(cache) 価値記録協会ガイドライン

全面的に執筆途中です。

価値記録協会ガイドライン

第1章総則

1.1. 目的

本ガイドラインは、価値記録 (仮想通貨、又は暗号通貨と呼称されているものと、その他の新技術を利用した決済手段の一部を含みます) を扱う事業を適正に行う上での指針を定めるものです。
各事業者は、必ずしも全ての指針に従う必要はありませんが、事業規模や、取引のリスクの度合いに応じ、適切な自主規制を行う必要があります。

1.2. 国内で扱われる主な価値記録

Monacoin (モナーコイン)
Bitcoin (ビットコイン)
Litecoin (ライトコイン)
Dogecoin (ドージコイン)
Kumacoin (クマコイン)
Ringo (リンゴ)
Ripple (リップル)
Stellar (ステラ)
Ethereum (イーサリアム、又はエセリウム)
Sha1coin (エスエイチエーワンコイン)
Sakuracoin (サクラコイン)
Sayacoin (サヤコイン)
Likecoin (ライクコイン)
Fujicoin 2.0 (フジコイン・トゥーポイントオー)
Yaycoin (イェーイコイン)
Primecoin (プライムコイン)

第2章法令遵守

2.1. 背景

2014年9月5日現在、価値記録に関する法令等は制定されておりません。価値記録を扱う事業者は、金銭や種々の商取引に関連する法令等を遵守し、適正に事業を行う必要があります。

2.2. 主要な法令等

民法
民法施行法
商法
商法施行法
商法施行規則
刑法
刑法施行法
軽犯罪法
各地方団体の制定する公衆に著しく迷惑をかける暴力的不良行為等の防止に関する条例

2.3. 犯罪防止に関する法令等

2.4. 消費者保護に関する法令等

2.5. 金融に関する法令等

2.6. 公正取引に関する法令等

2.7. 税に関する法令等

2.8. 違法商品及び有害情報に関する法令等

2.9. 射幸行為に関する法令等

第3章犯罪対策

3.1. 背景

価値記録の性質を悪用し、麻薬の密売や脅迫、資金洗浄等に利用される事案が発生しております。価値記録の事業者は、取引等に関連する種々の犯罪を防止するための対策を講じ、行政機関等へ適宜報告相談し、適正に事業を行う必要があります。

3.2. 資金洗浄対策

犯罪の収益の移転を防止するため、取引相手の情報を記録し保管する必要があります。
犯罪防止に関する法令等を参照

対策

記録の保管: 捜査機関などの照会に備え、利用者のアクセス記録や、高リスク取引の場合は、相手の個人情報などの記録を、多くの事件が時効となる、5年間保管することが求められます。
海外顧客: 海外の顧客向けの事業を行う場合、
法人顧客
将来の課題

資金洗浄リスクの高い取引の一例

法定通貨との交換
他の価値記録との交換
商品券等との交換
貴金属等との交換
換金性の高い商品との交換

3.3. 本人確認

犯罪防止の為、リスクの高い取引を行う際には、取引相手の本人確認を行う必要があります。

本人確認書類の一例

運転免許証
運転経歴証明書
住民基本台帳カード
健康保険証
在留カード
特別永住者証明書
住民票の写し

対面取引時の本人確認方法

写真付きの本人確認書類の提示を求め、確認を行います。

非対面取引時の本人確認方法

本人確認コード等の記載された特定事項伝達型の本人限定受取郵便等を送付し、記載された本人確認コード等の入力を求めることにより本人確認を行います。
住所の記載された本人確認書類の確認後、記載された住所宛に、本人確認コード等の記載された簡易書留等を転送しない取扱いで送付し、記載された本人確認コード等の入力を求めることにより本人確認を行います。
電子署名及び認証業務に関する法律における電子署名等を利用した本人確認を行います。
その他、取引のリスクが小さい場合は、一定の効果を持つ本人確認を行います。

一定の効果を持つ本人確認方法

国内銀行口座: 取引相手の銀行口座に、振込人名義に本人確認コードを含んだ振込を行い、本人確認コードをの入力を求めることにより本人確認を行います。銀行口座を不正利用される事案が発生しているため、追加の本人確認が必要な場合があります。
国内携帯電話音声通話: 自動音声再生、又は人手による本人確認コード等の読み上げを行い、本人確認コードを入力を求めることにより本人確認を行います。契約に本人確認が必要なため、一定の効果が期待されます。発信元を偽装可能なため、本人確認を行う事業者側からの発信を行う必要があります。
国内携帯電話SMS: 本人確認コード等の記載されたメッセージの送信を行い、本人確認コードの入力を求めることにより本人確認を行います。契約時に本人確認が行われていない場合がありますが、SIMカードの受け渡しが必要なため、一定の効果が期待されます。発信元を偽装可能なため、本人確認を行う事業者側からの送信を行う必要があります。

3.4. 反社会的勢力の排除

価値記録の事業者は、価値記録業界の健全性を著しく損なう、反社会的勢力との一切の関係を遮断することが求められます。また、資金移動等に関連する事業者は、特段の配慮をもって事業を行う必要があります。
参考: 企業が反社会的勢力による被害を防止するための指針について (法務省)

暴力団排除条項

利用者との契約締結時に、反社会的勢力との契約を避ける為、反社会的勢力ではないことを確認する条項を盛り込むことが求められます。

反社会的勢力データベースの照会

警察庁等により、反社会的勢力のデータベースが構築されています。反社会的勢力対策のサービスを提供する機関や、弁護士等を通じ、データベースの照会を行うことにより、利用者が反社会的勢力ではないことの確認を行うことができます。

国内大手金融機関の口座を利用した確認

国内大手金融機関では、反社会的勢力の排除を行うため、独自のデータベースの構築や、警察庁のデータベースと連携するシステムによる確認が行われています。取引時に、国内大手金融機関の口座の利用を確認することにより、利用者が反社会的勢力ではないことの確認を行うことができます。

3.5. 不正送金対策

クレジットカード等の不正利用

盗取されたクレジットカード情報等が不正利用される事案が発生しています。クレジットカードの不正利用では、事業者側に負担を求められる為、事業者の自己防衛の為にも、不正送金を防止する為、本人確認を行うことが求められます。

銀行口座等の不正利用

インターネットバンキング等への不正アクセスにより、銀行口座等が不正利用される事案が発生しています。不正送金を防止する為、本人確認を行うことが求められます。

経済制裁対象者への資金移動

国内外の経済制裁対象者への資金移動を防止するため、疑わしい取引の場合は、司法機関等への確認や届け出を行う必要があります。

3.6. 不正取引対策

インターネットオークション等での詐欺行為

取引記録の偽装や、匿名化通信プログラム等を利用したアクセスの防止措置、本人確認等を行うことが求められます。

不適切なサービスや商品

販売仲介等を行う場合、下記の商品等を取り扱わないための対策を行う必要があります。

規制薬物・脱法ドラッグ
危険物
催涙スプレー、スタンガン、刃物等
売春・人身売買
盗聴器、盗撮カメラ
マジコン
その他の販売禁止商品

相場操縦

見せ球や、特定の人物や集団による出来高の演出等を防止するための対策を行うことが求められます。

賭博

価値記録を利用した賭博が行われる可能性があります。価値記録の事業者は、賭博を行うサービス等への誘因を防止する為の対策を行うことが求められます。

第4章利用者保護

4.1. 背景

価値記録の事業者は、利用者から預かる資産の紛失・盗難・横領や、顧客情報の流出、その他の被害を防止する為の対策を講じる必要があります。

4.2. 顧客資産の保全

資産の保全方法について、金融に関する法令等に準じた対策を行う。預かり資産を最小化する措置を取る。

保証範囲の明記

利用者によるリスク評価を行えるようにする為、価値記録の事業者は、種々の生じ得る損害について無保証、又は部分的な保証の範囲と方法について明記することが求められます。

預かり資産の最小化

特に必要がない場合、預かり資産を最小化するサービスの設計及び運用を行うことが求められます。

顧客資産による資産運用

利用者の資産運用を目的として資産を預かる場合を除き、各預かり資産の建て通貨における、非リスク資産、又はリスクウェイトが0%とされるリスク資産による保有を行うことが求められます。

顧客資産の分別管理

価値記録の事業者は、預かり資産と自己の資産等を分別管理し、可能な場合は、信託等を利用し、事業者の倒産リスクから顧客の資産を保護することが求められます。

損害保険の利用

保険会社と種々の損害保険契約等を締結することにより、顧客資産の保全を行うことができる場合があります。

価値記録の保管方法

価値記録の事業者は、価値記録の盗難、紛失及び横領による喪失を避ける為、下記の対策等を行うことが求められます。

専用端末による価値記録管理情報 (公開鍵暗号方式における秘密鍵等) の生成及び保管
通信回線から切り離された媒体による価値記録情報の保管
価値記録の記録の多重化
価値記録管理情報への閲覧権限の制限と不正な閲覧の防止措置

情報開示

価値記録の事業者は、利用者と投資家に判断材料を提供し、また、健全な事業運営を行うため、預かり資産の管理状況と、管理者の人事体制、業務委託先、出資者、取引先及び、それぞれの内部規定について、適切な情報開示を行うことが求められます。

専門家の助言

必要と判断される場合、当該分野の専門家や、行政・司法機関等の助言を受けることが求められます。

4.3. 個人情報保護

個人情報の保護に関する法律 (消費者保護に関する法令等) を遵守することを原則とし、必要に応じて下記の対策等を行うことが求められます。

公開鍵暗号方式を利用した情報の保管
個人情報閲覧権限の保有者の最小化
金融分野における個人情報保護に関するガイドライン (金融庁) の利用

4.4. 重要事項説明

価値記録の事業者は、必要に応じて、種々のリスクについて明記することが求められます。

価値記録に関連したリスクの一例

価格変動リスク
応用ソフトウェアの利用に関するリスク
サービスの利用に関するリスク
法規制リスク
金融機関による取扱いが停止されるリスク
価値記録のアルゴリズムへの攻撃や欠陥に起因するリスク

4.5. 有害情報対策

青少年の健全な育成の障害となる有害情報等を掲載する際は、年齢確認やフィルタリング等による対策を行うことが求められます。
参考: 違法商品及び有害情報に関する法令等

4.6. 注意喚起

価値記録の事業者は、価値記録を利用した商取引や、インターネットの利用に関連する、種々のトラブルや犯罪を防止する為の注意喚起を行うことが求められます。
参考: 消費生活安全ガイド (消費者庁)
参考: サイバー犯罪に巻き込まれないために (警視庁)

相場を大幅に上回る価格での価値記録の販売

価値記録に関連するセミナー等において、特にRippleやStellar等の価値記録が相場の数十倍の価格で販売される事案が発生しています。価値記録の事業者は、情報の非対称性に配慮し、注意喚起や相場情報の公開等を行うことが求められます。
外国通貨の場合の注意喚起の例: 国内で取扱いの少ない「外国通貨の両替」の勧誘に関する注意喚起 (消費者庁)

犯罪資金・資金洗浄等

価値記録事業者は、種々の決済手段や換金性商品等を利用した窃盗、不正送金、振り込め詐欺、資金洗浄等に利用されることを防止する為の注意喚起を行うことが求められます。

ネットショップ・オークション詐欺

価値記録の受け取りを匿名で行える場合がある為、取引時の詐欺等に価値記録が利用される事案が発生しています。価値記録の事業者は、ネットショップやインターネットオークション等において、利用者が詐欺等に巻き込まれることを防止する為の注意喚起を行うことが求められます。

4.7. 記録の保全

価値記録の事業者は、一般的な記録の保全に加え、特に価値記録管理情報 (公開鍵暗号方式における秘密鍵等) の消失対策を行うことが求められます。

記録装置の故障対策

記録装置の故障に備え、同じ原因による故障を避ける設計により多重化を行うことが求められます。

人為的ミス対策

人為的ミスによる記録の消失に備え、削除した記録を復旧可能な設計にすることが求められます。

大規模故障・自然災害・紛争対策

多重化された記録装置が同時に失われる事態を避ける為、地理的に離れた場所に設置された装置による記録の多重化を行うことが求められます。

4.8. 組織の内部関係者による不正行為対策

価値記録の事業者は、一般的な事業者の内部関係者による不正行為対策に加え、価値記録管理情報 (公開鍵暗号方式における秘密鍵等) の不正利用等の対策を講じる必要があります。

参考: 組織における内部不正防止ガイドライン (独立行政法人情報処理推進機構)

4.9. サイバー攻撃対策

特に顧客の資産を扱う価値記録の事業者は、価値記録や顧客情報、その他の非公開情報等への不正アクセスの標的となり易い為、一般的な事業者と比較し、より厳重な対策を講じることが求められます。

仕様策定・設計・実装・テスト・運用のすべての段階において、セキュリティに配慮した作業を行う必要があります。
参考: 情報セキュリティ対策実践情報 (独立行政法人情報処理推進機構)

特段の注意を払う必要のある攻撃

インジェクション攻撃
ユーザー認証におけるリスト型攻撃
標的型攻撃と水飲み場型攻撃
組織の内部関係者の不正行為による情報漏えい

インジェクション攻撃対策

外部からの入力内容を必ず検証し、特にコマンドを実行可能な入力では、複数回の検証を行うことが求められます。

ユーザー認証と利用者環境

リスト型攻撃等による脅威を軽減する為、二要素認証等の対策を導入することが求められます。

既知の脆弱性が含まれたソフトウェアの利用や、公衆のネットワークやコンピューター等の利用時のリスクを考慮した設計や注意喚起を行うことが求められます。

専用端末の利用

マルウェアなどの感染による情報漏えいを防ぐため、リスクの高いソフトウェア等を停止し、情報収集等の利用を行わない専用端末を利用することが求められます。

専用回線の利用

重要なシステムへのアクセス権限を利用する場合、物理的に分離された通信回線や、ソフトウェアによる代替手段の利用が求められます。

多層防御

システムの基礎を構成するソフトウェア等に、重大な欠陥が発見される事案が度々発生する為、重要なシステムの分離や、暗号化等により、多層的なセキュリティを構築することが求められます。

通信データの暗号化

拠点間の通信も含め、ユーザー認証情報や個人情報、取引情報等の機密性のある情報をインターネット上で転送する場合、十分な暗号強度を持つ暗号方式を利用した通信を行う設計とする必要があります。

保管情報の暗号化

多層防御の一環として、個人情報や認証情報等の記録時にハッシュアルゴリズムによる難読化や公開暗号方式等を利用し、情報漏えいリスクを低減することが求められます。

システムの継続的な改善

価値記録の事業者は、利用するソフトウェア等の潜在的な不具合や脆弱性による影響を最小化する為、ソフトウェアのアップデートの迅速な適用を行い、また、新たな脅威や脆弱性の情報収集と対策を継続的に行うことが求められます。

情報公開ポリシー

脆弱性等を利用した攻撃の脅威を軽減する為、システム構成等を秘匿することが求められます。

ソーシャルエンジニアリング等の攻撃手法による情報漏えい等を防ぐ為、顧客との連絡時の本人確認ポリシーや、情報公開についてのポリシー等を定め、厳格に運営することが求められます。

4.10. 防犯対策

情報漏えい対策として、施錠の二重化や、監視カメラの設置、入退出管理、端末保存データの暗号化等の防犯対策を行うことが求められます。また、犯罪の兆候を発見した際等には、捜査当局等への連絡を行うポリシーを明確にすることが求められます。

eXperimental monax.jp eXchange