MAS「DTSPライセンスに関するガイドライン」（全文）

付録1 ガバナンスおよび所有権の要件

付録2 最低限のコンプライアンスの取り決め

付録3 ライセンス申請に必要な情報に関するガイダンス

付録4 年間ライセンス料

付録5 申請監査プロセスへの参加に関する規則

付録6 外部監査人による独立評価

1.1.目的

1.1 「デジタルトークン・サービス・プロバイダーのライセンス取得ガイド」（以下、「本ガイド」）は、2022年金融サービス・市場法（以下、「FSM法」）第9条に基づくデジタルトークン・サービス・プロバイダー（以下、「DSP」という。）金融サービス市場法（Financial Services and Markets Act 2022、以下「FSM法」）第9条に基づくデジタルトークン・サービス・プロバイダー（以下「DTSP」）は、シンガポールに事業所を有する個人、パートナーシップ、シンガポール法人、またはシンガポールで設立され、シンガポール国外でデジタルトークン・サービスを提供する事業に従事する個人、パートナーシップ、シンガポール法人と定義され、申請プロセス、ライセンス基準、および継続的な要件に関するガイダンスが提供されます。  

1.2 このガイダンスは、FSM法、Financial Services and Markets (Digital Token Service Providers) Regulations（「FSM規則」）、およびシンガポール通貨金融庁（「MAS」）が発行するその他の関連規則と整合するものとします。"）およびシンガポール金融管理局（Monetary Authority of Singapore、以下 "MAS"）が発行したその他の関連法、通達、ガイドライン、よくある質問（Frequently Asked Questions、以下 "FAQ"）。  

1.3 MASは本ガイドを定期的に更新し、さらなるガイダンスを提供します。  

2.金融サービス市場法における許可証

2.1 金融サービス市場法第137条に基づき、金融サービス市場法第1別表に定義されるデジタル・トークン・サービスをシンガポールで行う個人は、免除されない限り、許可証を保持する必要があります。FSM法137条5項は、適用除外について定めています。  

2.2 MASはDTSPに対して経過措置を提供しないため、ミクロネシア連邦法第137条に基づきライセンスを取得する必要があるDTSPは、2025年6月30日までに、国外でデジタルトークンサービスを提供する事業を停止または中止しなければなりません。ライセンス要件に違反したDTSPは違反となり、ミクロネシア連邦法137条6項に定める罰則の対象となる。  

デジタルトークンサービスの種類  

2.3 申請者は、ミクロネシア連邦法別表第1にある10種類のデジタルトークンサービスに照らして、申請者のビジネスモデルがデジタルトークンサービスの提供を含むかどうかを評価する必要があります。また、申請者は、提案する活動が、ミクロネシア連邦法別表第一の第2部に定めるデジタルトークンサービスの規制範囲の例外に該当するか否かを検討する必要があります。  

訳者注：ミクロネシア連邦法別表に表示されているデジタル・トークン・サービスの10分類

1.あらゆるデジタル・トークン取引サービス（MASが規制するデジタル・トークン取引サービスを除く。）)

2.デジタルトークンの交換を容易にするサービス（MASによって定義されたデジタルトークン取引サービス以外）;

3.);">3.あるデジタルトークン口座（シンガポール国内外を問わず）からデジタルトークンを受け取り、別のデジタルトークン口座（シンガポール国内外を問わず）にデジタルトークンを送信または送信の手配をするサービス;

5.金銭またはその他のデジタルトークン（同種または異種を問わず）と引き換えに、デジタルトークンを売買する契約を締結するよう、または締結を申し出るよう、人を誘導する、または誘導しようとするサービス;

6.サービスプロバイダがデジタルトークンを管理する、デジタルトークンの保護のためのサービス。

8.サービスプロバイダがデジタルトークンインストルメントに関連する1つまたは複数のデジタルトークンを管理する、デジタルトークンインストルメントの保護のためのサービス;

9.サービス提供者がデジタル・トークン機器を管理している場合、デジタル・トークン機器に関連する1つまたは複数のデジタル・トークンに関連して顧客の指示を実行するあらゆるサービス。デジタル・トークンに関連する助言の提供（電子形式、印刷形式、その他を問わない）、またはデジタル・トークンに関連する調査分析もしくは調査レポートの発行もしくは配布を通じた助言の提供（電子形式、印刷形式、その他を問わない）。電子形式、印刷形式、その他を問わない）に関連して、調査分析または調査報告書を公表または普及することによる助言の提供。

3.アクセス基準  

3.1 デジタル・トークン・サービスはインターネットベースかつクロスボーダーであるため、DTSPはマネーロンダリング、テロ資金調達、拡散資金調達（「ML/TF」）リスクの影響を受けやすくなります。これは、そのようなプロバイダーが不正な目的に関与したり悪用されたりするリスクの増大につながり、シンガポールの評判を傷つけることになる。こうしたリスクを考慮し、MASはDTSPのライセンス付与に慎重かつ慎重なアプローチをとっており、ごく稀な状況においてのみ、申請者にFSM法に基づくDTSPライセンス付与を検討する。その稀な状況とは以下のようなものです：  

• 申請者のビジネスモデルは経済的に正当であり、シンガポールで運営または法人設立/登録されているにもかかわらず、シンガポールでデジタルトークンサービスを提供する事業に従事するつもりがない正当な理由があることをMASが満足するよう証明できること;  

• 申請者は、MASから懸念を生じさせない方法で運営されており、関連する国際的に認められた基準（金融安定理事会、証券監督者国際機構、マネーロンダリングに関する金融活動作業部会（「FATF」）の基準など）を遵守することを約束しています。「;

• MASは、以下の点について懸念していません。申請者の事業構造には、規制義務を遵守する能力などの懸念はありません。

3.2  申請者は以下の基準を完全に満たし、ライセンシーとしてミクロネシア連邦法に基づく義務を遵守できることを明確に示さなければなりません。  

3.2.1 ガバナンスと所有権の要件  申請者は、付録1に定めるガバナンスと所有権の構造を遵守し、シンガポール会計企業規制庁（ACRA）に登録しなければならない。

3.2.2 適正と適性  申請者は、適正と適性の基準に関するガイダンス[FSG-G01]に従い、個人事業主、パートナー、マネージャー、取締役、最高経営責任者(CEO)、株主、従業員、および申請者自身が、MASを満足させなければならない。であることを証明しなければならない。関連人物が適正であることを証明する責任は、MASではなく、申請者にある。正直さ、誠実さ、評判に加え、能力と実力、財務の健全性も考慮される要素であり、MASは、利益相反の有無、関連人物のシンガポール法人への時間的コミットメントなど、その他の要素も考慮する。特に、事業体およびその関連グループは、特に金融犯罪および制裁コンプライアンスに関連して、不利な評判を受けてはならない。  

3.2.3主要人物の能力 申請者は、個人事業主、パートナー、マネージャー、執行役員、最高経営責任者（CEO）が、シンガポールにおけるDTSPの規制枠組みを十分に理解するなど、デジタル・トークン・サービス業界において十分な実務経験を有していることを確認しなければなりません。  

関係者が大規模なチームを管理する場合は、事業活動やスタッフを効果的に監督・管理するための関連する経験、能力、影響力も備えている必要があります。  

申請者は、主要人物の学歴や専門資格も考慮する必要があります。

3.2.4 恒久的な事業所または登録事務所  申請者は、シンガポールに恒久的な事業所または登録事務所を持たなければなりません。その敷地は、申請者の帳簿や記録を安全に保管できるオフィスエリアでなければなりません。また申請者は、顧客からの問い合わせや苦情、当局からの問い合わせや情報請求に対応するため、少なくとも1名を常駐させなければなりません。  

3.2.5 基本資本  ライセンス申請者は、FSM規則に定められた基本資本要件を熟知しており、表3に概説されているように、これらの要件を一貫して満たす方法を明確に示していることをMASに納得させなければならない。この義務を踏まえ、申請者は、事業の規模や範囲、損益の可能性を考慮し、基本資本要件を上回る適切な資本バッファーを確保しなければならない。一般的に、企業の基本資本は、少なくとも6～12ヶ月間、申請者の営業経費をカバーできるものでなければならない。また、申請者は、定期的な報告や、最低要件以上の特定の資本バッファーを設定するなど、基本資本要件が一貫して満たされていることを確認するための効果的なモニタリング・プロセスを備えている必要がある。

表1 基本的な自己資本要件

3.2.6 コンプライアンスの取り決め  申請者は、効果的なコンプライアンスの取り決めプログラムを有し、事業の性質、規模、複雑性に見合った適切なコンプライアンス資源が充てられるようにしなければなりません。コンプライアンス・リソースコンプライアンス態勢の最低要件は、付録2に記載されています。コンプライアンス態勢の設定にかかわらず、申請者の個人事業主、パートナー、マネージャーまたは取締役、CEOが適用される法規制を遵守することを保証する最終的な責任と説明責任は、申請者にあります。

3.2.7 技術的リスク管理  申請者は、提供を提案するデジタルトークンサービスの侵入テストを実施し、特定された高リスクの問題をすべて修正し、修正の有効性を独自に検証しなければなりません。これは申請前に完了する必要はありませんが、ライセンス付与前に完了する必要があります。  

3.2.8監査の取り決め 申請者は、その手続き、統制、規制要件の遵守の適切性と有効性を定期的に評価するために、適切な独立した監査の取り決め計画を持たなければなりません。監査の取り決めは、その業務の規模、性質、複雑さに見合ったものでなければならない。監査は、申請者の内部監査部門、申請者の本社の独立内部監査チーム、または第三者サービス・プロバイダーに委託して実施することができる。  

3.2.9年次監査要件 申請者は、ミクロネシア連邦法第158条に定められた年次監査要件を満たすための計画を立てなければなりません。監査人は、申請者が自らの費用負担で任命し、申請者の会計と取引、関連規則と要求事項の遵守を監査しなければならない。  

3.2.10Letter of Responsibility and/or Letter of Commitment  適切な場合、MASは申請者に対し、支配株主、親会社、関連会社からのLetter of ResponsibilityやLetter of Commitmentの取得を求めることができる。申請が承認された場合、MASはテンプレートを提供します。  

3.2.11その他の要因  MASは、該当する場合、以下の要因も考慮する場合があります。申請者がその事業活動に関連する主要なリスクを十分に認識し、関連するリスクを適切に特定、評価、軽減しているかどうか。  

3.3  MASはケースバイケースで各申請を評価し、ケースバイケースでその他の要因を考慮する場合がある。上記の基準および考慮事項はすべてを網羅するものではなく、MASは申請者がもたらす固有のリスクに対処するため、追加の条件または要件を課す場合があります。

3.4 申請者はフォーム1の申請書を提出しなければならない。すべての申請者およびライセンシーは、FSM規則の別表に定められた関連料金を支払わなければなりません。料金の詳細については、付録4をご参照ください。また、申請者は、申請審査プロセスの職務規定についても付録5をご参照ください。

4.ライセンス申請の要件  

4.1 アクセスの基準を満たすことができると評価した申請者は、ライセンス申請に必要な情報に関するガイダンスについて、付録3を参照してください。ガイダンス

Legal Opinion for New Licence Applications  

4.1.1 DTSP ライセンスを申請する新規申請者は、信頼できる法律事務所が発行した法的意見書を申請書に添付して提出する必要があります。法律意見書には、申請者のビジネスモデルの明確かつ簡潔な要約と、申請者が提供しようとするサービスおよび／または製品が、ミクロネシア連邦法で規制されるデジタルトークンサービスであるかどうかの評価を含める必要があります。  

4.1.2 最初の法的見解が不明瞭な場合、MASは2回目の法的見解を求める権利を有します。

外部監査人の独立評価  

4.1.3 Approval-in-Principle(以下、「IPA」)を取得した時点で、申請者は資格のある独立した外部監査人を任命しなければならない。この要件は、IPAの条件として組み込まれる。技術およびサイバーセキュリティリスク評価の範囲は、付録6に記載されている。

5. ライセンシーの継続的要件  

5.1  ライセンシーは、FSM法およびその他の関連法規に定められたすべての適用要件を継続的に遵守しなければなりません。ライセンシーは、必要に応じて MAS に提出および通知することを含め、すべての継続的な義務が満たされるよう、プロセス、システム、方針、手続きを整備するものとします。ライセンシーは規制の動向を常に把握する必要があり、最新の要件についてはMASのウェブサイトをご覧ください。

5.2 マネーロンダリングおよびテロ資金供与対策（「AML/CFT」）要件  ライセンシーは、金融サービスおよび市場規制（標的型金融制裁に対する規制を含む）、2002年テロリズム（資金供与の抑制）法、2002年金融規制および市場規制（「AML/CFT」）、2002年金融規制および市場規制（標的型金融制裁に対する規制を含む）、2002年金融規制および市場規制（標的型金融制裁に対する規制を含む）、2002年テロリズム（資金供与の抑制）法、2002年金融規制および市場規制を遵守しなければなりません。汚職、麻薬密売およびその他の重大犯罪（利益の没収）法 1992、マネーロンダリング防止およびテロ資金供与対策に関する通知 [FSM-N27]、疑わしい活動および詐欺事件の報告に関する通知 [FSM-N28]に定める AML/CFT 要件を遵守しなければならない。ライセンシーは、AML/CFT要件についてFSM-N27通知ガイドも参照すること。

5.3 定期報告書

ライセンシーは、FSMの規則に従い、デジタルトークンの活動に関する定期的な規制報告書を提出する必要があります。関連する要件は、規制報告書の提出に関する通知[FSM-N29]に記載されています。  

5.4サイバーセキュリティ ライセンシーは、サイバーセキュリティ通知[FSM-N31]に定められたサイバーセキュリティ要件を遵守し、顧客情報を保護するために適切な保護措置を採用しなければなりません。  

5.5 技術リスク管理  ライセンシーは技術リスク管理通知 [FSM-N30]を遵守し、技術リスク管理要件については技術リスク管理実施ガイドを参照しなければなりません。  

5.6業務上の行動

ライセンシーは、ミクロネシア連邦法、ミクロネシア連邦規則、および業務上の行動に関する通知 [FSM-N32]に記載されている業務上の行動要件を遵守しなければなりません。これらの義務には、取引の記録、領収書の発行、為替レートと手数料の表示、通常営業時間の通知などが含まれる。また、ライセンシーは、禁止されている営業活動を含む、すべての禁止事項や制限事項の遵守を徹底しなければなりません。

5.7 情報開示とコミュニケーション

ライセンシーは、許可されたライセンスの範囲について正確な説明を行い、その業務に適用される場合は、情報開示およびコミュニケーション通知[FSM-N33]に定められた開示を提供しなければなりません。また、ライセンシーは、開示内容に重大な変更があった場合、顧客が適時に最新情報を受け取るようにしなければならない。  

5.8年次監査要件 ライセンシーは、会計および取引、ならびに規制および要件の遵守について監査を実施するため、毎年監査人を任命しなければならない。ライセンシーは、監査人が様式3でMASに報告書を提出することを保証しなければならない。

Appendix 1  

A1 ガバナンスおよび所有権の要件  

Appendix 2

A2 最低限のコンプライアンスに関する取り決め

申請者は、効果的なコンプライアンスに関する取り決めと、事業の規模、性質、複雑さに見合った適切なコンプライアンス・リソースを確保する必要があります。

• -独立したコンプライアンス機能

  申請者は、事業活動に関連する分野において、適切な資格を有するスタッフを擁する独立したコンプライアンス機能をシンガポールに設置しなければならない。申請者は、事業活動に関連する分野において、適切な資格を有するスタッフを擁する独立したコンプライアンス機能をシンガポールに設置しなければならない。コンプライアンス担当者は、社内の法律顧問など、他の矛盾しない補完的な役割を担うことができる。  

• - 持株会社または海外関連事業体からのコンプライアンス支援  申請者は、申請者のコンプライアンス・オフィサー、個人事業主、パートナー、マネージャーまたは取締役、ならびに最高経営責任者（CEO）およびその他の上級幹部が適切な監督を行っていることを証明できる場合、持株会社または海外関連事業体の独立した常勤コンプライアンス・チームからコンプライアンス支援を受けることができます。適切な監督  

また、申請者は、最低限、経営レベルで適切な資格を有するコンプライアンス・オフィサーを任命するなど、適切なコンプライアンス管理の体制を整えていなければなりません。この責任者は、シンガポールを拠点とし、事業活動に関連する分野において十分な専門知識を有し、申請者のコンプライアンス機能を監督する権限を有する必要がありますが、日常業務においては他の従業員が補佐することもあります。  

申請者はまた、コンプライアンスとAML/CFTの問題（対象となる金融制裁に関連するものを含む）を監督するための適切なガバナンス構造を備えている必要があります。事業の規模やグループの構造に応じて、申請者は、コンプライアンス・オフィサーが取締役会または取締役会委員会にコンプライアンスとAML/CFTの問題について定期的に報告し、コンプライアンス・オフィサーの権限を超える事項について決定を下すことを検討することができる。  

申請者は、どのような取り決めを選択したとしても、申請者の個人事業主、パートナー、マネージャー、または取締役、CEOが、すべてのコンプライアンスおよび規制事項の最終的な責任を負い、関連する取り決めを適切に監督しなければならないことに留意しなければならない。  

したがって、申請者の上級管理職およびコンプライアンス責任者は、申請者の事業活動が直面するコンプライアンスおよびML/FTリスク、ならびにそれらのリスクを効果的に管理するための手段を十分に理解していることを証明できなければなりません。  

付録3  

A3ライセンス申請に必要な情報に関するガイダンス  

申請者は、アクセス基準を完全に満たし、申請書が完全で、誤りや矛盾がなく、申請書に明記されている必要な補足書類が添付されていることを確認する必要があります。  

事業計画案に必要な情報  

特に、事業計画案には以下の情報を含める必要があります。

申請者は、専門的な経験と専門知識に裏打ちされたビジネスモデルと計画を明確に説明しなければなりません。

事業計画には、ミクロネシア連邦法および関連する補助法令をどのように遵守するかを記載し、以下の情報を含める必要があります： 

-サービスを提供する管轄区域（申請者がデジタルトークン・サービスを提供する管轄区域で事業免許を取得しており、金融安定理事会（Financial Stability Board）、証券監督者国際機構（International Organisation of Securities Commissions）、国際金融活動作業部会（FATF）などが定めた国際的に認知された関連基準への遵守に関して、関連する規制監督を受けているという証拠を含む）。関連当局による監督の証拠。  

- ターゲットとする顧客像。

- 提供する商品とサービス。申請者は、取引プロセスの各段階で実施するデジタルトークンサービスの種類を明記しなければならない。申請者が複数の種類のデジタルトークンサービスを提供することを提案する場合、デジタルトーク ンサービスの種類ごとに個別に評価する必要がある。

- シンガポールで営業または法人設立/登録されているにもかかわらず、シンガポールでデジタルトークンサービスを提供する事業に従事するつもりがない理由。  

- 取引および/またはプロセスのフローチャートを含む、詳細な資金フローの計画と経路。複数の製品またはサービスがある場合、または複数の種類の取引および/またはプロセスのフローがある場合は、フローごとに図を提供する必要があります。

• 申請者が受け入れた資金源（例：銀行振込、現金、銀行カード）から、顧客に対する債務の完全な履行に至るまでの典型的な取引の開始と終了を記述すること。  

• 顧客と申請者の間のやり取りと資金の流れを説明する。  

• 第三者とのサービスレベル合意、適用される支払および決済サイクルを含むタイムラインに留意すること。  

• 革新的な技術（デジタルトークンの使用や提供、分散型台帳技術など）や、市場で一般的に見られるものとは異なる製品やサービスの提供方法を使用しているセグメントを強調すること。  

• 関係するすべての第三者（他のデジタルトークンサービスプロバイダー、銀行パートナー、仲介者、その他の代理人など）を含め、プロセスにおける役割を説明すること。  

-事業/製品立ち上げの予定スケジュール、運用で重要な役割を果たすシステム、プロセス、サードパーティを含む実施計画。

- デジタルトークンサービスが、申請者が提供する他の製品またはサービスに付随またはバンドルされているかどうか。  

- MASによって規制されている、申請者が現在実施している、または実施を提案している他の活動（金融アドバイス、証券取引など）の簡単な説明。  

- 申請者が現在行っている、または行うことを提案している、免除され規制されていない活動の簡単な説明。  

- グローバル・デジタル・トークン・サービス・グループの一員である申請者の場合:  

• グループ内での申請者の役割。および／またはグループ内の関連会社から受け、および／またはグループ内の関連会社に提供される機能もしくはサービス（もしあれば）を含む、グループ内での申請者の役割。可能であれば、申請者は、シンガポールでの事業運営をサポートするために、グループ内の他の関連会社がどの程度のリソース（従業員数や拘束時間など）を有しているかを見積もる必要があります。

• すべての事業体が免許・登録を受けていることを確認し、各事業体の免許・登録の詳細を提出すること。申請者は、ライセンス/登録証明書のコピーまたは規制当局のウェブサイト上のライセンス/登録状況情報を提供すること。申請者は、その事業体のいずれかが関与している可能性のある、規制当局による強制措置／調査を開示しなければならない。  

-トークン上場ガバナンスプロセスを含め、支援または提供を提案するすべてのデジタルトークンおよびデジタルトークンサービス（取引プラットフォーム、カストディアンなど）の包括的なリスク評価。申請者は、サポートするデジタルトークンの完全なリストを提供し、MASの規制枠組みにおけるトークンの性質（例えば、証券トークンか決済トークンか）の評価を説明する必要があります。  

- シンガポールにおける顧客のデジタルトークンへのアクセスおよび操作に関する管理、顧客口座の日々の照合、顧客への月次口座明細書の提供に関連する情報、リスク管理管理（顧客資産の移動に関する管理）、顧客への情報開示を維持するための、その消費者アクセス対策および業務行動対策。  

Legal Opinion  

申請者は、提案するビジネスモデルの下で提供される規制対象のデジタルトークンサービスについて、信頼できる法律事務所から法的意見を提出する必要があります。

- 申請者のビジネスモデルと、申請者が提供を提案する各サービスおよび製品の明確かつ簡潔な要約（各サービス/製品の資産/ファイナンシャルフローと、該当する場合は関係者を含む）。

• 提案されたサービスまたは製品が、ミクロネシア連邦法で規制されるデジタルトークンサービスであるかどうかの評価。この評価には、提案された各サービスまたは製品に対する各規制デジタルトークンサービスの適用可能性に関する詳細かつ包括的な分析を含まなければなりません。評価では、関連するすべての法律、通知、ガイドライン、回覧、FAQも考慮する必要があります。

• 提案されたサービスまたは製品が免除または規制対象外と評価された場合、関連する免除または例外がどのように適用されるかの詳細な説明。

• 法的助言がMASに開示されることの確認。

コンプライアンス、リスク管理、システム、統制に必要な情報

技術リスク管理

申請者は、技術リスクを評価・管理するための枠組みを策定し、提供される金融サービスおよびそのサービスを支える技術のリスクのレベルと複雑さに見合ったリスク管理アプローチを採用する必要があります。申請者は、顧客データ、取引、システムを保護するために、提供される金融サービスおよびそれらのサービスを支える技術のリスクの複雑さに見合ったリスク管理手法を採用しなければならない。申請者は、情報技術リスク管理の原則と規制上の期待について、テクノロジー・リスク管理サーキュラー[FSM-N30]、サイバーセキュリティ・サーキュラー[FSM-N31]、テクノロジー・リスク管理実践ガイドを参照すべきである。

コンプライアンスと監査

申請者は、提案されているビジネスモデルの性質に合致した以下の情報と書類を提供する必要があります。

• Circular FSM-N27のMAS AML/CFT方針および手続き、ならびに関連するAML/CFT方針および手続きへのコンプライアンスの証明。テロ資金供与（AML/CFT）方針・手順および関連する標的型金融制裁要件。これには、代理店や第三者パートナー（ローカル及びオフショア）を評価・監視する枠組みを含むべきである。

• Enterprise Wide Money Laundering / Terrorist Financing / Proliferation Financing Risk Assessment（「EWRA」）。申請者は、EWRAに脱税リスク評価も含める必要があります。

• マネーロンダリング/テロ資金供与対策のガバナンス、エスカレーション、報告の取り決め。これには、事業の過程で発生する可能性のあるAML/テロ資金供与対策の問題の監督と解決における、個人事業主、パートナー、マネージャーまたは取締役、CEO、その他の上級幹部の関与の詳細を含める必要があります。

• 導入されたプロセスや使用されるシステムを含む、コンプライアンス管理の取り決めの実施計画。

• ACAMS、IBFの認定など、正式なコンプライアンス認定の詳細を含む、コンプライアンス・オフィサーの氏名および履歴書（「CV」）。

• 組織図にコンプライアンス機能の人員配置と報告系統の詳細が含まれていない場合。これには、外注プロバイダーとチームの所在地、申請者と外注プロバイダーとの関係（サプライヤー、親会社など）、外注プロバイダーのライセンス／登録状況、監督体制など、すべての外注コンプライアンス機能の詳細を含めること。

• 内部監査と外部監査の取り決め。

持株構造図

申請者は完全な持株構造図（最終的な支配者まで）を提出し、最終的な支配者は自然人でなければなりません。

申請者に20%の支配株主がいない場合は、書面による確認が必要です。

付録4

A4 ANNUAL LICENSE FEES

FSM法第140条に基づき、ライセンス料はFSM規則の別表に定められた通り、年単位で支払われます。支払われたライセンス料は返金されません。

ライセンシーは、年間のライセンス料の支払いについて、MASと銀行自動支払い（GIRO）契約を締結しなければなりません。ライセンシーは、GIRO契約の詳細が最新であること、および料金通知書に指定された引き落とし日までに銀行口座に十分な資金があることを確認する必要があります。

新規ライセンシーに対する比例ライセンス料

当年の1月1日にライセンスを取得していない新規ライセンシーの場合、ライセンス付与後最初の暦年のライセンス料は、ライセンス付与日から同年12月31日までの固定年間ライセンス料の日割りで計算されます。例1は、初年度のライセンス料の計算方法を示しています。

例1 ある企業が2025年12月1日にDTSPライセンスを取得した。

初期審査と情報要求

申請審査プロセスは、ケースオフィサーの割り当てと、申請者から提出されたすべての必要情報と書類の受領から始まります。受理された申請書の数によっては、MASが申請書を受理した直後にケースの割り当てが行われない場合もあります。案件が割り当てられた後、ケースオフィサーは申請者に連絡し、キックオフミーティングを含む必要な次のステップを通知します。

ケースオフィサーは、提出された書類一式を確認します。この書類は通常、申請者が受け取る最初の情報請求となります。また、ケースオフィサーは申請者のビジネスモデルについて最初の審査を行います。審査プロセスでは、申請者が提出した回答の完全性によって、情報提供や説明の要請が複数回行われる可能性があります。

申請者は、申請書を提出する前に、申請書が本ガイドに定める入会基準を満たし、本ガイドの付録3に必要な情報が含まれていることを必ず確認してください。MASは、提出書類に重大な不備や重大な欠陥があると判断した場合、申請を却下する権利を留保します。また、申請者は、これらの情報提供の要請をフォローアップし、適時に適切な回答を提供できる担当者を常に確保する必要がある。

申請者は、いかなる種類の隠蔽も行うことなく、すべての重要な情報を適時に、積極的に、適切な方法でケースオフィサーに開示しなければなりません。正当な理由なく、申請者が故意に情報を隠蔽、隠蔽、または開示を遅らせたことが判明した場合、これは重大な欠陥とみなされます。申請者は、MASに提供する情報や書類が虚偽でなく、誤解を招かないよう、相応の注意を払わなければならない。ミクロネシア連邦法第176条(1)または第176条(3)に違反した者は、犯罪として罰金または禁固刑に処せられる可能性があります。

回答の適時性と質

MASは通常、情報提供要請に対する回答期限を申請者に提示します。申請者が指定された期限内に回答しなかった場合、MASは申請を取り下げたものとみなします。申請者は、回答の準備にさらに時間が必要な場合、事前にケースオフィサーに通知する必要がある。

申請者はまた、完全かつ包括的な回答を提供するために必要な時間と、審査を迅速化するために急いで回答する必要性とのバランスを取らなければならない。満足のいく包括的な回答を提供できなかった場合、不備と評価され、申請に対する不利な検討が行われる可能性があります。

面接

ケースオフィサーは通常、申請者の主要な経営陣および/またはコンプライアンス・オフィサーとの面接を手配します。申請者のすべての代表者は、ケースオフィサーとの対話を真剣に受け止める必要があります。面談の目的は、申請者が規制要件を遵守するために、どのように事業とリスクを管理するつもりであるかを説明することである。コンサルタント、外部の法律顧問、その他の第三者が面談に出席することは許されない。これは、申請者がその機能のいずれかを外部に委託したとしても、規制上の義務を果たす責任は申請者にあるためである。

ケースオフィサーが、申請者がライセンシーの義務を十分に果たせないと考える合理的な根拠がある可能性のある状況には、以下のようなものが含まれますが、これらに限定されるものではありません。

• 正当な理由なく面接に出席しなかった場合、

• 面接中に質問に明確に答えられなかった場合、

• 面接中に質問に明確に答えられなかった場合。

• ケースオフィサーを罵倒すること。

面接後、申請結果が判明する前に申請内容に重大な変更があった場合、ケースオフィサーは申請者との追加面接を予定することができます。そのような変更の例としては、申請者の主要人物の任命の変更や、申請者のビジネスモデルの変更などが挙げられます。

MASの審査プロセス

ケースオフィサーは、申請を徹底的に評価する義務があります。申請段階であっても、申請者の目的はライセンスを取得することであり、その結果、あたかも規制制度の中にあるかのように継続的な規制と監督を受けることになる。ケースオフィサーは、このような観点から申請書を審査し、申請者が規制される金融機関であるかのように行動することを期待する。それができない申請者は、重大な欠陥がある可能性があると評価され、申請が却下される可能性があります。

申請の保留

申請後に提供された情報に変更があった場合、MASは直ちにその旨を通知する必要があります。申請内容に重大な変更があった場合、申請者はそれまで申請を審査することができないため、申請を取り下げ、変更が行われた後に再申請することを検討する必要があるかもしれません。

審査過程において、申請者が大規模な企業再編、主要な経営陣の大幅な変更、またはビジネスモデル/活動の大幅な変更を行った場合、MASは審査の準備が整っていないと評価された申請を6カ月間保留する権利を有する。このような重大な変更は申請者には予見できなかったかもしれませんが、保留期間によって、審査待ち行列にいる他のすべての準備の整った申請者に対する公平性を確保するために、このような未完了の申請からリソースを転用することができます。

保留期間中、すべての必要な変更を適時に解決/完了し、保留期間終了時に評価のために関連書類をMASに提出することは申請者の責任である。デフォルトの保留期間は6ヶ月であり、延長はできない。保留期間内に主要な変更が完了しない場合、申請は審査の準備が整っていないと評価され、申請者は申請の取り下げを検討する必要があります。

申請の取り下げ

申請者はいつでも申請を取り下げる権利があります。また、合理的な期間内に適切に対処できない根本的な問題がある場合、またはMASによる審査の結果、申請書に重大な欠陥があると評価された場合、申請者は申請を取り下げるよう勧告されることがあります。申請者は、ケース・オフィサーによってそのような評価がなされた場合、同様の状況にある他の申請者が承認されていないことを示すことに留意すべきである。ケースオフィサーによる公正で客観的かつ検証可能な査定を保証するため、厳格な管理が行われている。各申請書とその添付書類は、ケースオフィサー、監督オフィサー、審査・承認当局からなるチームによって厳格に精査されます。したがって、申請者は審査プロセスとその結果を真摯に受け止める必要があります。

申請者が申請書を再提出する場合は、すべての問題や不備が適切に処理されていることを確認しなければなりません。MASが以前に指摘した問題を修正せずに申請書を再提出した場合、却下される可能性があります。

申請保留に関して、主要な管理職の重要な変更とは、主に最高経営責任者（CEO）、最高財務責任者（CFO）、最高リスク責任者（CRO）、最高コンプライアンス責任者（CCO）などの主要なC-suiteポジションに関連する変更を指します。しかしながら、申請者は、ビジネスモデルの重要性や報告ラインの重要性に基づき、重要な経営陣とみなされるべき役職のその他の変更も評価し、強調する必要があります。

A6 外部監査人による独立評価

A. 技術およびサイバーセキュリティリスク：

（原則承認後に申請者が記入する必要があります）

1. Criteria for External Auditor Appointed to Conduct Independent Assessment of Technology and Cybersecurity Risks
   独立した評価を実施するために申請者が任命した外部監査人は、以下の基準を満たさなければなりません：
   

2. 評価の範囲
   以下に挙げるのは、原則承認（IPA）の条件となるものです、独立した外部監査人が評価する技術およびサイバーセキュリティリスクの分野。

ビジネスオーナーは、技術およびサイバーセキュリティリスク（技術リスク）の分野において、十分な年功序列と十分な経験・専門知識を有している必要があります。適切な資格を有する独立した外部監査人を任命し、技術リスクの方針、手続き、統制について独立した評価を提供するようにすることは、申請者の責任です。

I.サイバーセキュリティ

a.申請者の提案するビジネスモデル、商品、サービス、金融の流れ、提供チャネルを考慮し、
i.MASサイバーセキュリティサーキュラーFSM-N31に規定されている関連規制要件とのギャップを特定し、
ii.サイバーセキュリティリスクの軽減を強調する。改善が必要な分野を強調すること。

II.データ損失防止

a.以下の分野に関する申請者の提案する情報保護方針および管理（IPPC）をレビューし、評価すること。
i.機密データ（顧客データを含む）の送信および保管中の保護、
ii.機密データ（顧客情報を含む）の不正アクセスまたは開示（顧客情報の通信を含む）の検出および防止。
iii.ホストされたウォレットの暗号化キーの保護。
b.申請者の提案するビジネスモデル、商品、サービス、金融の流れ、提供チャネルを考慮し、
iv.技術リスク管理（MAS FSM-N30 技術リスク管理サーキュラー及び技術リスク管理ガイドのセクション11を含むが、これらに限定されない）に適用される規制要件とのギャップを特定し、
v.提案するビジネスモデルから生じる技術リスクを軽減するために必要な改善点を強調すること。
v.提案されているビジネスモデルによってもたらされるテクノロジーリスクを軽減するために必要な改善点を強調すること。

III. 侵入テスト

a. 申請者が提案するシステムの侵入テストのIPPCをレビューし評価する。
i.システムの重要性、システムがさらされるサイバーリスクなどの要因に基づく侵入テストの頻度
i.インターネットから直接アクセスできるシステムについては、申請者は、少なくとも年1回、またはこれらのシステムに重要な変更や更新が加えられたときに、セキュリティ管理の妥当性を検証するための侵入テストを実施すること
ii.関係するリスクのレベルに見合った侵入テストの結果を修正するためのサービスレベル合意（「SLA」）。
b.申請者の提案するオンライン金融サービスの侵入テスト（過去12ヶ月以内）が、重要なセキュリティの脆弱性を特定するために適切かつ十分であるかどうかを検討し、評価すること。
c.申請者の提案するビジネスモデル、商品、サービス、金融の流れ、提供チャネルを考慮し、
i.技術リスク管理（技術リスク管理ガイダンスの第13.2項を含むが、これに限定されない）に適用される規制上の期待とのギャップを特定すること。

IV.デジタルウォレットとスマートコントラクト

a.申請者の提案するIPPCをレビューし、提案するIPPCが申請者の提案するビジネスモデル、製品、サービス、金融フロー、提供チャネルに見合った以下のコントロールを含むかどうかを評価する。適切なアクセス制御、徹底的なテスト、安定したリリースへの定期的な更新、静的および動的なコード解析を含む）システム開発ライフサイクルの間、安全な設計原則に従うこと。
ii.スマートコントラクトの開発は、安全な開発、DevSecOps、および不正アクセス、データ漏洩、およびセキュリティ脆弱性の悪用を防止するためのテストを通じて、スマートコントラクトがサイバー脅威や脆弱性から確実に保護されるための制御を含むこと。
iii.重要なシステムの高可用性を確保するためのコントロール、およびそのようなシステムの迅速な復旧戦略を確保するためのシステム復旧およびビジネス復旧の優先順位付け（根本原因および影響分析を含む）。
vi.ホストされたウォレットの暗号鍵コンポーネントを分離し、単一の個人またはシステムがいつでも完全な鍵にアクセスできないようにすること（すなわち、少なくとも2人の権限を持つ個人が鍵管理操作を調整し承認することを要求する「Never Alone」の原則に従うこと）。