適切な役職名が記載された組織図だけでは、ライセンスは取得できません。規制当局が求めているのは、コンプライアンス体制そのものです。つまり、文書化された独立性、3つの異なる知識領域にわたる集合的な専門知識、そして真に実質的な組織体制です。これが、その基準が実際にどのように機能するかという実態です。
MiCAを徹底解説:規制当局がコンプライアンスチームを「一つの頭脳」と見なす理由
共有
「MiCA Decoded」は、Bitcoin.com News向けに毎週配信される全12回の連載記事であり、LegalBisonの共同創業者兼マネージングディレクターであるアーロン・グラウバーマン、ヴィクトル・ユスキン、サビル・アリエフが共同執筆しています。LegalBisonは、欧州およびその他の地域において、暗号資産およびフィンテック企業に対し、MiCAライセンス、CASPおよびVASPの申請、ならびに規制対応体制の構築に関するアドバイスを提供しています。
神話:コンプライアンス担当者を外部委託すれば十分
創業者が暗号資産サービスプロバイダー(CASP)の認可取得に向けた計画を始めると、会話はほぼ必ず同じ局面に到達します。「では、コンプライアンス担当者を採用する必要があるのでしょうか?」 時には、その質問に続いてこう尋ねられることもあります。「そして、マネーロンダリング報告責任者(MLRO)も必要ですか? これで完了ですか?」
その答えは、どちらも「はい」です。しかし、これら2つの役職の任命をゴールと見なすことは、MiCAがコンプライアンス機能に実際に求めていることを誤解する、最も一般的かつ重大な誤りです。 規制当局は、組織図に適切な役職名が記載されているかを確認しているわけではありません。彼らは、経営陣が全体として、規制対象の金融機関を運営するために必要な知識体系、構造的な独立性、および文書化された業務の深さを備えているかどうかを評価しているのです。 MiCAの免許は個人に発行されるのではなく、組織に発行されるものです。この違いこそが、多くの初期申請が停滞したり、国家管轄当局(NCA)の認可を得る前に大幅な修正を余儀なくされたりする根本的な理由なのです。
規制における「集合的」の真の意味
MiCA第68条(1)は、この点について明確に規定しています。経営陣の構成員は、「個人として、かつ集合体として」適切な知識、技能、および経験を有していなければならないのです。この「集合体として」という一言が、規制上極めて重要な役割を果たしています。
MiCA対象事業体の経営陣および株主の適格性に関するEBAとESMAの共同ガイドラインは、経営陣が有すべき専門的経験の具体的な分野を列挙することで、この基準の仕組みを明確にしています。LegalBisonのシニア・ローヤーであるEira Järvi氏は、以下の表に具体的な要件をまとめました。
| 要件のカテゴリー | 詳細な説明 |
| 金融市場規制 | 金融商品およびDLT金融商品に関する理解(SIBAおよびその他の適用法令に基づく規制要件を含む) |
| AML/CTFコンプライアンス | AML/CTF 要件に関する知識(リスクの特定、評価、および軽減戦略を含む) |
| 仮想資産 | 資産連動型トークンや電子マネー・トークンなどの仮想資産の種類、およびそれらに伴うリスクに関する知識 |
| データ保護 | 当社の事業運営に関連するデータ保護義務の理解 |
| リスク管理 | 市場リスク、信用リスク、流動性リスクを含むリスク管理の原則と手順の理解 |
| ガバナンスおよび内部統制 | ガバナンス体制、監督メカニズムおよび内部統制の有効性を評価する能力 |
| デジタル・オペレーショナル・レジリエンス | オペレーショナル・レジリエンスに関する要件への精通 |
| 戦略的および経営的な知見 | 戦略計画の策定、事業開発、事業目標の実施に関する経験 |
| 第三者管理 | アウトソーシング契約やサードパーティ・プロバイダーの管理、関連する規制要件を理解していること |
| コミュニケーションと監督 | 効果的な監督を確保するため、見解を提示し、戦略について議論し、必要に応じて経営陣の決定に異議を唱える能力 |
| 会計および監査 | 財務情報を解釈し、重要な課題を特定し、関連する会計および監査基準を理解する能力 |
| 法規制に関する知識 | VASPに適用される法的要件(VAの発行・管理を含む)に関する知識 |
ESMAのガイドラインを分析すると、経営陣の総合的な能力プロファイルが、Eiraが詳述したすべての項目を含む3つの主要な知識領域を明らかに網羅していなければならないことが明らかになります。
- 従来の金融市場:規制枠組み、投資家保護義務、市場行動規範、および認可を受けた金融サービスプロバイダーに適用される業務基準。
- デジタル台帳技術(DLT)インフラおよびサイバーセキュリティ:ブロックチェーンアーキテクチャ、プロトコルレベルのリスク、スマートコントラクトのエクスポージャー、サイバーセキュリティ脅威モデリング、およびオンチェーンサービス提供から生じる特定の運用上の脆弱性。
- 事業戦略および組織ガバナンス:リスク管理設計、内部統制アーキテクチャ、ガバナンス方針、ならびに自社のコンプライアンス実効性を評価し定期的に見直す能力。
ただし、規制当局が1人の人物にこれら3つの領域すべてを網羅することを求めているわけではない。ESMAが企業に対し「集団としての適格性」の評価を提出するよう求めているとおり、期待されているのはチーム全体としてこれらすべてを実質的なギャップなくカバーすることである。
DLTインフラのリスクを評価できる人材が一人もいない、伝統的な金融業界のバックグラウンドを持つメンバーのみで構成された経営陣は、申請を提出する時点で構造的に不備があると言えます。逆もまた然りです。規制対象となる金融市場の業務慣行を理解する人材が一人もいない、技術的に精通した「クリプトネイティブ」なチームも、同様に厳しい精査を受けることになります。
誰も語らない「時間的コミットメント」の問題
「集団的適格性」基準には、申請者を不意を突く第二の側面がある。適切な人材は、書類上だけでなく、実際に存在していなければならない。経営陣の各メンバーは、会社に対する最低限の時間的コミットメントを文書で記録しなければならない。具体的には、その役職に費やす時間の見積もり(年次および月次の両方の目安を含む)に加え、現在兼任している他のすべての執行役および非執行役の役職に関する正式な申告が必要である。
ESMAの認可に関する規制技術基準案(第1回意見募集パッケージに基づく)はこの点を明確に規定しています。評価の対象となるのは、各人物が名目上リストされているだけでなく、機能的に存在しているかどうかです。 他に4つの取締役職を兼任し、さらに2社のコンプライアンス顧問を務めている非執行役員は、直接的な精査を受けることになります。NCAは、申請書に適切な名前が記載されているだけでなく、経営陣が実際にその職務を遂行できることを確認する必要があります。
これは、認可申請を強化するために経験豊富なコンプライアンス担当者を非常勤や顧問として招へいする創業間もない暗号資産企業にとって最も重要な点です。規制当局はその人物が月に何時間従事するのかを正確に把握し、その数値を役職の範囲や企業が提供しようとしているサービスと比較します。責任と時間的コミットメントの不一致は、単なる形式上の問題ではなく重大な懸念事項となります。
内部統制機能:役職名よりも組織体制
経営陣の集団的適格性を理解することは全体像の一部に過ぎません。MiCA第68条(4)は、CASPsに対し、「コンプライアンスを確保するのに十分に有効な」方針および手続を採用することを求めています。第68条(5)は、企業のあらゆるレベルに適切な知識を持つ人材を配置することを求めています。第68条(6)は、経営陣に対し、これらの体制の有効性を定期的に見直し、発見された不備に対処することを求めています。
ESMAのRTS草案はこれをさらに踏み込んでいます。同草案は、企業に対し具体的な内部統制機能を特定し、それぞれについて以下を文書化することを求めています:
- 経営陣への直接報告ラインを確保していること。
- また、その機能が監督対象となる事業部門から独立して運営される方法。
- 重大なコンプライアンスリスクが検知された際に、当該機能が定例的に、また緊急時(アドホック)に経営陣にアクセスする方法を明記すること。
この内部統制フレームワークの中核を成す3つの機能領域は以下の通りです:
- コンプライアンス機能(規制上の義務、行動指針、内部手続)。
- リスク評価機能(リスクの特定、評価手法、エスカレーション手順)。
- 内部監査機能(独立した有効性レビュー、定期的な評価)。
なお、AML/CFT機能および事業継続機能も認可申請の必須要件ですが、ESMAはこれらを中核的な内部統制フレームワークとは別の組織要件として扱っています。MiCAのレベル1条文では必ずしもこれらの正確な名称が明記されているわけではありません。ESMAのRTS(規制技術基準)は、これらの中核的な内部統制領域について、責任者が明確に指定され、責任範囲が文書化され、かつ構造的な独立性が検証されている必要があることを明確にしています。
特にこの最後の点で、多くの申請において構造的な欠陥が露呈します。収益や事業開発も担当する最高執行責任者(COO)に報告するコンプライアンス機能は、規制上の意味では独立しているとは言えません。また、トレーディングデスク内に組み込まれ、監視対象であるデスクと同じ報告系統を通じて上層部に報告するリスク機能も、基準を満たしていません。
規制当局は組織図の提出を求め、コンプライアンス責任者が実際に誰に報告し、その人物のその他の責任範囲がどこまで及び、重大なコンプライアンスリスクが特定された際にどのようなエスカレーション権限を持っているかを問うことになる。真の独立性を備えた体制に基づいてCASPライセンス申請書を作成するには、申請書の草案作成前にその構造を設計しておく必要があり、事後に後付けで対応してはならない。
実体要件:名義取締役の問題
認可申請書には、EU域内における実効的な経営管理を行うための物理的拠点を記載しなければならない。これには本社の住所、該当する場合は支店の所在地、および実際の意思決定が行われる地域が含まれる。
- 実質的な権限を行使する取締役のうち少なくとも1名はEU域内に居住し、本拠地となる加盟国のNCA(国内監督当局)が連絡を取れる状態にある必要があります。
- EU管轄区域内に登録住所があるだけで、名義取締役の契約で運営されている場合は、この基準を満たしません。
- 実体要件とは、人的意思決定の重みが実際にEU域内に存在することを意味します。
NCAは、RTS申請書の所在地欄および各経営陣メンバーの時間的関与に関する開示情報を通じてこれを評価します。
四半期ごとに2週間EUに物理的に滞在している取締役は、規制上の実質的な意味において居住取締役とはみなされません。これは、EU域外のグローバル本社から事業を展開し、欧州での暗号資産ライセンス取得を目指している企業にとって特に重要な点です。EUに拠点を置く事業体は、他地域から運営されるグループ構造の単なる管理上のフロントとしてではなく、実質的な意思決定単位として機能しなければなりません。
事業継続はコンプライアンスチームの管轄である
事業継続は広くIT部門の責任とみなされています。しかし、MiCAおよびデジタル・オペレーショナル・レジリエンス法(DORA)の下では、認可を受けたCASPにとって、そのような枠組みは誤りです。
事業継続方針は、経営陣が所有し、承認し、維持管理しなければなりません。DORA(EU規則2022/2554)は情報通信技術に特有の要素を規定しており、CASPは金融機関としてDORAの適用範囲に含まれます。これら2つの枠組みは同時に機能するため、コンプライアンス部門は両方を同時に適切に運用できる能力を備えていなければなりません。
ESMAの第2回MiCA意見募集文書では、パーミッションレス型分散台帳技術(イーサリアムなどのパブリックブロックチェーン)上で事業を行う企業に対し、DLTレベルでサービス中断が発生した場合、顧客と積極的かつ体系的にコミュニケーションを取ることを義務付ける具体的な規定が導入された。
顧客資金にリスクがあるかどうかを常時更新し、サービス復旧をどのように管理しているかを明確に示さなければなりません。基盤となるブロックチェーンがパーミッションレスであるかどうかにかかわらず、企業は自社のスマートコントラクトに起因する損失について全責任を負います。
これは一般的なIT障害対応方針とは異なります。この義務を真に果たすためには、経営陣が一般的な技術的知識をはるかに超えたレベルでDLTインフラのリスクを理解している必要があります。ブロックチェーンのリスクを一般的な用語でしか説明できないコンプライアンスチームでは、規制当局の精査に耐えうる事業継続方針を策定・レビュー・維持することはできません。
データ標準としてのコンプライアンス機能
コンプライアンス機能の責任範囲はデータアーキテクチャにまで及びます。取引プラットフォームを運営するCASPs(暗号資産サービス事業者)は、すべての記録管理およびNCA(国家監督当局)への報告において、デジタル・トークン・識別子(DTI)標準を使用しなければなりません。DTIは各暗号資産を一意に識別し、それが発行、取引、または決済される特定のDLTと関連付けます。これにより、規制当局は一貫性があり比較可能なデータを用いて国境を越えた監視を行うことができます。
ISO 20022メッセージング標準は、当局提出用の取引データフォーマットを規定しています。市場濫用を防止するため、取引前・取引後の透明性データは、差別的でない機械可読の公開チャネルを通じて開示されなければなりません。これらの要件にはいずれも技術的側面があり、コンプライアンスチームが主導権を握る必要があり、IT部門に盲目的に委任してはなりません。
RTSが求める具体的なデータ基準に対するコンプライアンス上の監督なしに、記録管理を一般的なシステム管理業務として扱う企業は、認可取得後に監督上の問題に直面することになります。これらの基準が存在するのは、まさにNCAが単一の分析を通じて数百のCASPにまたがる記録を比較できるようにするためです。要求された形式でデータを提示できない企業は、継続的なコンプライアンスを実証できない企業です。
これこそが「単一の脳(single brain)」という基準の実践的な意味である。コンプライアンスチームは、規制への理解、ガバナンス体制、DLTの運用知識、そして技術的なデータリテラシーを統合し、単一の機能として発揮する。これらの要素のいずれも、他の部門に完全に外部委託することはできない。
アプリケーション構築の前にチームを構築する
CASP MiCAライセンスの認可申請書は、すでに存在する組織の実態を記録するものです。この認識こそが、プロセスを効率的に進める企業と停滞する企業とを分ける要因となります。 欧州で暗号資産取引所のライセンス、デジタル資産カストディの認可、またはその他のCASPライセンスの取得を目指す企業は、チーム体制の構築を、申請書の作成過程で徐々に整えていくものではなく、最初の成果物として取り組む必要があります。
最初の文書が作成される前に、コンプライアンス部門は組織として独立していなければなりません。NCA(国家規制当局)による審査が始まる前に、経営陣の集合的な知識範囲を評価し、不足している部分を補う必要があります。時間的コミットメントに関する開示内容は、提出される前に現実的なものでなければなりません。
このロジックは世界的に当てはまります。EU以外の管轄区域でVASPライセンスを申請する企業も、同様の基準に直面するケースが増えています。中東、アジア太平洋、南北アメリカの規制当局も、コンプライアンス機能の設計において形式よりも実質を重視する方向へ収束しつつあります。現在施行されている中で最も詳細かつ技術的に具体的なEU基準は、主要な管轄区域で規制対象となる体制を構築するあらゆるチームにとって有用なベンチマークとなります。
「我々はDeFiなので、MiCAは適用されません」。しかし、EBAとESMAの見解は異なります。
規制当局が管理、ガバナンス、コンプライアンスに関する規則を検討する中、MiCAはDeFiの分散化に関する主張に疑問を投げかけています。 read more.
今すぐ読む
「我々はDeFiなので、MiCAは適用されません」。しかし、EBAとESMAの見解は異なります。
規制当局が管理、ガバナンス、コンプライアンスに関する規則を検討する中、MiCAはDeFiの分散化に関する主張に疑問を投げかけています。 read more.
今すぐ読む「我々はDeFiなので、MiCAは適用されません」。しかし、EBAとESMAの見解は異なります。
今すぐ読む規制当局が管理、ガバナンス、コンプライアンスに関する規則を検討する中、MiCAはDeFiの分散化に関する主張に疑問を投げかけています。 read more.
重要なポイント 誤解:コンプライアンス責任者とMLRO(マネーロンダリング対策責任者)を任命すれば、MiCAのコンプライアンス義務は満たされる。 現実:MiCAが求めているのは、単なる役職名のリストではなく、機能するコンプライアンス体制である。
管理機関が基準を満たしているかどうかは、以下の3つの要素によって決定されます: 知識の包括性。チームは一つの単位として、伝統的な金融市場の専門知識、DLTおよびサイバーセキュリティの熟練度、そして組織ガバナンス能力を網羅していなければなりません。いずれかの領域における不足は、単なる人材構成の好みではなく、構造的な欠陥となります。
中核的な内部統制機能(コンプライアンス、リスク評価、内部監査)については、責任者が指名され、経営陣への直接報告ラインが確立され、監督対象事業部門からの独立性が検証されていなければなりません。(注:AML/CFTおよび事業継続計画も同様に必須ですが、別個の組織的柱として扱われます)。コンプライアンス機能を収益創出部門経由で配置する組織図は、NCAの精査に耐えられません。
真の組織的実体。時間的コミットメントは真摯なものであり、文書化されなければならない。EUにおける物理的な拠点は、単なる登録住所ではなく、実際の意思決定における重みを反映したものでなければならない。事業継続方針は、経営陣レベルで責任が明確化されている必要がある。データ報告は、初日からDTIおよびISO 20022の基準を満たさなければならない。 CASPライセンス申請は結果に過ぎない。コンプライアンス・アーキテクチャこそが基盤である。まずは基盤を築くこと。
本記事は2026年4月にLegalBisonが実施した調査に基づいています。内容は情報提供のみを目的としており、法的助言を構成するものではありません。
