トピックス

2018.03.22
NEWS

【オープンAPI】電子決済等代行業者が遵守する必要がある利用者の保護の義務

執筆者:渡邉雅之(弁護士法人三宅法律事務所:パートナー弁護士)

(ニュースレター)
Miyake Newsletter(金融法務・FinTech研究会No3:【改訂版】電子決済等代行業者へのAPIの開放)
(連載記事)
【オープンAPI】「電子決済等代行業」の「銀行代理業」への該当性についてのガイドライン
【オープンAPI】電子決済等代行業に該当しない行為について
【オープンAPI】電子決済等代行業者の登録申請書の記載事項・添付書類
【オープンAPI】電子決済等代行業者の登録拒否事由・登録審査の留意事項
【オープンAPI】電子決済等代行業者の届出について
【オープンAPI】電子決済等代行業者が遵守する必要がある利用者の保護の義務
【オープンAPI】銀行との契約締結義務・銀行による基準の公表義務
【オープンAPI】施行期日・経過規定
(セミナー)
平成30年4月13日「オープンAPI・電子決済等代行業に関する法制度」(金融財務研究会)

平成30年3月9日、金融庁は、パブリックコメントとして『「銀行法施行令等の一部を改正する政令等(案)について」を公表しました。同パブリックコメントは、平成29年6月2日に公布された「銀行法等の一部を改正する法律」(平成29年法律第49号)に基づき、銀行等の金融機関が、家計簿アプリ等に代表される口座管理や電子送金サービスをする電子決済代行業者に対して、API(Application Programming Interface)を開放(これを「オープンAPI」といいます。)する場合の基準や電子決済等代行業者の登録要件や行為規制等について定めるにあたっての、政令案・施行規則案・留意事項案などが示されています。オープンAPIに関する制度は、平成30年6月1日に施行する予定です。

今回は、電子決済等代行業者が遵守する必要がある利用者の保護に関する義務について説明いたします。


1 利用者に対する説明義務(銀行法52条の61の8第1項)
(1)利用者に情報提供しなければならない事項
 電子決済等代行業者は、電子決済等代行業に該当する行為(銀行法施行規則1条の3の3に規定する電子決済等代行業に該当しない行為を除く。)を行うときは、利用者に対し、次に掲げる事項を明らかにしなければなりません(銀行法52条の61の8第1項)。
① 電子決済等代行業者の商号、名称又は氏名及び住所(銀行法52条の61の8第1項1号)
② 電子決済等代行業者の権限に関する事項(同項2号)
③ 電子決済等代行業者の損害賠償に関する事項(同項3号)
④ 電子決済等代行業に関する利用者からの苦情又は相談に応ずる営業所又は事務所の連絡先(同項4号)
⑤ 電子決済等代行業者としての登録番号(銀行法52条の61の8第1項5号、同法施行規34条の64の9第4項1号、銀行法52条の61の4第1項第2号)
⑥ 利用者が支払うべき手数料、報酬若しくは費用の金額若しくはその上限額又はこれらの計算方法(銀行法52条の61の8第1項5号、同法施行規34条の64の9第4項2号)
⑦ 更新系APIに係る電子決済等代行業(銀行法2条17項1号)に該当する行為(銀行法施行規則1条の3の3に規定する電子決済等代行業に該当しない行為を除く。)を行う場合において、同号に規定する指図に係る為替取引の額の上限を設定している場合には、その額(銀行法52条の61の8第1項5号、同法施行規34条の64の9第4項3号)
⑧ 利用者との間で継続的に電子決済等代行業に該当する行為(銀行法施行規則1条の3の3に規定する電子決済等代行業に該当しない行為を除く。)を行う場合には、契約期間及びその中途での解約時の取扱い(手数料、報酬又は費用の計算方法を含む。)(銀行法52条の61の8第1項5号、同法施行規34条の64の9第4項4号)
⑨ 利用者から当該利用者に係る識別符号等を取得して電子決済等代行業に該当する行為(銀行法施行規則1条の3の3に規定する電子決済等代行業に該当しない行為を除く。)を行う場合には、その旨(銀行法52条の61の8第1項5号、同法施行規34条の64の9第4項5号)
⑩ その他当該電子決済等代行業者の行う電子決済等代行業に関し参考となると認められる事項(銀行法52条の61の8第1項5号、同法施行規34条の64の9第4項6号)
 
 ただし、電子決済等代行業者が、利用者との間で継続的に電子決済等代行業に該当する行為(銀行法施行規則1条の3の3に規定する電子決済等代行業に該当しない行為を除く。)を行う場合において、直前に当該利用者との間で当該行為を行った時以後に上記①から⑩までに掲げる事項に変更がないときは、利用者に対してこれらの事項を明らかにする必要はありません(銀行法施行規則34条の64の9第1項)。
(2)利用者に情報提供をする方法
ア 電子決済等代行業者が自ら情報提供をする場合
 電子決済等代行業者は、電子決済等代行業に該当する行為(銀行法施行規則1条の3の3に規定する電子決済等代行業に該当しない行為を除く。)を行うときは、インターネットを利用して閲覧に供する方法により、利用者に対し、上記(1)の①~⑩までに掲げる事項を明らかにしなければなりません(銀行法施行規則34条の64の9第2項)。
イ 他の電子決済等代行業者から委託を受けて電子決済等代行業を営む場合
 電子決済等代行業者は、「電子決済等代行業再委託者」(下記参照)の委託(二以上の段階にわたる委託を含む。)を受けて、電子決済等代行業に該当する行為(銀行法施行規則1条の3の3に規定する電子決済等代行業に該当しない行為を除く。)を行う場合においては、当該電子決済等代行業再委託者又は電子決済等代行業に係る銀行を介して当該事項を明らかにすることができます(銀行法施行規則34条の64の9第2項ただし書)。
 「電子決済等代行業再委託者」とは、①預金者の委託(二以上の段階にわたる委託を含む。)を受けて、更新系APIに係る電子決済代行業(銀行法2条17項1号)に係る指図の伝達を受け、電子決済等代行業者に対し、当該指図を電子決済等代行業に係る銀行に対して伝達することの委託(二以上の段階にわたる委託を含む。)をする者、②参照系APIに係る電子決済代行業(銀行法2条17項2号)に係る預金者等の委託(二以上の段階にわたる委託を含む。)を受けて、参照系APIに係る情報を当該預金者等に提供すること(他の者を介する方法により提供すること及び当該情報を加工した情報を提供することを含む。)を目的として、電子決済等代行業者に対し、電子決済等代行業に係る銀行から当該情報を取得することの委託(二以上の段階にわたる委託を含む。)をする者、をいいます(銀行法施行規則34条の64の9第3項)。
 
2 銀行が営む業務との誤認を防止するための情報の利用者への提供(銀行法52条の61の8第2項、同法施行規則34条の64の10
 電子決済等代行業者は、電子決済等代行業の利用者との間で電子決済等代行業に該当する行為(銀行法施行規則1条の3の3に規定する電子決済等代行業に該当しない行為を除く。)を行う場合には、あらかじめ、当該利用者に対し、インターネットを利用して当該利用者が使用する電子機器の映像面に表示させる方法その他の適切な方法により、電子決済等代行業者の業務を銀行が営むものではないことの説明を行わなければなりません。
ただし、電子決済等代行業再委託者(上記1(2)イ)の委託を受けて、電子決済等代行業に該当する行為(銀行法施行規則1条の3の3に規定する電子決済等代行業に該当しない行為を除く。)を行う場合においては、当該電子決済等代行業再委託者又は電子決済等代行業に係る銀行を介して当該説明を行うことができます。
3 為替取引の結果の通知(銀行法52条の61の8第2項、同法施行規則34条の64の11
 電子決済等代行業者は、更新系APIに係る電子決済等代行業に該当する行為(銀行法施行規則1条の3の3に規定する電子決済等代行業に該当しない行為を除く。)を行ったときは、遅滞なく、当該行為を委託した預金者に対し、当該行為に基づき銀行が行った預金者が当該銀行に開設している口座に係る資金を移動させる為替取引の結果の通知をしなければなりません。
ただし、電子決済等代行業者は、当該通知を、電子決済等代行業に係る銀行又は電子決済等代行業再委託者(電子決済等代行業再委託者については、電子決済等代行業者が電子決済等代行業再委託者の委託を受けて、電子決済等代行業に該当する行為(銀行法施行規則1条の3の3に規定する電子決済等代行業に該当しない行為を除く。)を行う場合に限ります。)を介して行うことがでます。
 
4 情報の安全管理措置等(銀行法52条の61の8第2項、同法施行規則34条の64の12から同法施行規則34条の64の15まで)
 電子決済等代行業者には、利用者の情報の安全管理措置等として、以下の安全管理措置等が求められます(銀行法52条の61の8第2項、同法施行規則34条の64の12から同法施行規則34条の64の15まで)。
 これに加えて、金融分野における個人情報取扱事業者として、「個人情報の保護に関する法律」(以下「個人情報保護法」といいます。)並びに金融庁の「金融分野における個人情報保護に関するガイドライン」及び「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針」に基づく個人データの安全管理措置も講ずる必要があります。
 なお、全ての銀行等が平成30年3月1日までに公表することとされている『電子決済等代行業者との連携及び協働に係る方針』において、多くの銀行等が、「API連携に係るシステムに関する事項」について、「オープンAPIのあり方に関する検討会」(事務局:一般社団法人全国銀行協会)による「オープンAPIのあり方に関する検討会報告書 -オープン・イノベーションの活性化に向けて-」 (2017年7月13日公表)記載のAPI仕様標準、セキュリティ原則に則っている、としています。
(1)電子決済等代行業に係る情報の安全管理措置(銀行法施行規則34条の64の12
 電子決済等代行業者は、その業務の内容及び方法に応じ、電子決済等代行業に係る電子情報処理組織の管理を十分に行うための措置を講じなければなりません。
(2)個人利用者情報の安全管理措置等(銀行法施行規則34条の64の13
 電子決済等代行業者は、その取り扱う個人である電子決済等代行業の利用者に関する情報の安全管理、従業者の監督及び当該情報の取扱いを委託する場合にはその委託先の監督について、当該情報の漏えい、滅失又は毀損の防止を図るために必要かつ適切な措置を講じなければなりません。
(3)特別の非公開情報の取扱い(銀行法施行規則34条の64の14
 電子決済等代行業者は、その取り扱う個人である電子決済等代行業の利用者に関する人種、信条、門地、本籍地、保健医療又は犯罪経歴についての情報その他の特別の非公開情報(その業務上知り得た公表されていない情報をいいます。)を取り扱うときは、適切な業務の運営の確保その他必要と認められる目的以外の目的のために利用しないことを確保するための措置を講じなければなりません。
これに加えて、個人情報保護法17条2項に基づく「要配慮個人情報」の取得の際の事前の同意の取得、及び「金融分野における個人情報保護に関するガイドライン」に基づく「機微(センシティブ)情報」の取扱いを遵守しなければなりません。
(4)委託業務の的確な遂行を確保するための措置(銀行法施行規則34条の64の15
 電子決済等代行業者は、その業務(参照系APIに係る電子決済代行業(銀行法2条17項2号)のみを行う場合には、電子決済等代行業に関して取得した利用者に関する情報の適正な取扱い及び安全管理に係る業務に限ります。)を第三者に委託する場合には、当該業務の内容に応じ、当該業務の的確な遂行を確保するための措置を講じなければなりません。

5 電子決済等代行業者の誠実義務(銀行法52条の61の9)
 電子決済等代行業者は、利用者のため誠実にその業務を遂行しなければなりません。
 金融商品取引業者は一般的に誠実義務を負う(金融商品取引法36条1項)が、投資運用業や投資助言業を行う金融商品取引業者のように忠実義務(同法41条、42条)が課されるが、電子決済等代行業者は忠実義務までは負いません。
 なお、銀行代理業者は、誠実義務、忠実義務のいずれも負いません。


当事務所では、銀行等の金融機関・電子決済等代行業者に対してオープンAPIに関する業務を提供しております。ご提供できる業務は下記の業務です。
‐ 電子決済等代行業に関する助言・コンサルティング
‐ 電子決済等代行業に関するシステムの要件定義に関するアドバイス
‐ 電子決済等代行業者との連携・協働に係る方針の作成の支援
‐ 電子決済等代行業に係る契約書の作成支援
‐ 電子決済等代行業の業務方法書・社内規程の雛型の作成支援
‐ 銀行による電子決済等代行業者に求める事項の基準の作成支援
ご連絡は下記にお願いいたします。
弁護士法人三宅法律事務所
渡邉雅之
03-5288-1021

m-watanabe@miyake.gr.jp