瞬間的な保管、長期的なコンプライアンス:暗号決済創業者のためのプレイブック
暗号決済プラットフォームを構築している場合、次のように自分に言い聞かせているかもしれません。「自社プラットフォームは顧客資金に数秒だけ触れるだけだ。だから保管とはみなされないよね?」
これは危険な前提です。世界中の金融規制当局にとって、たとえ瞬間的であっても顧客資金をコントロールすることは、金融仲介者とみなされます。その短い接触—たとえ数秒でも—が長期的なコンプライアンス負担を引き起こします。創業者にとって、コードの技術的実装だけでなく、規制の実質を理解することが生き残りの鍵です。
このプレイブックは、複雑な規制環境で賢く戦略的な意思決定を行うための明確なガイドを提供します。
1. 「数秒だけ」でも送金規制が適用される理由
問題の核心は、規制当局が「コントロール」をどのように定義するかです。米国金融犯罪取締ネットワーク(FinCEN)は明確に述べています:**「変換可能な仮想通貨を受け取り、送信する」**者は、資金の保有期間に関わらずマネートランスミッター(送金業者)と分類され ます。
この基準はFinCENの2019年CVCガイダンスでも、2023年DeFiリスク評価でも再確認されています。
プラットフォームがこの定義に該当すると、以下のような厳しい要件が課せられます:
- 米国連邦MSB(マネーサービスビジネス)登録:米国財務省にMSBとして登録すること。
- 書面によるAMLプログラム:包括的なアンチマネーロンダリング(AML)プログラムを策定・維持すること。
- CTR/SARの提出:通貨取引報告(CTR)および疑わしい取引報告(SAR)を提出すること。
- Travel Ruleデータ交換:特定の送金について送金者・受取人情報を交換すること。
- 継続的なOFACスクリーニング:ユーザーを制裁リストと常時照合すること。
2. スマートコントラクト ≠ 免責
多くの創業者は、スマートコントラクトでプロセスを自動化すれば保管義務から免れると考えがちです。しかし、規制当局は機能テストを適用します。すなわち、コードの書き方ではなく「実質的に誰がコントロールできるか」で判断します。
金融活動作業部会(FATF)は2023年のターゲットアップデートで、「マーケティング用語や自己認識がDeFiであることは、規制ステータスを決定づけるものではない」ことを明言しています。
以下のいずれかの操作が可能であれば、あなたがカストディアン(保管者)です:
- 管理キーでコントラクトをアップグレードできる。
- 資金を一時停止または凍結できる。
- バッチ決済コントラクトを通じて資金を一括送金できる。
管理キーがなく、ユーザーが直接署名する決済のみのコントラクトだけが、仮想資産サービスプロバイダー(VASP)ラベルを回避できる可能性がありますが、それでもUI層での制裁スクリーニングは必須です。
3. ライセンスマップ概観
コンプライアンスへの道は管轄地域によって大きく異なります。以下は世界的なライセンス状況を簡略化した表です。
地域 | 現在のゲートキーパー | 実務上のハードル |
---|---|---|
米国 | FinCEN + 州のMTMAライセンス | 二層構造、巨額の保証金、監査が必要。現在までに31州がマネートランスミッション近代化法(MTMA)を採用。 |
EU(現行) | 各国のVASPレジスター | 最低資本要件は低いが、MiCAが完全に実装されるまでパスポート権は限定的。 |
EU(2026) | MiCA CASPライセンス | 資本要件125k〜150kユーロ。ただし、27カ国すべてで単一パスポート体制が利用可能に。 |
英国 | FCA暗号資産レジスター | 完全なAMLプログラムとTravel Rule対応インターフェースが必須。 |
シンガポール/香港 | PSA(MAS)/VASP条例 | カストディの分離と顧客資産の90%コールドウォレット保持が義務付けられる。 |
4. ケーススタディ:BoomFiのポーランドVASPルート
BoomFiの戦略は、EUをターゲットとするスタートアップにとって優れたモデルです。同社は2023年11月にポーランド財務省に登 録し、VASPとして認可を取得しました。
成功要因:
- 迅速かつ低コスト:承認プロセスは60日未満で完了し、硬直した資本要件はなし。
- 信頼性向上:VASP登録はコンプライアンスのシグナルとなり、EUの加盟店がVASPオブジェクトと取引する際の必須条件になる。
- MiCAへのスムーズな移行:このVASP登録は、後にMiCA CASPライセンスへアップグレード可能で、既存顧客基盤を維持できる。
この軽量アプローチにより、BoomFiは早期に市場アクセスを獲得し、製品の検証を行いながら、より厳格なMiCA枠組みと将来の米国展開に備えることができました。
5. ビルダー向けリスク低減パターン
コンプライアンスは後付けではなく、製品設計の段階から組み込む必要があります。以下にライセンスリスクを最小化できるパターンを示します。
ウォレットアーキテクチャ
- ユーザー署名型、コントラクト転送フロー:ERC-4337 Paymasterや
Permit2
などを活用し、すべての資金移動をユーザーが明示的に署名・開始する形にする。 - 管理キーのタイムロック自己破棄:監査済みコントラクトをデプロイ後、タイムロックで管理権限を永久に放棄し、コントロールが失われたことを証明。
- ライセンスパートナーとのシャードカストディ:バッチ決済は、認可されたカストディアンと提携し、資金の集約・分配を委託。
オペレーショナルスタック
- 事前取引スクリーニング:APIゲートウェイでOFACやチェーン分析スコアを注入し、取引が処理される前にアドレスを検証。
- Travel Ruleメッセンジャー:$1,000以上のVASP間送金には、TRPやNotabeneなどのソリューションを統合し、必須データ交換を自動化。
- KYB→KYC:まずマーチャント(Know Your Business)を審査し、その後ユーザー(Know Your Customer)をオンボード。
拡大シーケンス
- VASPで欧州開始:ポーランドなどの国内VASP登録、または英国FCA登録でプロダクト・マーケットフィットを証明。
- パートナー経由で米国参入:州ライセンス取得前に、認可済みスポンサー銀行やカストディアンと提携して米国市場へ。
- MiCA CASPへアップグレード:EU全域 のパスポートを確保。
- アジア太平洋展開:シンガポール(MAS)または香港(VASP条例)でライセンス取得は、取引量と戦略的目標が資本投入を正当化する場合に検討。
キーとなるポイント
暗号決済領域のすべての創業者が覚えておくべき基本原則:
- コントロールがコードに優先:規制当局は「誰が資金を動かせるか」を見る。コードの構造は二の次。
- ライセンスは戦略:軽量なEU VASPは、資本集約的な管轄へ進む前の扉を開く。
- コンプライアンスは設計段階から:管理キーなしコントラクトと制裁対応APIは、ランウェイと投資家の信頼を確保する。
顧客資金を動かすなら、いつかは検査されることを想定して構築しましょう。