の要請に応じて、これらの記録を適時に利用できるようにすべきである。

（G）マネーロンダリングおよびテロ資金供与対策

23.公認機関は、マネーロンダリングおよびテロ資金供与対策（AML/CFT）方針、手順、統制が、マネーロンダリングおよびテロ資金供与のリスクを管理・軽減する上で効果的であることを確認すべきである。テロ資金調達リスクを管理・軽減する上で効果的であることを確認すること。公認機関は、マネーロンダリングおよびテロ資金供与対策ガイドライン（公認機関向け）および香港金融管理局のデジタル資産カストディ活動に関するAML/CFTガイダンス文書を遵守する必要があります。

(H)継続的なモニタリングの要件

24.公認機関は、その方針および手続きの定期的なレビューを実施し、そのシステムおよび管理、ならびに顧客のデジタル資産の保管に関連して適用される要件の遵守について、独立した監査を実施する必要があります。