はじめに

ICOや仮想通貨にかかわる方にとって、金融庁の規制の動向は非常に気になるところかと思います。

先日、これまでに実施された検査・モニタリングにより判明した実態などをまとめた「中間とりまとめ」を金融庁が公表しました。このとりまとめでは、実際に起きた事例が紹介されているなど、仮想通貨交換業に関係するすべての事業者や投資家などにとって、大変参考になる内容になっています。

事業者の方は、このとりまとめに紹介されている事例を参考に自社の態勢などをいまいちど見直すことが必要です。他方で、投資家の方は、事業者を選ぶ際の一つの参考資料にすることができます。

そこで、今回は金融庁が公表した「中間とりまとめ」について、実際の事例を交えながら、弁護士が詳しく解説します。

    【この記事でわかること】

  • 金融庁が公表した「中間とりまとめ」で紹介された各部門における指摘を確認する(ビジネス部門、リスク管理・コンプライアンス部門、内部監査部門、カルチャー&コーポレート・ガバナンス)
  • 今後の金融庁の対応を確認する

1 「仮想通貨交換業者」とは?

仮想通貨交換業

まず始めに、「仮想通貨交換業者」とはどのような事業者のことをいうのか、「中間とりまとめ」について具体的に見ていくまえに、簡単に確認しておきましょう。

仮想通貨交換業」とは、仮想通貨(ビットコインやイーサリアムなど)の売買や仮想通貨同士の交換、またはこれらを媒介したり代理することをサービスの内容とする事業のことをいいます。そして、この事業を提供する事業者のことを「仮想通貨交換業者」といいます。

たとえば、コイン流出事件の「コインチェック」や先日不正アクセスによりビットコインなどが流出した「テックビューロ」などのように、仮想通貨取引所などを開設して、仮想通貨に関する事業を提供している事業者が仮想通貨交換業者にあたります。

仮想通貨交換業については、改正資金決済法が以下のように定義しています。

  1. 仮想通貨の売買または仮想通貨同士の交換
  2. ①の媒介・取次・代理
  3. ①・②に関して、ユーザーの金銭または仮想通貨を管理すること
  4. ①~③を「事業」として行うこと

これらの要件のうち、1~3のいずれかにあたり、かつ、これを「事業」として提供する場合にその事業は仮想通貨交換業にあたり、交換業のライセンスが必要になります。

今回金融庁が公表した「中間とりまとめ」は、以上の「仮想通貨交換業」に関する実態についての報告がなされ、その実態を踏まえた今後の対応について、金融庁の見解を明確にしたものです。

では、そもそもなぜ金融庁はこのような中間とりまとめを公表したのでしょうか。次の項目で見てみましょう。

なお、仮想通貨交換業の定義について詳しく知りたい方は「仮想通貨交換業の法律規制とは?改正資金決済法を弁護士が5分で解説」をご覧ください。

2 「仮想通貨交換業者等の検査・モニタリング中間とりまとめ」とは

モニタリング・中間とりまとめ

金融庁が「中間とりまとめ」を公表した背景には、2018年1月に起きたコインチェック事件があります。日本における仮想通貨業界において、コインチェック事件のような大きな事件はそれまで起きていませんでした。金融庁は同事件を契機として、利用者保護を強化するためにさまざまな措置を講じました。その一環として、業務改善命令報告徴求命令などがあります。

また、すべてのみなし業者と登録業者数社を対象に立入検査を実施し、法律に即した運営ができていない事業者に対して行政処分を行っています。

そして、金融庁がその対象を登録申請業者(みなし業者)に絞り、みなし業者が受けた指摘のうち共通している内容をまとめたものが、今回の「中間とりまとめ」です。つまり、仮想通貨交換業の登録審査において、金融庁が重要視しているポイントがこの中間とりまとめに記載されているのです。

そのため、これから新たに登録申請を予定している事業者はこの中間とりまとめをきちんと理解したうえで、申請手続を進めていくことが極めて重要になります。

それでは、金融庁が出した中間とりまとめについて、次の項目から具体的に見ていきましょう。

3 「中間とりまとめ」5つのポイント

中間とりまとめ5つのポイント

「中間とりまとめ」におけるポイントは、大きく分けて以下の5点です。

  1. ビジネス部門
  2. リスク管理・コンプライアンス部門
  3. 内部監査部門
  4. カルチャー&コーポレート・ガバナンス
  5. 今後の金融庁の対応

みなし業者の多くは、2017年の秋以降に取引量が増加し事業を拡大していきました。そのような中で把握された業者の実態が部門ごとに挙げられています。

それぞれのポイントについて、次の項目から順に見ていきましょう。

4 ポイント①:ビジネス部門

ビジネス部門

ビジネス部門では、以下の点が指摘されました。

  1. 取り扱う暗号資産(仮想通貨)のリスクを評価していない
  2. 発行する暗号資産(仮想通貨)の不適切な販売
  3. 内部管理体制の整備がなされていない状態での広告宣伝

以下で、事例を交えながら順番に見ていきましょう。

(1)取り扱う暗号資産のリスクを評価していない

    【多数の業者で認められた事例】
    取扱い暗号資産の選定に当たっては、暗号資産の利便性や収益性のみが検討されている反面、取扱い暗号資産ごとにセキュリティやマネロン・テロ資金供与等のリスクを評価したうえで、リスクに応じた内部管理態勢の整備を行っていない

取扱い暗号資産ごとに想定されるセキュリティリスクとしては、暗号資産を保管するウォレットの盗難に関するリスク、ハードフォークを原因とした互換性の喪失リスクなどがあります。また、取引時において厳密な本人確認を実施するなどして、マネロン対策を講ずることも極めて重要です。

このように、想定されるリスクをきちんと把握し、そのリスクを回避するための内部管理態勢を取っておく必要があるにもかかわらず、その点ができていない業者が見受けられます。

(2)発行する暗号資産の不適切な販売

    【複数の業者で認められた事例】
    暗号資産を販売するに際して、利用者の年齢、取引経験、資力等を考慮した取引限度額の設定や販売・勧誘を開始する基準を定めていない

仮想通貨交換業者は、多くの暗号通貨を販売することにより利益を上げたいと考えます。とはいえ、取引相手の属性を問わずに販売することを許すのは妥当ではありません。精神が未熟な人や取引経験・資力などに乏しい人が無制限に暗号通貨を購入できるとすると、その人に対して悪影響を及ぼしかねません。

そこで、仮想通貨交換業者は取引相手の属性に応じて、購入限度額などを設定しなければなりません。

    【個社で認められた事例】
    暗号資産を販売するに際して、当該暗号資産のリスクを正確に把握していない第三者に販売の勧誘を委託しているが、当該第三者による勧誘行為等の内容を把握しておらず、事後的な検証も行っていない

ここでいう「第三者」とは、販売の勧誘を委託者に代わって行う事業者(受託者)のことを指します。たとえば、A社がB社に暗号資産の販売の勧誘を委託したとしましょう。このような場合、B社がどのような勧誘を行っているかをA社はきちんと把握していなければなりません。そのうえで問題点があればその点を指摘するなどして、B社において適切な勧誘が行われるように管理しなければなりません。あくまでA社は自社に代わってB社に販売の勧誘をしてもらっているに過ぎないからです。

(3)内部管理体制の整備がなされていない状態での広告宣伝

    【個社で認められた事例】

  • テレビCMにおいて、有名人が特定の暗号資産を連呼するなど、利用者の購買意欲を煽る一方で、暗号資産のリスクに関する表示は数秒に留まっている
  • 利用者が検証できない投資収益の表示や特別割引期間の設定などを記載した広告を行っている
  • 取引の内容やリスクの適切な開示が行われているかを事前に確認するなどの広告内容の審査等が行われていない

暗号資産の広告宣伝には、購買欲を過大に煽る一方でそのリスクについては利用者の目に留まらない程度にしか表示されていないものがあります。また、利用者において暗号資産を購入するかどうかを判断するために必要な情報が十分に提供されておらず、そのような点を事前に審査する体制も取られていないという問題があります。

以上のように、ビジネス部門においては、暗号資産の取引相手の属性や広告宣伝方法などについて問題があることが指摘されています。

5 ポイント②:リスク管理・コンプライアンス部門

コンプライアンス

リスク管理・コンプライアンス部門においては、以下の点が指摘されました。

  1. マネロン・テロ資金供与対策ができていない
  2. 分別管理ができていない
  3. システムリスクの管理ができていない
  4. 利用者保護が図られていない
  5. 外部委託先の管理ができていない

以下で順番に見ていきましょう。

(1)マネロン・テロ資金供与対策ができていない

マネロン・テロ資金供与対策については、人材と運用の両面において問題があると指摘されています。

    【多数の業者で認められた事例(人材面)】
    暗号資産のリスクを踏まえたマネロン・テロ資金供与対策など、的確なアドバイスを行える人員が第1線に確保されていない

特にマネロン対策については、日本だけでなく世界的にも重要な問題として位置付けられているため、その点について的確なアドバイスを行える人を確保していなければなりません。

    【複数の業者で認められた事例(運用面)】

  • 取引時確認において、確認しなければならない事項や法令により記録を求められている事項が空欄のままになっている
  • 反社会的勢力との取引を排除するために必要な審査が行われていない
  • 取引時確認などの具体的な手続とその基準などが定められていない

銀行などでは当然に実施されている取引時確認がきちんとした形でなされていないケースがあります。また、反社会的勢力との取引は禁止されているため、金融機関では口座開設時に警察と連携するなどして、反社会的勢力であるかどうかを確認しています。こういったことが現状で実施できていないということも問題視されています。

(2)分別管理ができていない

暗号資産と金銭(法定通貨)を対象とする分別管理について指摘がありました。また、これに付随して帳簿の作成に関しても指摘がありました。

    【複数の業者で認められた事例(暗号資産・金銭)】

  • 取り扱っている暗号資産について、ハッキングリスクの高いホットウォレットで管理している
  • 帳簿と残高との照合を毎営業日実施しておらず、照合がきちんと実施されているかについて事後に検証をしていない

コインチェック流出事件を受けて、ホットウォレットで管理することを問題視しています。「ホットウォレット」とは、スマホなどで簡単にインストールができ、すぐに使えるウォレットのことをいいます。暗号資産の流動性を考えると、すべてをコールドウォレットで管理することには問題があるかもしれませんが、リスクを踏まえたものになっていないといった趣旨の指摘であると考えられます。

    【複数の業者で認められた事例(帳簿作成)】
    法令に基づき作成が求められる法定帳簿のうち、「総勘定元帳」を作成するに留まり、「取引日記帳」「自己勘定元帳」「顧客勘定元帳」等を作成していない

法定帳簿を作成するという当たり前のルールが守られていないケースがあります。これは利用者の資産を保護するためにも必ず守らなければならないルールです。

(3)システムリスクの管理ができていない

システムリスクは多岐にわたりますが、主に、①安全管理面、②開発と運用の牽制面、そして③障害対応面について問題があると指摘されています。以下で事例を交えながら見ていきましょう。

    【多数の業者で認められた事例(①安全管理面)】

  • 事務量などに比べ、システム担当者が不足している
  • サイバー攻撃に関するリスクシナリオなどを策定しておらず、セキュリティに関しての研修を実施していない

システムの安全管理面に問題があるため、システム担当者の労働時間が超過していたり、スケジュールの遅滞による課題の未消化が引き起こされたりといったケースも認められます。

    【複数の業者で認められた事例(②開発と運用の牽制面)】
    システムの開発とその運用・管理の担当が同じ人である

システムの開発とその運用・管理について、同一人が担当することを許してしまうと、システムを悪用することが可能になり、現にそういった犯罪も発生しています。このような弊害を避けるためにも、開発担当者が本番環境を操作できないような体制を取ることが求められます。

    【複数の業者で認められた事例(③障害対応面)】

  • システム障害に関する管理台帳を作成しておらず、システム障害の発生状況を把握していない
  • システム障害が多数発生しているにもかかわらず、根本原因の分析が行われていない

実際にシステム障害を起こした事例をきちんと記録・把握しておかなければ、なぜシステム障害が起きたかを知ることはできませんし、再発防止のための策を立てることもできません。システム障害の再発を防止するためにもしっかりと原因を追求できる体制を取っていなければなりません。

(4)利用者保護が図られていない

利用者への説明・情報提供の徹底は、利用者保護や詐欺などの犯罪を防止する観点からも大変重要です。利用者保護の問題は、大きく

  1. 自社暗号資産
  2. 情報管理
  3. 苦情対応
  4. 取引の適正

の問題に分けられます。

    【個社で認められた事例(①自社暗号資産)】

  • 発行暗号資産と関連する事業の詳細や販売内容などについて、利用者への情報提供が行われていない
  • 暗号資産の販売によって取得した資金を、利用者に事前に説明していた新規事業のための事業資金として利用していない
  • 暗号資産を販売後、ホワイトペーパーの内容と相違する事実が発生したにもかかわらず、これを開示していない

自社発行の暗号資産について発行会社は、購入を予定している投資家に対して、投資判断に必要な情報を提供しなければなりません。また、実際に購入した投資家に対しては、契約に則った誠実な対応が求められます。ですが、このようにいわば当たり前のことをできていない業者が見受けられます。

    【複数の業者で認められた事例(②情報管理)】

  • 社員であれば誰でも利用者の個人情報にアクセスでき、外部委託先も同様にアクセスできる状況にある
  • 利用者の個人情報を管理する台帳などを整備しておらず、また、個人情報を社外へ持ち出すことが可能な状況になっている
  • 個人情報の取扱状況の点検を実施していない。また、個人情報の安全管理に関する研修が実施されていない

利用者の個人情報が流出したという報道が後を絶ちません。個人情報保護法はもちろんのこと、関連するガイドラインなどの遵守は徹底されなければなりません。ですが、そのための研修なども実施されておらず、それどころか、個人情報を社外へ自由に持ち出すことが可能な状況になっているケースもあります。これでは、個人情報がいつ漏洩してもおかしくありません。

    【複数の業者で認められた事例(③苦情対応)】

  • 利用者からの苦情などに対する対応状況を把握・管理していない
  • 苦情などの内容を一元的に把握・管理しておらず、業務の改善に向けた分析が行われていない
  • 苦情などに対応する人員が不足しており、苦情などについて解決がされないまま放置されているものがある

苦情などに対応する人員のみならず、業務改善のための分析を行う人員も不足していることが問題視されています。利用者からの苦情は、業務改善に資する情報を含んでいることも少なくないため、その対応・分析のための人員がしっかりと確保されていなければなりません。

    【複数の業者で認められた事例(④取引の適正)】
    デリバティブ取引において、レバレッジ倍率の設定やロスカット取引の実行に際し、暗号資産の価格変動などを定期的に検証・反映していない

暗号資産の分野はまだまだ歴史が浅いため、ある程度の根拠をもった基準によってレバレッジの倍率などを設定することは困難です。そのため、暗号資産の価格変動などを定期的に検証することが求められているものと考えられます。

(5)外部委託先の管理ができていない

外部に委託してしまえば、すべての責任は委託先にある、ということにはなりません。委託先の選定や選定後の管理など、委託者には一定の責任が伴います。

    【個社で認められた事例】

  • 外部委託先の選定に際し、委託先の評価を行っていないうえ、委託契約も結んでいない
  • 外部にシステムを委託しているなかで、システム障害が発生しているのに、外部委託先に原因の究明や再発防止のための策を立てることを求めていない
  • 再委託が行われる場合に、再委託内容やそ実施状況を確認していない

外部委託先の選定については、委託する目的や委託する範囲をあらかじめ明確にするとともに、選定基準を明確にすることが求められます。

外部に委託したとはいえ、利用者保護の観点から、委託者に対して外部委託先の管理を徹底することを求めているわけです。

以上のように、リスク管理・コンプライアンス管理の部門で挙げられた内容は、どれも重要な内容ばかりです。基本的なことを守れていない業者が少なくない中で、自社はどうなのか、といった視点をもって、適宜対応していくことが求められます。

6 ポイント③:内部監査部門

内部監査

内部監査」とは、簡単にいうと企業の内部の者によって行われる監査のことをいいます。通常は、この監査に基づいて企業の発展や改善に有効なアドバイス・勧告がなされます。そのため、企業の発展にとっては大変重要なルールです。

もっとも、この内部監査については、以下のような指摘がされています。

  • 内部監査が実施されていない
  • 内部監査計画の策定がリスク評価に基づいていない

以下で、事例を交えながら見ていきましょう。

    【多数の業者で認められた事例】

  • マネロン・テロ資金供与対策や、システムリスクなどの監査をするために必要な監査要員が確保されていない
  • 内部監査計画の策定や内部監査を実施していない
    【複数の業者で認められた事例】

  • 内部監査計画を策定しているものの、リスク評価に基づくものになっていない
  • 外部委託先の監査を実施していない
  • 法定帳簿の記載内容などの正確性について定期的に内部監査を実施することとしているにもかかわらず、過去1度も実施されていない

内部監査は、企業が発展するためには必要不可欠なルールです。企業の発展のみならず、内部不正が見付かることも少なくなく、企業を健全に運営していくためにも内部監査をきちんと実施する必要があります。

7 ポイント④:カルチャー&コーポレート・ガバナンス

コーポレート・ガバナンス

カルチャーとコーポレート・ガバナンスの問題は、言い換えると、会社という組織そのものへの問題を指摘したものです。指摘があった点は、以下の5点です。

  1. 利益を優先した経営体制
  2. 取締役及び監査役の牽制機能が果たされていない
  3. リスク管理の知識を持つ人材が不足している
  4. 利用者保護の意識・遵法精神が低い
  5. 情報開示に消極的

以下で、順番に見ていきましょう。

(1)利益を優先した経営体制

内部管理よりも広告・宣伝に多額のお金をつぎ込み、内部管理がおろそかになっているケースがあります。

    【個社で認められた事例】
    会議などにおいて、内部管理に関する議論を行わずに、広告・宣伝などに関する議論のみが行われている

利益を追求するあまり、内部管理に目が行かなくなることが多々あります。内部管理をしっかりしていないと、不正行為を助長することにもなりかねません。利益を追求することも大事ですが、その前提として、しっかりとした基盤を構築することが極めて重要です。

(2)取締役および監査役の牽制機能が果たされていない

取締役および監査役の「牽制機能」とは、組織内において代表取締役による業務執行などを取締役が監視したり、取締役の業務執行を監査役が監査するなどして、違法・不当な行為が行われないようにすることをいいます。このような牽制機能が果たされていないケースがあります。

    【個社で認められた事例】
    取引量などの増加に伴い、業務を遂行するための人員が不足していることを知りながら、監査役が取締役会などにおいて、人員の増強が必要であることなどの意見を述べていない

業務を遂行するための人員を増強しなければならないにもかかわらず、取締役がそのために必要とされる対応をしなければ、監査役が取締役会でその必要性を報告するなどして、対応を促さなければなりません。

(3)リスク管理の知識を持つ人材が不足している

金融業の知識に乏しい経営者などが多く、役職員の中でも金融業としてのリスク管理などに知識を持っている人が少ないという指摘がありました。

    【多数の業者で認められた事例】
    取締役会などにおいて、金融業者としてのリスク管理などに関する議論が行われていない

交換業者は、利用者から預かった多額の財産を管理するという意味では金融業者にあたります。にもかかわらず、その分野の知識に乏しい者が経営者であったり、金融業者としてのリスク管理などに乏しい者が役職員であるケースがあることを問題視しています。これでは、到底利用者の財産を保護できているとはいえません。

(4)利用者保護の意識・遵法精神が低い

利用者の保護・法律の遵守は、いずれも当たり前のルールですが、こういった当たり前のルールを守ろうという意識が低いことが指摘されています。

    【多数の業者で認められた事例】
    業務が拡大するなかで、それに見合った人員の増強やシステム・キャパシティの見直しが行われていない

このほかにも、調達した資金の使途などが管理されていないこと、会議の議事録などが記録・保存されていないことなどが指摘されており、遵法精神が低いことが窺われます。

(5)情報開示に消極的

利用者は業者から提供された情報を基に投資判断を行います。そのため、業者は一定の情報を利用者に開示する必要がありますが、こういった情報を開示することに消極的であるケースがあります。

    【多数の業者で認められた事例】
    経営情報や財務情報について、利用者にわかりやすく開示されていない

利用者に対して、以上のような情報が開示されていなければ、利用者は適切な投資判断ができません。

以上のように、会社という組織そのものにも多くの指摘がなされており、なかには基本的なルールすら守れていない業者も存在します。こういった基本的なルールを守るための体制がきちんと整備されていなければ、会社の存立を脅かすことにもなりかねません。

このような状況を受けて、金融庁は今後どのように対応していく考えなのでしょうか。最後の項目で具体的に見ていきましょう。

8 ポイント⑤:今後の金融庁の対応

金融庁

これまでに見てきた業者の実態を踏まえ、金融庁は以下の3点について、どのように対応していくのか、その見解を示しました。

  1. 登録審査・モニタリング
  2. 自主規制団体との連携
  3. 関係省庁や海外当局との連携

以下で、順番に見ていきましょう。

(1)登録審査・モニタリング

金融庁は、業者を以下の3類型に分けたうえでそれぞれに応じて以下のように対応をとっていくとしています。

  1. 登録業者
  2. みなし業者
  3. 新規登録申請業者

以下で、詳しく見ていきましょう。

①登録業者

登録を受けているとはいえ、その後のさまざまな変化に応じた内部管理態勢の強化が十分に行われていないことが判明しました。そのため、登録業者は今回判明した実態を踏まえ、自社の態勢についていまいちど検証を行うことが望ましいといえます。

金融庁も、引き続き、立入検査などを実施し、問題が発覚した場合には必要な行政対応を行っていくと述べています。

②みなし業者

今回の中間とりまとめを踏まえ、業務改善命令を受けたみなし業者により提出された報告内容について、個別に検証したうえで登録の可否を検討していくとしています。

③新規登録申請業者

これまでも書面による形式審査にくわえ、実際に現場に訪問してシステムの安全状況などを確認するなど、実質面の審査も併せて行ってきました。ですが、金融庁は近年の暗号資産を取り巻く環境などの目まぐるしい変化に対応するため、さらに深みのある実質的な審査を行う必要があるとしています。

具体的には、利用者保護を優先した態勢状況を確認するために書面・エビデンスの提出を求めたり、現場検証役職員からのヒアリングを強化するとしています。

さらに、新規で登録を受けた業者に対しては、登録後の早い時期に立入検査を実施することとしています。

(2)自主規制団体との連携

金融庁は、仮想通貨交換業の健全な発展に欠かせない要素として、自主規制団体における自主規制規則の策定・運用を挙げています。

こうした状況の中で、かねて認定資金決済事業者協会の認定を申請していた日本仮想通貨交換業協会は、2018年10月24日付で金融庁により認定資金決済事業者協会としての認定を受けました。また、同日付で仮想通貨交換業協会により決議された自主規制規則が施行されています

今後は、自主規制規則に則った業務の遂行が求められるとともに、仮想通貨交換業協会と適宜連携を取って業務を進めていくことが重要になってくると考えられます。

(3)関係省庁や海外当局との連携

金融庁は、日本国内における無登録業者への対応や、これまでにも出されている利用者への注意喚起について、引き続き、関係省庁と密に連携をとりながら対応していくとしています。また、国外における無登録業者への対応など、利用者保護に向けて海外当局とも密に連携を取っていくとしています。

金融庁は引き続き、登録審査やモニタリングを強化していくとしています。仮想通貨を取り扱う事業者は、自主規制規則などを細かくチェックし、必要であれば認定資金決済事業者協会と連携を取るなどして事業を進めていくことが極めて重要です。

※金融庁が公表した「中間とりまとめ」について、詳しく知りたい方は「仮想通貨交換業者等の検査・モニタリング 中間とりまとめ」をご覧ください。

9 小括

まとめ

金融庁が公表した「中間とりまとめ」は、実際の事例を基に業者の実態を紹介する構成になっており、仮想通貨関係者からすると、大変わかりやすい構成になっています。実際の事例と自社の業務態勢を照らし合わせることで、自社にとって不足しているものが判明しやすくなります。

また、認定資金決済事業者協会が制定した自主規制規則は、メルクマールとしての役割を期待されています。そのため、今後健全に事業を進めていくためには自主規制規則を十分に理解することが必要になってくるものと考えられます。

10 まとめ

これまでの解説をまとめると、以下のようになります。

  • 中間とりまとめにおけるポイントは、①ビジネス部門、②リスク管理・コンプライアンス部門、③内部監査部門、④カルチャー&コーポレート・ガバナンス、⑤今後の金融庁の対応の5点である
  • ビジネス部門においては、①取り扱う暗号資産のリスクを評価していない、②暗号資産の不適切な販売、③内部管理体制の整備がなされていない状態での広告宣伝、の3点が指摘されました
  • リスク管理・コンプライアンス部門においては、①マネロン・テロ資金供与対策ができていない、②分別管理ができていない、③システムリスクの管理ができていない、④利用者保護が図られていない、⑤外部委託先の管理ができていない、といった点が指摘された
  • 内部監査部門においては、①内部監査が実施されていない、②内部監査計画の策定がリスク評価に基づいていない、という点が指摘された
  • カルチャーとコーポレート・ガバナンスの部門では、①利益を優先した経営体制、②取締役及び監査役の牽制機能が果たされていない、③リスク管理の知識を持つ人材が不足している、④利用者保護の意識・遵法精神が低い、⑤情報開示に消極的、といった点が指摘された
  • 金融庁は、①登録審査・モニタリング、②自主規制団体との連携、③関係省庁や海外当局との連携、以上の3点について今後どのような対応をとるかを示した