IX 　電子決済等取扱業

(1)　監督手法

監督当局は、各電子決済等取扱業者の特性・課題を把握した上で、課題の性質・優先度に応じて立入検査を含むモニタリング手法を機動的に使い分け、改善状況をフォローアップする継続的なモニタリングを実施する。

モニタリング手法の使い分けについては、各電子決済等取扱業者の個別具体的状況に加え、各手法における実態把握に係る有効性や監督当局側・電子決済等取扱業者側における負担の程度、問題の緊急性等の観点も十分に踏まえるものとする。基本的には、まず、経営・財務の状況、マネー・ローンダリング及びテロ資金供与対策にかかる年次実態調査等に係る資料の分析や、電子決済等取扱業者内外の関係者からのヒアリングといったモニタリングを実施し、足下の健全性・適切性等に係る課題が見られるかどうか等の分析結果を踏まえて、法第52条の60の21に基づく立入検査の要否について判断するものとする。

なお、モニタリングの具体的な実施に当たっては、IX－２－１に基づくほか、本監督指針の着眼点を補足・敷衍し、事業者との対話を円滑に実施するため業界における検討内容を踏まえるものとする。

(2)　監督部局間の連携

• 金融庁と財務局における連携

  • 金融庁と財務局との間では、電子決済等取扱業者を監督する上で必要と認められる情報について、適切に情報交換等を行い、問題意識の共有を図る必要がある。そのため、（３）に掲げる内部委任事務に係る調整等以外の情報等についても、適宜適切な情報提供や積極的な意見交換を行う等、連携の強化に努めることとする。また、財務局間においても、他の財務局が監督する電子決済等取扱業者について、公表されていない問題等を把握したときは、適宜、監督する財務局や金融庁への情報提供を行い、連携の強化に努めることとする。

• 管轄財務局長との連絡調整

  • 管轄する電子決済等取扱業者に対して行政処分を行った場合は、速やかに、当該電子決済等取扱業者の営業所の所在地を管轄する他の財務局長にその処分内容を連絡するものとする。

(3)　管轄財務局長権限の一部の管轄財務事務所長等への内部委任

登録申請者及び電子決済等取扱業者の主たる営業所（施行規則第34条の63の５に規定する主たる営業所をいう。以下同じ。）の所在地が財務事務所又は小樽出張所若しくは北見出張所の管轄区域内にある場合においては、管轄財務局長に委任した権限のうち、登録申請者又は電子決済等取扱業者が提出する届出書、申請書及び報告書の受理に関する権限は、財務局長の判断により当該財務事務所長又は出張所長に内部委任することができるものとする。なお、これらの事項に関する届出書等は、登録申請者又は電子決済等取扱業者の主たる営業所の所在地を管轄する財務局長宛提出させるものとする。

(4)　金融庁との調整

財務局長は、電子決済等取扱業者の監督事務に係る財務局長への委任事項等の処理に当たり、以下に掲げる事項（その他の事項についても必要に応じ金融庁長官と調整することを妨げない。）については、あらかじめ金融庁と調整するものとする。なお、調整の際は、財務局における検討の内容及び処理意見を付するものとする。

• 法第52条の60の22の規定による業務改善命令

• 法第52条の60の23第１項の規定による登録の取消し又は業務の停止命令

(5)　行政報告

財務局長は、電子決済等取扱業者の監督に関し、以下のイ．からホ．までに掲げる場合は、その内容を遅滞なく金融庁に報告するものとする。加えて、以下のヘ．に掲げる場合は、その内容を遅滞なく金融庁に報告するとともに、他の財務局宛て関係資料を送付するものとする。その際は、当該取消しの日前30日以内の役員の氏名に関する資料も併せて報告・送付するものとする。

• イ．法第52条の60の５第１項による登録を行った場合

• ロ．法第52条の60の36第１項による廃業等の届出を受理した場合

• ハ．法第52条の60の20第２項により報告及び資料の提出を求めた場合

• ニ．法第52条の60の22による業務改善命令を行った場合

• ホ．法第52条の60の23第１項の規定による業務停止命令を行った場合

• ヘ．法第52条の60の23第１項の規定による登録の取消しを行った場合

法第52条の60の19第１項に基づく報告書について

事業報告書の作成に当たっては、以下の点に留意するものとする。

• イ．経営計画や資金計画など、登録申請時に確認した事項を参照しつつ、報告内容を検証した上で、両者に著しい乖離が見られる場合には、当該電子決済等取扱業者に対するヒアリング等を通じて、経営実態を確認するものとする。

  • ロ．経営実態を確認した結果、将来、法第52条の60の６第１項第３号に規定する「電子決済等取扱業を適正かつ確実に遂行するために必要と認められる内閣府令で定める基準に適合する財産的基礎を有しない」こととなるおそれがある場合には、法第52条の60の33に基づき報告書を徴収するなど、必要な対応を検討することとする。

金融庁への送付等

• イ．電子決済等取扱業者に係る随時報告

  利用者財産の管理に関する報告書の副本及び参考書類各１部並びに意見を付す電子決済等取扱業者があれば、上記②に関する当該電子決済等取扱業者の意見を記載した書面を、提出期限後１か月以内に金融庁担当課室宛て送付するものとする。

  • • ロ．電子決済等取扱業者に係る定期報告

      • ａ．財務局長は、電子決済等取扱業者に対して、法第62条の20第１項の規定に基づき、毎年３月末における業務報告書を毎年５月末までに徴収するものとする。

        • ｂ．電子決済等取扱業者の業務報告書の写しについては、毎年６月末までに、金融庁担当課室宛て送付するものとする。

  ハ．電子決済等取扱業者登録状況一覧表の提出

  • ａ．登録を行った全ての電子決済等取扱業者について作成した登録状況一覧表を、登録の都度更新し、半期経過後20日以内に監督局長に対して送付するものとする。

  • ｂ．当該一覧表には、下記の項目については必ず記載するものとする。

    • 電子決済等取扱業登録者名
    • 登録番号
    • 登録日
    • 廃止日
    • 電子決済等取扱業者の電話番号・メールアドレス
    • 兼業の種類

• (6)　電子決済等取扱業者が提出する申請書、届出書等における記載上の留意点

  電子決済等取扱業者が提出する申請書、届出書等において、役員等の氏名を記載する際には、氏を改めた者においては、旧氏及び名を括弧書きで併せて記載できることに留意する。

(1)　サービスやシステムの特性への対応

• 　Ⅲ－３－７－１－２（３）①に加え、多様なサービスやシステムと連携した、高度・複雑な情報システムを有している場合には、システムリスクに、以下のようなものを含めているか。

  • 外部サービスを利用することによって生じるリスク
  • APIの接続等を実施することによって生じるリスク
  • 取引の急増への対応など、多様なサービスやシステムと連携することによって生じるリスク　等

  • （注）網羅的なリスクの洗い出しにおいては、客観的な水準が判定できるものを根拠とすることが望ましく、例えば、銀行システムへの接続の観点では、金融情報システムセンターが示す基準（API接続チェックリスト解説書）等を参考とすることが考えられる。

• 　システムリスク管理部門は、例えば１日当たりの取引可能件数などのシステムの制限値を把握・管理し、制限値を超えた場合のシステム面・事務面の対応策を検討しているか。

• なお、銀行等の連携先との制限値を把握するとともに、制限値を超えた場合の対応策についても連携先を含めた検討が必要となる点に留意する。

• 　ユーザー部門は、新サービスの導入時又はサービス内容の変更時に、システムリスク管理部門と連携するとともに、システムリスク管理部門は、システム開発の有無にかかわらず、関連するシステムの評価を実施しているか。

• 　Ⅲ－３－７－１－２（６）の事項に加え、銀行を含む他社のシステムと連携する場合や、多数の利用者が電子決済等取扱業のシステムを利用することが見込まれる場合には、システム全体の品質を確保するために、以下の観点を含めた規程や方針等を策定し、適切に実施しているか。

  • 品質を確保するためのテスト実施方針を定めること
  • システムのパフォーマンス・キャパシティ管理において、他社事例も踏まえ、取引の急増を想定した計画とし、閾値を設定すること（大規模な販売促進活動を行う等、一時的な取引件数の増加が見込まれる場合を含む。）
  • 各種資源の性能や容量の限界を考慮した、監視項目の設定や負荷状態の監視、必要に応じた制御を行うこと
  • システム開発時に銀行等の連携先を含めたシステムの制限値を把握すること　等

• また、提供する新サービス、銀行のAPI仕様変更及び認証方式の変更等について、利用者側の動作環境を踏まえたテストシナリオを設定し、検証しているか。

• 　Ⅲ－３－７－１－２（９）①及び⑤に加え、緊急時体制に当たって銀行及び重要な外部委託先等（外部サービスの提供元やシステムの連携先を含む）との連絡体制を整備するほか、コンティンジェンシープランに基づく訓練においては、重要度やリスクに応じて銀行やその他のシステムの連携先等との合同実施も検討しているか。

• また、訓練結果を基に、必要に応じて、コンティンジェンシープランを見直しているか。

• 　Ⅲ－３－７－１－２（10）⑦に加え、システム障害等の影響を極小化するために、例えば、部分的障害の影響が波及する経路や迂回不能な単一障害点の把握など、影響波及の観点からリスク評価を行い、クラウドサービスの仕組みを適切に利用してリスク低減を図るなど、利用者の被害を最小化するためのサービス・システム的な仕組みの整備について検討しているか。

(2)　クラウドサービスなど外部サービスの利用への対応

• 　Ⅲ－３－７－１－２（４）④に加え、利用者の重要情報の洗出しに当たっては、再委託先やシステムの連携先等に移送・転送されたデータ等も対象範囲としているか。

• 　Ⅲ－３－７－１－２（８）②に加え、クラウドサービスなど外部サービスを利用する場合には、選定に際して、その特性を踏まえた上で、セキュリティの安全性について適切な評価を実施しているか。また、利用するサービスに応じたリスクを検討し、対策を講じているか。

• 例えば、以下のような点を実施しているか。

  • 重要なデータを処理・保存する拠点の把握
  • 監査権限・モニタリング権限等の契約書への反映
  • 保証報告書、第三者認証等の確認・評価
  • クラウド特有のリスクの把握
  • 認証機能を含むセキュリティリスク評価　等

• 　Ⅲ－３－７－１－２（10）②に加え、クラウドサービスに障害が発生した場合に備え、対応策の検討又は利用者への適時適切な注意喚起が重要であることを念頭にクラウド事業者との障害発生時の連絡体制等の構築に努めているか。

(3)　インターネット等の通信手段を利用した非対面の取引を行う場合の対応

• 　Ⅲ－３－７－１－２（５）⑦の事例のほか、例えば、以下のような取引のリスクに見合った適切な認証方式を導入しているか。

  • イ．可変式パスワード、生体認証、電子証明書等、実効的な要素を組み合わせた多要素認証などの、固定式のID・パスワードのみに頼らない認証方式

  • ロ．ログインパスワードとは別の取引用パスワードの採用（同一のパスワードの設定を不可とすること等の事項に留意すること。）

• また、内外の環境変化や事故・事件の発生状況を踏まえ、定期的かつ適時にリスクを認識・評価し、必要に応じて、認証方式の見直しを行っているか。

• 　Ⅲ－３－７－１－２（５）⑧に加え、例えば、以下のような業務に応じた不正防止策を講じているか。

  • 不正なIPアドレスからの通信の遮断
  • 利用者に対してウィルス等の検知・駆除が行えるセキュリティ対策ソフトの導入・最新化を促す措置
  • 不正なログイン・異常な取引等を検知し、速やかに利用者に連絡する体制の整備
  • 不正が確認されたIDの利用停止
  • 前回ログイン（ログオフ）日時の画面への表示
  • 取引時の利用者への通知　等

• 　Ⅲ－３－７－１－２（６）の事項に加え、システム設計／開発段階では、以下のような事項を含むセキュリティに係る措置を講じているか。

  • 具体的なセキュリティ要件の明確化
  • セキュアコーディングの実施など脆弱なポイントが生じないための対策・他社のシステムと連携する場合、連携する部分を含めサービス全体を踏まえたセキュリティ設計　等

(1)　委託銀行との連携

電子決済等取扱業者のサービスの中には、銀行の提供する口座振替サービスと連携するサービス（以下「電子決済等取扱連携サービス」という。）が考えられる。このような電子決済等取扱連携サービスについては、電子決済等取扱業の利用者にとっては利便性の高いサービスとなり得る一方、例えば、悪意のある第三者が連携する預貯金口座の預貯金者になりすまし、電子決済等取扱連携サービスを介して不正取引を行うなど、電子決済等取扱業者のみで完結するサービスとは異なるリスクが介在するおそれがある。また、技術革新の進展により、今後、事業者間の連携は増え、連携に伴うリスクも高まる可能性があると考えられる。

以上を踏まえ、電子決済等取扱業者においては、電子決済等取扱業の利用者や連携先の利用者の利益の保護を含む電子決済等取扱業の適正かつ確実な遂行の観点から、当該リスクに応じた管理態勢を連携先と協力して構築することが重要であり、電子決済等取扱連携サービスを提供する電子決済等取扱業者の監督に当たっては、Ⅸ－３に留意する他、事務ガイドライン　第三分冊：金融会社関係「14　資金移動業関係」のⅡ－２－５を参照するものとする。

(2)　委託銀行との契約締結義務（施行規則第34条の63の27）

• 　電子決済等取扱業者は、委託銀行との間で、顧客に損害が生じた場合における当該損害についての当該委託銀行と当該電子決済等取扱業者との賠償責任の分担に関する事項を定めた電子決済等取扱業に係る契約を締結し、これに従って当該委託銀行に係る電子決済等取扱業を営まなければならない点に留意する必要がある。当該契約には、例えば、以下のような項目を定めることが考えられる。

  • イ．利用者からの被害申告の受付窓口

  • ロ．補償する場合の基準や手続（利用者に求める情報や、過失の有無の判断等）

  • ハ．補償する場合の方法（補償の実施者、損害の算定方法等を含む）

  • ニ．補償する場合の補償範囲

  • ホ．いずれか一方が補償した場合の求償関係（損害の分担）

• 　加えて、電子決済等取扱業者は、委託銀行との間で、委託銀行が預金者を把握するために必要な情報を、電子決済等取扱業者が当該委託銀行の求めに応じて速やかに提供するために必要な事項（当該情報の提供の頻度及び時期に関する事項を含む。）を定めた電子決済等取扱業に係る契約を締結し、これに従って当該委託銀行に係る電子決済等取扱業を営まなければならない点に留意する必要がある。委託銀行が負担する債務に係る預金者を把握するために必要な情報として、例えば、施行規則第34条の63の61第１項第２号に定める取引記録や同項第３号に定める書面に係る情報などが考えられる。当該情報については、Ⅲ－３－３－３を踏まえて、取り扱う必要があることに留意する。