EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。
web3.0 第2回:暗号資産の実在性 ~流出を含む多様なリスクに対する監査人の視点~
EY新日本有限責任監査法人
メディア・エンターテインメントセクター/Blockchain center
公認会計士 秋山 丈
ブロックチェーン技術のビジネスでの活用は、暗号資産交換業者における暗号資産の取引にとどまらず、国内外の大企業からスタートアップ企業まで広がりを見せています。
メディア・エンターテインメントセクター/Blockchain centerのweb3.0に関連したトピックスの掲載として、第2回となる今回は、我が国における監査目線から、暗号資産関連の実在性を中心に、ご紹介します。
1. 暗号資産の流出リスクとその対策
暗号資産は、秘匿性の高い資産である一方で、新しい技術を利用していることもあり、流出事件のことが思い浮かぶ人も多いと思います。実際に、不正な意図をもった犯罪集団がウイルス等の手段を用いて、暗号資産交換業者から情報を盗み出す等の方法で、多額の暗号資産が流出するという事件が過去に起きています。
このような資産流出のリスクは従来の通貨にもありますが、暗号資産には「ブロックチェーン上に存在していて目に見えない」という性質があり、このことに応じた取引の安全性に関する仕組みが設けられています。
表1 取引の安全性に関する比較(従来の通貨と暗号資産)
出所:「図解でスッキリ暗号資産の会計とブロックチェーンのしくみ」EY新日本有限責任監査法人編
① 秘密鍵
上表の仕組みのうち、秘密鍵は暗号資産の流出リスクへの対応策として、非常に重要です。代表的な暗号資産であるビットコインでは、取引を行う際に、金融機関の取引口座に該当する「アドレス」が付与されます。このアドレスには「公開鍵(一般に公開される鍵)」と「秘密鍵(本人のみが利用できる鍵)」という対になった鍵が存在しており、公開鍵で暗号化されたデータは秘密鍵でのみ復号できます。名前のとおり、「公開鍵」は誰でも利用できるように広く公開されていますが、「秘密鍵」は本人以外に知られないように厳重に管理されています。
多くの暗号資産交換業者は、利用者の暗号資産を管理しており、暗号資産の流出リスクに対応するために、ハッキング対策を講じています。
表2 「秘密鍵」の管理方法
|
管理方法 |
概要 |
|---|---|
|
コールドウォレット管理 |
秘密鍵を、常時インターネットに接続していない電子機器等に記録して管理すること |
|
マルチ・シグネチャ |
複数の秘密鍵を登録し、そのうちのいくつかの秘密鍵を利用しないと署名・送信できなくすること |
出所:「図解でスッキリ暗号資産の会計とブロックチェーンのしくみ」EY新日本有限責任監査法人編、暗号資産交換業者に関する内閣府令第27条第3項を参考に記載
② 暗号資産の流出リスク対応策
暗号資産交換業者において、暗号資産の流出リスクを低減する方法として、前述の秘密鍵管理を含め、以下のような対応策が挙げられます。
表3 暗号資産の流出リスク対応策
|
対応策 |
概要 |
|---|---|
|
規則等の整備・運用 |
|
|
秘密鍵管理 |
|
|
移転取引の真正性確認 |
暗号資産の移転に係る取引内容の真正性を確認 |
|
自動移転の上限設定 |
利用者からの依頼によって自動的に外部移転させる場合、一回又は短時間に移転する資産の上限を設定 |
|
バックアップ |
秘密鍵等が紛失した場合に備え、バックアップを作成 |
|
内部監査 |
内部監査の実施 |
出所:金融庁「第三分冊:金融会社関係」www.fsa.go.jp/common/law/guide/kaisya/index.html (2025年8月12日アクセス)
「監督指針・事務ガイドライン 第三分冊:金融会社関係 16.暗号資産交換業者関係」(令和7年6月現在)の「Ⅱ-2-2-4 暗号資産の流出リスクへの対応 ⑶ 流出リスクの低減」を参考に要約
2. 暗号資産交換業における財務報告リスク
前述のとおり、暗号資産には流出リスクがあり、実際に過去に秘密鍵管理の脆弱性を突かれた多額の流出事例が生じていることから、その実在性が財務報告上の代表的なリスクとなります。
その他にも、暗号資産交換業における事業特性等に起因して、暗号資産取引に係る収益の発生及び暗号資産の評価に関連する様々なリスクが考えられます。
表4 暗号資産交換業者における財務報告リスクの例
|
財務報告リスク |
概要 |
|---|---|
|
簿外アドレスを用いて取引を偽装、収益を過大計上するリスク(収益の発生) |
ブロックチェーン等の記録はアドレス所有者を直接特定できない特性があり、簿外アドレスに保管した暗号資産との間で、第三者との取引を偽装することが可能となる。 |
|
預り暗号資産と自己暗号資産との間で、評価損益を付け替えるリスク(収益の発生、暗号資産の評価) |
分別管理が適切に行われない場合、利用者資産と自己資産との間で評価損益の付け替えが可能となる。 |
|
保有暗号資産が実在しないリスク(暗号資産の実在性) |
外部者からのハッキング、内部者による横領等により、秘密鍵等の情報が流出し、暗号資産が盗用される可能性がある。また、秘密鍵等自体を紛失した場合、暗号資産を移転できず、消失と同様の結果となる。 |
|
評価単価を意図的に操作するリスク(暗号資産の評価) |
保有暗号資産は、価格変動リスクや流動性リスクを負う。流動性の低い暗号資産においては、取引量の違い等から取引所間で価格水準に相当の開きがあることがあり、特に留意が必要である。 |
出所:「暗号資産交換業者の財務諸表監査に関する実務指針」(業種別委員会実務指針第61号)を参考に要約(最終改正:2022年3月30日)
3. 暗号資産交換業における内部統制
暗号資産交換業者の財務諸表監査に関する実務指針において、暗号資産交換業者において想定される内部統制が例示されていますので、ご紹介します。
表5 暗号資産交換業者における内部統制の例
|
項目 |
概要 |
|---|---|
|
アドレス及び秘密鍵の生成 |
生成した全てのアドレス及び秘密鍵が、自己用・利用者用を区分した形で鍵管理簿に記録されることを担保する内部統制 |
|
利用者管理簿の登録・変更 |
口座開設時における本人確認を含む利用者管理簿への登録や変更に係る内部統制 |
|
暗号資産の移転 |
利用者の暗号資産の受払い、暗号資産交換業者間での 取引、自社保有アドレス間での移動などを行う業務に関する内部統制 |
|
預託資産の分別管理 |
利用者が預託した金銭及び暗号資産を適切に分別管理するための内部統制 |
|
取引事実と記録との照合 |
利用者との間の暗号資産の受払いと、ブロックチェーン等の記録が一致していることを確保するため内部統制 |
|
取引明細及び残高報告 |
利用者に対する取引明細及び残高報告の送付に関する 内部統制 |
|
誤入金対応 |
利用者又は利用者以外からの暗号資産の誤入金について、自己用及び利用者用と区分した上で返金又は利用者財産の調整等の対応を行うための内部統制 |
|
注文の有効性検証 |
利用者アカウントや注文価格等の観点で、利用者からの注文が有効かを検証する内部統制(有効な注文に基づく約定を、正確かつ網羅的にシステム上に記録することを含む) |
|
苦情等の対処 |
苦情等対処結果の確認に関する内部統制 |
|
通常から逸脱した取引 |
暗号資産の受払い等に係るブロックチェーン等の記録と暗号資産の取引システムのデータの整合を確認し、通常のフローからの逸脱がないかを確認する内部統制 |
|
時価評価 |
暗号資産に係る時価を適時に入手し、期末の時価評価額を決定及び承認するための内部統制 |
|
帳簿書類 |
業務及び利用者財産の管理状況を帳簿書類へ正確に反映させること、分別管理の監査結果を記録させること及び適切に保存させることに関する含む内部統制(規則等の整備、作成部署以外による事後的な検証等を含む) |
|
委託業務 |
利用者の暗号資産の管理を第三者に委託する場合、委託先において自社で管理する場合と同様の管理体制が整備されていることを確認する内部統制 |
|
ICO |
ICOにおける利用者保護及び業務の適切性が十分に確保されているかを確認することに関する内部統制 |
|
アクセス・セキュリティ |
未承認取引の実行、秘密鍵の不正使用、記録の改ざん等を防止するための、利用する外部サービスの環境も考慮した内部統制 |
|
サイバー・セキュリティ |
インターネットに接続された電子機器等で暗号資産や財務データを管理している場合における、サイバー攻撃に関する内部統制 |
|
システム企画・開発 |
設計/開発に係るドキュメントやプログラムの作成に関し、経営者が意図するとおりの業務要件、具体的なセキュリティ要件や脆弱なポイントが生じないような対策等が実装されるよう、各工程の完了をレビューし、記録を残すようなシステム企画・開発の内部統制 |
|
システム運用 |
問題検知時の対応、臨時処理等のシステム運用に関する内部統制 |
出所:「暗号資産交換業者の財務諸表監査に関する実務指針」(業種別委員会実務指針第61号)「付録2 暗号資産交換業者において想定される内部統制の例示」を参考に要約(最終改正:2022年3月30日)
4. KAMから読み解く、保有暗号資産の実在性の監査
前回の記事では、執筆時点である2025年3月22日以前の直近3年間で提出された有価証券報告書の監査報告書における監査上の主要な検討事項(KAM)として、「暗号資産」を対象とする事例について触れました。このうち、保有暗号資産の実在性がKAMの対象となった事例では、主に以下の2点から監査人が職業的専門家として特に重要であると判断し、KAMにしていることが読み取れます。
① 不正アクセス等により保有暗号資産が流出するリスクがあること
② 仮に流出が起きた場合に、暗号資産交換業者の財政状態及び経営成績に重大な影響を及ぼす可能性があることを
これらのKAM事例における監査上の対応としては、①秘密鍵管理体制等の内部統制の評価、②監査人によるブロックチェーン上の残高の検証等の実証手続、に大別され、まとめると下表のようになります。
表6 保有暗号資産の実在性に対応する監査手続例
5. おわりに
暗号資産交換業者は、利用者から預託を受けた暗号資産を自身が管理するウォレット内に保管しており、外部の第三者による不正アクセス等により暗号資産が流出するリスクに備えるため、秘密鍵管理体制やウォレット構造の構築において様々な対策を講じていることが、KAMの記載から読み取ることができます。
暗号資産が流出するリスクは、暗号資産交換業者における事業運営上のリスクであるとともに、監査人の立場からも特に重要な財務報告上のリスクとして認識されており、ブロックチェーン上の残高を検証するだけでなく、内部統制が適切に構築されているか否かが、着目点の一つといえます。
企業会計ナビ
会計・監査や経営にまつわる最新情報、解説記事などを発信しています。
