国内 VASP セキュリティ・監査・ISMS 認証実務
確度 概ね確度あり
更新 2026-05-19
要再確認 2026-09-21
出典 2
機械翻訳 #exchanges#vasp#security#audit#isms#iso27001
概要
国内 VASP は FSA 監督指針 + JVCEA 自主規制規則 + 業界自主標準 の三層でセキュリティ + 監査義務を負う。法定要件に加え、ISMS (ISO/IEC 27001) や SOC2 Type II 報告書 等の第三者認証取得が事実上のスタンダード化しており、機関投資家オンボーディング + 海外連携 + B2B カストディ 受託の前提条件となっている。Coincheck NEM 流出 (2018) + DMM Bitcoin Lazarus 流出 (2024) を経て、認証取得は「任意だが取らないと業界に居られない」状態。
法令上の義務 (改正資金決済法 + 監督指針)
- システムリスク管理体制: 経営層関与 + リスク評価 + 内部監査 (年次)
- 顧客資産分別管理: 信託保管 + 内部監査 + 監査法人による外部監査
- コールド保管 95% / ホット 5%: JVCEA 規則 運用監査義務
- AML/CFT 内部統制: 犯収法対応 + JAFIC 報告体制
- 個人情報保護: 個人情報保護法 (個情法) + GDPR 域外適用 (海外顧客あれば)
第三者認証 (任意だが事実上必須)
- ISMS (ISO/IEC 27001): bitFlyer / Coincheck / GMO コイン / SBI VC トレード / bitbank 等主要全社取得
- SOC2 Type II: 機関 OTC / カストディ中心 (Crypto Garage / Custodiem / Komainu Japan 等)
- PCI DSS: 法定通貨カード決済関連 (一部)
- 公認内部監査人 (CIA) / 公認情報システム監査人 (CISA): 内部監査部門に必置化
監査法人別 担当 VASP
- EY 新日本: bitFlyer / Coincheck
- PwC あらた: SBI VC トレード
- デロイト トーマツ: GMO コイン
- KPMG あずさ: Custodiem / Mercury 系
- グローバル 4 大が 100% 寡占 — 中小監査法人は VASP 監査参入困難 (専門人材 + コスト + リスク許容度)
国際比較
- 米国: SOC2 + 州 MTL 個別監査 + NYDFS Part 500 (BitLicense)
- EU: MiCA + DORA で ICT third-party 監査強化 (2025-)
- 韓国: ISMS-P (個人情報 + 情報保護統合) 必須取得
- 日本: ISMS + 内部監査 + FSA monitoring の三層 — 自主規制 (JVCEA) が認証取得を実質義務化する独自構造
関連
Discovery
続けて読む
次に読む
- 国内 Web3 / 暗号資産 公共政策ボディ層 (METI Web3 政策室 / 自民党 web3 PT / 内閣官房) 本項目は exchanges index 配下に位置する。同業比較・対照の文脈では JCBA — 日本暗号資産ビジネス協会、より広いシステム・規制境界では FSA 暗号資産交換業登録制度 と併読する。 exchanges/jp-web3-policy-public-body-layer
- JVCEA — 日本暗号資産取引業協会 自主規制制度概要 1. 会員資格審査 — 入会希望 VASP の体制・コンプライアンスを審査(FSA 登録前後) 2. トークン審査(WhiteList) — 新規上場銘柄の事前審査制度。会員が新銘柄取扱前に JVCEA 承認を取得(事前審査制/簡素化制の二段階、詳細は JVCEA whitelist token listing 参照) 3. 監査・モニタリング — 会員の業務・財務・分別管理の... exchanges/jvcea-self-regulatory-overview
- JVCEA 国内 spot 取引高 統計分析 (2017-2026) この項目は exchanges index の配下に位置する。比較・対照の文脈では JVCEA — 日本暗号資産取引業協会 自主規制制度 を、より広いシステムおよび規制境界については FSA 暗号資産交換業登録制度 — 番号体系・財務局管轄・登録要件 をあわせて読む。 exchanges/jvcea-spot-volume-statistics-analysis
ここへリンク
- 暗号資産カストディプロバイダー ランドスケープマトリクス — Japan + Global 機関カストディ 10 社の技術・規制・顧客比較 機関向け暗号資産カストディ市場は (1) 技術モデル (cold storage / MPC / hybrid) × (2) ライセンス階層 (Trust Charter / VASP / vendor only) × (3) 顧客セグメント (CEX / hedge fund / ETF 発行会社 / SWF / pension) の三軸で分化している。本マトリクスは日本 3... exchanges/crypto-custody-provider-landscape-matrix
- グローバル暗号資産フォレンジックベンダー層 — Chainalysis / Elliptic / TRM / Crystal 比較 このエントリは exchanges index の配下に位置づけられる。ピア比較・対照の文脈では 国内 VASP 犯収法 + FATF Travel Rule 国内実装 (2023-)、より広いシステムおよび規制境界については FSA 暗号資産交換業登録制度 — 番号体系・財務局管轄・登録要件 とあわせて読む。 exchanges/global-crypto-forensics-vendor-layer
- JBA — 日本ブロックチェーン協会 (Japan Blockchain Association) このエントリは exchanges index 配下に位置する。近接領域・比較対象の文脈については JCBA — 日本暗号資産ビジネス協会、より広いシステム上・規制上の境界については JVCEA — 認定自主規制協会 とあわせて読む。 exchanges/japan-blockchain-association-jba
- 国内クリプト監査法人ランドスケープ — Big4 + 太陽 + BDO 三優 クリプト実務比較 このエントリは exchanges index の配下に位置づけられる。ピア比較・対照の文脈では 国内 VASP セキュリティ監査・認証取得状況、より広いシステムおよび規制境界については FSA 暗号資産交換業登録制度 とあわせて読む。 exchanges/japan-crypto-audit-firm-landscape
- Etherscan verified ソース汚染 — なぜ「verified」は「バイトコード」ではないのか このエントリは security domain の配下にある。実地の対応物として bytecode forensic three-tier verify と併せて読み、表示されているソースが本物であっても 次の implementation がそうではないケースについては proxy-upgrade rug pattern と併せて読むとよい。 security/etherscan-verified-source-poisoning