香港の規制下における仮想資産取引のコンプライアンス課題と対応策

出典：欧科云链研究院

著者：Matthew Lee

香港で仮想通貨取引所の規制が発表された後、200以上の取引所が香港でライセンスを申請し、ライセンスの発表結果を非常に期待しています。公式発表までにはまだ時間がありますが、シンガポールや日本の経験を参考にして、香港のライセンス発行の状況を探ることができます。

日本は最も早く仮想資産に友好的な態度を取ったアジアの国であり、2017年から仮想資産のコンプライアンスを進めてきました。大規模な取引所の破産を経て、仮想資産に対する態度は厳格になりました。100以上の取引所がライセンスを申請し、20社が承認されましたが、ライセンスを取得した会社の中で継続的に運営しているのは約5社のみです。

シンガポールもブロックチェーン技術やその他の金融新興技術を積極的に推進していますが、仮想資産に対しては保守的な態度を取り続けています。2023年6月時点で、シンガポール金融管理局（MAS）は合計461件のライセンス申請を受け付け、仮想資産サービスを提供する会社の中でライセンスを取得または原則的に承認されたのは19社のみです。 取引プラットフォームを提供するのはわずか数社で、残りのライセンスはFOMOペイメント、DBS Vickers Securities、Revolutなどの伝統的な金融機関に分配されました。FTXの破綻はシンガポールの主権ファンドである淡馬錫に経済的および名誉的な二重の損失をもたらし、「避風港」としてのシンガポールも嵐の中心に巻き込まれました。

シンガポールと日本のライセンス発行の状況から明らかなように、たとえ「仮想資産友好国」であっても、仮想資産に対して非常に慎重です。香港SFCの公式資料によれば、すでに1号および7号ライセンスを取得したOSLとHashkey Proは再度簡易申請を行う必要がありますが、現時点では正式に仮想資産運営ライセンス（VASP）が承認されていません。

データ出典：SFC公式サイト

専門家の一部は、香港証券監視委員会のDeemed Licenceを取得できる取引所は10社を超えないと推測しています。取引所がDeemed Licenceを取得した後、SFCは一定の評価期間を通じて取引所の具体的な運営状況とリスクを深く理解し、最終ライセンスの帰属を確認します。したがって、この期間中の取引所の運営が正式に承認されるかどうかの重要なポイントとなります。

では、取引所はどのように運営すればSFCの支持を得られるのでしょうか？

この質問に答えるためには、規制の本質と規制の重点を理解する必要があります。

香港証券監視委員会（SFC）が発表した相談文書と反マネーロンダリング規則から見ると、SFCが仮想資産の規制を2つの側面に置いていることが明らかです：1. 投資家保護；2. 反マネーロンダリング。 以下の分析も主にこの2つの視点に基づいており、取引所の将来の運営に「重点を置く」ことを目的とし、より多くの取引所がコンプライアンスの枠組みの下で運営できるように促します。

一、投資家の安全を守る盾を築く

財務省が発表した立法会のブリーフィングによれば、VASPライセンス申請者は証券監視委員会が課す一連の強力な規制要件を遵守することが求められています。投資家保護の分野には、資産の安全な保管、利益相反、ネットワークセキュリティ、監査およびリスク管理などの重要な分野が含まれます。上記のキーワードに基づいて、この章を2つの視点に分けて考察します：1. 情報開示；2. 技術的安全性。

1. 情報開示における投資家保護

証券監視委員会は特に強調しています。仮想資産は直接的に証券監視委員会の規制を受けない、つまり証券監視委員会は仮想資産のオファーやプロモーション文書を審査したことがなく、これは伝統的な金融商品とは大きく異なります。顧客資産の保護の責任は取引所にあります。

1）仮想資産の取り込みおよび取引の開示

伝統的な株式取引は、保管銀行や証券保管機関（CSD）で行われ、株式口座の増減はCSDで統一的に決済されます。中央集権的な市場取引の下では、運営効率が低く、人件費が高く、法的関係が複雑などの欠点がありますが、公式はCSDなどの機関を通じて企業の経営者の取引動向を監視できます。具体的な証券取引の流れは以下の図の通りです：

株式取引フローチャート；データ出典：World Economic Forum

証券取引の流れとは異なり、仮想資産の大口取引はチェーン上での相互作用の頻度が中央集権的取引所よりもはるかに高い（以下の図を参照）。ブロックチェーンの非中央集権性や検閲耐性などの特性により、取引所はプロジェクト側内部および関連者のチェーン上の取引を追跡することがより重要です。

チェーン上の大口データ相互作用の頻度；データ出典：OKLink

SFCの相談文書に記載されている内容によれば：

取引所は上場するプロジェクト側に対して直接的な責任を負い、全方位的なデューデリジェンスを行うためにあらゆる合理的な手段を講じる必要があります。プロジェクト側のチームおよび関連者の取引はプラットフォームが注目すべき重点です。ブロックチェーンの特性により、チェーン上のデータ分析を行い、チェーン上の記録の特性をCSD取引記録の機能に代替する必要があります。

取引プラットフォームは、独自に開発するか、第三者のチェーン上データサービスプロバイダーを利用して、プロジェクト側のチェーン上データを分析し、プロジェクト側の取引情報を透明化し、プロジェクト側の創業者や主要株主のチェーン上の関連取引をリアルタイムで監視することで、SFCの情報開示要件を満たすことができます。

2）財務開示

伝統的な上場監査とは異なり、仮想資産の監査は難易度が高いです。伝統的な監査にはすでに一連の確立されたプロセスがあり、資産の減価償却、減額（値）、評価、負債および資産の保管が明確ですが、ブロックチェーンビジネスにおいては、監査人（すなわち公認会計士）はしばしば経験不足で、取引所の資産評価や負債を測定するのが難しいため、報告書の信頼性も低下します。

例えば、FTXの破綻後、多くの取引所が発行したMazarsの「準備証明書」は、内部財務報告のコントロールの有効性に関する監査報告が含まれていなかったため、一般の疑念を招きました。SFCの相談文書でも、SFCは「仮想資産取引プラットフォームの負債の開示」が難しいことを指摘しています。

現在、主要な取引プラットフォーム（OKX、Binance、Bybitなど）は、負債を検証するためにMerkle Treeの方式を使用しています。これは、データ処理プロセスを階層化し、各層で結果を伝達する過程で前後のノードを検証し、失敗すれば次のステップに進めず、データの偽造を証明することになります。

資産検証フローチャート；データ出典：OKX

*具体的な原理については++この記事++を参照してください。OKXは非常に詳細な説明を行っています。

Merkle Treeは現在、仮想資産監査の「最適解」と見なされていますが、依然として中央データが信頼できず、秘密鍵が自社のものであることを証明できず、監査資産が一時的に借用される可能性があるなどの問題があります。取引所はMerkle Tree技術を採用する際に、a. 詐欺に対する罰則を追加する; b. Merkle Treeデータの更新頻度を高める; c. 第三者の監査または技術会社との協力を行い、プラットフォームの資産状況をより良く公示する必要があります。

二、技術的安全性における投資家保護

香港の財務長官である陳茂波はかつて、「Web3.0の発展には技術に適切なバリアを設け、技術とアプリケーションを責任ある持続可能な発展の形で進める必要がある」と述べました。

現在、取引所は技術サービスプロバイダーに依存する傾向がありますが、これらのサービスプロバイダーはSFCが期待するサービスレベルには達していません。SFCの相談文書や反マネーロンダリング規則でも、取引所の技術的安全性に対する懸念が繰り返し言及されています。

各社は技術開発に多くのコストをかけています。今年4月、Coboは既存の規制枠組みに基づいて香港のチームを拡大し、より多くの専門技術者を集めると発表しました。Amber Groupも今年、技術コンサルティング会社のThoughtworksと提携し、技術ツールやソリューションを共同開発することになりました。OKXはメディアのインタビューで、香港のチームは製品と技術開発に関する人数がすでに500人を超えていると述べました。

技術的安全性に関しては、2つの側面に重点を置く必要があります：1. 資金保管の安全性；2. ネットワークセキュリティ。

1.

#### 資金保管の安全性

近年、仮想通貨の崩壊やプラットフォームの破産清算に関するニュースが相次いでおり、伝統的な金融の古い問題も含まれています。資本不足や顧客資産の流用などです。資金保管の不適切さがこのような事件の主な原因です。 中央集権的な暗号資産取引プラットフォームであるBitMartは、EthereumとBSCのホットウォレットにセキュリティの脆弱性があったため、約1.5億ドルの資産が盗まれました。

欧科云链のチェーン上のガーディアン操作フローチャートによれば、ハッカーは1inch、Tornado.Cashなどのツールを使用して取引所のウォレットから盗まれた資金を移動させました。

ハッカーのチェーン上の資産移動フローチャート；データ出典：欧科云链

したがって、SFCは取引所に対して98%の仮想資産をオフラインのコールドウォレットに保管することを求め、資産は第三者の会社に置くのではなく、監視のために子会社に置くことを要求しています。

この要件を満たすために、各暗号取引所は一連の措置を講じています。例えば、OSLプラットフォームは小売取引のライセンスを申請するために、コールドウォレットとホットウォレットのインフラを拡張しました。OKXプラットフォームは内部でホットウォレットとコールドウォレットを分離する戦略を採用し、オンライン/オフラインのストレージシステム、多重署名および多重バックアップなどのメカニズムを使用してユーザー資産の安全を確保しています。

欧科云链もSFCに対して、取引所が資金保管を実施する際には、コールドウォレットの重要な詳細処理に注意を払うべきだと提案しました。例えば：

a. コールドウォレットについては、ハードウェアを香港の各銀行に分散保管し、私鍵は一度だけ使用される取引に使用し、使用後は廃棄されるべきです；

b. ホットウォレットについては、私鍵はハードウェアセキュリティモジュールに保管し、MPCや鍵分割などの暗号技術を利用して私鍵を保管するべきです；

2.

#### ネットワークセキュリティ

仮想資産取引所のネットワーク脅威は一般的に外部情報システムの侵入、第三者データストレージのダウンによる取引マッチングの失敗、サーバーの過負荷などから来ます。仮想資産取引所が直面する脅威は伝統的な機関と大差ありませんが、伝統的な機関は長期にわたって政府の監視を受けており、技術的な蓄積がありますが、新型の仮想資産取引所はチームの開発能力が限られており、技術的な事故がより頻繁に発生します。多くの取引所は依然としてデータベースに基づく取引マッチングを使用しています。

SFCが最近公開した文書は、取引プラットフォームに対してより高い要求を提示しており、盗難、詐欺、誤りおよび取引の見落とし、サーバーの中断などのリスクを回避または軽減することを含んでいます。特に自動化ツールの開発と適用を強調し、潜在的なシステム攻撃に対処する必要があります。

画像出典：SFCが最新に発表した「仮想資産取引プラットフォーム運営者向けのガイドライン」

私たちのチームの見解では、取引所は自動化ツールを開発または購入して定期的に脆弱性スキャンを行うだけでなく、複数の外部セキュリティ会社を雇ってペネトレーションテストやセキュリティテストを行う必要があります。資金に余裕があれば、冗長設計を行い、メモリ状態機械の複製技術（コストが高い）や多機熱バックアップ技術（故障の確率が高い）を導入することもできます。将来的には、各取引所が共同でマーケットメイカーと標準データインターフェースを設計し、技術的およびデータの故障を引き起こすことを減らすことを期待しています。**

三、マネーロンダリングリスクの防止

国連の統計によれば、世界で毎年のマネーロンダリング金額は8000億から2兆ドルに達し、GDPの約2%から5%を占めています。2022年だけでも、世界の金融機関は反マネーロンダリングに関連する違反で80億ドル以上の罰金を科されました。新しいビジネスや取引方法の展開に伴い、機関は新興技術やビジネスがもたらす規制上の課題に対処する必要があります。

1.

#### 支払いチャネルの反マネーロンダリング

Hashkey Proの最高執行責任者の見解によれば、「入金チャネルは取引所間の『必争の地』であり、出入金チャネルは（ユーザーが）法定通貨から仮想資産への唯一の橋です。」 SFCの文書によれば、

シンガポールの仮想資産に対する規制の重点もデジタル決済業務に置かれており、将来的には香港政府も「支払いシステムおよび預かり支払いツール条例」に基づいて支払いチャネルを個別に規制する可能性があります。反マネーロンダリングおよびテロ資金供与の規制の下で、取引所は「出入金」端でより厳格なスクリーニング方法を設定する必要があります。

しかし、チェーン上の活動や出入金の複雑性のため、取引所はより多様で広範な方法を採用する必要があります。HKMAとデロイトが共同で発表した報告書（AML Regtech：Network Analysis）では、機関は伝統的な手法と新型のビッグデータ分析を組み合わせた（Network Analysis）方法を採用し、疑わしい資金と出入金チャネルを包括的かつ体系的に監視するべきだと強調しています。

伝統的および新興情報技術のスクリーニングの組み合わせ；画像出典：AML Regtech: Network Analytics

取引所は銀行やチェーン上データサービスプロバイダーとの協力を強化し、AML/CFTなどの特定の分野で「ネットワーク分析」などの方法を用いて、マネーロンダリングに対抗するために協力するべきです。

2.

#### 資金の流れの監視

デジタル通貨の匿名性により、資産は迅速に移転でき、追跡が非常に困難です。SFCは相談文書の中で（以下の図のように）、非保管ウォレットの送金がもたらすマネーロンダリング/テロ資金調達のリスクを詳細に指摘しています。

Web3の領域では、資金はもはや銀行口座を通じて送金されるのではなく、チェーン上のアドレス間で行われ、ミキサーや匿名ウォレットなどのアプリケーションは取引の隠蔽性をさらに高めます。以下の図のように、ユーザーAは資金を隠されたデジタル署名のブラックボックス（俗に言うミキサー）に移動し、その後資金を混ぜてブラックボックスを通じてBに送るだけで、Bの資金の出所は誰にもわからなくなります。

チェーン上のラベル識別による反マネーロンダリング；画像出典：OKG Research

このような状況では、現在適切な処理方法は、膨大なデータシステムを通じてチェーン上のすべての「ミキシングコントラクトアドレス」にラベルを付け（上図参照）、ミキサーと相互作用するアドレスを監視してユーザーのマネーロンダリングの疑いを判断することです。

したがって、チェーン上アドレスのシステムスクリーニング能力が非常に重要です。最近、顧客に資産管理サービスを提供する香港のライセンスを持つ信託会社Future Wing Financialは、欧科云链と提携し、OKLinkの膨大なデータベースを利用してユーザーアドレスをリスク行動やイベントに関連付け、マネーロンダリングリスクを監視し、仮想資産のコンプライアンス要件を満たすことに成功しました。

まとめ

香港の態度の変化は、仮想資産の発展にとってより堅実なウィンドウをもたらしましたが、前述の日本やシンガポールの経験も、規制が「最悪の事態」を防止し管理するために厳格な措置を講じる必要があることを証明しています。

最近の公式文書は取引所に対してより詳細で厳しい要求を提示しており、上記の注意すべき事項に加えて、SFCは「利益相反の回避」、「業務の制限」、「投資の誘導の禁止」などの要求も提起しています。これらの高い基準は最終的に香港の仮想資産市場をより秩序ある方向に発展させ、最終的には投資家と取引プラットフォームの両方に利益をもたらすでしょう。