MiCAの物質要件：暗号資産企業にはEU事務所だけでは不十分

あなたはエントティを持っています。アドレスもあります。資本もあります。では、なぜ規制当局はまだ満足しないのでしょうか？ MiCAの下で、実体は、あなたの事業が本当にEU内から運営されているかどうかを実証的に評価するものであり、ほとんどの申請者はそれが実際に何を要求するかを過小評価しています。

MiCA Decodedは、Bitcoin.comニュース向けの12回シリーズで、LegalBisonの共同創設者兼経営ディレクターであるAaron Glauberman、Viktor Juskin、Sabir Alijevが共同執筆しています。LegalBisonは、ヨーロッパおよびその他の地域におけるMiCAライセンス、CASPおよびVASPの申請、規制構築について、cryptoおよびFinTech企業にアドバイスを提供しています。

今週のエントリーは、LegalBisonの弁護士であるクリスティアン・ラプカが執筆しました。クリスティアンは、市民法と普通法の交差点における戦略的リスク管理とともに、国境を越える企業および商業取引に専門を置いています。

最初のCASP申請に臨むほとんどの創業者は、少なくとも抽象的に、MiCAが本物のEUにおける拠点を要求していることを理解しています。しかし、彼らが過小評価しているのは、規制当局が「本物」をどのように定義しているかです。

初期段階の設定は、文書上では一貫性があるように見えます：有利なEU管轄区域に登録された本店、ガバナンス文書に記載された取締役、クラウドホストまたはグループのグローバルインフラから管理されるICTシステム、そして新規に開設された銀行口座に預けられた資本です。

内部から見ると、これはEUの企業のように感じられる。国家規制当局の視点からは、取締役が付いた郵便箱のように見えるかもしれない。

この記事では、MiCAの実質的要件が人材、技術、財務的レジリエンスの各分野に具体的に何を求めるかを整理し、規制当局が各カテゴリを文書化の作業ではなく機能的テストとして扱う理由を説明します。

それをすべて駆動している懸念は同じです：紙上のみで有利な管轄区域に存在し、その区域内で意味のある経済活動、人的資本、または運用能力を欠くレターボックス企業を防ぐことです。

ここでの規制の論理はMiCAよりも古いものです。重要なCadbury Schweppes判決（事件C-196/04）で、欧州連合裁判所は、真の経済活動を欠く「完全に人工的な仕組み」を創出するために設立の自由を利用することはできないと確立しました。MiCAはこの原則を暗号資産規制に直接取り入れています。

MiCA第59条第2項は、認可されたCASPsが、その暗号資産サービスの少なくとも一部を実施している加盟国に登録事務所を置き、実質的な経営管理拠点を欧州連合内に持ち、少なくとも1人の取締役を欧州連合内に居住させなければならないと規定している。この条項は簡潔であるが、その背後にははるかに厳しい要件が存在する。

ESMAのCASPsの認可に関する監督ブリーフィングは法的拘束力はありませんが、NCAsがこれらの要件を実際の運用でどのように解釈すべきかを明確に示しています。

法令文と監督当局の期待との間のギャップが、多くのアプリケーションで摩擦が生じる場所です。

MiCAにおける最小要件は、EU居住者である取締役1人です。監督当局のガイドラインはこの基準を引き上げています。

ESMAのブリーフィングでは、日常運営を複数の上級経営陣が共同で監督することを予想しています。その理由は明確です。単一の経営陣が責任を担うと、集中リスクが生じ、機能するガバナンス構造に必要な内部チェックが失われます。定義され、重複する責任を持つ2人の経営陣が想定される基本的な基準です。

居住地だけでは十分ではありません。ガイドラインでは、管理機関のメンバーがNCAの管轄区域内に居住していない場合、その人物は、当局の要請に基づき2営業日以内に対面会議に出席できる能力を有している必要があります。

運営上、監督者との物理的な近接性が重要な管轄区域では、取締役が本拠地からどれだけ離れた場所に所在地を置けるかという実用的な制約となります。

時間の投入も同様に真剣に扱われます。ESMAの立場は、CASの認可に関する監督ブリーフィングで示されているように、経営陣メンバーは一般的にCASPの役割に100％の専門的時間を割くべきであるというものです。同じ個人が複数の組織で経営職を兼任するダブルハッティングは、限定的な状況でのみ許可されます。CASPと他のグループ企業の両方に時間を分ける経営陣は、適格性評価中に注目を浴びる可能性があります。

報告ラインは個々のプロフィールと同じくらい重要です。管理機関は、戦略的および運用的な統制が第三国にある親会社ではなく、EUのエントティ内に存在することを示さなければなりません。

EU本部の実行代理として機能する役員を有するEU子会社は、監督の観点から真のEU経営を有する企業ではない。

AMLの観点もこれを強化します。疑わしい取引の報告を担当する人物（MLRO）は、実際に現地に所在し、組織内において真の権限を有し、地元の金融情報ユニットと直接連携できる必要があります。この要件は、より広範な世界的な傾向を反映しています。FATFおよびOECDのCrypto-Asset Reporting Framework (CARF)も同様のロジックに基づいており、EUを超えて実体と透明性の要件を拡大しています。

MiCAの人的要件とCARFは無関係な発展ではなく、規制されたcrypto企業が内側からどのようにあるべきかという国際的な標準が一致していることを示している。

第68条第1項に定める集団的適格性基準は、管理機関が個別および集団として適切な知識、スキル、経験を有することを要求します。このシリーズの前回の記事で述べたように、この基準は従来の金融市場規制、DLTインフラおよびサイバーセキュリティ、組織ガバナンスを含みます。これらの各分野は、会議室に代表者を置く必要があります。

暗号資産ネイティブの背景を持ち、規制された金融サービスの経験が全くないチーム、あるいは従来の金融（TradFi）における深い経験を持ちながらオンチェーンリスクを評価する能力が欠如しているチームには、評価プロセスによって構造的なギャップが明らかになります。

DORA（EU規則2022/2554）はCASPsに直接適用され、ICTレジリエンス要件の枠組みを設定します。規制当局が技術について問うのは、企業がどのインフラを使用しているかではなく、誰がそれを制御しているかです。

現在の監督実務において、AWS、Azure、または類似のプロバイダーがホストするクラウドインフラストラクチャは許容されます。問題は、EUで認可された主体が依存するシステムに対して意味のある管理権限を有していない場合に生じます。

暗号鍵管理が親会社のグローバルITチームに委ねられ、クライアントデータへのアクセス権がEU外から管理されている、または災害復旧計画が第三国本社の承認に依存している場合、EU法人は実質的な運用の独立性を示すことができません。

ESMAの立場は、その諮問資料に反映されているように、EU管理チームがCASPの運用に関連するICTインフラについて実質的な統制を維持しなければならないことです。第68条第7項で要求される事業継続ポリシーおよび災害復旧計画は、危機時に応答するかどうか不明なグローバル機能に依存するのではなく、EU法人が所有し、実行可能でなければなりません。

実地テストは明確です：親会社のグローバルITチームが一晩で利用できなくなった場合、EU法人は継続して運用でき、クライアント資金にアクセスでき、資産をクライアントに返還できるでしょうか？答えが「いいえ」、または非EU担当者への大幅な対応なしでは不可能である場合、実質的な課題は解決されていません。

GDPR準拠およびデータガバナンス要件は、DORAフレームワークの上に重なります。データ処理契約、コントローラーとプロセッサーの関係、データの所在地に関する考慮事項は、すべて規制当局が検査する技術的アーキテクチャの一部です。

第67条は最低限の審査的保護措置を定めています。資本階層はサービスクラスによって定義されます：

最低資本額は上限ではなく、出発点です。慎重な安全措置は、恒久的な最低資本額と前年度の固定経費の4分の1のうち、高い方と等しくなければなりません。

CASPが成長し、その固定経費が増加すると、この第2の制約が拘束力を持つようになります。経費が初期出資資本の4倍を超えると、企業は経費ベースのフレームワークに移行しなければなりません。この転換点は、多くの運用者があらかじめ予想するよりも早く訪れます。また、規制当局は対応的な調整ではなく、能動的なモニタリングを期待しています。

注目すべき構造的なポイント：資本は、公式な信用機関に保有される口座に支払う必要があります。

EMIまたは支払いサービスプロバイダーの口座はこの要件を満たしません。cryptoビジネスとして銀行との関係を築くには時間がかかり、保証されません。申請を正式に提出する前に、このプロセスを早期に開始することはオプションではなく、認可全体のスケジュールに影響を与える順序制約です。

固定費計算に使用される財務諸表が、国家規制当局によって適切に監査または検証されることという要件は、さらに行政的な側面を加える。新設された事業体は、最初の12か月の固定費を見積もる場合、その見込みを認可申請に含め、その方法論を明確に文書化しなければならない。

第73条は、CASPsが運用機能を第三者にアウトソースすることを許可しています。ただし、アウトソースにより認可された主体が空洞化してはなりません。責任はCASPsに残り、委任は説明責任の移転を意味しません。

ESMAのCASPsの認可に関する監督ブリーフィングは、EU外に位置する機能にかかるコストの割合を、アウトソーシングが過剰になったかどうかを示す実用的な指標として特定している。運営支出の大部分がEU外のサービスプロバイダーに流れているCASPは、たとえ優れた評判を持つ企業であっても、EU法人が単なる仲介者ではなく、真正なサービスプロバイダーとして十分な内部能力を有しているかどうかについて疑問を呈される可能性がある。

規制当局が区別しているのは、特定の機能を外部委託しながら統制を維持するCASPsと、本質的なすべてを外部委託して法的形態のみを維持するCASPsとの間である。後者は、申請書でその構成がどのように説明されようとも、シェルである。

MiCAはEU加盟国すべてに直接適用されます。実質的な要件は統一されていますが、監督実務は異なります。

キプロスは、CySECを通じて、CASPの取締役会の過半数をキプロスに居住する物理的住民とすることを明確に要請しています。執行取締役2名と非執行取締役2名からなる取締役会の場合、これは最低3名のキプロス居住取締役を意味します。これはMiCAの文言が要求する内容を超え、調和されたEU枠組みの上に重ねられた国内のAML指令を反映しています。

エストニアは異なるダイナミクスを示しています。以前のVASP登録制度は金融情報ユニットが管理しており、エストニアは欧州で最もアクセスしやすいライセンス管轄地の一つとなりました。MiCAへの移行により、監督責任はエストニア金融監督・解決庁に移り、審査および継続的監督に対する異なる機関的アプローチが採用されます。

このシリーズの以前の回で取り上げられたポーランドの立法状況により、国内のMiCA実施法がまだ制定されておらず、KNFが正式な主管機関として指定されておらず、VASP保有者が国内のCASP申請経路を持たないという構造的なギャップが生じています。

これらの違いは抜け穴や行政的な奇異ではありません。調和された法的枠組みが、依然として各国の監督文化、人的リソースの制約、および機関の歴史を通じて機能しているという現実を反映しています。CASPの認可のために管轄区域を選択することは、そのすべての実務的含意を伴う監督機関を選択することを意味します。

総合的に見ると、MiCAに基づく物的要件はチェックリストではなく、監督の哲学を反映している。規制当局は、何らかの問題が発生した場合に意味のある救済手段を有していることを確認したいと考えている。

これは、経営陣がEU法に基づいて物理的にアクセス可能で法的責任を負うことを意味します。EU機関が非EUの認証チェーンに依存せずに制御できるICTシステムであることを意味します。実際の運用リスクに見合った規模で真正に利用可能な資本であることを意味します。

これは、EUの機関が他の場所から発せられた指示を実行するのではなく、実質的な意思決定を行うことを意味します。

このプロセスを文書化の作業として捉える企業は、予想以上に難しく感じることが多いです。一方、まず実体を構築し、その後で構築した内容を文書化する企業は、より簡単に進められます。アプリケーションは組織を生み出すものではなく、すでに大半が存在している組織を記述するものです。

ソース：

• ESMAによるCASPsの認可に関する監督ブリーフィング
• ESMA MiCA 問い合わせ文書、第2弾
• MFSA MiCA ルールブック

This article is based on a study conducted by LegalBison in May 2026. The content is for informational purposes only and does not constitute legal advice.