jakiro
2024年4月16日、香港金融管理(香港金融管理局と呼ばれる)がリリース分散分類アカウントテクノロジー(DLT)に関するガイダンスリスクの管理下でDLTを使用するサポートバンクは、HKMAの監督を検討する方法を通じて、業界がDLTテクノロジーをより広く受け入れ、適用することを促進したという希望を表明しました。
HKMAの監督の原則は、「リスクベース、科学的、中立」です。いくつかのリスク要因は、さまざまなDLTプロジェクトにしばしば現れます。したがって、HKMAは次のようなガイドラインに関連する要因を置いています。適切なガバナンスを確立します。銀行がDLTから派生したすべてのリスクを適切に管理できることを確認してください。
2つ目は、DLTアプリケーションプロジェクトの設計が適切であることを確認することです。
(i)異なるDLTネットワークの適用可能性。
(ii)スマートコントラクトの使用と設計。
(iii)リスクと第3パーティのリスクを管理する方法
(iv)プロジェクトが安全に、他のプログラムが相互運用性に達することができるかどうか。
加えて、HKMAは、継続的なメンテナンスと監視DLTプロジェクトに注意を払います。、個人データとプライバシー保護の要件を遵守し、適切な緊急計画とテストの取り決めを策定します。
>
以下は、分散型台帳技術(DLT)リスク管理の元のテキスト翻訳です。
背景
政府が2022年に「香港仮想資産開発政策声明」を発行して以来、香港金融当局は、仮想資産エコシステムの背後にある分散型台帳技術(DLT)の使用方法を探求する認定機関(英語)が探求することに気付きました。従来の金融市場運営には、強い関心があります。これらの調査の加速により、2022年1月28日に香港金融局に規定された規制の期待に従って、計画された措置に関する意見を求めるために、ますます承認された機関が香港金融局と連絡を受けます。
関連するリスクを適切に管理できる限り、香港金融局は、分散型台帳技術(DLT)に基づいたソリューションを採用する認可機関をサポートしています。「リスクベースの科学的および中立」の原則に従って、香港金融管理が認定機関のDLT関連提案をレビューしたとき、認可された機関が適切なシステムと管理措置を確立したかどうかに焦点を当てる、DLTの追加リスクを管理します。
香港金融局の特定の考慮事項は、レビューされている特定のソリューションにより異なりますが、リスクの一般的な領域の一部は、通常、分散型台帳技術(DLT)の使用に関連しています。承認機関のためにDLTソリューションの採用を促進するために、香港金融当局はこの覚書にリストしています。
(i)承認機関のDLT関連提案を評価する際の重要な問題
(ii)承認機関の能力と条件は、通常、各分野の能力と条件を表示および/または満たす必要があります。
上記の考慮事項は、拘束力のないものではなく、非セタリングされており、市場と関連技術の発展とともに進化し続けます。したがって、承認機関は、DLTに関連するソリューションを設計および開発する際にこれらのポイントを参照することができますが、香港金融当局は、上記の要因が特定のケースに適用できることを確認するために、特定の問題について認定機関と議論し続けます。
重要な要因
統治
DLTは、DLTの使用に注意を払っています。取締役会と上級管理職は、承認機関のすべての責任を引き受け、関連するリスクを完全に管理するエッセンス
DLTソリューションを実装する場合、認可された機関は、ガバナンスに関連するリスクを含む一連の新しいDLT固有のリスクに遭遇する場合があります。したがって、香港金融当局は、認可された機関の取締役会と上級管理職が、これらのリスクを減らすための十分なシステムと管理措置を確立することを期待しています。
その一部として、認定機関は、必要に応じて、DLTの特定の要因を反映するために、必要に応じて関連するポリシーとフレームワークを確認および更新する必要があります。これらのポリシーとフレームワークには、技術的リスク管理(管理、アクセス制御、ネットワークセキュリティの変更など)、ビジネス継続計画(BCP)、アウトソーシングが含まれます。
内部能力に関して、承認機関は、実装プロセスをサポートするのに十分なDLT専門知識を持つ従業員が実装プロセスをサポートすることを保証する必要があり、その管理は、認可機関が採用したDLTの戦略と方法をレビューおよび評価するのに十分な知識を持っています。
技術の進歩の急速なペースを考慮して、承認機関は従業員に定期的なトレーニングを提供する必要性に注意を払う必要がありますワークフローを再構成して、最新の開発に追いつく。DLTソリューションに顧客指向の要素が含まれる場合、承認機関は、DLT特定の消費者教育努力の必要性および/または既存の紛争処理手順の更新、および報酬および補償メカニズムの必要性を検討するものとします。
アプリケーションの設計と開発
特定のアプリケーションに適したDLTネットワークを選択します –ネットワークのセキュリティ、安定性、スケーラビリティ、および弾力性に関するDLTネットワークの構造とガバナンス方法(たとえば、プライベート許可、または公開許可など)を考慮すると、承認機関は、特定のアプリケーションに特定のアプリケーションに適切なDLTネットワークを選択する必要があります。エッセンス
香港金融局は、認可機関が利用可能なさまざまな種類のDLTネットワークを完全に理解し、関連するアプリケーションの性質とリスク、および独自の法的および規制上の責任に基づいて適切な選択をすることを期待しています。認定機関がより高いリスクを伴う可能性のある設計オプションを選択することを決定した場合、香港金融局は、同様のオプションが重要な評価を受け入れ、対応するリスク管理制御測定が提供されることを確認することを期待しています。たとえば、オープンメンバーの資格があり、悪意のあるアクターによって攻撃される可能性が高いため、ネットワークは、機密データを含むアプリケーションの最初の選択肢ではない場合があります。
ただし、認可された機関が、関連するリスクを管理するための適切な対策を見つけることができる場合(ゼロ認識認証や鎖および鎖のソリューションの組み合わせなどの暗号化ソリューションなど)、これらのネットワークは、そのようなアプリケーションにデフォルトである必要はありません。デフォルト。
「適切な」スマートコントラクト – デザイン –スマートコントラクトは自動化を通じて効率の優位性を提供できますが、すべてのビジネスシナリオに適用されない場合や、カスタマイズされた制御対策でのみ展開できます。
たとえば、通常はある程度関与する人間の判断の場合(複雑なローン評価など)、準備ができていない自動化は人気がなく、スマート契約は手動介入オプションの追加にのみ適用される場合があります。
認定機関がスマートコントラクトの使用が適切であると考えている場合、香港金融局は、スマート契約に関連する共通の抜け穴の効果的な管理を期待しています。これらには、運用リスク(非マリシャスコーディングエラーやサイバー攻撃など)、第3パーティのリスク(「外部データの取得に使用される予言マシンの信頼性など)、法的リスク(スマート契約の法的基盤があるかどうかなどが含まれます。設立)。
この目的を達成するために、認定機関は、スマートコントラクトを導入および更新するための厳格なガバナンスフレームワークを確立することをお勧めします。効果的なフレームワークは、特定の状況下でのスマートコントラクトの適用性を評価します。スマートコントラクト。必要に応じて、認可された機関は、スマートコントラクトを展開する前に、適切な第三者を監査するための適切な第三者を含む専門的な提案を雇うことを検討する必要があります。
潜在的な法的リスクを理解し、減らす –従来の金融市場活動にDLTを適用するための法的基盤はまだ発展しています。たとえば、従来の金融システムにおけるトークン化された製品の発行と取引は、DLTの取り決めでサポートされている明確で明確な時点ですコンセンサスに基づいて、検証メカニズムは和解の時点でそれほど明確ではないかもしれません。従来の製品の「トークン化」方法によれば、法的地位とその後の規制治療方法を変更する可能性もあります。許可された機関は、これらの可能な法的灰色の領域を実現し、必要に応じて専門家のアドバイスを求め、設計プロセスで措置を講じて、その後の法的リスクを軽減する必要があります。
第三者に関連する効果的な管理リスク –香港金融当局は、認可された機関が、DLTソリューションを採用するかどうかを評価する過程で、DLTの取り決めによって手配されたリスクを第三者にもたらす可能性があるかどうかを確認して決定することを期待しています。特に、コンセンサスメカニズムに基づいたDLTネットワークの操作を考慮して、和解帳の変更を検証および確認するための従属ノード演算子である承認機関は、ノードオペレーターが十分に信頼され、信頼性があり、多様化されているかどうかを完全に検討する必要があります。手の適用によると。
不十分であることが判明した場合、承認機関は適切なリスク補償措置を講じるものとします。DLTネットワークの設計は、サードパーティに関連するリスクを完全に管理する能力を完全に管理することの影響を与える可能性もあります。たとえば、Wucai.comには設計のオープンメンバーの資格があり、参加者(仮名を持つ参加者を含む)が確認を可能にします。これらの場合、承認機関は関係する第三者に対する制御が少ないため、完全なリスク管理補償措置を採用できない限り、承認された機関は、高い批判的または敏感な機能のためにこのタイプのDLTソリューションを採用します。
安全性は相互運用性と接続を実現します –香港金融当局は、認可機関がDLTベースのシステムを互換性のある伝統およびその他のDLTベースのソリューションとして可能な限り設計することを期待しており、それを「通信」することができます。これは、市場の断片化を制限し、運用効率をサポートし、DLTソリューションの長期的な相関を確保するのに役立ちます。
たとえば、香港金融当局は、銀行がDLTの預金を受け入れる可能性を探求することを奨励しています(つまり、「トークン化」預金)この種の預金活動は「銀行規制」の下で許可されているためです。このプロセスでは、注目すべき銀行の見解は、認可された機関自体でのみ使用できるトークン化された預金は、銀行間の移転と和解に使用できる銀行間転送と和解に使用できる預金によって使用できます。これを考慮して、承認された機関は、互換性をサポートするために業界が受け入れたより広範な技術基準の使用を考慮することをお勧めします。他の銀行イニシアチブと同様に、認可された機関は、オンライン攻撃、潜在的なセキュリティの脆弱性、データリークのリスクから保護するなど、これらの接続のセキュリティを確保する必要があります。
継続的なメンテナンスと監視
従来のテクノロジーと同じレベルのネットワークセキュリティメカニズムを確立 –DLTに基づくアプリケーションは、従来の基礎技術に見合ったネットワークセキュリティレベルを享受する必要があります。香港金融当局は、認可機関がDLTの独自のネットワークリスク(51%の攻撃など)やその他の一般的なネットワークセキュリティの脅威(分散拒否サービス、つまりDDOS攻撃など)に対応するための効果的なメカニズムを採用することを期待しています。また、承認された機関は、俳優の新興犯罪に対する脅威の新しい技術開発の新しい技術開発に警戒する必要があり、DLTアプリケーション(量子コンピューティングなど)のセキュリティに影響を与え、対応能力を定期的に更新します。
安全管理の秘密キー –秘密鍵にアクセスして保護する承認機関の責任は、DLTアプリケーションを採用する目的と、特定のサービスを提供するかどうかにかかっています。さまざまな可能性を考慮して、香港金融当局は通常、認可機関が、関連するアプリケーションの性質とリスクを保持または管理するためのプライベートキーを提供するための強力な政策と手順を策定したことを証明したことを望んでいます。秘密の鍵と、基礎となる資産のレベルと認可された機関の責任は、安全レベルと互換性があります。
たとえば、顧客のデジタル資産に親権サービスを提供する許可された機関は、通常、より厳しいセキュリティ手順を採用して、関連するプライベートキー(および該当するメモ)が常に安全に生成、保存、バックアップされるようにすることが期待されます。これには、コールドストレージを使用し、さまざまな場所のバックアップやその他の緊急時の取り決めを開発するための制御措置の実装など、さまざまな措置が含まれる場合があります。
データのプライバシーと保護要件を満たすことを保証 –集中元帳またはDLTベースの元帳のデータストレージに関係なく、現在のデータプライバシーと保護要件が引き続き適用されます。したがって、承認機関は、これらの要件を満たし続けることを保証するために、十分なシステムと制御措置を確立したことを証明する必要があります。
必要に応じて、DLTによって配置された一意の特性のために発生する可能性のある複雑な問題を管理するために、緩和措置を講じる必要があります。これらの測定には、予約されたデータの要件へのコンプライアンスの難しさ(DLTネットワーク上のデータの不可逆性など)が含まれる場合があります。 )、およびデータのローカリゼーション(たとえば、DLTネットワークが複数の管轄区域で分散されている場合のデータ保存を完了する方法など)。
カスタム緊急計画とテストの取り決め –認定機関が主要機能でDLTを使用している場合、香港金融局はDLTテストシナリオ(一般的なDLTネットワーク攻撃、プライベートキーの喪失、「フォーク、「スプリッター、「ブル、」」などのDLTテストシナリオが含まれることを期待しています。スプリッター)ビジネスの継続性(BCP)。
特に、許可された機関は、DLTネットワークのユニークな動作ダイナミクス、特にシステムと能力管理に影響を与える可能性のある要因を理解し、検討することが期待されています(輻輳の可能性と支払いの高い費用の需要を確認するなど、緊急取引の場合)。より極端なシナリオを検討する場合、認定機関は、DLTソリューションのバックアップオプションの必要性を一時的または永久に利用できないようにすることも検討する必要があります。
