近年、上場企業や機関投資家がビットコインを財務資産として保有するケースが増えています。個人の自己保管とは異なり、法人によるビットコイン保管は内部統制、会計処理、コンプライアンス、複数の承認者管理など、固有の要件が加わります。本記事では、法人がビットコインを保管する際の選択肢を整理し、マルチシグを活用した内部統制設計の考え方を解説します。
法人がビットコインを保管する際の基本的な選択肢
サードパーティカストディとは
サードパーティカストディ(第三者保管)とは、専門の保管サービス事業者にビットコインの管理を委託する方式です。代表的な事業者としては、Coinbase Custody、BitGo、Fidelity Digital Assetsなどがあります。これらの事業者は、機関投資家向けに高度なセキュリティ基準(SOC 2認証、コールドストレージ比率、保険の付保など)を満たした保管サービスを提供しています。
サードパーティカストディの最大のメリットは、鍵管理の専門知識を持たない法人でも安全な保管が実現できる点です。また、カストディ事業者が行う保険、監査対応、規制コンプライアンスのサポートは、機関投資家にとって重要な価値となります。デメリットは手数料コスト、カウンターパーティリスク(事業者の破綻・不正)、資産の完全なコントロールが自社にないことです。
自己保管とハイブリッドアプローチ
法人が自己保管を選択する場合、マルチシグを活用して複数の担当者の署名を必要とする承認フローを構築することが基本となります。自己保管はカストディ手数料がかからず、資産の完全なコントロールを自社で持てる反面、鍵管理の責任と運用コスト(設備・人件費)が自社に帰属します。
ハイブリッドアプローチは、保有するビットコインを複数の層に分けて管理する方式です。例えば、すぐに使う可能性がある一部をカストディサービスに、長期保管分をマルチシグの自己保管に置くといった組み合わせです。これによりアクセスの利便性と高度なセキュリティを両立できます。
法人マルチシグの設計原則
役割分離と内部統制
法人のマルチシグ設計では、「役割の分離」が内部統制上の基本原則となります。送金を実行できる権限と、それを承認する権限を分けることで、不正の機会を最小化します。例えば、担当者が送金トランザクションを作成し、上長または別部署の担当者が署名して承認するフローが一般的です。
3-of-5のマルチシグ構成であれば、5人の鍵保有者のうち任意の3人が揃わなければ送金できません。5人を異なる部署や役職の人物に設定することで、特定の部署や個人による単独の不正が構造的に不可能な体制を作れます。この設計は監査対応においても、内部統制が機能していることの証拠として提示できます。
地理的分散と可用性の設計
法人の場合、鍵保有者が出張・休暇・病気・退職などで一時的に不在になるリスクがあります。3-of-5の構成は5人中3人が必要なため、2人が同時に不在でも送金が可能です。鍵保有者の数と必要署名数のバランスを、組織の実態に合わせて設計することが重要です。
地理的な観点では、鍵保有者とデバイスを異なるオフィスや地域に分散させることで、特定の場所が被災した場合でも最低限の署名者が確保できる体制を維持できます。主要な取引に使うウォレットの鍵は、物理的に離れた安全な場所に分散保管することを原則とするべきです。
鍵管理ポリシーの策定
鍵保有者の選定と責任範囲
鍵保有者には、デジタルセキュリティへの理解と責任感を持つ人物を選定します。鍵保有者は自分のデバイスとバックアップを適切に管理する義務を負い、鍵の共有や不適切な保管は重大なセキュリティインシデントとなることを認識させる必要があります。
鍵保有者の変更(異動・退職)が発生した場合のプロセスも事前に定めておきます。退職者の鍵は速やかに無効化し(新しいウォレットに資産を移動させ、構成を組み直す)、新しい鍵保有者を追加するプロセスを文書化しておくことが重要です。鍵保有者のリストとその変更履歴は、内部監査の対象として記録・保管します。
鍵管理ポリシー文書の作成
鍵管理ポリシーは、組織のデジタル資産管理規定の一部として文書化する必要があります。含めるべき内容は、鍵保有者の選定基準と変更プロセス、デバイスとバックアップの保管場所・方法、署名プロセスの手順と記録要件、インシデント発生時(鍵紛失・デバイス紛失)の対応手順、年次セキュリティ監査の実施要件などです。
このポリシーは定期的に見直し、組織の変化や新たな脅威情報に対応して更新します。外部の専門家(デジタル資産セキュリティの専門家や監査法人)によるレビューを受けることも、特に大規模な保有においては価値があります。
法人向けのマルチシグソリューション
BitGoのマルチシグソリューション
BitGoは機関投資家向けのビットコイン保管サービスとして知られ、2-of-3マルチシグを標準的なセキュリティモデルとして採用しています。BitGoの構成では、1本の鍵をユーザー、1本をBitGo、1本をユーザーが別途バックアップとして保管します。日常的な送金にはユーザーの鍵とBitGoの鍵が使われ、BitGoのシステムが停止した場合にはバックアップ鍵で資産を自己管理できます。
BitGoはSOC 1 Type IIおよびSOC 2 Type II認証を取得しており、機関投資家の監査要件に応えられるコンプライアンス体制を持っています。ウォレット管理のAPIも充実しており、既存の財務システムとの統合も可能です。機関投資家向けサービスのため手数料は高めですが、保険の付帯や規制対応のサポートも含まれます。
Casa、Unchained Capitalなどのサービス
個人および中小規模の法人向けには、CasaやUnchained Capitalなどのマルチシグサービスも選択肢となります。Casaは2-of-3または3-of-5のマルチシグをサポートし、カスタマーサポートと鍵回復サービスを提供しています。Unchained Capitalは2-of-3マルチシグのコラボラティブカストディ(協調管理)モデルで、2本の鍵をユーザーが保管し、1本をUnchained Capitalが保管する構成を採用しています。
これらのサービスは完全なサードパーティカストディと完全な自己保管の中間的な位置づけで、鍵管理の複雑さを軽減しながら一定のコントロールを自社に保てる点が魅力です。日本の法人が海外サービスを利用する際は、利用規約や管轄法令についての確認が必要です。
会計・コンプライアンス対応
日本の暗号資産会計処理の基本
日本において法人がビットコインを保有する際、会計上は暗号資産(仮想通貨)として処理されます。2019年3月期より期末時価評価が義務化されており、活発な市場が存在する暗号資産(ビットコインを含む)は決算時に時価で評価し、含み損益を計上する必要があります。これにより保有ビットコインの価格変動が損益計算書に直接影響します。
自己保管の場合、保有ビットコインの数量と残高が正確に記録されていることが求められます。ウォレットアドレスとその残高の記録、送受金のトランザクション履歴の保管は、会計処理と税務申告の基礎資料となります。ブロックチェーンエクスプローラーでの確認と自社記録の照合を定期的に行うことを推奨します。
内部監査対応とトランザクション記録
法人のビットコイン取引は、内部監査の対象として適切に記録・管理する必要があります。トランザクションごとに、承認者・承認日時・目的・承認の根拠を記録するトランザクション台帳を整備することが推奨されます。マルチシグを使った署名プロセスも記録対象とし、誰がいつ署名したかのログを残します。
外部の会計監査に際しては、監査人がブロックチェーン上の残高を直接確認(ブロックチェーン監査)する場合があります。ウォレットアドレスの一覧と、それぞれが管理している残高の照合が求められることを想定し、記録の整合性を日頃から維持しておくことが重要です。
インシデント対応計画
鍵保有者の突然の不在への対応
鍵保有者が突然の事故や病気で連絡不能になった場合のプロセスを事前に定めておきます。2-of-3の構成であれば1人が不在でも残り2人で対応できますが、その2人が同時に不在になる可能性もゼロではありません。緊急時の連絡先リストと、暫定的に署名権限を委譲するプロセスを規定しておくことが推奨されます。
また、鍵保有者が退職する場合は、退職前に必ず新しい構成への移行を完了させることをポリシーに明記します。退職後に鍵を持ち出しての不正利用リスクを防ぐためです。鍵保有者変更のたびに新しいマルチシグウォレットへ資産を移動させることで、前の構成の鍵は無効化されます。
セキュリティインシデントの検知と対応
不審な送金試行や、鍵保有者のデバイス紛失・盗難などのセキュリティインシデントが発生した場合の対応手順も文書化しておきます。インシデントの第一報を受けた際の連絡先、初動対応(残りの鍵保有者への通知、送金の停止手順)、調査・記録、当局への報告要否の判断などを含む手順書が必要です。
インシデント発生後は、影響を受けた鍵を含む構成を速やかに更新し(新しいウォレットへの移動)、インシデントの原因と教訓を記録します。再発防止策を鍵管理ポリシーに反映させ、必要に応じて外部のセキュリティ専門家にフォレンジックの支援を依頼することも選択肢の一つです。
まとめ
法人がビットコインを保管する際には、個人の自己保管とは異なる要件が生じます。サードパーティカストディと自己保管それぞれのメリット・デメリットを理解したうえで、組織の規模・リスク許容度・コンプライアンス要件に合った方式を選択することが重要です。マルチシグを活用した内部統制設計、鍵管理ポリシーの文書化、定期的な監査の実施が、法人のビットコイン保管における基本的な柱となります。会計・税務対応も含めた包括的な管理体制を構築することで、長期的かつ安全な法人保有が実現できます。
よくある質問
Q. 中小企業がビットコインを保有する場合、サードパーティカストディと自己保管のどちらが向いていますか?
A. 鍵管理の専門知識を持つ人材がいない中小企業には、まずサードパーティカストディ(または協調管理型サービス)から始めることが現実的です。保有量が増え、社内に知識・体制が整ってきた段階でハイブリッドアプローチへ移行することを検討するとよいでしょう。
Q. マルチシグウォレットへの法人名義での送受金は可能ですか?
A. ビットコインのウォレットアドレス自体には法人名義という概念はありません。ただし、取引所との送受金において法人口座からのビットコイン出金・入金の記録を適切に管理することが、会計・税務上の法人保有の証拠となります。
Q. ビットコインの法人保有に関して日本での規制上の注意点は?
A. 現時点で日本において法人によるビットコインの保有自体に特別な規制はありませんが、暗号資産交換業者を通じた取引においてはAMLおよびKYC規制への対応が求められます。会計上の時価評価義務、税務申告の要件については専門家(公認会計士・税理士)への相談を推奨します。
※本記事は情報提供を目的としており、投資を推奨するものではありません。暗号資産への投資は元本割れのリスクがあります。投資判断はご自身の責任で行ってください。