ブロックチェーン関連ビジネスに係る内部統制・ガバナンス構築支援

近年、ブロックチェーン技術を用いたビジネスに再度注目が高まっています。各種法規制の緩和と関連市場の拡大による影響が大きく、特に暗号資産・トークンにおいては、資金決済法改正に伴う暗号資産仲介業の位置付けなど、業界全体が大きな変革を迎えています。一方で、業界への注目の高まりに比例し、インターネットバンキングに関連した不正送金も増加傾向にあり、流出金額は2023年以降高水準を維持しています。なかでも、暗号資産関連の取引が約37%を占めており、企業におけるガバナンスの高度化と、その取り組みを客観的に外部に示すことが、一層重要視される状況下にあります。

図表1：インターネットバンキングに係る不正送金事犯発生件数及び被害額の推移と2024年における暗号資産関連の被害額の割合^*1

また、顧客を始め、さまざまなステークホルダーに安心・安全にサービスを利用してもらい、持続的な事業運営を行っていくためには、内部統制やガバナンスの構築・継続改善が重要です。

^*1 出典：警察庁「令和6年におけるサイバー空間をめぐる脅威の情勢等」の掲載情報に基づき、PwCにて作成

ブロックチェーン関連事業に係るガバナンスの必要性

暗号資産やトークンを用いたビジネスに参入する企業にとって、適切なガバナンスを整備することは、顧客や関連するステークホルダーからの信頼を得るために必要不可欠であり、発生し得るビジネスリスクを抑制し、さらなるビジネスの成長をもたらす効果があります。

また、非金融業者が暗号資産関連事業に参入する場合、資金決済法に準じたプロセスの整備やKYC（顧客確認）／AML（マネー・ローンダリング防止）プロセスの導入が求められます。金融事業を有する企業でも、暗号資産関連事業を担当する部門の内部統制が不十分な場合は、ルールやプロセスの浸透・整備や人材育成が必要となり、後述のポイントに留意してビジネスを運営していくことが求められます。

ガバナンスのポイント

暗号資産やトークンビジネスのガバナンスは、以下記載の段階に応じて適切に構築、実装することが重要です。具体的には、図表2の各段階において、図表3のような社内ガバナンスや監査・規制対応上重要と考えられる事項の方針検討、ルール整備、実装・運用を行っていくことがポイントとなります。

図表2：暗号資産に係るガバナンスの段階と対応ポイント例

図表3：社内ガバナンスや監査規制対応上重要と考えられる事項の例

考慮すべきポイント

業種・業態や、会社の規模、外部委託先の活用状況などに応じて、ブロックチェーン関連ビジネスにおいて生じる課題は異なります。暗号資産など固有の規制に限らず、会計処理、最先端技術の習得、専門人材の育成などが求められる他、上場の有無、業種業態の違い、保守体制の違い（業部委託／内製）によって課題やリスクは異なることから、ビジネス構造を踏まえた検討が必要となります。

簡易的ではありますが、典型的な企業パターン別（図表4）に考慮すべきポイントについて「各種規制対応」「人材育成・教育」「社内ガバナンス」「ビジネス設計・運用」「システム開発・運用」の5項目に分類して例示します。外部委託先の利用度合いが高くなるほどリスクが低くなるのではなく、委託先における高度なガバナンスの整備、委託先の監視といった対応が必要となります。暗号資産関連ビジネスを展開する各社において、どのような対応が求められるのか、現状と比較して対応が不足している観点の洗い出しなどに活用ください。

図表4：課題検討時に考慮すべきビジネス構造

図表5：考慮すべきポイントと典型的なリスク認識

No.	カテゴリ	ポイント	各パターンごとの典型的なリスクの程度
No.	カテゴリ	ポイント	A	B	C	D
1	各種規制対応	KYC／AMLプロセス（※）が検討の上で整備・運用されていない。 ※KYC（Know Your Customer）：銀行口座や暗号資産口座を開設するときなどに必要となる本人確認手続の総称 AML（Anti-Money Laundering）：マネー・ロンダリングをはじめとするテロなどの凶悪犯罪への資金供与防止対策	小	大	小	中
2	各種規制対応	ビジネスローンチ後に、各種規制・監査対応状況について情報収集した上で理解し、対応が必要な場合には計画を立てて実施することができていない。各種規制や要対応事項としは以下の通り。 ICO（Initial Coin Offering）に関する規制対応 IEO（Initial Exchange Offering）に関する規制対応 NFTに関する規制対応セキュリティトークンに関する規制対応ステーブルコインに関する規制対応 AML対応監査対応	中	大	中	中
3	各種規制対応	暗号資産の取り扱いや仕訳ルールなどをはじめとした会計基準への対応を確実に行うための、以下のような取り組みが行われていない。会計基準の動向の調査監査基準の動向の調査社内対応状況の調査	中	大	小	大
4	各種規制対応	ブロックチェーンサービス導入に際して、会計・監査の専門家や法規制の専門家との事前協議の上で、対応すべき課題と対応方針の検討を行っていない。	中	大	中	大
5	人材育成・教育	暗号資産を利用したビジネス特有の会計処理のために、経理部門の専門人材の採用強化／既存人材のトレーニングプランが計画・実行されていない。	大	中	大	大
6	人材育成・教育	ブロックチェーンサービスの開発、保守、運用を行うために、IT部門の専門人材の採用強化／既存人材のトレーニングプランが計画・実行されていない。	大	中	大	大
7	人材育成・教育	重要情報を取り扱う従業員の採用や異動受け入れの際には、不正や情報漏洩防止のために遵守しなければいけない事項を通達し、それを宣誓させる統制が整備・運用されていない。	小	中	小	中
8	人材育成・教育	重要情報の取り扱いについて、独立した二線部門・三線部門によって、職務分掌が確立され、一線部門の業務内容の適切性に関する監視・監督が行われる体制が整備・運用されていない。	中	大	小	大
9	社内ガバナンス	組織の監視機能として以下の整備・運用がされていない。モニタリング体制の整備内部監査／外部監査などの第三者機関の設置また、組織の報告機能としての社内の報告、規制当局への対応計画が整備・推進されていない。	中	大	小	中
10	社内ガバナンス	社内外の規制や要求事項を満たすために定期的にポリシー、ガイドラインなどの新規策定・見直しを行うことや、セキュリティ、プライバシー管理策の検討ができていない。	小	中	小	中

No.	カテゴリ	ポイント	各パターンごとの典型的なリスクの程度
No.	カテゴリ	ポイント	A	B	C	D
11	社内ガバナンス	プラットフォーマー、ベンダー、ユーザーとの役割分担や責任分界を決定の上で、運用環境・統制環境整備のための各種手順書や説明資料を作成していない。	小	大	小	大
12	社内ガバナンス	ソーシャルエンジニアリング・マルウェア感染による認証情報などの窃取や、暗号資産窃取のリスク対応が整備・推進されていない。	中	中	中	中
13	ビジネス設計・運用	開発および仕様変更の際、企画・概念検証を通じて、ビジネス上の導入効果を考慮する仕組みが整備・運用されていない。	中	中	中	大
14	ビジネス設計・運用	開発および仕様変更の際、スケジュールや開発体制を踏まえて、実現可能性やプロジェクトリスクを考慮する仕組みが整備・運用されていない。	中	大	中	中
15	ビジネス設計・運用	ビジネスローンチ後に、投資対効果の検証として、KPI達成状況について定期的に報告を行い、課題と対応の管理および、振り返りを行っていない。	小	中	小	中
16	ビジネス設計・運用	規制当局・顧客のニーズや期待事項を理解し、定期的にビジネスの遂行状況を振り返り、サービスの変更や改善を実施、あるいはその検討が行われていない。新規機能、サービスの導入取り扱い資産（トークン）の変更・追加	小	小	小	中
17	システム開発・運用	開発および仕様変更の際、下記事項を検討した上で複数のベンダー・プラットフォームの比較検討を行っていない。システムの要件データモデル要件に応じたブロックチェーンのプラットフォームやトークンのデザイン	中	中	中	中
18	システム開発・運用	開発および仕様変更の際、下記プロジェクトマネジメント計画が検討されていない。プロジェクトのスケジュールとマイルストーンの設定開発、テスト、リリース計画プロジェクトリスクの管理計画	中	中	中	中
19	システム開発・運用	ビジネスローンチ後に、リソースや脆弱性管理、障害管理状況の定期的な分析と対応事項の検討が実施されていない。	小	中	小	中
20	システム開発・運用	外部委託先の選定時から、契約前、契約期間、契約終了時にわたって、外部委託先の管理およびモニタリングが実施されていない。	小	小	小	中

より具体的な内容については、レポート「ブロックチェーンのガバナンスと安全管理上の考慮事項」、PwC Japan有限責任監査法人発刊のPwC’s Viewや関連書籍をご参照ください。

PwCの支援

近年、規制の緩和に向けた検討はなされているものの、ブロックチェーン関係のビジネスにおいては、ガバナンスや内部統制といった各種規制対応が継続して大きな課題になっています。これは、従来型の企業統治の考え方を画一的に適用しにくい業務が含まれていることや、新興ビジネスであるが故、これら課題の識別や対応に不慣れであることで暗中模索となり、よりハードルが高く見えてしまっている側面もあると考えています。

私たちは、これら課題の識別や深堀り、どのような業務を担当するのが適切かも含め、ガバナンスの改善・効率化に向けた多くの対応を、ディスカッションをしながらワンストップで提案・履行することが可能です。今後の社会の基盤を担うWeb3.0のKey solutionとして、ビジネス活動を止めることがないよう、悩んでいる課題があれば、私たち専門家にまずはご相談ください。

図表6：図表3に関連する支援トピック例

＜PwC＞リスク・アシュアランス：ITリスクの専門家として、暗号資産および分散台帳技術の重要性に早くから着目し、当該技術に特有のリスクを管理・低減するためのアドバイザリー業務や、各種関連法規制の要求事項を遵守するための当局対応支援に多数の実績を有しています。また、金融サービス事業者に対する豊富なサービス提供経験や、PwCのグローバルネットワークとの協業を生かし、独立した専門家としての観点からリスク評価やリスク対応策についてさまざまな形で支援しています。以下のようなサービスを中心に、社会課題への対応から企業固有のリスク対応に至るまで、社会や企業の真の課題・リスクを識別し、本来あるべき姿を第三者的立場から提言するといった、幅広いトラストサービス（信頼を付与するサービス）の支援が可能です。

図表7：ITに関連したサービス提供の概念図