DMM Bitcoinに ‘長文’ の業務改善命令が出た件

8月のWebXのイベントレポート内にて、雑談の体ていでDMM Bitcoinについてぐちぐちと文句を書いた1週間後、なんと関東財務局*による大きな動きがありました。
（* 財務省の下部? 組織。グローバルFTX破綻時のFTX Japanへの資産保全含む業務停止・改善命令もここから発出されています。金融庁とも関係性は近い。というか、金融庁って内閣府の外局なの知らなかった…財務省直轄じゃないのか。だからサイトのドメインも違うのね。）

株式会社DMM Bitcoinに対する行政処分について：財務省関東財務局

私はてっきり、流出発覚の直後くらいにとっくに何らかの処分が下っているものと勘違いしていたのですが、行政処分一覧を見るとこれが初めての行政処分みたいですね。5月31日付・7月2日付の報告徴求命令に対するDMM側報告では具体的な事実関係が明らかになっていない、また並行して? 実施された立入検査で数々の問題点が発覚した、ということのようです。
ちなみに（このへんの行政手続きの標準シナリオみたいな知見が乏しいのであれなのですが）、2018年に発生したコインチェックの流出事件では、発生直後に業務改善命令が出されていました。

さて、肝心の内容は、2024年5月31日の不正流出に関連した『業務改善命令』です。処分の内容・理由ともにかなりの分量で、他社に対して過去に出された行政処分もいくつか目を通しましたが、相当に文字量が多い方ではないかと感じました。
特に後段の「2．処分の理由」は、CEXを利用する全員に目を通してほしいとすら思えるほど酷いです。社内にセキュリティやCryptoの知見をちゃんと持つ人間がいないのか、いても言い出せなかったのか何なのかは分かりませんが、国内有数の取引所でこの状況が放置されていたということに驚きを隠せません。

実は私、数年前に一時期DMM Bitcoinで働いていたことがあります。正社員ではなかったし部分的な業務しか担当していなかったのですが、自分がいたときに起こらなくて良かったという思いと、なんとか体制を立て直してこれからも業界を盛り上げてほしいという思いが、両方あります。
（本件に関係なく）当時から感じていたこととして1つ言えるのは、

オフィス内のコミュニケーション量がかなり少なく、静かで堅い印象

だったということです。
※ もちろん本件はそういうレベルの話ではないのですけどね・・
これまでIT系（ベンチャー寄り）の会社を何社か経験してきた個人的な経験則ですが、『コミュニケーション絶対量が少ない環境はうまくワークしない。業務関連であれ雑談であれコミュニケーションの活発さは大切。』と思っています。
そういう意味では、Crypto熱の高い人もパッと見ではいなかったし（そもそもみんなアウトプットしてないから気づけなかった？）、淡々と仕事をする静かな普通の会社という感じでしたかね。でもまあ、必ずしも業界そのものへの関心が高い人ばかりではないというのは、どの会社でも同じかもしれないですが。

※ ずっと不思議なんですが、証券会社とか金融系の会社勤めで取り扱い商品への興味が強い人って、どうやってメンタルバランスを保ってるんですかね。TradFiでもCryptoでも中の人はインサイダー情報を浴びまくる可能性があり、基本国内の商品はプライベートでの自由な売買が禁止されているはずなので。働くの楽しいけど取引制限が嫌っていう人はけっこういるんじゃないかなあと。

関東財務局の立入検査で発覚した数々の問題点については、具体的には触れません。すでにTwitter上でも騒がれているし、今後もあちこちの記事や音声配信などで続々と語られていくことでしょう。
そして、あんな内容を目の当たりにすると、やはりこう思わざるを得ません。

日本の規制や消費者保護やカストディアンの質って前進してる？

界隈ではよく知られているように、日本は世界に先駆けてCryptoの規制面の整備を押し進めてきました。ガチガチ過ぎてそのせいでトップの座から転落してしまった、事業リスクの予見性が高いし消費者保護もしっかりしているなど、賛否色々言われています。
でも、「コインチェック事件から5年以上経っても、中堅の取引所でも、いまだに杜撰な管理で500億円規模の不正流出を起こしてしまう」これってダメじゃない？
もちろん全量補償が約束されたことは素晴らしいです。ただ、あちこちで言われているように、これはたまたまDMMグループに体力があっただけの話。規制のおかげでもカストディアンとしてレベルアップしたわけでもない。だって、500億相当を実際に流出させてるんですから。

これだけ規制整備が進み業界団体もでき、それでもなお起こる資産逸失。私たちは何をしてきたんでしょう。
やっぱり無理なのかな、安全に管理するのは。結局は、原点である Not your keys, not your coins. のセルフカストディ（ノンカストディアル）に回帰していくのかもしれません。
でもね、やっぱり諦めたくない、諦めてほしくない。だってこのままだと、「日本には安全もイノベーションもフリーダムもない」と言われかねませんよ。日本にはこれがある！そう言いたいじゃないですか。

業務改善命令のページに書かれている通り、DMM Bitcoinは今後、業務改善計画の提出および月次の進捗報告義務を負うことになります。それなりに早い段階で、事実関係や発生原因が明らかにされていくのではないかと、少し期待しています。
そこが私たちのスタートラインです。

---

【2024年12月24日追記】

• DMM Bitcoinが廃業すること

• SBI VCトレード株式会社と基本合意に至ったこと

  • 開設口座及び預かり資産（日本円・暗号資産）を、2025年3月頃を目途に全てSBI VCトレードに移管するという内容

が発表されました〔2024年12月2日〕。

【重要】口座及び預かり資産のSBI VCトレードへの移管に向けた基本合意について - DMMビットコイン（2024/12/02）

また、警察庁が警視庁、NISC、金融庁らと協力し、DMM Bitcoinに関するサイバー攻撃の内容を発表しました〔2024年12月24日〕。北朝鮮系グループからの標的型ソーシャルエンジニアリングによる攻撃とのことです。
また、DMM Bitcoinそのものというよりも委託先? のGinco従業員が踏み台にされたようです。とはいえ、他の国内CEXでもGincoを利用しているところがあるようなので、複数ある取引所から一番攻めやすいDMM Bitcoinが狙われたということなのでしょうか。

北朝鮮を背景とするサイバー攻撃グループTraderTraitorによる暗号資産関連事業者を標的としたサイバー攻撃について｜警察庁Webサイト

'24/09/29　更新
'24/12/24　最終更新（DMM Bitcoin社発表・警察庁発表を追記、ほか一部加筆修正）