韓国野党・国民の力議員室が7日、金融監督院から提出させた資料により、11月27日発生のアップビットハッキング事件の詳細が明らかになった。これを受けて韓国金融当局は、暗号資産取引所に無過失損害賠償責任を課す規制枠組みの導入を進めている。
現在策定中の「暗号資産2段階立法案」では、課徴金上限を売上高の3%まで引き上げる方針だ。現行法の不備が露呈したことで、利用者保護強化と業界健全化を目指す制度改革が加速している。
Sponsoredハッキング事件が浮き彫りにした法的空白
韓国最大の暗号資産取引所アップビットで11月27日、ホットウォレットから約445億ウォン(約48億円)相当のソラナ系仮想通貨が不正流出する事件が発生した。韓国当局は北朝鮮のハッカー集団「ラザルス」の関与を疑っており捜査を進めているが、聯合ニュースによると、現行法制では事業者への実効的な制裁手段や法的責任を明確に規定する条項が存在せず、規制当局の対応能力に限界があることが明らかになった。
事件発生当時の対応を時系列で見ると、セキュリティ侵害の検知から公表までに約6時間の時間差が生じており、情報開示の迅速性についても課題が浮上している。アップビットは午前5時に緊急会議を開き、5時27分にソラナ系資産の入出金を中断したものの、ハッキングの公表は午前10時50分以降となった。政府機関への報告も段階的に行われ、金融監督院への報告が午前10時58分、韓国インターネット振興院が午前11時57分、警察が午後1時16分、金融委員会が午後3時と、統一的な危機管理体制の不在が指摘されている。
現行の「暗号資産利用者保護法」は2024年7月から施行されているが、ハッキング関連規定は含まれていない。電子金融取引法では、金融機関や電子金融業者は不正アクセスやシステム障害で利用者が損害を被った場合、利用者の故意・重過失がない限り賠償義務を負うが、暗号通貨事業者は同法の適用対象外である。このため、事故発生時も責任を問うことが困難な状況となっていた。
システム障害多発で強まる規制強化の機運
韓国国会議員が金融監督院から入手した資料によると、2023年から2025年9月までの間、韓国主要5取引所(アップビット、ビッサム、コインワン、コービット、ゴーパックス)でシステム障害が計20件発生し、数十億ウォン規模の被害が出ている。約3年間で平均して年間7件近くのシステム障害が発生している計算となり、インフラの脆弱性が業界全体の構造的課題として認識され始めている。
金融委員会は現在策定中の「暗号資産2段階立法案」に、暗号資産事業者に対する無過失賠償責任条項を盛り込む方針を固めた。この制度設計は、従来の事後的な行政指導から予防的な責任体系への転換を意味し、取引所のリスク管理に対するインセンティブ構造を根本的に変える可能性がある。利用者の故意・重過失がない限り損害賠償義務を負うことになるため、取引所は従来以上に高度なセキュリティ投資を迫られることになる。
さらに、電子金融取引法と同水準の安全性・信頼性確保義務と課徴金制度が導入される見通しだ。現在国会に係属中の電子金融取引法改正案は、不正アクセス事件を起こした金融機関に売上高の3%まで課徴金を課す内容となっており、同改正案が可決されれば仮想通貨事業者にも同水準が適用される可能性が高い。現行の課徴金上限50億ウォン(約5億円)から売上高比例制への転換は、大規模事業者ほど重い制裁を受ける仕組みとなり、市場における影響力に応じた責任の明確化を図るものである。
グローバル規制動向と韓国の位置づけ
今回の規制強化は、欧州のMiCA(暗号資産市場規制)や米証券取引委員会(SEC)による取締強化といった国際的な規制潮流に呼応する動きであり、韓国が暗号資産業界における利用者保護とリスク管理の国際標準に追いつこうとする姿勢を示している。世界各国では暗号資産取引所に対する規制の枠組み整備が進んでおり、韓国も遅ればせながら対応を本格化させている。
無過失賠償責任の導入は、取引所に高度なセキュリティ対策と危機管理体制の構築を促すと同時に、業界における淘汰と集約を加速させる触媒となる可能性がある。中小規模の取引所にとっては運営コストの増加につながり、資本基盤の強化が喫緊の課題となる。大手取引所は既に年間数十億円規模のセキュリティ投資を行っているとされるが、新制度下では法令遵守コストがさらに上乗せされ、参入障壁が一層高まることが予想される。
アップビットは今回の事件で全額を自社資産で補償する方針を表明しており、資金力のある大手は対応可能である。しかし、新制度下では全ての取引所が同様の責任を負うことになり、財務的な余力に乏しい中小事業者は事業継続が困難になる可能性があり、市場の寡占化が進む懸念も指摘されている。韓国当局は、利用者保護を最優先としつつも、健全な市場競争を維持するためのバランスを取ることが求められる。
日本では、2018年のコインチェック事件(約580億円相当のNEM流出)や2024年のDMMビットコイン事件(約482億円流出)を経ても、無過失賠償責任は法制化されておらず、事業者による自主的な補償に依存している。しかし、金融庁は2025年11月、不正流出に備える「責任準備金」の積み立て義務化を盛り込んだ金融商品取引法改正案を2026年の通常国会に提出する方針を固めており、韓国と同様の規制強化の動きが進んでいる。