「ステーブルコイン決済会社」がシンガポールで合法的に運営するための実用的なチェックリスト

執筆者：杨琪弁護士

ステーブルコインは、ますます多くの企業によって決済、越境送金、資金管理および B2B 支払いに利用されています。しかし、シンガポールでは、「ステーブルコインを使った支払い」は単なる製品の問題ではなく、典型的な規制の境界線 + AML/CFT マネーロンダリング対策 + 技術リスク管理の総合的な工程です。

この記事では、「起業家が実行できる」方法で、コアなルートをわかりやすく解説します：まずビジネスモデルを明確にし、その後にライセンスとコンプライアンス体制を構築すれば、リスクの踏み越えや後続の是正コストを大幅に削減できます。

注意：本稿は一般的な情報共有であり、法律意見を構成するものではありません。最終的なコンプライアンスの結論は、あなたの取引フロー、顧客の種類、資金／トークンの流通と管理方法に依存します。

一、最も重要な一歩を先に：あなたのビジネスを「描き出す」

具体的な実施ステップを議論する前に、事業責任者はまず資金／トークンの流通図（Flow）を1ページ書き、その中で少なくとも次の質問に答えてください：

あなたの顧客は誰ですか：個人 / 商店 / 特定の分野の事業や業界企業？

あなたは顧客のステーブルコイン（托管、秘密鍵管理、多署権限）を保有または管理していますか？

法定通貨↔ステーブルコイン、またはステーブルコイン↔ステーブルコインの交換を行いますか？

送金（AからBへ、商店の受取、企業の支払い）を促進しますか？

顧客はシンガポール内か海外ですか？「シンガポールで海外顧客にサービスを提供している」状態ですか？

あなたはステーブルコインの発行者ですか、それとも第三者のステーブルコイン（例：USDC/USDTなど）を単に使用していますか？

このFlowのページは、あなたがどの規制活動を引き起こすかを決定し、必要なコンプライアンス体制も決めるものです。

二、ライセンス判断：多くのステーブルコイン支払いは PSA フレームワーク内に収まる（FSMAも関係する可能性あり）

シンガポールでは、ステーブルコイン支払い事業は通常、「支払いサービス法」（PSA）の規制範囲に関わります。特に、デジタル支払いトークン（DPT）サービスに関連する活動（移転、交換、托管など）が該当します。さらに、シンガポールから海外顧客にデジタルトークンサービスを提供する場合は、FSMAの関連要件も発動する可能性があります。

一般的なビジネスモデルと「潜在的な規制トリガーポイント」

商店の受取＋ステーブルコイン決済／清算：DPT関連サービスを引き起こすことが多い。決済、送金、越境送金なども関わる場合は、他の PSA 支払いサービスタイプも重なる可能性があります。

ウォレット／托管（顧客のコインを動かす）：高リスクのトリガーポイントとみなされることが多い（特に秘密鍵や移転権限を管理している場合）。

OTC／交換／マッチング：一般的にDPT関連サービスを引き起こす。

自社のステーブルコインを発行：これが「発行者規制枠」に入るかどうかの議論を引き起こし、コンプライアンスの強度は格段に高まる。

実務的なアドバイス： 「どのライセンスを申請すべきか」から考えるのではなく、「どの規制活動を行ったか」から出発してください。規制判断は常に取引の実質を見ます。

三、ステーブルコインを発行する場合：まず「MAS 規制ステーブルコイン」ルートを選ぶか決める

既存のステーブルコインを使うだけでなく、自分のステーブルコインを発行する場合は、コンプライアンスルートが全く異なります。通常、より厳格な要件（例：準備資産、償還メカニズム、情報開示、監査と運営リスク管理など）に対応する必要があります。

結論は非常にシンプルです：

発行しない：重点は「DPT／支払いサービス提供者」のコンプライアンス体制（特に AML と技術リスク）。

発行する：発行者枠に従い、「準備金、償還、監査、開示、ガバナンス」を機関レベルで整える。

四、コンプライアンスの柱 1：マネーロンダリング対策 AML/CFT（金融機関と同じように行う必要あり）

ステーブルコイン／デジタルトークン関連の事業では、**マネーロンダリング対策とテロ資金供与対策（AML/CFT）**が最も重視される部分です。

少なくとも以下の「実現可能な」体制を整える必要があります：

1）企業レベルのリスク評価（EWRA）

製品リスク、顧客リスク、地域リスク、チャネルリスク

どの顧客に対して詳細調査（EDD）を強化すべきか？拒否すべき顧客は？

2）顧客の本人確認（KYC/CDD/EDD）

身元確認と検証、受益者特定（企業顧客の場合）

制裁・PEP（政治的に著名な人物）チェック

高リスクトリガールール（匿名性、複雑な構造、敏感地域など）

3）取引監視と疑わしい取引の対応（STRフロー）

監視ルール／シナリオ（例：頻繁な分割、迅速な出入り、異常なアドレス関連付け）

案件管理とエスカレーションの仕組み：誰が調査し、誰が承認し、証拠の証跡をどう残すか

従業員のトレーニングと年次レビュー／独立した監査

4）オンチェーン分析／ウォレットリスク評価（早期導入強く推奨）

「法的強制」かどうかはビジネスモデル次第ですが、実務的にはオンチェーン資金追跡とアドレスリスク評価は「業界標準」に近づいています。特に高リスク業界、越境取引、または托管／移転機能を提供する場合は。

五、コンプライアンスの柱 2：マーケティングの適正化 —— 「一般向け暗号広告」にしない

シンガポールでは、デジタルトークン関連サービスの宣伝には明確な規制の関心があります。多くのチームは製品でつまずくのではなく、「プロモーション方法」でつまずきます：大規模な一般向けマーケティング、利益の誇張、リスクの軽視、大衆の参加誘導などは非常に敏感です。

より堅実な方法は：

B2B優先（商店、企業、機関）

チャネルはより「専門的」：業界会議、クローズドミーティング、パートナー紹介、ターゲットコンテンツマーケティング

明確なリスク開示：軽く見せない、「確実に儲かる」とは言わない、「元本保証」もしない

一言で言えば：成長はできるが、「投機的なストーリー」で新規顧客を引きつけてはいけない。

六、コンプライアンスの柱 3：技術リスク、托管の安全性、アウトソーシング管理（TRM + Outsourcing）

ステーブルコイン支払い会社は、「金融＋ソフトウェア」の融合体です。規制当局は、あなたが機関レベルの技術リスク管理能力を持っているかどうかを見ています。特に：

1）ウォレットと秘密鍵管理（Custody / Key Management）

権限の分離、承認メカニズム、多署署名／階層的権限付与

全链路のログと監査可能性

重要操作の「二人以上の承認／多者の権限付与」

2）ネットワークセキュリティとインシデント対応

脆弱性管理、侵入テスト、パッチと設定管理

インシデント対応計画と演習（テーブルトップ演習）

バックアップ、リカバリー、事業継続性（BCP）

3）サプライヤー／アウトソーシング管理（特に重要）クラウドサービス、KYC業者、オンチェーン分析ツール、ウォレットインフラなどを外注する場合、規制当局は次の点を重視します：

サプライヤーの尽調とリスク評価

契約条項（監査権、データ保護、下請け制限、退出メカニズム）

主要サプライヤーの代替案と緊急対応計画

七、コンプライアンスの柱 4：個人データ保護（PDPA）

KYCや顧客情報、取引情報、デバイス情報を収集する場合は、シンガポールのPDPAに関わる義務が発生します。コストを抑えつつ高い効果を得るために、次の2つの「低コスト高リターン」アクションを推奨します：

DPO（データ保護責任者）を指名し、外部連絡窓口を設置

データマップを作成：何を収集し、用途は何か、どこに保存、誰と共有、どれくらい保持するか

八、創業者向けアクションプラン：Day 0 → Day 90

Day 0–15：まず境界線を明確に

資金／代币流通図（Flow）を描く

托管、交換、移転の有無、顧客がSGか海外かを明確に

「規制対象となる活動のトリガー」を初期判断

Day 15–45：コンプライアンスの枠組みを構築

AML/CFT：リスク評価、CDD/EDD、監視とSTRフロー

技術リスク：ウォレット／秘密鍵、安全基準、インシデント対応

アウトソーシング管理：サプライヤーの尽調と契約条項、退出計画

PDPA：DPO、プライバシーポリシー、データ保持とアクセス制御

Day 45–90：コンプライアンスを「運用可能」に

スクリーニングと監視ツールの導入、案件管理と記録保持

従業員研修、コンプライアンス報告体制、内部監査体制の整備

ライセンス／コンプライアンス準備パッケージ（ガバナンス構造、制度、体制、フロー、証拠の証跡）を整える

結び：コンプライアンスは「コスト」ではなく、「事業を大きく長く続けるための門戸」

ステーブルコイン支払いは迅速に展開可能ですが、コンプライアンスはそれ以上に迅速でなければなりません。規制の境界線、AML、技術リスクの3つをしっかりと押さえれば、あなたの事業は機関との協力を得やすくなり、審査も通りやすく、重要な局面で「耐えられる」ようになります。