電子決済等代行業者に求める事項の基準
当行が電子決済等代行業者(※1)と電子決済等代行業にかかる契約を締結するにあたり、当行は、当該電子決済等代行業者が以下の基準を満たしていると判断できる場合に、当該電子決済等代行業者と電子決済等代行業にかかる契約を締結するものとします。
また、以下の基準を変更する場合には、当行ホームページ上でお知らせします。
(※1)銀行法等の一部を改正する法律(平成二十九年六月二日公布)による改正後の銀行法第二条第十八項に定める事業者。
1.電子決済等代行業者にかかる基準
- (1)電子決済等代行業者は内閣総理大臣の登録を受けた電子決済等代行業者(みなし電子決済等代行業者および電子決済等代行業者の登録申請中であって登録拒否されていない者を含む)であり、かつ、登録取消事由があるとの懸念がないこと
- (2)電子決済等代行業者、その役員、主要株主または従業員等が、反社会的勢力に該当し、または反社会的勢力と関係を有するとの懸念がないこと
- (3)電子決済等代行業者およびそのグループ会社のビジネスにおいて法令などに違反するまたは社会的信用を害するおそれのある業務が含まれていないなど、利用者保護および当行の社会的信用の維持のうえで支障がないこと
- (4)電子決済等代行業者の経営および財務の状況が、電子決済等代行業を活用したサービスを継続的かつ安定的に提供するうえで十分なものであること
2.電子決済等代行業者における内部管理態勢にかかる基準
- (1)適切な法令等遵守態勢や内部管理態勢が整備されていること
- (2)電子決済等代行業を活用したサービスを適切に実施するための知識および経験を有した主要な事業責任者がいるなど、人的態勢を有していること
- (3)セキュリティ管理責任の所在が明確になっていること
- (4)情報資産の安全管理措置にかかる基本方針および取扱規定などを整備・運用しているなど、適切なセキュリティ管理態勢が整備されていること
- (5)セキュリティ遵守について、実効的な内部監査を実施しているなど、セキュリティ管理態勢の周知・定着が図られていること
- (6)個人情報の保護に関する法律や関連するガイドラインなどにもとづき、利用者の個人情報等の適切な取扱いのための態勢が整備されていること
- (7)利用者の個人情報などの利用範囲について、適切な取扱いのための態勢が整備されていること
- (8)利用者の要配慮個人情報の利用範囲について、適切な取扱いのための態勢が整備されていること
- (9)役職員による守秘義務が担保されていること
- (10)電子決済等代行業を活用したサービスの終了時に利用者の情報を削除するなど、情報資産の廃棄のための適切な態勢が整備されていること
- (11)過去に発生したセキュリティ関連の不祥事案の内容と改善策を記録し保管するなど、セキュリティ不祥事案の防止および発生後の対応に関する適切な態勢が整備されていること
- (12)電子決済等代行業を活用したサービスにかかる事務リスク管理のための適切な態勢が整備されていること
- (13)コンピュータ設備およびオフィス設備その他電子決済等代行業者のシステムの堅牢性(情報漏洩対策を含む)が確保されていること
3.不正アクセスによる被害発生・拡大の未然防止への取組みにかかる基準
- (1)不正アクセス(内部・外部からの不正アクセスおよび不正利用を含む。以下同じ)の防止のため、電子決済等代行業にかかるトークンまたはID・パスワードなどの管理が適切に行われること
- (2)不正アクセスへの対応マニュアルなどを作成・運用するなど、不正アクセスの発生を想定し適切に対処するための態勢が整備されていること
- (3)不正アクセスまたはその疑いの検知・監視を担当する部署を設置するなど、利用者の被害拡大を未然に防止するための適切な態勢が整備されていること
- (4)利用者からの個々の取引指図にかかる認証方法が、利用者保護や不正アクセスおよび情報流出防止の観点から問題のない水準のものであること
- (5)不正アクセスの発生時において、電子決済等代行業を活用したサービス利用の制限、停止等を行うことができるシステム設計・仕様にするとともに、当行との間で情報連携ならびに原因究明および必要な対策などの協議を行う体制を設けていること
- (6)不正アクセス時の原因究明などのため、利用者のアクセスログを適切に記録・保存する態勢としていること
- (7)電子決済等代行業者内部からの情報流出を防止するため、役職員への教育・研修の実施や重要な情報等を複製したり、持ち出しすることを禁止または制限するなどの対策を講じていること
4.セキュリティ対策の継続的な改善・見直し、高度化への取組みにかかる基準
- (1)セキュリティ対策の高度化を図るための適切な態勢が整備されていること
- (2)システム開発・運用について、定期的または必要に応じて、内部監査または外部監査を受けるなど、システム開発・運用管理のための適切な態勢が整備されていること
- (3)電子決済等代行業にかかる不正リスクを低減するための適切な対策が講じられていること
- (4)電子決済等代行業を活用したサービスにかかる情報の適切な取扱いのための態勢が整備されていること
- (5)電子決済等代行業を活用したサービスにかかるユーザーの認証方式に脆弱性がないなど、その認証機能が当該サービスのセキュリティの観点から問題のない水準のものであること
- (6)電子決済等代行業者のセキュリティ対策について、電子決済等代行業開始後も当行が定期的にまたは必要に応じて確認すること、および電子決済等代行業者のセキュリティ対策に懸念があると当行が判断した場合には、電子決済等代行業者に対して改善を求め、または必要に応じて電子決済等代行業停止などの措置をとることに同意すること
5.利用者に対する責任・補償にかかる基準
- (1)電子決済等代行業を活用したサービスにかかる相談・照会・苦情・問い合わせ(以下「相談・苦情など」という)のための連絡先を表示し、相談・苦情などに的確に対応するなど、利用者からの相談・苦情等対応を適切に行う態勢が整備されていること
- (2)利用者の故意・重過失によらない損害を補償する態勢が整備されていること
- (3)利用者への情報提供・注意喚起の適切な態勢が整備されていること
- (4)電子決済等代行業者または当行のシステムメンテナンス時には電子決済等代行業を活用したサービスが利用できないことや利用者の情報の利用目的・方法などを含め、当行との電子決済等代行業に関する事項および電子決済等代行業を活用したサービスに関する事項にかかる利用者への各種説明が適切かつ十分にされ、利用者から必要な同意を得ていること
6.その他電子決済等代行業を活用したサービスの適切な実施にかかる基準
- (1)電子決済等代行業者およびそのグループ会社の業務内容が、当行の顧客や地域経済、ひいては当行サービスの発展および向上に資すること
- (2)電子決済等代行業者の外部委託先に対して定期的または必要に応じて監査を行うなど、外部委託(再委託など二段階以上の委託を含む)管理のための適切な態勢が整備されていること
- (3)当行の定める電子決済等代行業にかかる契約に合意し、その内容を遵守および履行するとともに、同契約に定める試験に合格すること