MiCAを徹底解説：「EUに事務所がある」だけでは不十分：規制当局が実際に求めているものとは

「MiCA Decoded」は、Bitcoin.com News向けに毎週連載される全12回のシリーズで、LegalBisonの共同創業者兼マネージングディレクターであるアーロン・グラウバーマン、ヴィクトル・ユスキン、サビル・アリジェフが共同執筆しています。LegalBisonは、暗号資産およびフィンテック企業に対し、MiCAライセンス、CASPおよびVASPの申請、ならびに欧州およびその他の地域における規制対応の構築について助言を行っています。

今週の記事は、LegalBisonの弁護士であるクリスティアン・ラプカ氏が執筆しました。ラプカ氏は国境を越えた企業・商取引に加え、大陸法とコモン・ローの交差点における戦略的リスク管理を専門としています。

---

初めてCASPの申請に臨む創業者の多くは、少なくとも抽象的には、MiCAがEU域内での実質的な拠点（real EU presence）を要求していることを理解しています。しかし、彼らが過小評価しているのは、規制当局が「実質的」をどのように定義しているかという点です。

典型的な初期段階の体制は、書類上は一貫しているように見えます。EU内の有利な管轄区域に登記上の本店を置き、ガバナンス文書に取締役を記載し、ICTシステムはクラウドホスティングかグループのグローバルインフラから管理され、払込資本金は新しく開設した銀行口座に預けられているといった具合です。内部から見れば、これはEU企業のように感じられます。しかし、各国の所管当局の視点から見れば、取締役が付随した単なる「ペーパーカンパニー」のように映る可能性があります。

本稿では、MiCAの実体要件が人材・技術・財務の各領域で具体的に何を求め、規制当局が各カテゴリーを単なる書類上のチェックではなく機能的なテストとして扱う理由を整理します。これらすべてを突き動かす懸念は一つです。すなわち、有利な管轄区域に書類上は存在しても、その地域内で実質的な経済活動、人的資本、運営能力を欠く「ペーパーカンパニー」を防ぐことです。

神話：「実在＝実質」

この論理はMiCA以前から存在します。画期的なキャドバリー・シュウェップス判決（事件番号C-196/04）で欧州連合司法裁判所は、設立の自由が「完全に人為的な取り決め」を生み出すために利用されてはならないと判示しました。MiCAはこの原則を暗号資産規制に直接組み込んでいます。

MiCA第59条(2)は、認可を受けたCASPs（暗号資産サービス提供者）について、暗号資産サービスの少なくとも一部を実施する加盟国に本店を置き、実質的な経営拠点をEU域内に有し、かつ少なくとも1名の取締役がEU域内に居住していなければならないと規定しています。この規定は簡潔ですが、その背景にある要件ははるかに厳しいものです。

ESMA（欧州証券市場監督局）の「CASPの認可に関する監督ガイダンス」は拘束力を持たないものの、各国の監督当局（NCA）が実務でこれらの要件をどう解釈すべきかを明確に示しています。この法文と監督当局の期待との間のギャップこそが、多くの申請で摩擦が生じる原因となっています。

人員：この事業体を実際に運営しているのは誰か

MiCAの最低要件はEU域内に居住する取締役が1名いることですが、監督当局のガイダンスはこの基準を引き上げています。ESMAのブリーフィングでは、日常業務を共同で監督する上級幹部が少なくとも2名いることが想定されています。その根拠は単純明快です。幹部が1名のみでは集中リスクが生じ、機能するガバナンス体制に必要な内部統制が失われるからです。責任範囲が明確に定義され、かつ相互に補完し合う2名の幹部が存在することが、期待される最低基準とされています。

居住地だけでは不十分です。ガイダンスでは、管理機関のメンバーがNCA（国内監督当局）の管轄区域外に居住している場合、当局の要請に応じて2営業日以内に対面会議に出席できる必要があります。監督当局との物理的な近接性が運用上重要な管轄区域では、これは取締役が本拠地の管轄区域からどれほど離れていても効果的に職務を遂行できるかという点に対する実質的な制約となります。時間的コミットメントについても同様に厳格に扱われます。 ESMAは「CASPの認可に関する監督当局向けブリーフィング」で、経営陣メンバーは原則として業務時間の100％をCASP業務に専念すべきとの見解を示しています。同一の個人が複数の事業体で経営職を務める「二重役職」は、限定的な状況でのみ容認されます。CASPと他のグループ会社の両方に注意を割いている経営幹部は、適格性審査で詳細に検証される可能性が高いです。

報告ラインは個人の経歴と同様に重要です。経営陣は、戦略および業務の統制がEU域内の事業体内にあり、実質的な意思決定や指示を下す第三国の親会社にはないことを実証しなければなりません。経営陣が機能的に非EU本社の実施代理人として活動しているEU子会社は、監督上、真のEU経営体制を有する事業体とはみなされません。

AML（資金洗浄対策）の観点からもこの点は強調される。不審取引報告書の提出責任者（MLRO）は現地に常駐し、事業体内で実質的な権限を持ち、現地の金融情報機関（FIU）と直接連携できる必要がある。この要件はより広範な世界的な傾向を反映している。FATF（金融活動作業部会）およびOECDの暗号資産報告枠組み（CARF）も同様の論理に基づいており、実体性と透明性の要件をEU域外へと拡大している。

MiCAの人員要件とCARFは、無関係な動きではありません。これらは、規制対象となる暗号資産事業体が内部においてどのような在り方をすべきかについて、国際的な基準が収束しつつあることを反映しています。 第68条(1)項に定める「集団的適格性基準」は、経営陣が個人および集団の両面において、適切な知識、技能、および経験を有することを求めています。 本シリーズの前回記事で取り上げたように、この基準は伝統的な金融市場規制、DLTインフラおよびサイバーセキュリティ、組織ガバナンスの各領域にまたがっています。意思決定の場ではこれらの領域が適切に代表される必要があります。規制対象の金融サービス経験を持たず、暗号資産業界出身者だけで構成されるチームや、伝統的な金融（TradFi）の深い経験はあってもオンチェーンリスクを評価する能力に欠けるチームは構造的な欠陥があるとされ、評価プロセスで露呈するでしょう。

テクノロジー：ホスティングではなく、管理

DORA（EU規則2022/2554）はCASPsに直接適用され、ICTレジリエンス要件の枠組みを定めています。規制当局が技術に関して注目するのは、企業がどのようなインフラを使用しているかではありません。重要なのは、それを誰が管理しているかです。

AWS、Azure、または同等のプロバイダーがホストするクラウドインフラは、現時点の監督実務では許容されます。問題となるのは、EU内で認可を受けた事業体が、自らが依存するシステムに対して実質的な管理統制権を持たない場合です。暗号鍵の管理が親会社のグローバルITチームに委ねられている場合、顧客データへのアクセス権限がEU域外から管理されている場合、あるいは災害復旧計画が第三国の本社からの承認に依存している場合、EU内の事業体は真の業務上の独立性を立証できません。

ESMAの意見募集資料が示すとおり、ESMAの立場は、EU内の経営陣がCASPの業務に関連するICTインフラについて実質的な管理権限を保持すべきだというものです。第68条(7)項で要求される事業継続方針および災害復旧計画は、危機的状況で確実に機能するか不確かなグローバル機能に依存することなく、EU内の事業体が所有し、実行可能なものでなければなりません。

親会社のグローバルITチームが一夜にして利用不能になった場合、EU事業体が業務を継続し、顧客資金にアクセスし、資産を顧客に返還できるかが問われます。答えが「いいえ」であるか、あるいはEU域外の担当者に大幅なエスカレーションなしには不可能である場合、実質的な要件は満たされていないことになります。

GDPRの遵守要件やデータガバナンス要件は、DORAの枠組みの上に重ねて適用されます。データ処理の取り決め、管理者と処理者の関係、データ居住地の考慮事項などは、すべて規制当局が審査する技術的アーキテクチャの一部を構成します。

金融：実質的な資本

第67条は最低限の健全性確保措置を定めています。資本の階層はサービス区分ごとに定義されています：

最低資本金はあくまで出発点であり、上限ではありません。健全性確保のための担保額は、恒常的な最低資本金と前年度固定費用の4分の1のいずれか高い方でなければならない。CASPが成長し固定費用が増加するにつれ、この2つ目の要件が制約要因となります。固定費用が当初の払込資本の4倍を超えた場合、企業は固定費用ベースの枠組みへ移行しなければなりません。 この転換点は多くの事業者が予想するより早く訪れます。規制当局は事後的な調整ではなく、事前のモニタリングを求めています。 構造的な留意点として、資本金は正式な信用機関に開設された口座に払い込まなければなりません。 EMI（電子マネー機関）や決済サービスプロバイダーの口座ではこの要件を満たしません。暗号資産事業者として銀行との取引関係を構築するには時間がかかり、その成立は保証されていません。 申請を正式に提出する前の早い段階でこのプロセスを開始することは任意の選択肢ではなく、認可取得の全スケジュールに影響を及ぼす順序上の制約です。固定経費の算定に用いる財務諸表が国家規制当局によって適切に監査または検証されている必要があるという要件は、さらなる事務的負担をもたらします。設立されたばかりの事業体が最初の12か月間の固定経費を予測する場合、その予測値を認可申請書に含め、その算定方法を明確に文書化しなければなりません。

アウトソーシングと実体要件

第73条はCASPが業務機能を第三者にアウトソーシングすることを認めている。ただし、アウトソーシングによって認可事業体の実体が空洞化してはならないという制約がある。責任はCASPに残り、権限の委譲は説明責任の移転を意味しない。

ESMAのCASP認可に関する監督ブリーフィングでは、EU域外に所在する機能に帰属する総コストの割合を実用的な指標として挙げており、アウトソーシングが行き過ぎているかどうかの判断に用いています。運営費の大部分がEU域外のサービスプロバイダー（たとえ運営が適切で評判の良い業者であっても）に支払われている場合、そのCASPはEU内の事業体が単なる中継点ではなく、真のサービスプロバイダーとして認定されるのに十分な内部能力を有しているかどうかを疑問視される可能性があります。

規制当局が区別しているのは、管理権限を保持しつつ特定の機能を外部委託するCASPと、実質的な業務をすべて外部委託し法的形態のみを保持するCASPである。後者は申請書においてその取り決めがどのように記述されていようとも、単なる「ペーパーカンパニー」に過ぎない。

管轄区域による差異：同じ法律、異なる実務

MiCAはEU全加盟国で直接適用されます。実質的な要件は統一されていますが、監督実務は異なります。キプロスはCySECを通じて、CASPの取締役会の過半数がキプロスに実在する居住者であることを明示的に要求しています。執行役2名と非執行役2名からなる取締役会の場合、最低3名のキプロス居住者取締役が必要となります。 これはMiCAの条文が求める要件を超えたものであり、調和されたEUの枠組みの上に重ねられた各国のAML指令を反映したものです。エストニアの状況は異なります。金融情報局（FIU）が管理していた以前のVASP登録制度の下、エストニアは欧州で最も参入しやすいライセンス管轄区域の一つとなりました。MiCAへの移行に伴い、監督責任はエストニア金融監督・破綻処理庁（EFRA）に移管され、審査および継続的な監督において異なる制度的アプローチが採用されることになりました。

本シリーズの以前の記事で取り上げたポーランドでは、国内のMiCA実施法がまだ制定されていないという構造的なギャップが生じています。その結果、KNF（金融監督庁）は管轄当局として正式に指定されておらず、VASP保有者は国内でCASPを申請する現実的な手段を持たない状態にあります。

こうした差異は抜け穴や行政の特異な事情によるものではありません。調和された法的枠組みであっても、運用は各国の監督文化、人員の制約、制度の歴史を通じて行われるという現実を反映しています。CASP認可を受ける管轄区域を選択することは規制当局を選択することであり、それに伴うあらゆる実務上の影響を伴うことを意味します。

「実質的な事業所」に実際に求められるもの

総じて言えば、MiCAに基づく実質要件は、単なるチェックリストではなく、監督当局の哲学を反映したものです。規制当局は、万が一問題が発生した場合に、実効性のある是正措置を講じられることを求めています。つまり、経営陣が物理的に連絡可能であり、EU法の下で法的責任を負うことが求められます。また、EU域外の認可チェーンに依存することなく、EU域内の事業体がICTシステムを管理できることが求められます。さらに、実際に利用可能であり、実際の業務リスクに見合った規模の資本が確保されていることが求められます。

また、EU域内の事業体が外部からの指示を実行するのではなく、自ら実質的な意思決定を行うガバナンス体制が整っていることも求められます。これを単なる書類作成作業と捉える企業は、予想以上にプロセスが困難だと感じる傾向があります。一方、まず実体（実質的な事業基盤）を構築し、その上で構築した内容を文書化する企業は、よりスムーズに進められる傾向があります。申請手続きそのものが組織を作り出すわけではありません。それは、すでに大部分が存在しているべき組織を記述するものに過ぎないのです。

出典：

• ESMAによるCASP認可に関する監督ブリーフィング
• ESMA MiCA 協議文書（第2パッケージ）
• MFSA MiCA規則集

本記事は2026年5月にLegalBisonが実施した調査に基づいています。本内容は情報提供のみを目的としており、法的助言を構成するものではありません。