01 / FACT
Fact(確認できる事実)
- JVCEAのシステムリスク管理規則は、事業会員(暗号資産)が暗号資産関連取引に使用するシステムのリスク管理に関する基本事項を定めています。
- 規則上のシステムリスクには、システムのダウン・誤作動等による損失リスクと、コンピュータの不正使用による損失リスクがあり、会員以外が管理・運用するシステムも対象に含まれます。
- 事業会員は、部署又は業務単位ごとにシステム管理責任者を設置し、システム障害やサイバーセキュリティ事案の未然防止、迅速な復旧及び再発防止の体制を整備する必要があります。
- サイバーセキュリティリスクは少なくとも年1回、重大な脅威・脆弱性が判明したとき及び新商品・サービスの提供時にも評価し、対応計画を策定することが定められています。
- 規則は、脆弱性管理、定期的な脆弱性診断・ペネトレーションテスト、重要な結果の経営陣等への報告、システム稼働状況の常時監視を定めています。
- 外部委託は再委託先を含めて定期的にモニタリングし、クラウド利用では責任共有モデル、責任範囲、公開設定等を確認することが規定されています。
- 現行規則は2026年6月29日に一部改正され、JVCEAの公表によれば2026年7月1日に施行されています。
02 / SUMMARY
Summary(要約)
AIによる要約です。原文の範囲を超えず、確認の補助として表示します。
- この規則の中心は、日常のシステム運用とサイバーセキュリティ管理を、リスクの特定、評価、対応、監視、改善のサイクルとして実装することです。経営責任と方針を扱うシステムガバナンス規則とは関連しますが、同一の規則ではありません。
- 事業会員は、自社システムだけでなく、クラウド、外部委託、再委託先など業務に使用する外部システムも管理範囲へ含めます。資産・構成・情報流路を把握し、部署・業務単位の責任者と統括責任者への報告経路を明確にします。
- リスク評価は定期年次作業だけでは足りません。重大な脅威や脆弱性の判明時、新商品・新サービスの提供時にも評価し、回避・軽減・受容・移転の対応計画、例外手続、経営陣承認及び残存リスク報告へ接続します。
- 技術統制には、多層防御、適切な認証、不正ログイン・異常取引の検知、ログ保全、脆弱性対応期限、定期診断・ペネトレーションテスト、稼働監視が含まれます。担当部門は重要な診断結果を経営陣等へ報告します。また、例外的に脆弱性対応を実施しない場合は、その判断とリスクについて経営陣等の承認を得る必要があります。
- 外部委託管理では、最終受託者までの定期モニタリング、委託元側の要員配置、利用者データの追跡、重要委託先の監査又は内部統制報告の確認を検討します。クラウドでは責任共有モデルと設定責任を具体的に確認します。
- 2026年7月1日施行版はサイバーセキュリティ対応を含む現行基準です。既存のリスク評価票、資産台帳、脆弱性管理、委託先管理、障害対応、教育・訓練及び報告手順を現行規則と対照する必要があります。
03 / COMMENTARY
Commentary(解説)
背景や論点の解説です。人による確認を終えた内容だけを表示します。
Commentaryは現在公開されていません。
04 / PRACTICAL IMPACT
Practical Impact(実務影響)
一次情報をもとに、対象・重要度・対応要否の観点で実務上の影響を整理します。
- 対象
- 暗号資産交換業者、JVCEA会員、システム・リスク管理担当者、コンプライアンス担当者、監査担当者
- 重要度
- 高
- 対応要否
- 要対応
- 影響範囲
- 市場全体
内容
JVCEAの事業会員(暗号資産)は、2026年7月1日施行版を基準に、年次・随時のリスク評価、脆弱性対応、監視、認証、外部委託・再委託、クラウド責任分界、障害復旧及び経営報告の手順を点検する必要があります。システムガバナンス規則との役割分担も含め、規程と実運用の双方を照合してください。