暗号通貨企業向けEU DORAコンプライアンス規制の解説

この記事は情報提供のみを目的としており、金融または投資のアドバイスを構成するものではありません。暗号通貨市場は非常に変動が激しいです。投資判断を下す前に、必ず自分自身で調査を行ってください。

デジタル運用レジリエンス法(DORA)は、欧州連合内のユーザーにサービスを提供するすべての暗号ビジネスに対して厳格な新しい運用義務をもたらします。2025年1月17日から、DORAの遵守はEU拠点の企業と非EU企業の両方にとって義務となります。

これらのルールを満たさない場合、あなたは巨大なEU市場へのアクセスを失うことになります。Innregの規制ガイダンスによると、Coincoverからの報告は、これらの要件が以前の基準を大きく超えており、暗号企業は技術的な障害やサイバー攻撃から引き出しや顧客資金を保護しなければならないと主張しています。そのため、デジタル資産企業はレジリエンス計画とガバナンスを見直すことを余儀なくされています。DORAの制度は、大規模な取引所、マージナルなウォレットアプリ、EU向けプラットフォームをサポートする第三者ITプロバイダーを含むすべての企業に適用されます。だからこそ、業界全体での準備が今や急務となっています。

DORAは、暗号企業がサービスの継続性、安全性、リスク管理をどのように扱う必要があるかを変える基本的な運用基準を導入します。Coincoverのセクター分析は明確です：すべての暗号企業は、特にユーザーが預金にアクセスし、引き出しを行う必要があるときに、顧客サービスを継続的に提供しなければなりません。たとえ技術的な障害やサイバー攻撃の最中であっても。

EUおよび非EU企業への適用性

重要な事実の一つ：DORAは非常に広範な範囲を持ち、EU諸国を超えた影響を及ぼします。法律は、DORAがEU拠点の顧客にサービスを提供する外国の暗号企業にも適用されることを明確にしています。そのビジネスがどこに拠点を置いているかに関係なく、非EU企業が欧州の居住者と取引するための古い「パスポート」免除はもはや存在しません。EUユーザーに暗号資産サービスをマーケティング、提供、またはサポートする場合、DORAの遵守はもはやオプションではありません。

2025年末のセクターアドバイザリーはこれを確認しています：暗号取引所、カストディアルウォレットプロバイダー、ブローカー、ITベンダーは、EU内で直接または間接的に運営する場合、完全なコンプライアンスレビューを実施しなければなりません。DORAは第三者の技術供給者にも適用されます—EUユーザーをサポートするクラウド、セキュリティ、インフラパートナーはそのルールの下にあります。規制当局は、DORA基準を満たさないEU市場にサービスを提供するプロバイダーに対して罰金を科したり、サービスを一時停止させたりすることができるため、準備が整っていない企業にはリスクが常に存在します。罰則にはEU活動の強制停止が含まれる可能性があり、企業はDORAを無視する余裕がないことは明らかです。

このようなルールにより、EUは暗号が管轄権を回避するための古い抜け穴を排除します。Coincoverは、企業がヨーロッパの暗号市場にアクセスしたい場合、DORAの運用レジリエンスと報告の要求を満たさなければならないと強調しています—物理的にどこに位置しているかに関係なく。

対象となる金融機関の範囲

DORAの広範な範囲は、コアの暗号取引所やウォレットサービスにとどまりません。業界の市場データは、デジタル資産経済における広範な金融プレーヤーをターゲットにしていることを示しています。Coincoverは、20種類以上の金融機関が含まれていることを詳述しています—マーケットメイカー、投資会社、電子マネー提供者、ブローカー、デジタル資産に接続された決済ネットワークがすべてリストされています。

暗号プラットフォームに対して保管、セキュリティ、認証、処理、またはクラウドサービスを提供している場合、あなたはDORAの基準に沿ったコントロールとインシデント報告を整える必要があります。サポートベンダーが基準を満たさない場合、ベンダーと主要な暗号プラットフォームの両方が責任を負う可能性があります。ポイントは、弱い外部技術リンクがEUの暗号顧客に対して連鎖的な障害を引き起こさないようにすることです。すべてのビジネスにおいて、直接的またはパートナーを通じて、これらのコントロールを無視することは、禁止、EUクライアントの強制的なオフボーディング、または2025年1月17日以降の厳しい金銭的罰則に直面することを意味します。

DORAが導入された理由

DORAは、デジタルファイナンスの普及によって露呈した規制のギャップに応じて登場しました。Coincoverは、以前のEUのルールは主に信用と流動性市場リスクに焦点を当てていたが、プラットフォームを停止させる可能性のある運用障害、サイバー攻撃、または技術的な障害には対処していなかったと指摘しています。近年、銀行セクターは、取引を凍結させたり、ユーザーを資金から締め出したり、さらには残高を消失させるような数百万ユーロの事件に見舞われました。

金融技術は国境を越え相互接続されているため、単一国のルールは機能しません—単一国の問題はすぐに他国に波及する可能性があります。だからこそ、DORAはEU全体の解決策として介入し、以前のパッチワーク基準を一つの法律に統合し、どこでも施行可能にしています。DORAによって追跡されたデータは、すべての規制された金融ビジネスに関するものです。

重要なICTリスク管理要件

DORAは、情報通信技術（ICT）リスク管理のためのベースライン基準を確立し、要件を経営および日常業務の中心に置きます。

Coincoverは、暗号企業は重大なICTインシデントを検出した場合、数時間以内に国家当局に通知しなければならないと述べています。企業は、包括的な監査トレイルを保持し、最新のパッチ適用を強制し、リアルタイムでスタッフのアクセスを制御することが求められています。Innregによると、古いまたは手動のコントロールに依存することは、現在、実際のリスクをもたらします。

DORAのタイムラインと施行

DORAのルールは2023年中頃に可決され、2025年1月17日はすべての27のEU諸国にとっての厳格な遵守期限です。

Coincoverは、施行は継続的であり、単に期限でチェックするためのものではないと明確にしています。規制当局は、スケジュールされた検査を通じて暗号企業を監視し、インシデント報告や顧客の苦情に対応します。持続的な不遵守は、厳しい罰金からEU顧客のサービス停止まで、エスカレートする罰則をもたらします。国境を越えた暗号オペレーターは追加の監視に直面しているため、多くの企業は、最後の瞬間に慌てたり、高額な規制の対立をリスクにさらしたりしないために、早期にコンプライアンスレビューを開始しています。

1. 2023年6月：DORAがEU理事会および議会に採択される
2. 2025年1月：対象となるすべての金融機関のDORA完全遵守期限
3. 2025–2026年：技術基準、セクターガイダンス、ルールの明確化の継続的な公表

DORAと他のEU暗号法

DORAはデジタル資産の規制における主要なギャップを埋め、EUの暗号資産市場（MiCA）フレームワークを補完しますが、置き換えるものではありません。Innregは、MiCAが基盤を構築していることを説明しています：それは暗号資産サービスプロバイダー（CASP）およびトークン発行者に対してリスク管理および開示基準を課し、インサイダー取引や価格操作を禁止します。MiCAの下では、すべてのCASPは国家当局（NCA）に登録し、トークンを上場する前に準拠したホワイトペーパーを公開しなければなりません。しかし、DORAと比較すると、焦点は市場の整合性と透明性にあり、運用レジリエンスにはありません。

DORAはさらに一歩進んで、運用レジリエンスに焦点を当てています。この新しい制度の下では、MiCAを通じて認可されたすべてのCASPおよびトークン発行者は、インシデント報告、ICTリスク管理、レジリエンステストに関するDORAのルールに従わなければなりません。Coincoverは、これが慎重なコントロールと公正な取引システムが協力する規制環境を生み出すことを強調しています—MiCAの透明性をDORAの技術的およびインシデント処理要件と統合しています。DORA規制の説明によると、この二重構造は、技術的および市場レベルの両方で強力な消費者保護を確保することを目的としています。

第三者ICTプロバイダーへの影響

DORAの適用範囲には、暗号企業がEUでビジネスを行うために必要な製品やサービスを提供する技術ベンダーが特に含まれます。Coincoverのガイダンスによると、ホスティングプラットフォームや公共クラウドからサイバーセキュリティパートナー、決済インフラプロバイダーまで、すべてが含まれます。規制された暗号活動を妨げる可能性のある第三者ICTの失敗は、現在DORAの下にあります。

第三者プロバイダーがサービスの問題に直面したり、DORAレベルのコントロールを維持できなかったりすると、全体に影響が及びます。暗号企業は、問題がベンダーから始まった場合でも、非準拠と見なされる可能性があります。Coincoverは、堅実なデューデリジェンスと契約の履行が今や必須であると強調しています—暗号企業は非準拠のパ