仮想通貨の出金停止について謝罪するコインチェックの和田晃一良社長(左)と大塚雄介取締役(毎日新聞社/アフロ)

写真拡大

 1月26日午前3時頃、仮想通貨取引所である「コインチェック(Coincheck)」から、仮想通貨である「NEM(ネム)」が不正に社外に流出したことが判明した。不正に持ち出されたNEMの時価総額は、580億円程度とみられる。この事態を受けて、多くのNEM投資家が、コインチェックの入るビルに押し掛けた様子がメディアで報じられた。コインチェックがなぜ不正なアクセスを防ぐことができなかったのか、また今後、コインチェックが投資家の損失をどう補てんしていくか不透明な要素も多く、社会の関心も高い。

 コインチェックは非公開企業であり、詳細な財務内容や経営戦略はつまびらかになってはいない。そのため、仮想通貨の取引所の運営などに関する同社の方針などを考える際、どうしても推測を介在させざるを得ない。また、今後の分析が事後的になるため、さまざまな問題が指摘されることだろう。

 重要なことは、限られた時間のなかで同社が事態の解明を行い、金融庁などの監督当局と密接に連携していくことだ。それは仮想通貨の取引だけでなく、多くの金融機関がIT技術と金融理論の融合を目指す“フィンテック事業”を進めるためにも、重要な教訓となるはずだ。今回のケースを、一企業の稚拙な経営管理に起因する問題として片づけるのではなく、新しい取り組みを促進するきっかけとしていくことが重要だ。

●和田社長の才覚が生み出したコインチェック
 
 コインチェックの歴史を振り返ると、同社を設立した和田晃一良社長の存在が大きい。端的に言えば、同氏のテクノロジーへの理解力とそれを実社会で応用しようとする才覚が、同社の急成長をもたらした。これは、稀有なことだ。

 和田氏は大学に在学していたときから、さまざまなアプリ開発コンペなどで受賞を重ねてきた。就職することも一旦は選択していたようだが、最終的にはコインチェックの前身であるレジュプレスというスタートアップ企業の設立に参画した。ここで、和田氏は人それぞれの経験や逸話を投稿するサイトである「STORY.JP」を開発したことで知られる。

 こうした和田氏の経歴を見ると、同氏が長い間プログラミングに深い関心を持っていたことがわかる。また、自ら起業を選択したことを見ても、自らの発想と判断力で多くのネットユーザーを中心に、人々の支持を集めるアプリケーションの開発や、サイトの運営ができるとの自負があったのだろう。おそらく、同氏の心理には、既存の枠組みではなく、自分で新しい価値観やビジョンを示したいという思いが強かったと見られる。

 和田氏にとって、ビットコインの普及とともに世界全体で関心を集めてきた仮想通貨のビジネスに参入することは、ごくごく自然な流れだったのかもしれない。前身のレジュプレスというストーリーを展開するコンテンツサイトの運営から、仮想通貨ビジネスへ戦略を大きく転換した。

 この判断には、賛否両論あったようだ。しかし同氏にとって、ユーザーの利便性を高めるテクノロジーを実用化する能力・実力があれば、ビジネスの内容が異なっても対応可能との見込みがあったのだろう。その考えを表すように、コインチェックは、ビットコインやイーサリアムをはじめ13の仮想通貨の取引を仲介している。

●ビジネスの急成長に追いつくことのできなかった経営管理
 
 ビットコイン以外の仮想通貨のことを一般的に「オルトコイン(アルトコイン)」と呼ぶ。仮想通貨取引への人気が高まるなかで、コインチェックが他の取引所運営企業よりも豊富な投資の選択肢を提供してきたことは、当社の急成長を支える主な要因となった。

 そのなかで、同社は急拡大するビジネスのリスクを的確に把握し、リスクへの対応策を実施していく組織的な能力を備えることができなかった。26日未明のNEM不正流出の発覚以降、同社が導入すべき技術を取り入れてこなかったことが明らかとなった。それは、経営管理の不備の発覚ともいえる。

 同社は仮想通貨の秘密鍵(銀行のキャッシュカードの暗証番号のようなもの)を、常時ネット環境に接続する「ホット・ウォレット」で管理し、ネットと切り離された別のシステムで管理する「コールド・ウォレット」を用いていなかった。これが最大の問題だ。また、国際的にも仮想通貨取引の基本的なセキュリティー技術と認識・推奨されている「マルチシグ(マルチシグネチャー、金庫に複数のカギをかけるように、複数のパスワード<署名>を複数のコンピューターで保管し、ハッキングなどを防ぐ技術)」も導入されていなかった。

 和田氏の会見内容からは、技術的な難しさ、他の優先すべき案件があったため、本来なされるべき対策が実施されてこなかったことが確認できる。終始一貫して感じられたのは「セキュリティーの甘さが原因ではない」など、経営上の問題が何か、和田氏本人が理解できていないように見えたことだ。

 なぜそうした状態が放置されたかを究明しなければ、同様のことは起きうる。コインチェックのシステムは和田氏が設計したといわれている。和田氏一人の考えがシステム全体のアーキテクチャにかなりの影響を及ぼし、客観的な査察や対応の是非を協議することが難しかったのかもしれない。本来、そうした問題は内部監査などを経て是正されるべきだが、コインチェックは急拡大する業務に追われ、経営管理体制の強化が後手に回ってしまったようだ。それが、不正アクセスによるNEMの流出につながった。

●至急求められる管理能力の強化
 
 IT技術への理解・応用力があることと、持続可能な組織体制を整備して企業の経営を進めることは大きく異なる。この問題を認識しない以上、ITスタートアップ企業が成長を続けていくことは難しいだろう。ある程度の規模までは、少人数によるシステム運営は可能かもしれない。しかし、それはいずれ困難となる。コインチェックはこの問題を和田氏の才覚に頼りすぎたと考えられる。

 同社の経営がどうなるか、先行きはかなり不透明だ。同社、あるいは和田氏が今後もビジネスの継続を希望するのは容易なことではない。取り組むべき問題を先送りし、結果的に多くの資産が社外に流出するリスクを放置したことによる信用の失墜は免れないはずだ。

 コインチェックが今後の経営立て直しを進めるためには、目先の課題だけでなく、経営のプロを呼んで組織を立て直すことが欠かせないだろう。当面は、社外に流出した顧客の資産をどう回収するか、損失の発生が不可避な場合に顧客間の公平性を確保しつつどう補てんを行うかが焦点となろう。業界他社への影響などを考えると、事態の解明を待たなければならないことも多い。

 重要なことは、同社、あるいはその経営に関与した人が、この教訓をどう活かすかだろう。テクノロジーへの理解とそれを応用する能力があれば、多くの人の関心、支持を集め、収益を生むことはできるかもしれない。

 ただし、それだけでは十分ではない。システムの安全性向上への客観的な評価、コンプライアンス(法令遵守)、内部監査などを、スタートアップの段階から意識していかなければならない。過去の企業の不祥事を見ても、当たり前のことがなされていなかったがために経営の問題が浮上し、最悪の場合、破綻に追い込まれたケースもある。コインチェックの組織内にそうした意識があったのであれば、こうした事態は防ぐことができたかもしれない。

 コインチェックに関しては、NEM以外の仮想通貨が不正に社外に流出したとの懸念もある。業務改善命令後、同社の経営陣が必要な対策を迅速に進めることは、追加的な被害を防止するためにも欠かせないだろう。
(文=真壁昭夫/法政大学大学院教授)