執筆者:渡邉雅之(弁護士法人三宅法律事務所:パートナー弁護士)
(ニュースレター)
Miyake Newsletter(金融法務・FinTech研究会No3:【改訂版】電子決済等代行業者へのAPIの開放)
(連載記事)
【オープンAPI】「電子決済等代行業」の「銀行代理業」への該当性についてのガイドライン
【オープンAPI】電子決済等代行業に該当しない行為について
【オープンAPI】電子決済等代行業者の登録申請書の記載事項・添付書類
【オープンAPI】電子決済等代行業者の登録拒否事由・登録審査の留意事項
【オープンAPI】電子決済等代行業者の届出について
【オープンAPI】電子決済等代行業者が遵守する必要がある利用者の保護の義務
【オープンAPI】銀行との契約締結義務・銀行による基準の公表義務
【オープンAPI】施行期日・経過規定
(セミナー)
平成30年4月13日「オープンAPI・電子決済等代行業に関する法制度」(金融財務研究会)
平成30年3月9日、金融庁は、パブリックコメントとして『「銀行法施行令等の一部を改正する政令等(案)について」を公表しました。同パブリックコメントは、平成29年6月2日に公布された「銀行法等の一部を改正する法律」(平成29年法律第49号)に基づき、銀行等の金融機関が、家計簿アプリ等に代表される口座管理や電子送金サービスをする電子決済代行業者に対して、API(Application Programming Interface)を開放(これを「オープンAPI」といいます。)する場合の基準や電子決済等代行業者の登録要件や行為規制等について定めるにあたっての、政令案・施行規則案・留意事項案などが示されています。オープンAPIに関する制度は、平成30年6月1日に施行する予定です。
今回は、電子決済等代行業者の登録拒否事由や登録審査の留意事項について説明いたします。
1 登録の実施(銀行法52条の61の4)
(1)登録の実施(同条1項)
金融庁長官等は、銀行法52条の61の2の登録の申請があつたときは、銀行法52条の61の4第1項の規定により登録を拒否する場合を除くほか、次に掲げる事項を電子決済等代行業者登録簿に登録しなければなりません。
�@ 登録申請書(銀行法52条の61の2第1項各号)に掲げる事項
�A 登録年月日及び登録番号
(2)登録申請者への通知(銀行法52条の61の4第2項)
金融庁長官等は、前項の規定による登録をしたときは、遅滞なく、その旨を登録申請者に通知しなければなりません。
(3)電子決済等代行業者登録簿の公衆の縦覧(同条3項、銀行法施行規則34条の64の5)
金融庁長官等は、電子決済等代行業者登録簿を公衆の縦覧に供しなければなりません。
金融庁長官等は、その登録をした電子決済等代行業者に係る電子決済等代行業者登録簿を当該電子決済等代行業者の主たる営業所又は事務所(外国法人又は外国に住所を有する個人にあつては、国内における主たる営業所又は事務所。「主たる営業所等」という。)の所在地を管轄する財務局(当該所在地が福岡財務支局の管轄区域内にある場合にあつては福岡財務支局、国内に営業所又は事務所を有しない場合にあつては関東財務局)に備え置き、公衆の縦覧に供するものとします。
2 登録の拒否(改正銀行法52条の61の5)
(1)登録拒否事由(改正銀行法52条の61の5条1項)
金融庁長官等は、登録申請者が次の各号のいずれかに該当するとき、又は銀行法52条の61の3第1項の登録申請書若しくはその添付書類のうちに重要な事項について虚偽の記載があり、若しくは重要な事実の記載が欠けているときは、その登録を拒否しなければなりません。
�@ 次のいずれかに該当する者(銀行法52条の61の5第1項1号)
イ 電子決済等代行業を適正かつ確実に遂行するために必要と認められる内閣府令で定める基準に適合する財産的基礎を有しない者
純資産額(貸借対照表若しくはこれに代わる書面又は財産に関する調書に計上された資産の合計額から負債の合計額を控除した額をいう。)が負の値でないこと(銀行法施行規則34条の64の6)
_
ロ 電子決済等代行業を適正かつ確実に遂行する体制の整備が行われていない者
__ ※登録審査に当たっての留意事項(下記3参照)
ハ 電子決済等代行業の登録の取消等の処分を受け、その処分の日から5年を経過しない者
(1) 登録の取消し等(銀行法52条の61の17第1項又は第2項)の規定による銀行法52条の61の2の登録の取消し
(2) 農業協同組合法92条の5の9第1項において準用する銀行法52条の61の17第1項又は第2項の規定による特定信用事業電子決済等代行業の登録(同法第92条の5の2第1項)の取消し
(3) 水産業協同組合法121条の5の9第1項(特定信用事業電子決済等代行業に関する銀行法の準用)において準用する銀行法52条の61の17第1項又は第2項の規定による同法第121条の5の2第一項(登録)の登録の取消し
(4) 協同組合による金融事業に関する法律6条の5の10第1項(信用協同組合電子決済等代行業者等についての銀行法の準用)において準用する銀行法52条の61の17第1項又は第2項の規定による同法6条の5の2第1項(信用協同組合電子決済等代行業の登録)の登録の取消し
(5)_ 信用金庫法89条7項(銀行法の準用)において準用する銀行法52条の61の十7第1項又は第2項の規定による同法第85条の4第1項(登録)の登録の取消し
(6) 労働金庫法94条5項(銀行法の準用)において準用する銀行法52条の61の十七第1項又は第2項の規定による同法第89条の5第1項(登録)の登録の取消し
(7) 農林中央金庫法95条の5の10第1項(農林中央金庫電子決済等代行業に関する銀行法の準用)において準用する銀行法52条の61の17第1項又は第2項の規定による同法95条の5の2第1項(登録)の登録の取消し
(8) 株式会社商工組合中央金庫法60条の19第1項又は第2項(登録の取消し等)の規定による同法第60条の3(登録)の登録の取消し
(9) この法律、農業協同組合法、水産業協同組合法、協同組合による金融事業に関する法律、信用金庫法、労働金庫法、農林中央金庫法又は株式会社商工組合中央金庫法に相当する外国の法令の規定により当該外国において受けている(1)から(8)までの登録と同種類の登録(当該登録に類する許可その他の行政処分を含む。)の取消し
ニ 特定信用事業電子決済等代行業等の廃止の命令を受け、その命令の日から5年を経過しない者
(1) 農業協同組合法92条の6の8第4項の規定による同法92条の5の2第二項に規定する特定信用事業電子決済等代行業の廃止の命令
(2) 水産業協同組合法121条の5の8第4項(電子決済等代行業者による特定信用事業電子決済等代行業)の規定による同法121条の5の2第2項に規定する特定信用事業電子決済等代行業の廃止の命令
(3) 協同組合による金融事業に関する法律6条の5の9第4項(電子決済等代行業者による信用協同組合電子決済等代行業)の規定による同法6条の5の2第2項に規定する信用協同組合電子決済等代行業の廃止の命令
(4) 信用金庫法85条の11第4項(電子決済等代行業者による信用金庫電子決済等代行業)の規定による同法85条の4第2項に規定する信用金庫電子決済等代行業の廃止の命令
(5) 労働金庫法89条の12第4項(電子決済等代行業者による労働金庫電子決済等代行業)の規定による同法89条の5第2項に規定する労働金庫電子決済等代行業の廃止の命令
(6) 農林中央金庫法95条の5の9第4項(電子決済等代行業者による農林中央金庫電子決済等代行業)の規定による同法95条の5の2第2項に規定する農林中央金庫電子決済等代行業の廃止の命令
(7) 株式会社商工組合中央金庫法60条の32第4項(電子決済等代行業者による商工組合中央金庫電子決済等代行業)の規定による同法第六十条の二第一項(定義)に規定する商工組合中央金庫電子決済等代行業の廃止の命令
(8) 農業協同組合法、水産業協同組合法、協同組合による金融事業に関する法律、信用金庫法、労働金庫法、農林中央金庫法又は株式会社商工組合中央金庫法に相当する外国の法令の規定による(1)から(7)までの業務と同種類の業務の廃止の命令
ホ この法律、農業協同組合法、水産業協同組合法、協同組合による金融事業に関する法律、信用金庫法、労働金庫法、農林中央金庫法、株式会社商工組合中央金庫法その他政令で定める法律又はこれらに相当する外国の法令の規定に違反し、罰金の刑(これに相当する外国の法令による刑を含む。)に処せられ、その刑の執行を終わり、又はその刑の執行を受けることがなくなった日から5年を経過しない者
_
�A 法人である場合においては、次のいずれかに該当する者(銀行法52条の61の5第1項2号)
イ 外国法人であって日本における代表者を定めていない者
ロ 役員のうちに次のいずれかに該当する者のある者
_(1) 成年被後見人若しくは被保佐人又は外国の法令上これらに相当する者
_(2) 破産手続開始の決定を受けて復権を得ない者又は外国の法令上これに相当する者
_(3) 禁錮以上の刑(これに相当する外国の法令による刑を含む。)に処せられ、その刑の執行を終わり、又はその刑の執行を受けることがなくなった日から五年を経過しない者
_(4) 法人が前号ハ(1)から(9)までに掲げる処分を受けた場合において、その処分の日前30日以内にその法人の役員であつた者で、その処分の日から5年を経過しない者
_(5) 法人が前号ニ(1)から(8)までに掲げる命令を受けた場合において、その命令の日前30日以内にその法人の役員であつた者で、その命令の日から5年を経過しない者
_(6) 前号ハからホまでのいずれかに該当する者
�B 個人である場合においては、次のいずれかに該当する者(銀行法52条の61の5第1項3号)
イ 外国に住所を有する個人であって日本における代理人を定めていない者
ロ 前号ロ(1)から(5)までのいずれかに該当する者
(2)登録拒否理由の通知(改正銀行法52条の61の5条2項)
金融庁長官等は、前項の規定により登録を拒否したときは、遅滞なく、その理由を示して、その旨を登録申請者に通知しなければなりません。
_
3 登録審査に当たっての留意事項(「電子決済等代行業者の登録申請時の留意事項等」II.)
(1)電子決済等代行業を適正かつ確実に遂行する体制の整備の審査
電子決済等代行業者の業務は日々進化・高度化するIT(情報通信技術)を活用するものであり、顧客の口座に係る情報の取得等を伴うため、情報漏えいや認証情報を悪用した不正送金等により、利用者が不利益を被るおそれがあります。
そのため、「電子決済等代行業を適正かつ確実に遂行する体制の整備」が行われているかに関しては(銀行法52条の61の5第1項1号ロ、上記2(1)一ロ参照)、利用者保護を確保するため、システムリスク管理の審査に重点を置き、例えば以下の項目(「審査する項目の例」)を、(i)当該電子決済等代行業者の規模、(ii)電子決済等代行業の内容、(iii)取り扱う情報の重要度、(iv)電子決済等代行業におけるコンピュータシステムの仕組みや占める役割などの特性を踏まえつつ、審査を行います。当該審査は、上記の要素を踏まえリスクベースで行い、利用者保護の観点から特段の問題がないと認められる場合には、必ずしも以下の項目全てに着目するものではありません。
審査する項目の例
�@当該電子決済等代行業者におけるシステムリスクに対する認識等
�Aシステムリスク管理態勢
�Bシステムリスク評価
�C情報セキュリティ管理
�Dサイバーセキュリティ管理
�Eシステム企画・開発・運用管理
�Fシステム監査
�G外部委託管理
�Hコンティンジェンシープラン
�I障害発生時等の対応
このうち、上記�Cの情報セキュリティ管理としては、例えば、情報を適切に管理するために方針・社内規程の策定、重要情報へのアクセスの相互牽制等の内部管理態勢の整備を図ることや、他社における不正・不祥事件も参考に、情報セキュリティ管理態勢のPDCA サイクルによる継続的な改善を図ることが考えられます。
また、上記�Dのサイバーセキュリティ管理としては、電子決済等代行業が非対面取引を前提としていることに鑑み、例えば、以下のような認証方式や不正検知策を採ることにより、セキュリティの確保を講じることが考えられます。
・ 可変式パスワードや電子証明書などの、固定式のID・パスワードのみに頼らない認証方式
・ 不正なログイン・異常な取引等を検知し、速やかに利用者に連絡する体制の整備等
_
(2)「電子決済等代行業の内容」(更新系APIの業務・参照系APIの業務)について
上記(1)の要素((i)当該電子決済等代行業者の規模、(ii)電子決済等代行業の内容、(iii)取り扱う情報の重要度、(iv)電子決済等代行業におけるコンピュータシステムの仕組みや占める役割など)のうち、「電子決済等代行業の内容」としては、例えば、銀行法2条第17 項第1号の業務(更新系APIの業務)を行うのか、同項第2号の業務(参照系APIの業務)を行うかといった事項です。
すなわち、同項1号の業務(更新系APIの業務)は、原則は、為替取引を行うことの同号の銀行に対する指図の伝達を含み、当該為替取引による送金先や送金額が利用者の当初の指図内容から不正に変更された場合には、直ちに利用者の損害に結びつく可能性が高いと考えられます。
他方で、同項2号の業務(参照系APIの業務)は、利用者の口座に係る情報の取得及び伝達を内容とし、不正アクセスによる情報漏えいのリスク等はあるものの、為替取引の指図の伝達等の当該口座からの金銭の移転に関する行為への関与は行わないため、一般的には、不正アクセス等により実際に口座内の預金が失われるリスクは同項第1号の業務(更新系APIの業務)と比べて低く、当該情報の内容、当該電子決済等代行業に利用するコンピュータシステムの仕組みや占める役割等によっては利用者の損害には結びつかない可能性もあると考えられます。
_
(3)連携・協働する銀行の能力による審査
電子決済等代行業者は、銀行と連携・協働して電子決済等代行業を行うことが予定されており、電子決済等代行業を行うに当たっては、銀行法第2条第17 項各号の銀行との間で、電子決済等代行業に係る契約を締結し、これに従って当該銀行に係る電子決済等代行業を営まなければならないこととされています。
このことから、電子決済等代行業者の能力に照らして、当該電子決済等代行業者単独では、その行う電子決済等代行業に必要な水準を満たすことができない部分があったしても、当該業務を行うにあたって連携・協働する銀行においてその部分を分担する場合には、必要な水準を満たすものと判断します。
当事務所では、銀行等の金融機関・電子決済等代行業者に対してオープンAPIに関する業務を提供しております。ご提供できる業務は下記の業務です。
‐ 電子決済等代行業に関する助言・コンサルティング
‐ 電子決済等代行業に関するシステムの要件定義に関するアドバイス
‐ 電子決済等代行業者との連携・協働に係る方針の作成の支援
‐ 電子決済等代行業に係る契約書の作成支援
‐ 電子決済等代行業の業務方法書・社内規程の雛型の作成支援
‐ 銀行による電子決済等代行業者に求める事項の基準の作成支援
ご連絡は下記にお願いいたします。
弁護士法人三宅法律事務所
渡邉雅之
03−5288−1021
m-watanabe@miyake.gr.jp