ブロックチェーンを用いたビジネスケースにおけるIT監査手法の検討

1 ブロックチェーンの概要と関連指針の近況

ブロックチェーンの意味を簡易的に示す場合、「中央に特定の帳簿管理主体を置くかわりに、複数の参加者による『分散型』での帳簿管理を可能とする技術」^※1と定義されます。また、その非中央集権性、改竄不可能性、追跡可能性から、単一障害点^※2を持たない透明性の高いシステムを構築できるとされています。

低コストで価値移転を実現する「デジタルトークン」^※3の発行による経済圏の創出可能性、「スマートコントラクト」^※4利用による仲介業者の排除に伴うカウンターパーティリスクの低減可能性は、新しい競争力の源泉になりうるとして注目されており、デジタル資産の所有権の証明、身分証明、低コストでの送金・決済など、幅広い分野で新たな取り組みが生まれる要因ともなっています。

既存のビジネスケースにおいてもブロックチェーンの活用が模索されていますが、世界15カ国600人の経営幹部を対象にPwCが実施した「世界のブロックチェーン調査2018」によれば、84％の企業がブロックチェーン技術の活用を検討もしくは実装に着手していると回答している一方で、45％の企業からはブロックチェーンの信頼性に疑問を示す旨の回答も得ています^※5。この結果は、多くの企業がブロックチェーンの有用性を認識しつつも、ブロックチェーンに対する理解や知見の不足から、リスク対応の困難に直面している状態ともいえ、関連規制や伴う内部統制対応に大きな課題を抱えているとも考えられます。

ブロックチェーンを用いた代表的なビジネスケースである仮想通貨交換業においては、日本の法律上、初めて「仮想通貨」という文言が定義された「情報通信技術の進展等の環境変化に対応するための銀行法等の一部を改正する法律」（平成28年法律第62号）^※6の2016年の公布以後、さらなる法整備と関連指針の明文化が進んでいます。

変化の一例を挙げると、「情報通信技術の進展に伴う金融取引の多様化に対応するための資金決済に関する法律等の一部を改正する法律」（令和元年法律第28号）^※7が2019年6月7日に公布されました。当法律によって、従来用いられていた「仮想通貨」の呼称が「暗号資産」へ変更され、暗号資産流出リスクに係る規制の強化、カストディ業務^※8への規制導入、利用者の暗号資産返還請求権に対する優先弁済権の付与、電子記録移転権利の導入・暗号資産のデリバティブ取引に対する規制などの内容が盛り込まれるようになりました（本稿では、以後も仮想通貨と記載します）。

上述以外でも、財務会計基準機構 企業会計基準委員会実務対応報告38号「資金決済法における仮想通貨の会計処理等に関する当面の取扱い」の公表（2018年3月14日）、日本公認会計士協会 業種別委員会実務指針 第61号「仮想通貨交換業者の財務諸表監査に関する実務指針」の公表（2018年6月29日）といった指針の整備が進んでおり、今後、さらなる関連指針の整備や未整理事項を反映した既存指針の改定がなされるものと考えられます。

このように、2009年に仮想通貨交換業が市場で認識されるようになった黎明期と比較すれば、規制の不確実性・法令遵守といったビジネスに係るリスクは、一定程度可視化された状態にあると考えられます。

また、ビジネスにおけるブロックチェーンの活用にあたっては、各種法令や指針の要求をクリアした場合であっても、ブロックチェーンのテクノロジーに対する信頼性をどのように担保するかが課題になると考えられます。特に、単一サービス・単一事業体のみへのサービスではなく、業界全体のプラットフォームシステムへも展開することによってシステムの価値を向上させることを念頭に置く場合、デジタル資産をプラットフォーム化されたシステム上で管理することになり、ブロックチェーン上に記録されているデジタル資産の保有者とデータベース管理者が乖離するという条件において、保有資産の実在性を利害関係者にどのように証明するのかが課題となります。しかしながら、2019年12月時点では、当課題について、確立された手続は整備されていない状態です^※9。

先述の「世界のブロックチェーン調査2018」では、ブロックチェーンを構築するにために必要な技術要件として、業界全体の共通プラットフォームとして必要となってくる「拡張性」「相互運用性」が上位に挙げられ、次に「監査可能性」が挙げられています（図表1 参照）。うち、「監査可能性」については、共通プラットフォームとしてシステムが稼働したとき、その情報処理に対する信頼性をどのように担保し、利害関係者に報告できるのかが、開発や運用以上に課題となりえる障壁ともいえます。

次節では、ブロックチェーンを利用したシステムの監査可能性を確保する上で必要な事項を概観し、その監査手続を検討します。

2 ブロックチェーンの公開範囲と監査手続

ブロックチェーンはその公開範囲によって2種類に大別され、一般に公開されているブロックチェーンはパブリックチェーン、公開されていない場合はプライベートチェーンと呼称されます。ブロックチェーンを利用したシステムの監査手続を検討する場合、当該システムが利用しているチェーンが一般に公開されているか否かを識別する必要があります。

仮想通貨交換所を例にすると、パブリックチェーンは不特定多数の参加者による取引を行うシステムで利用されており、システム全体の管理者は存在しません。従って、監査手続を実施する場合には、システム上に記録されている仮想通貨について、その所有権が確かに被監査主体に属することを検討する必要があります。一方、プライベートチェーンはポイントの管理などに利用されることが多く、システムオーナーが存在します。この場合、従来のクライアントサーバーシステムと同様に、システム上に記録されている全ての資産はシステムオーナーのものであり、パブリックチェーンの場合と同様の所有権検証手続を実施する必要はないと考えられます。

また、プライベートチェーンを利用したシステムの場合、会計監査の視点からは従来型のシステムと本質的な差異は存在しません。チェーンが公開されていないクローズ環境であることは、システム全体の取扱数量が変わらない、つまり、外部との資産移動が発生せず、仮想通貨単独としては貸借対照表のバランスが崩れないことを意味するため、ブロックチェーンとして特別視する必要はなく、巨大なデータベースシステムと捉えることが適切であるとも、考えられます。従って、プライベートチェーンを評価する際のポイントは、ブロックチェーンが公開されていないことを確認し、通常のデータベースの管理と同様に、その用途と関連リスクを十分に理解することであると考えられます。

このように、ブロックチェーンを利用したシステムであっても、被監査主体が利用しているシステム構成を理解し、検討すべきリスクを見極めて監査手続を検討しなければなりません。特に、ブロックチェーン上の取引記録は、トークンのやり取りの履歴として保管されるため、ブロックチェーンを利用したサービスに対して監査を実施する際には、公開範囲にかかわらず、トークンの移転の履歴を追跡し、全ての取引が正確かつ網羅的に記録されることで監査実施時点の状態が実現していることを確かめる必要性があることに注意が必要です。

次節では、従来型のクライアントサーバーシステムを評価する際には必要とされなかった、パブリックブロックチェーン特有の論点について検討します。

3 パブリックチェーンに固有の監査手続

パブリックチェーンを利用したシステムの代表例として仮想通貨交換業のシステムを念頭にパブリックチェーンを利用したシステムの評価方法を取り上げますが、監査手続における会計基準上の考慮すべき事項については、『PwC’s View』第19号の「仮想通貨の会計基準の解説および対応」^※10にて言及されているため、併せてご一読いただければ幸いです。

まず、一般的な監査手続においては、外部との取引を検証する場合、銀行残高証明書のような外部証憑と企業内部の記録の突合を実施します。しかし、仮想通貨の入出金のような、ブロックチェーンを通じて実行された外部との取引には、明示的な外部証憑が存在しないケースがあります。このため、これらの取引の正確性や実在性を検証するには、突合先となる証票類の代替として、改竄不可能な形でパブリックチェーン上に記録されている、取引データや残高データが利用可能であると考えられます。パブリックチェーン上のデータは、評価を実施する環境に汎用的なウォレットを作成し、評価対象のチェーンと同期するノードを構築することで入手可能です。

こうした環境を整えることで、被監査主体が作成した財務諸表と被監査主体内部のシステムのデータ、そして構築したノードに同期したブロックチェーン上のデータの3点突合を実施し、会計数値の正確性および網羅性を検証し、財務諸表の信頼性を担保することが可能になります。

上記の手続を実施する際、パブリックチェーン上に記録されている仮想通貨のうち、被監査主体が保有しているものをどのように識別するかが課題となります。すなわち、「仮想通貨交換業者の財務諸表監査に関する実務指針」の第23項にて特別な検討を必要とするリスクとして識別されている、「仮想通貨の実在性」を、システム上どのように確認するかを検討しなければなりません。

仮想通貨へのアクセスは、銀行預金に対するアクセスのような従来型の本人確認手続を必要としません。仮想通貨の移動や利用に必要とされるものは、仮想通貨に紐付けられているアドレスに対応する秘密鍵です。従って、仮想通貨を所有していることの根拠とは、秘密鍵を保有しており、それが他人に知られていないことであると考えられます。つまり、被監査主体が保有を主張する仮想通貨の実在性を確認するには、以下2点を確認すればよいと言えます。

（1）被監査主体が秘密鍵を所有していること

（2）外部に秘密鍵が漏洩していないこと

（1）についてはブロックチェーン上に記録されている公開鍵を利用することで検証可能です。監査人が提示したデータ^※11に対して、被監査主体が自身の保有する秘密鍵で署名を行い、監査人が公開鍵を用いて復号したデータと最初に提示したデータが一致することを確認できれば、仮想通貨に紐づく秘密鍵の保有を客観的に確認することができます（図表2参照）。

（2）については、秘密鍵が外部に漏洩していないことを外部の第三者が直接的に検証することは極めて困難です。従って、ウォレットも含めた鍵の管理に関する内部統制の整備・運用状況を評価することで、秘密鍵が漏洩している可能性が十分に低いことを確かめる必要があると考えられます。例えば、秘密鍵の生成手順や保管方法、バックアップ方法に明確なポリシーと手続が整備され、秘密鍵へのアクセス権が必要最低限に限定されていることなどが挙げられます。

これらの統制が整備されていない、効果的に運用されていない、または運用上の有効性に関する十分な監査証拠が入手できない可能性がある場合には、外部漏洩が発生していないことの十分な監査証拠を入手できないため、監査業務が適切に履行できない可能性さえあります。対して、強固で効果的な内部統制が実施されている場合、たとえパブリックチェーンを利用していたとしても従来のシステムと同様に外部監査人として財務諸表の信頼性を保証することが可能であると言えます。

従って、今後ブロックチェーンを利用したサービスがさまざまな業種へ展開されていく中においては、監査法人とブロックチェーンを利用したシステムを保有する企業が連携し、企業が保有するリスクおよび内部統制についての理解を共有していき、ビジネスの初期段階から内部統制の整備を図っていくことが必要であると考えます。

4 おわりに

近年では、ブロックチェーンの活用は金融系サービスにとどまらず、地域通貨の利用履歴を管理する公共サービス、生産物の産地を容易に追跡可能にする商流管理サービス、医療データの管理をユーザー自身で行えるようにする医療系サービスなど幅広い分野に広がっています。これらのサービスの中には、ブロックチェーンの管理を外部委託している場合もあれば、自前で構築したシステムを利用したシステムもあり、その詳細なシステム設計も多種多様です。

共通プラットフォームを利用する企業は、プラットフォーム運用先との外部委託関係が成立し、受託会社の内部統制に係る保証が必要となるケースが考えられます。類似の観点として、主にクラウドサービスにおいて用いられることが多いSOC保証報告書（System and Organization Controls Reporting）^※12の適用も、今後、当該プラットフォームにおける信頼性の担保の観点から重要が増すと考えられます。これは、セキュリティ・可用性・処理のインテグリティ・機密保持およびプライバシーの観点（SOC2 報告書）だけではなく、企業活動においてブロックチェーンのテクノロジーを基幹システムとして使う以上、財務諸表監査や内部統制報告制度の経営者評価での利用（SOC1 報告書）を前提として考慮する必要性があります。

ブロックチェーンの活用方法は多種多様であり、信頼性を担保するスキームを一律に整備することは難しいかもしれませんが、SOC Reportの活用や監査法人による外部評価によって第三者に対する客観的な保証を提供できるという点で、ブロックチェーンを利用したサービスの信頼性は従前のシステムと同様に担保可能であると考えています。監査法人の知見と各所で巻き起こるイノベーションを組み合わせることで、安心してブロックチェーンを用いたビジネスケースを提供できる環境を整えていくことが期待されます。

※1 日本銀行 決済機構局，中央銀行発行デジタル通貨について、日銀レビュー，2016年11月17日，p.11

※2 システムを構成する要素のうち、その1点に障害が発生したのみで、システム全体を停止させてしまうような箇所を指します。

※3 定義する対象やその特性によりさまざまな意味を含みますが、本稿では「トークン」を付加的な価値を持つ「モノ」として定義し汎用的に記載しています。現物資産や機密情報をランダムな数列に置き換えることで、デジタルトークンとして価値をもたせる行為（トークナイゼーション）が、商取引を変革するといわれています。

※4 スマートコントラクトの詳細な解説は本稿では省略します。簡易的に示すとブロックチェーン上で実行されるプログラムであり、当事者がデジタル署名によって契約を締結、締結した契約条項の一部を実行する仕組みです。契約をプログラムに置き換え、所定の条件を満たすと価値の移動を発生することが可能になります。

※5 PwC, 2018.「世界のブロックチェーン調査2018」

※6 当法律を通して「資金決済に関する法律」を含む各法律の改定がなされ、改定後の「資金決済に関する法律」（平成21年法律第59号）に「仮想通貨」の文言が明記されています。

※7 当法律を通して、「資金決済に関する法律」「金融商品取引法」「金融商品の販売等に関する法律」の改定がなされています。本稿では、成立した法案の名称のみ記載しています。

※8 本稿では、PwC Legal Japan News April 2019「仮想通貨（暗号資産）・ICOに対する規制に関する改正法案」記載の意図を踏襲しており、「仮想通貨の売買等は行わず、利用者の仮想通貨を管理し、利用者の指図に基づき利用者が指定する先のアドレスに仮想通貨を移転させる業務」として定義しています。

※9 久保田隆 編，2018．『ブロックチェーンをめぐる実務・政策と法』中央経済社，pp.56-57

※10 PwC, 2019.「仮想通貨の会計基準の解説および対応」『PwC’s View』第19号，2019年3月，pp.22-26［PDF 6,018KB］

※11 監査人が任意に指定した所定の文字列を意図しています。後述の図表2では「KeyPhrase」としてこの文字列を定義しています。

※12 SOC1～3の3つのカテゴリーで構成される、受託業務に係る内部統制の保証報告書です。詳細はPwC Japanのサービスサイト参照（保証業務実務指針3402が2019年8月に公表されたことに伴い、適用条項に沿う形で、当該実務指針または旧版となる監査・保証実務委員会 実務指針第86号のどちらかが適用されます。

執筆者

大手製造業・情報通信業・金融業（資金決済・仮想通貨）を中心とした会計監査を実施。アドバイザリー業務としては、US-SOX・J-SOXなど財務報告に係るIT統制監査支援をはじめ、フィンテックに関連するシステム導入プロジェクトの支援、金融検査マニュアル・FISCの各種基準を用いたITガバナンス構築支援、システム監査・第三者評価等の業務に従事。

メールでのお問い合わせ