背景
ブロックチェーンは、ビットコインのような暗号資産をきっかけとして世間一般に知られることとなり、現在ではビジネスへの利用も広がりを見せています。例えば、セキュリティ・トークンに関しては金融商品取引法による取り扱いも整備されたことで今後、金融機関における取り扱いが期待されています。また、金融取引以外の領域でもサプライチェーンマネジメントにおいて製品などの所在をブロックチェーンによって一気通貫で見える化し効率化しようといった動きや、公的機関や医療機関などにおいて個人情報の認証や管理に利用しようといった動きなど、さまざまなブロックチェーンの活用が検討されています。
ブロックチェーンを活用し顧客に業務を提供しようと考える企業は増えていますが、こうしたビジネスへの利用においては、ブロックチェーンネットワークへの参加を無制限に開放している「パブリック型」のブロックチェーンではなく、参加を制限した「非パブリック型」のブロックチェーンが注目を集めています。なお、非パブリック型のブロックチェーンには、1つの企業に参加を制限する「プライベート型」と、複数の企業体に参加を制限する「コンソーシアム型」とがあります。
表1:ブロックチェーンの分類
| 呼称 | 参加ノード1の制限 | 参加者 | 保証実3701の対象 | |
| 非パブリック型ブロックチェーン | コンソーシアム型ブロックチェーン | 制限有り | 複数の企業体によって形成されるコンソーシアム | 〇 |
| プライベート型ブロックチェーン | 1つの企業 | 〇 | ||
| パブリック型ブロックチェーン | 制限無し | 誰でも | × | |
ブロックチェーンは、適切に管理されている状況下においては、その記録が容易に改ざんできないという特徴があります。非パブリック型のブロックチェーンではネットワークに参加する企業またはコンソーシアムが管理主体となることから、顧客にとってはその企業やコンソーシアムがブロックチェーンの管理にどのような内部統制を構築しているかが関心事となります。そこで、企業やコンソーシアムの内部統制に関し、独立した第三者である監査人が評価する内部統制の保証報告書を利用することが有効です。
内部統制の保証報告書に関しては、委託会社の財務報告に関連する保証業務実務指針3402「受託業務に係る内部統制の保証報告書に関する実務指針」(以下「保証実3402」)を適用した保証報告書(いわゆるSOC1報告書)の実務が定着してきており、この保証実3402に対してブロックチェーン固有の論点を追加する指針として保証実3701が公表されました。(保証実3402についてはこちらをご覧ください)
1.保証実3701の有用性
ブロックチェーンを活用して業務を提供する企業やコンソーシアムが増える中、顧客となる委託会社は、どの企業(またはコンソーシアム)に委託するかの選定と、その後の利用およびモニタリングにおいて、選定した委託先がブロックチェーンを活用して提供する業務を適切に管理しているかについての関心を高めています。また、業務を受託する側の企業としても、自身やコンソーシアムがブロックチェーンを適切に管理する体制を整え、運用していることを示すことで委託会社の期待に応え、新たな顧客の獲得につなげていきたいといったニーズも存在します。
業務を受託する受託会社が委託会社のために整備、運用する内部統制に関しては、複数の委託会社に対して効率的かつ効果的に説明できるメリットから、これまでも保証実3402をはじめとした監査人による保証業務が行われています。今回、非パブリック型のブロックチェーンを活用した受託業務に焦点を当てた実務指針が公表され、複数の企業体によってコンソーシアムが形成され共同でシステムが運営される場合における受託会社の取り扱いについても定められたことで、ブロックチェーンを活用した受託会社の業務の信頼性を担保する手段がより一層明確になりました。委託会社は第三者である監査人による報告書を入手することで安心して受託会社に業務を委託できるようになり、また受託会社は監査人からの評価を通じて内部統制の維持向上を図れます。
2.保証実3701の適用時期および範囲
保証実3701は日本公認会計士協会(監査・保証実務委員会)より2021年4月23日に公表され、同日以後に発行される保証報告書に適用されています。保証実3701は保証実3402に基づく保証業務を、非パブリック型のブロックチェーンを活用したサービスを対象として実施する際の参考に資するための指針です。保証実3402の要求事項や取り扱いについて適用指針のみを提供するものであり、新たな要求事項は設けられていないことから、公表後即時の適用となっています。
後述しますが、コンソーシアム型は複数の企業体が受託会社として参加するという特徴があります。保証実3701は、非パブリック型ブロックチェーンのうち主としてコンソーシアム型ブロックチェーンを活用したサービスを対象としており、複数存在する受託会社の特定に関する考慮事項が記載されています。一方、プライベート型ブロックチェーンにおいては、受託会社が単独であるため、受託会社の特定についての考慮事項はありません。しかしながら、ブロックチェーン固有の事項であるハッシュ関数2、電子署名技術、秘密鍵3などの特徴を理解するために有用であることからプライベート型ブロックチェーンを活用したサービスについても適用できるものとされています。
3.保証実3701における主な論点
受託会社の範囲
コンソーシアム型ブロックチェーンにおいては、複数の企業体によって共同でシステムが運営される特性上、コンソーシアムの参加者を垂直的な受託・再受託会社として識別できない状況もあるため、並列的な関係にある複数の参加者を受託会社として取り扱えるものとされています。また、ブロックチェーンを構成するシステムの管理対象・役割などに鑑みて一部の参加者のみを受託会社として取り扱う場合もあります。
ここで重要なことは、コンソーシアムの参加者自身がブロックチェーンの運営を担う受託会社にもなり得ることです。
受託会社のシステムの理解
ブロックチェーンを活用したサービスを対象とした場合、ブロックチェーンの利用に伴う固有の内部統制の理解および評価が必要となります。保証実3701では、通常、以下の内容について理解することとされています。これらはブロックチェーンの特徴的な事項であり、これらを理解することは、監査人が評価手続を検討する際に役立ちます。
- ブロックチェーンにおける基盤技術(ブロック生成に係るハッシュ関数、電子署名技術など)を理解し、これらが危殆化していないこと
- ブロックチェーンにおける各ノードの役割、どのように取引が承認され記録されるのか、およびその合意に至るコンセンサスアルゴリズム
- ファイナリティ4の条件
- 各ノードの選定、追加、変更および削除に関するルール
- コンソーシアム参加者に要求されるセキュリティ条件など、およびその維持に関する監視の方法
- スマートコントラクト5の内容および利用状況
- 通常の取引とは異なるブロックチェーン上のデータの操作をする特例処理の有無、またそれを提供する機能の概要および実行に関するルール
- 各ノード間でのデータの同期タイミングおよび各ノードが保持しているデータが異なる可能性
内部統制のデザインに関する証拠の入手
ブロックチェーンを活用したサービスにおける内部統制においては、秘密鍵の管理ツールとなるウォレット6の仕組みや、その管理体制が重要な検討事項となります。内部統制保証業務においては、受託会社の内部統制のデザイン評価として、仕組みの理解および管理体制の評価することとなります。また、当該評価には、通常、以下事項が含まれるとされています。
- 評価対象となるブロックチェーンが採用しているアドレス間の関係性や鍵を利用した署名の方式に適合したウォレットおよび鍵の管理体制が敷かれていること、または、これを担保する内部統制の運用状況の有効性を評価すること
- ウォレットおよび鍵とブロックチェーン間の仕組みの理解、ならびに鍵そのものの管理方法を理解し、監査の目的に適合しているか評価すること
- 鍵を利用する上で必要な認証情報が別途管理されている場合、当該情報へのアクセス権についても評価すること
内部統制の運用状況の有効性に関する証拠の入手
内部統制保証業務では、受託会社の内部統制のデザイン評価のみを行う方法(タイプ1報告書)よりも、デザイン評価に加えて、内部統制の運用状況の評価も行う方法(タイプ2報告書)が一般的です。運用状況の評価において、ブロックチェーンから入手したデータを利用する場合、通常、そのファイナリティと各ノード間での同期タイミングを理解し、利用するデータを評価することになります。ブロックチェーンからデータを入手する際に利用するノード、プログラムなどの仕組みを理解し、入手したデータがブロックチェーンに記録されたデータを正確かつ網羅的に反映していることを確かめることが重要とされています。
4.まとめ
ビジネスにおいて非パブリック型のブロックチェーンの活用が始まる中、業務を受託する企業またはコンソーシアムが構築する内部統制に関して、独立した第三者である受託会社監査人が評価するための指針である保証実3701によって、コンソーシアムへの参加といった並列的な関係においても受託会社を識別できるよう整理がなされ、また、ブロックチェーン固有の事項についても特徴を理解した上で評価することとなりました。
今後、ブロックチェーンの活用を進める企業またはコンソーシアムにおいては、受託会社としての受託者責任を果たすためにも保証実3701による保証業務の活用をご検討ください。
参考:ブロックチェーンに関連した用語 |
||
| 1 | ノード | ブロックチェーンネットワークに参加するコンピューター(または参加者)をノードと呼びます。 |
| 2 | ハッシュ関数 | 任意のデータを規則性のない文字列(ハッシュ値)に変換する関数をハッシュ関数と呼びます。ブロックチェーンの改ざん耐性は、あるハッシュ値から元のデータを復元することや、同じハッシュ値が得られる異なる2つのデータを発見することが極めて困難である特徴によります。 |
| 3 | 秘密鍵 | ブロックチェーン内の情報の更新やプログラムの実行、紐付くアドレスに記録されている価値の移転を行使するために必要となる暗号技術に基づき作成された情報を秘密鍵と呼びます。アドレスの所有者の特定に当たっては、秘密鍵の保有をもってアドレスの所有者と推定されます。 |
| 4 | ファイナリティ | トランザクションがブロックチェーン上のデータとして確定することを、ファイナリティを得ると表現します。 |
| 5 | スマートコントラクト | ブロックチェーンによって契約を自動的に実行する仕組みをスマートコントラクトと呼びます。 |
| 6 | ウォレット | ブロックチェーンの利用者が、秘密鍵などとそれに対応するブロックチェーン上のアドレスを管理するための媒体やソフトウエアなどをウォレットと呼びます。ウォレットの形態としては、紙に情報を記録したペーパーウォレット、暗号化した秘密鍵を保管する専用端末であるハードウエアウォレット、アプリケーション上で秘密鍵とアドレスを管理するソフトウエアウォレットがあります。 |
サマリー
受託業務に係る内部統制を独立した第三者である監査人が評価する保証実3402に、ブロックチェーン固有の論点を追加する指針として保証実3701が公表されました。ブロックチェーンの活用を進める企業またはコンソーシアムにおいては、受託会社としての受託者責任を果たすためにも保証実3701による保証業務の活用をご検討ください。
