IX  電子決済等代行業

 IX -1 意義

フィンテックの動きが世界的規模で加速する中で、利用者保護を確保しつつ、金融機関とフィンテック企業との連携・協働によるオープン・イノベーションを進めていくための制度的枠組みとして、銀行法等の一部を改正する法律(平成29年法律第49号。以下IX-2-2(1)において「改正法」という。)により電子決済等代行業者の登録制度が導入され、平成30年6月1日より施行された。

電子決済等代行業者には、利用者のニーズを起点としたサービス展開の一つの核となることが期待されるとともに、利用者保護やシステムの安定性を確保しつつ機動的に金融サービスのイノベーションを実現することが期待される。

 IX-2 基本的な考え方

IX -2-1  電子決済等代行業者の監督に関する基本的な考え方

電子決済等代行業の登録制度については、他の金融関連の諸制度とは異なり、人的構成要件は求めておらず、財産的基礎も純資産額が負値でないことのみを求めているなど、新規参入のハードルは非常に低く設定されており、個人や中小・零細企業が申請してくることも想定して制度設計がなされている。その趣旨は、IT企業等を含む多様な参加者による金融サービスのイノベーションを促進する観点にあり、規制は利用者保護を図る観点から必要最小限のものとなっている。

他方で、電子決済等代行業は、利用者と銀行との中間に位置し、決済指図の伝達や口座情報の取得・顧客への提供を行うことから、利用者保護を図るため、システムの安定性が求められる。
 このため、電子決済等代行業者の監督においても、利用者保護を図る観点から、主要なリスクにフォーカスし、業容拡大に伴う体制の充実に向けた取組についてモニタリングを行っていくものとする。
 電子決済等代行業は基本としてITを活用した業務であり、その主要なリスクは、システムリスクとなる。また、電子決済等代行業者と銀行間の連携(さらに電子決済等代行業再委託者が介在するケースもある。)に伴うリスクも存在することから、事業者間の利用者保護のための取組みも重要となる。したがって、電子決済等代行業者の監督に当たっては、システムリスク管理態勢及び利用者保護を図るための取組み態勢を中心にモニタリングを実施し、電子決済等代行業者が、システムの安定性や利用者保護を確保しつつ、技術の進展をリードし、利用者利便の向上に資するサービスを提供することを促していくものとする。

IX -2-2  監督に係る事務処理の基本的考え方

  • (1) 監督手法

    改正法の附帯決議では、フィンテックが急速に進展する中で、IT企業等を含む多様な参加者による金融サービスのイノベーション促進を支援する観点から、報告徴求・検査等が関係事業者等の活動やイノベーションを阻害しないこと等に留意することが求められている。こうしたことや、小規模な事業者も多く、利用者の金銭を預からない業務特性も踏まえ、事業者の負担軽減の観点から、主要なリスクであるシステムリスクや、利用者保護を図るための取組み状況について、機械的・画一的な運用に陥らないよう配慮しつつ、原則オフサイト・モニタリングによりモニタリングを実施するものとする。

  • (2) 監督部局間の連携

    登録電子決済等代行業者が、信用金庫法に基づき届出を行い信用金庫電子決済等代行業等を営む場合において、登録電子決済等代行業者の監督部局は、システムリスク管理態勢など電子決済等代行業者の業務運営に問題を認めた場合には、問題の状況等を関係する信用金庫電子決済等代行業者の監督部局等に、遅滞なく情報提供するなど、密接な連携を図ることで、電子決済等代行業者の事務負担の軽減を図るものとする。
     情報提供に当たっては、その方法を問わず、遅滞なく行うよう努めるものとする。

  • (3) 管轄財務局長権限の一部の管轄財務事務所長等への内部委任

    電子決済等代行業者の主たる営業所又は事務所の所在地が財務事務所又は出張所の管轄区域内にある場合においては、管轄財務局長に委任した権限は、財務局長の判断により当該財務事務所長又は出張所長に内部委任することができるものとする。
     なお、法令等に基づく申請書、届出書等は、管轄財務局長あて提出させるものとする。

  • (4) 金融庁との調整

    財務局長は、電子決済等代行業者の監督事務に係る財務局長への委任事項等の処理に当たり、以下に掲げる事項(その他の事項についても必要に応じ金融庁と調整することを妨げない。)については、あらかじめ金融庁と調整するものとする。なお、調整の際は、財務局における検討の内容及び処理意見を付するものとする。

    • マル1 法第52条の61の16の規定による業務改善命令

    • マル2 法第52条の61の17第1項の規定による登録の取消し又は業務の停止命令

  • (5) 行政報告

    財務局長は、各四半期末現在における電子決済等代行業者の状況について、翌月20日までに金融庁へ報告することとする。
     また、財務局長は、電子決済等代行業者の監督に関し、以下のマル1からマル5までに掲げる場合は、その内容を遅滞なく金融庁に報告するものとする。加えて、以下のマル6に掲げる場合は、その内容を遅滞なく金融庁に報告するとともに、他の財務局あて関係資料を送付するものとする。その際は、当該取消しの日前30日以内の役員の氏名に関する資料もあわせて報告・送付するものとする。

    • マル1 法第52条の61の4第1項による登録を行った場合

    • マル2 法第52条の61の7第1項による廃業等の届出を受理した場合

    • マル3 法第52条の61の14により報告及び資料の提出を求めた場合

    • マル4 法第52条の61の16による業務改善命令を行った場合

    • マル5 法第52条の61の17第1項の規定による業務停止命令を行った場合

    • マル6 法第52条の61の17第1項の規定による登録の取消しを行った場合

  • (6) 電子決済等代行業者が提出する申請書、届出書等における記載上の留意点

    電子決済等代行業者が提出する申請書、届出書等において、役員等の氏名を記載する際には、氏を改めた者においては、旧氏及び名を括弧書きで併せて記載できることに留意する。

 IX-3 システムリスク

IX-3-1  意義

  • (1) システムリスクとは、コンピュータシステムのプログラムミスや脆弱性等によるダウン又は誤作動等に伴い、利用者及び電子決済等代行業者並びに銀行が損失を被るリスクやコンピュータが不正に使用されることにより利用者及び電子決済等代行業者並びに銀行が損失を被るリスクをいうが、電子決済等代行業者には新商品・サービスの提供の拡大等に伴い、システム上の諸課題に的確に対応することが求められている。仮に電子決済等代行業者において、システム障害やサイバーセキュリティ事案(以下「システム障害等」という。)が発生した場合は、利用者の社会経済生活、企業等の経済活動において利便性が損なわれるのみならず、利用者保護上重大な影響を及ぼす問題が発生するおそれがある。このため、決済システムの補助的機能を担う電子決済等代行業者にとってシステムリスク管理態勢の充実強化は重要である。

  • (2) ただし、以下の着眼点に記述されている字義どおりの対応が電子決済等代行業者においてなされていない場合にあっても、当該電子決済等代行業者の規模・業務の特性等や、電子決済等代行業者のシステムのみが停止した場合においては、利用者は、当該電子決済等代行業者のシステムを経由せずとも、直接的に銀行のシステムを利用すれば送金指図の伝達や口座情報の取得が可能であることを踏まえ、誤送金などの重大な問題が発生しておらず、利用者保護の観点から特段の問題が認められないのであれば、直ちに改善を求める必要はない。
     また、電子決済等代行業者の能力に照らして、当該電子決済等代行業者単独では、その行う電子決済等代行業に必要な水準を満たすことができない部分があったとしても、当該業務を行うにあたって連携・協働する銀行においてその部分を分担する場合には、必要な水準を満たすものと判断する(ただし、この場合、電子決済等代行業者が新たに別の銀行と連携・協働する場合には、新たに連携・協働する銀行が、その部分を分担できているかに留意するものとする。)。

(注)サイバーセキュリティ事案とは、情報通信ネットワークや情報システム等の悪用により、サイバー空間を経由して行われる不正侵入、情報の窃取、改ざんや破壊、情報システムの作動停止や誤作動、不正プログラムの実行やDDoS攻撃等の、いわゆる「サイバー攻撃」により、サイバーセキュリティが脅かされる事案をいう。

IX-3-2 主な着眼点

  • (1) システムリスク管理

    • マル1 システムリスク管理担当部署は、サービスの多様化による大量取引の発生や、ネットワークの拡充によるシステム障害等の影響の複雑化・広範化などを踏まえ、定期的に又は適時にリスクを認識・評価しているか。
       また、定期的なレビューに加え、新規サービス(利用者への影響の大きい変更や、システムの変更を伴わないものの大規模な販売促進活動を行う場合を含む。)の提供とともに、レビューを実施しているか。

    • マル2 システム障害等の発生時の被害拡大防止策及び迅速な復旧対応について、経営上の重大な課題と認識し、態勢を整備しているか。
       特に、サイバーセキュリティ事案の未然防止について、重大な課題と認識し、態勢を整備しているか。

    • マル3 経営に重大な影響を及ぼすシステム障害等が発生した場合に、速やかに経営上責任を負う立場の者に対して報告することとなっているか。
       また、必要に応じて、対策本部を立ち上げ、速やかに問題の解決を図る態勢を構築できるよう検討を行っているか。

    • マル4 現行システムの仕組み及び開発技術の継承を含め、事業継続のために必要な技術的対応に関する計画を策定し、実施しているか。

    • マル5 提供する新サービス、銀行のAPI仕様変更及び認証方式の変更等について、利用者側の動作環境を踏まえたテストシナリオを設定し、検証しているか。

    • マル6 システムリスク管理態勢の整備・見直しに当たっては、その内容について第三者による評価や金融情報システムセンターが示す基準(API接続チェックリスト解説書等)など、客観的な水準が判定できるものを根拠として整備しているか。また、システムリスク管理態勢は、システム障害等の把握・分析、リスク管理の実施結果や技術進展等に応じて、不断に見直しを実施しているか。

  • (2) 情報セキュリティ管理

    • マル1 情報資産を適切に管理するために方針の策定、組織体制の整備、社内規程の策定、内部管理態勢の整備を図り、定期的に見直しを行っているか。また、他社における不正事案等も参考に、情報セキュリティ管理態勢のPDCAサイクルによる継続的な改善を図っているか。

    • マル2 情報の機密性、完全性、可用性を維持するために、情報資産の安全管理に関する業務遂行の責任者を定め、その役割・責任を明確にした上で、管理しているか。また、同責任者は、システム、データ、ネットワーク管理上のセキュリティに関することについて統括しているか。

    • マル3 コンピュータシステムの不正使用防止対策、不正アクセス防止対策、コンピュータウィルス等の不正プログラムの侵入防止対策等を実施しているか。

    • マル4 電子決済等代行業者が責任を負うべき利用者の重要情報を網羅的に洗い出し、把握、管理しているか。利用者の重要情報の洗い出しに当たっては、必要に応じ、業務、システム、外部委託先及び電子決済等代行業再委託者を対象範囲とすることも検討しているか。

    • マル5 洗い出した利用者の重要情報について、重要度判定やリスク評価を実施しているか。
       また、それぞれの重要度やリスクに応じ、以下のような情報管理ルールを策定しているか。

      • 情報の暗号化、マスキングのルール
      • 情報を利用する際の利用ルール
      • 記録媒体等の取扱いルール 等
    • マル6 洗い出した利用者の重要情報について、以下のような不正アクセス、不正情報取得、情報漏えい等を牽制、防止する仕組みを導入しているか。

      • 社員の権限に応じて必要な範囲に限定されたアクセス権限の付与
      • アクセス記録の保存、検証
      • 開発担当者と運用担当者の分離、管理者と担当者の分離等の相互牽制体制 等
    • マル7 機密情報について、暗号化やマスキング等の管理ルールを定めているか。また、暗号化プログラム、暗号鍵、暗号化プログラムの設計書等の管理に関するルールを定めているか。また、情報の重要度に応じて管理ルールを設定しているか。
       なお、「機密情報」とは、パスワード、トークン等、漏えいにより利用者に損失が発生する可能性のある情報をいう。

    • マル8 機密情報の保有・廃棄、アクセス制限、外部持ち出し等について、業務上の必要性を十分に検討し、より厳格な取扱いをしているか。

    • マル9 情報資産について、管理ルール等に基づいて適切に管理されていることを定期的にモニタリングし、管理態勢を継続的に見直しているか。

    • マル10 セキュリティ意識の向上を図るため、全社員に対するセキュリティ教育(外部委託先におけるセキュリティ教育の実施状況の確認等を含む)を行っているか。

    • マル11 第三者機関のクラウドサービスを利用する場合には、選定に際して、その特性を踏まえた上で、セキュリティの安全性について適切な評価を実施しているか。

    • マル13 電子決済等代行業に関して取得した個人データの第三者提供を行う場合には、金融分野ガイドライン第11条等を遵守するための措置が講じられているか。特に、その業務の性質や方法に応じて、以下の点にも留意しつつ、個人である利用者から適切な同意の取得が図られているか。

      • イ.金融分野ガイドライン第3条を踏まえ、個人である利用者からスマートフォン等の非対面による方法で第三者提供の同意を取得する場合、例えば、同意文言や文字の大きさ、画面仕様その他同意の取得方法を工夫することなどにより、個人である利用者が、第三者提供先、当該提供先に提供される情報の内容及び当該提供先における利用目的について、明確に認識したうえで同意できるような仕様としているか。

      • ロ.過去に個人である利用者から第三者提供の同意を取得している場合であっても、第三者提供先や提供する情報の内容が異なる場合、又はあらかじめ特定された第三者提供先における利用目的の達成に必要な範囲を超えた提供となる場合には、改めて個人である利用者の同意を取得することにしているか。

      • ハ.第三者提供先が複数に及ぶ場合や、第三者提供先により情報の利用目的が異なる場合、個人データの提供先が複数に及ぶことや各提供先における利用目的が認識できるよう、同意の取得方法、同意の取得時機等を適切に検討しているか。また、個人である利用者が、第三者提供先や第三者提供先における利用目的、提供される情報の内容について、過剰な範囲について第三者提供の同意を強いられる等していないか。

  • (3) サイバーセキュリティ管理

    • マル1 サイバーセキュリティについて、経営上責任を負う立場の者は、サイバー攻撃が高度化・巧妙化していることを踏まえ、サイバーセキュリティの重要性を認識し必要な態勢を整備しているか。

    • マル2 サイバーセキュリティについて、組織体制の整備、社内規程の策定のほか、以下のようなサイバーセキュリティ管理態勢の整備を図っているか。

      • サイバー攻撃に対する監視体制
      • サイバー攻撃を受けた際の報告及び広報体制
      • 組織内CSIRT(Computer Security Incident Response Team)等の緊急時対応及び早期警戒のための体制
      • 情報共有機関等を通じた情報収集・共有体制 等
    • マル3 サイバー攻撃に備え、入口対策、内部対策、出口対策といった多段階のサイバーセキュリティ対策を組み合わせた多層防御を講じているか。

      • 入口対策(例えば、ファイアウォールの設置、抗ウィルスソフトの導入、不正侵入検知システム・不正侵入防止システムの導入 等)
      • 内部対策(例えば、特権ID・パスワードの適切な管理、不要なIDの削除、特定コマンドの実行監視 等)
      • 出口対策(例えば、通信ログ・イベントログ等の取得と分析、不適切な通信の検知・遮断 等)
    • マル4 サイバー攻撃を受けた場合に被害の拡大を防止するために、以下のような措置を講じているか。

      • 攻撃元のIPアドレスの特定と遮断
      • DDoS攻撃に対して自動的にアクセスを分散させる機能
      • システムの全部又は一部の一時的停止 等
    • マル5 システムの脆弱性について、OSの最新化やセキュリティパッチの適用など必要な対策を適時に講じているか。

    • マル6 サイバーセキュリティについて、ネットワークへの侵入検査や脆弱性診断等を活用するなど、セキュリティ水準の定期的な評価を実施し、セキュリティ対策の向上を図っているか。

    • マル7 サイバー攻撃を想定したコンティンジェンシープラン(緊急時対応計画)を策定し、訓練や見直しを実施し、高度化を図っているか。

  • (4) 外部委託管理

    • マル1 外部委託先の選定に当たり、選定基準に基づき評価、検討のうえ、選定しているか。

    • マル2 外部委託契約において、外部委託先との役割分担・責任、監査権限、再委託手続き、提供されるサービス水準等を定めているか。また、外部委託先の全社員が遵守すべきルールやセキュリティ要件を外部委託先へ提示し、契約書等に明記しているか。

    • マル3 システムに係る外部委託業務(二段階以上の委託を含む)について、リスク管理が適切に行われているか。
       特に外部委託先が複数の場合、管理業務が複雑化することから、より高度なリスク管理が求められることを十分認識した体制となっているか。
       システム関連事務を外部委託する場合についても、システムに係る外部委託に準じて、適切なリスク管理を行っているか。

    • マル4 外部委託業務(二段階以上の委託を含む)について、委託元として委託業務が適切に行われていることを定期的にモニタリングしているか。

  • (5) 被害拡大防止措置

    • マル1 システム障害等が発生した場合に、利用者に対し無用の混乱を生じさせないよう、利用者の被害拡大防止策を含め適切な措置を検討しているか。特に、電子決済等代行業者のシステムのみが停止した場合においては、利用者は、当該電子決済等代行業者のシステムを経由せずとも、直接的に銀行のシステムを利用すれば送金指図の伝達や口座情報の取得が可能であることから、適切にそうした案内・利用者からの相談・照会対応ができているか。
       なお、クラウドサービスに障害が発生した場合に備え、対応策の検討又は利用者への適時適切な注意喚起が重要であることを念頭にクラウド事業者との障害発生時の連絡体制等の構築に努めているか。

    • マル2 また、システム障害等の発生に備え、最悪のシナリオを想定した上で、必要な対応を行う態勢を検討しているか。
       特に、業務への影響が大きい重要なシステムについては、バックアップシステム等を事前に準備し、災害、システム障害等が発生した場合に、速やかに業務を継続できる態勢を整備しているか。

    • マル3 システム障害等の発生原因の究明、復旧までの影響調査、改善措置、再発防止策等を的確に検討しているか。

    • マル4 システム障害等の影響を極小化するために、例えば、部分的障害の影響が波及する経路や迂回不能な単一障害点の把握など、影響波及の観点からリスク評価を行い、クラウドサービスの仕組みを適切に利用してリスク低減を図るなど、利用者の被害を最小化するためのサービス・システム的な仕組みの整備について検討しているか。

IX-3-3  監督手法・対応

  • (1) 電子決済等代行業に係る障害発生時

    • マル1 システム障害等の発生を認識次第、直ちに、その事実を当局宛てに報告を求めるものとする。
       また、復旧時、原因解明時には改めてその旨報告を求めることとする。
       ただし、復旧原因の解明がされていない場合でも、1か月以内に現状についての報告を求めるものとする。
       特に、社会的に影響の大きいシステム障害等の場合や障害の原因解明に時間を要している場合等には、直ちに、障害の事実関係等についての一般広報及びホームページ等における利用者対応等も含めたコンティンジェンシープランの発動状況をモニタリングするとともに、迅速な原因解明と復旧を要請するものとする。

      (注)報告すべきシステム障害等

      その原因の如何を問わず、電子決済等代行業者等(外部委託先や利用しているクラウドサービス提供事業者を含む。)が現に使用しているシステム・機器(ハードウェア、ソフトウェア共)に発生した障害であって、その機能に遅延、停止等が生じているもの又はそのおそれがあるもの。
       ただし、一部のシステム・機器にこれらの影響が生じても、他のシステム・機器が速やかに交替することで実質的にはこれらの影響が生じない場合を除く。
       なお、障害が発生していない場合であっても、サイバー攻撃の予告がなされ、又はサイバー攻撃が検知される等により、利用者や業務に影響を及ぼす、又は及ぼす可能性が高いと認められる時は、報告を求めるものとする(電子決済等代行業者の業務特性に応じて対応するものとする。)。

    • マル2 必要に応じて法第52条の61の14第1項に基づき追加の報告を求め、重大な問題があると認められる場合には、法第52条の61の16に基づき業務改善命令を発出するものとする(行政処分を行うに当たっては、Ⅱ-5に準じる。)。

  • (2) 不正送金、誤送金、情報漏えい等

    特権IDの悪用による不正送金やシステムのプログラムミスによる誤送金等の利用者や経営に重大な影響がある問題を認識後、30日以内にその事実を当局宛てに報告を求め、重大な問題があると認められる場合には、法第52条の61の16に基づき業務改善命令を発出するものとする(個人である利用者に関する情報の漏えいに関するものについては、銀行法に基づく対応の他、個人情報の保護に関する法律における事業所管大臣への権限委任の状況に従い、必要な措置を執る場合があることに留意するものとする。)。

  • (3) 外部委託先への対応

    システムに係る外部委託業務について、外部委託先における適切な業務運営が懸念される場合など、必要があると認められる場合には、以下のとおり取り扱うものとする。

    • マル1 電子決済等代行業者の管理態勢に問題が認められる場合
       上記(2)の当局宛報告等により、電子決済等代行業者の業務の外部委託先に係る管理態勢に問題があると認められる場合には、必要に応じ、法第52条の61の14第1項に基づき報告を求め、重大な問題があると認められる場合には、法第52条の61の16に基づき業務改善命令を発出する等の対応を行うものとする。

    • マル2 外部委託先の業務運営態勢等に問題が認められる場合
       委託者である電子決済等代行業者を通じて、事実関係等の把握等に努めることを基本とする。この場合においても、当該電子決済等代行業者に対しては、必要に応じ、法第52条の61の14第1項に基づき報告を求め、重大な問題があると認められる場合には、法第52条の61の16に基づき業務改善命令を発出する等の対応を行うものとする。ただし、事案の緊急性や重大性等が高い場合、電子決済等代行業者に対して確認するだけでは十分な実態把握等が期待できない場合などには、外部委託先に対して、直接、ヒアリングを行うなど事実関係の把握等に努めることとするが、特に必要があると認められる場合(例えば、当該外部委託先に対して多数の他の電子決済等代行業者が同種の外部委託を行っている場合など)には、当該外部委託先に対して、事実関係や発生原因分析及び改善・対応策等必要な事項について、法第52条の61の14第2項に基づく報告を求めることとする(行政処分を行うに当たっては、Ⅱ-5に準じる。)。

    (注)外部委託先に対してヒアリングを実施するに際しては、必要に応じ、委託者である電子決済等代行業者の同席を求めるものとする。

 IX-4 利用者保護ルール等

IX-4-1  意義

 電子決済等代行業者が法第2条第17項第1号に掲げる行為として提供する決済サービス(電子決済等代行業再委託者が行う業務を含む。以下「電子決済サービス」という。)は、利用者の社会経済生活や企業等の経済活動の利便性を高めるものとなり得る一方、前述(Ⅲ-3-9)の通り、銀行と銀行外部の決済サービス事業者等による連携サービスを狙う犯罪が発生していることを踏まえ、電子決済サービス全体のリスクを把握し、安全性を確保していくことが、電子決済等代行業者及び銀行の双方にとって重要な課題となっている。
 以上を踏まえ、電子決済サービスを提供する電子決済等代行業者においては、電子決済等代行業の利用者や連携・協働する銀行の利用者(以下、Ⅸ-4及びⅨ-5において「利用者等」という。)の利益の保護を含む電子決済等代行業の健全かつ適切な運営の確保の観点から、当該リスクに応じた管理態勢を構築することが重要であり、電子決済等代行業者の監督に当たっては、例えば、以下のような点に留意するものとする。

IX-4-2 主な着眼点

  • (1)内部管理態勢の整備

    • マル1 経営陣は、電子決済サービスの導入時及びその内容・方法の変更時において、電子決済サービス全体につき利用者等の利益の保護に係る問題点を含め内在するリスクを内部管理担当部署に特定させ、これらを踏まえ、適時にリスクを低減させる態勢を整備しているか。

    • マル2 内部管理担当部署は、電子決済サービスにおいて発生が見込まれる犯罪の類型に基づき、関連する犯罪の発生状況や手口に関する情報の収集・分析を行い、今後発生が懸念される犯罪手口も考慮した上で、電子決済サービスに係る業務の実施態勢(不正防止策含む)の向上を図っているか。また、その内容を定期的かつ適時に経営陣に報告しているか。

    • マル3 内部監査担当部署は、定期的かつ適時に、電子決済サービスに係る業務の実施態勢(不正防止策含む)について監査を行っているか。また、監査結果を経営陣に報告しているか。

    • マル4 経営陣は、上記のような、リスク分析、リスク軽減策の策定・実施、当該軽減策の評価・見直しからなるいわゆるPDCAサイクルが機能する環境を作り出しているか。

  • (2)セキュリティの確保

    • マル1 不正取引を防止する観点から、電子決済サービスの導入時及びその内容・方法の変更時において、連携・協働する銀行と協力し、電子決済サービス全体のリスク評価を実施しているか。また、連携・協働する銀行におけるリスク評価の作業に協力しているか。

    • マル2 連携・協働する銀行との役割分担・責任を明確化しているか。

    • マル3 リスク評価を踏まえ、連携・協働する銀行と協力し、利用者に係る情報を照合するほか、リスクに見合った適切かつ有効な不正防止策を講じているか。
       例えば、電子決済サービスにおける銀行との連携に際し、連携・協働する銀行に登録された預貯金者の電話番号や住所宛てに電子決済等代行業者における認証に必要な情報を送付することや、利用上限額を不正取引が抑止できると考えられる水準に設定するなど、適切かつ有効な不正防止策を講じているか。

       (注)連携・協働する銀行との情報の照合に当たっては、公的個人認証を用いる場合を除き、利用者の氏名・生年月日に加え、住所や電話番号も対象項目とすることが望ましい。

        また、連携・協働する銀行において、例えば、固定式のID・パスワードによる本人認証に加えてハードウェアトークンやソフトウェアトークンによる可変式パスワードを用いる方法、公的個人認証等の電子証明書を用いる方法が導入されているなど、実効的な要素を組み合わせた多要素認証等の認証方式が導入されていることを確認しているか。

       (注)電子決済等代行業者における不正防止策は、連携・協働する銀行における不正防止策の内容と重複しないものとする必要がある点に留意する。また、連携・協働する銀行において、電話番号など認証に利用される情報の登録・変更に堅牢な認証方式が導入されている必要がある点に留意する。

    • マル4 犯罪手口の高度化・巧妙化を含めた環境変化や自社又は他の事業者における事件の発生状況を踏まえ、定期的かつ適時にリスクを認識・再評価し、公的個人認証の導入を含め、不正防止策の向上を図っているか。

    • マル5 リスク評価の結果、利用者等の利益の保護を含む電子決済等代行業の健全かつ適切な運営の確保の観点から問題があると認められる場合には、その解決までの間、電子決済サービスを含むサービスの全部又は一部の一時的停止その他の適切な対応を行っているか。

  • (3) 利用者等への通知

    • 利用者等が早期の被害認識を可能とするため、電子決済サービスに係る銀行との連携・協働に際し、当該銀行と協力し、あらかじめ当該銀行に登録されている利用者等の連絡先に通知するなど、利用者等が連携事実及び連携内容を適時に確認する手段を講じているか。

       (注)携・協働する銀行に登録されている連絡先に通知する方法により上記手段を講じるにあたっては、当該銀行において、電話番号(SMS(ショートメッセージサービス)を含む)やメールアドレス等の連絡先の登録・変更に堅牢な認証方式が導入されている必要があることに留意する。

  • (4) 不正取引の検知(モニタリング)

    • 電子決済サービスについては、不正取引の防止の観点から、連携・協働する銀行と協力し、例えば、以下のような事項を適切に実施するための態勢を整備しているか。

        ・犯罪手口の高度化・巧妙化を含めた環境変化や自社又は他の事業者における事件の発生状況を踏まえた適切なシナリオ・閾値を設定することで不正が疑われる取引を速やかに検知すること
      ・上記に基づき検知した取引について連携・協働する銀行との間で適時に情報を共有し、必要に応じてサービスの一時的な利用停止その他の措置を実施するとともに、調査を実施すること
      ・被害のおそれがある者に速やかに連絡すること
      ・不正が確認されたIDの停止等を実施すること

  • (5) 利用者等からの相談対応

    • マル1 利用者等からの電子決済サービスに関する相談等(以下「相談等」という。)の事例の蓄積と分析を行い、リスクの早期検知並びに不正防止策及び利用者等からの相談対応の改善を行うための態勢を整備しているか。

    • マル2 連携・協働する銀行に関する相談等も含め、真摯な対応を行うための態勢を整備しているか。また、連携・協働する銀行との具体的な協力方法と責任関係を明確化しているか。

    • マル3 連携・協働する銀行と相互に相手方に相談するよう促すなどの不適切な対応を行っていないか検証し、不適切な対応が認められる場合には、連携・協働する銀行とともに、発生原因の究明、改善措置、再発防止策等を的確に講じているか。

IX-4-3  監督手法・対応

 不祥事件届出等の日常の監督事務を通じて把握された電子決済サービスに関する課題等については、上記の着眼点に基づき、原因及び改善策等について、深度あるヒアリングを実施し、必要に応じて法第52条の61の14の規定に基づき報告書を徴求することにより、電子決済等代行業者における自主的な業務改善状況を把握することとする。
 さらに、利用者等の利益の保護を含む電子決済等代行業の健全かつ適切な運営の確保の観点から重大な問題があると認められるときには、電子決済等代行業者に対して、法第52条の61の16の規定に基づく業務改善命令を発出することとする。また、重大、悪質な法令違反行為が認められるときには、法第52条の61の17の規定に基づく業務停止命令等の発出を検討するものとする(行政処分を行うに当たっては、Ⅱ-5に準じる。)。

IX-5 不正取引に対する補償

 電子決済等代行業に関する不正取引により、利用者等に被害が生じるおそれがある。
 このような被害が発生した場合、電子決済等代行業者においては、利用者等の利益の保護を含む電子決済等代行業の健全かつ適切な運営の確保の観点から、被害者に対して適切かつ速やかな対応(連携・協働する銀行と協力した対応を含む。)を実施することが重要である。
 不正取引への対応に関する電子決済等代行業者の監督に当たっては、例えば、以下のような点に留意するものとする。

IX-5-1 主な着眼点

 

 マル1 電子決済サービスに関し、不正取引が行われたことにより発生した損失の補償その他の対応に関する方針(以下「補償方針」という。)を策定し、電子決済サービスの利用者への情報提供を行うとともに、不正取引が発生した場合に損失が発生するおそれのある電子決済サービスの利用者以外の者も容易に知りうる状態においているか。

  •  (注)「電子決済サービスに関し、不正取引が行われたことにより発生した損失」とは、電子決済サービスの利用者の意思に反して権限を有しない者の指図が行われたことにより発生した当該利用者の損失に限らず、電子決済サービスの利用者が連携口座の預貯金者になりすますことで預貯金者の意思に反して決済指図の伝達が行われたことにより発生した預貯金者の損失など、電子決済サービスの提供を起因として、連携・協働する銀行の利用者に発生した損失を含む。

  • マル2 法第52条の61の8第1項第3号に規定する損害賠償に関する事項には、少なくとも以下の事項が定められているか(法第52条の61の10の規定に基づき連携・協働する銀行との間で締結した電子決済等代行業に係る契約において定められている場合を含む。)。

    •    

       イ.電子決済サービスの業務の内容に応じて、損失が発生するおそれのある具体的な場面毎の被害者に対する損失の補償の有無、内容及び補償に要件がある場合にはその内容

         

       ロ.補償手続の内容

         

       ハ.電子決済サービスを提供する場合にあっては電子決済等代行業者と連携・協働する銀行の補償の分担に関する事項(被害者に対する補償の実施者を含む。)

         

       ニ.補償に関する相談窓口及びその連絡先

         

       ホ.不正取引の公表基準

       
  •  (注)ハに定める事項については、当該事項に関する連携・協働する銀行との契約内容の全てについて利用者への情報提供等を行う必要まではないが、少なくとも、被害者に対する補償の実施者については利用者への情報提供等を行う必要があることに留意する。

  • マル3 策定した補償方針に従い、適切かつ速やかに補償を実施するための態勢(連携・協働する銀行との協力態勢を含む。)が整備されているか。

IX-5-2 監督手法・対応

  • (1)問題認識時

    • 不祥事件届出等の日常の監督事務を通じて把握された不正取引への対応に関する課題等については、上記の着眼点に基づき、原因及び改善策等について、深度あるヒアリングを実施し、必要に応じて法第52条の61の14の規定に基づき報告書を徴求することにより、電子決済等代行業者における自主的な業務改善状況を把握することとする。

      更に、利用者等の利益の保護を含む電子決済等代行業の健全かつ適切な運営の確保の観点から重大な問題があると認められるときには、電子決済等代行業者に対して、法第52条の61の16の規定に基づく業務改善命令を発出することとする。また、重大、悪質な法令違反行為が認められるときには、法第52条の61の17の規定に基づく業務停止命令等の発出を検討するものとする(電子決済等代行業者に行政処分を行うに当たっては、Ⅱ-5に準じる。)。

  • (2)不正取引発生時

    • 電子決済等代行業に関し不正取引を認識次第、速やかに「不正取引発生報告書」にて当局宛て報告を求めるものとする。

 IX-6 監督指針の準用

信用金庫法に基づき登録を受けた信用金庫電子決済等代行業者、協同組合による金融事業に関する法律に基づき登録を受けた信用協同組合電子決済等代行業者、労働金庫法に基づき登録を受けた労働金庫電子決済等代行業者及び金融サービス提供法第18条第2項に基づき電子決済等代行業者とみなされる金融サービス仲介業者については、Ⅸ-1からⅨ-5までの規定を準用する。

サイトマップ

ページの先頭に戻る