← 記事一覧

PRIMARY-SOURCE ARTICLE

JVCEAの暗号資産交換業に係るシステムガバナンス規則ガイド

Fact(確認できる事実)

  • JVCEAのシステムガバナンス規則は、事業会員(暗号資産)が暗号資産関連取引に使用するシステムのリスク管理について、ガバナンスを確保するための事項を定めています。
  • ガイドラインは、システムに関する判断を開発・運用現場の裁量だけに委ねず、重要な経営事項として経営陣の責任で扱うことを示しています。
  • 事業会員は、実効性あるシステムリスク管理態勢とサイバーセキュリティ管理態勢を整備し、金融庁の金融分野におけるサイバーセキュリティに関するガイドラインの「基本的な対応事項」を実施することが定められています。
  • 全社的なシステムリスク管理の基本方針を定めて定期的に見直し、その概要を公衆縦覧に供することが規定されています。
  • サイバーセキュリティの基本方針、戦略・取組計画及び人材育成・確保計画を策定し、戦略・取組計画は年次及び重要変更時に見直すことが定められています。
  • 規則は、システム統括管理責任者とサイバーセキュリティ統括責任者(CISO等)の配置、経営陣の資源配分、独立したリスク管理、内部監査及び役職別の教育・研修を定めています。
  • この規則・ガイドラインは2026年6月29日に制定され、JVCEAの公表によれば2026年7月1日に施行されています。

Summary(要約)

AIによる要約です。原文の範囲を超えず、確認の補助として表示します。

  • この規則の主な対象は、システム部門だけではなく、代表取締役、取締役会、システム統括管理責任者、CISO等、リスク管理部門、内部監査部門を含む経営管理体制です。経営陣がリスク、投資、人材、復旧、監査を判断できる仕組みを求めています。
  • 事業会員は、経営戦略と整合するシステムリスク管理の基本方針を策定し、定期レビューと見直しを行います。基本方針の概要は公衆縦覧の対象となるため、内部文書の整備だけでなく、外部公表する範囲と内容も確認します。
  • サイバーセキュリティは組織全体のリスクとして扱い、基本方針、複数年を含む戦略・取組計画、人材育成・採用・研修計画を連動させます。年次及び重要変更時の見直し、必要な専門人材と経営資源の確保を経営レベルで管理します。
  • 責任体制では、十分な知識・経験を持つシステム統括管理責任者とCISO等を経営陣の責任で配置し、担当部署・関係者の役割、責任、権限を明確にします。サイバー監視、報告・広報、指揮命令、CSIRT等の緊急対応、情報共有、人材育成を組織横断で整備します。
  • 牽制機能として、業務・開発・運用等の役割分離、独立したリスク管理部門による監視と取締役会等への報告、リスクベースの内部監査が求められます。監査は整備状況・運用状況、対応・復旧、法規制遵守、サードパーティリスクを含みます。
  • システムリスク管理規則が日常のリスク評価・技術統制・委託先管理を具体化するのに対し、この規則は経営方針、責任者、資源配分、独立牽制、監査、人材という上位のガバナンスを扱います。両規則を対応付けて点検する必要があります。

Commentary(解説)

背景や論点の解説です。人による確認を終えた内容だけを表示します。

Commentaryは現在公開されていません。

Practical Impact(実務影響)

一次情報をもとに、対象・重要度・対応要否の観点で実務上の影響を整理します。

  1. 対象
    暗号資産交換業者、JVCEA会員、システム・リスク管理担当者、コンプライアンス担当者、監査担当者
    重要度
    対応要否
    要対応
    影響範囲
    市場全体

    内容

    JVCEAの事業会員(暗号資産)は、2026年7月1日施行の新規則に対し、取締役会等の関与、基本方針と外部公表、システム統括管理責任者・CISO等、資源配分、年次計画、人材、独立牽制、内部監査及び危機時訓練を対応付ける必要があります。システム部門だけの改定とせず、経営陣、システム部門、リスク管理部門及び内部監査部門が、それぞれの責任と対応状況を確認する必要があります。