電子決済等代行業者との接続に係る基準

株式会社新生銀行(以下、「当行」)は、平成29年5月に成立した「銀行法等の一部を改正する法律」に基づき、当行が電子決済等代行業者と契約を締結するに当たって電子決済等代行業者に求める基準を以下のとおり公表いたします。

1. 利用者情報の適正な取扱い及び安全管理のために行う措置に関する基準

1.1. 電子情報処理組織の管理体制

  • 1.1.1.不正アクセスと情報漏洩への対策
  • 外部からの不正アクセス、組織内部における不正アクセス、及び情報漏洩への対策を備えること。

  • 1.1.2.システム障害対策
  • 接続サービスにおけるシステム障害や業務停止によって利用者及び銀行に与える影響に留意し、障害に係わる連絡体制と復旧対策を備えること。

  • 1.1.3.セキュリティ対策の高度化に向けた組織運営とリソースの確保
  • 利用者の属性や接続サービス内容に応じた、セキュリティ対策の継続的な改善と見直し、高度化に向けて取り組む組織体制を確保すること。

1.2.利用者情報の安全管理措置

  • 1.2.1.規程類の策定
  • 情報の適切な取扱い及び安全管理に係る方針文書、社内規程類を策定すること。

  • 1.2.2.内部管理体制の整備と定着
  • 利用者情報へのアクセス権管理や相互牽制等の内部管理体制を整備し、従業者への教育及び監督を通して定着させること。

1.3.機微情報の取扱いに係る安全管理措置

  • 1.3.1.機微情報を取扱う場合の目的外利用禁止
  • 利用者の機微情報(人種、信条、門地、本籍地、保健医療又は犯罪経歴など特別の非公開情報を含む)を取扱う場合は、法令に沿って必要と認められる目的以外のために取得、利用又は第三者提供を行わないこと。加えて個人情報保護委員会及び金融庁が公表する「金融分野における個人情報保護に関するガイドライン」に準拠すること。

2. 業務の執行が法令に適合することを確保するために整備すべき体制の基準

2.1.財産的基礎

  • 2.1.1.帳簿書類の作成と保存
  • 総勘定元帳等の会計帳簿、貸借対照表及び損益計算書等の計算書類をそれぞれ作成し、法令に準じた方法及び期限において保存すること。

  • 2.1.2.健全な財務状態の維持
  • 債務超過になく、健全な財務基盤の維持継続が見込まれる状態にあること。

  • 2.1.3.サービスや事業内容に応じた事故補償能力の保持
  • 提供する接続サービスや事業内容に応じ、不正送金や情報漏洩等の事故発生時において、利用者に対し十分な補償及び返金を可能とする資力を備えるために責任財産を保有、もしくは責任保険に加入すること。利用者に損害が生じる場合において、過大な免責事由を利用約款等に定めておらず、消費者契約法等の法令に準じた上で利用者への事故補償対応に備えること。

2.2.電子決済等代行業を適正かつ確実に遂行する管理体制

  • 2.2.1.反社会的勢力の排除
  • 暴力団員等、反社会的勢力との関係を遮断する体制を整備すること。マネーロンダリングを含む各種金融犯罪や資産凍結等経済制裁対象取引等に利用されない体制を整備すること。

  • 2.1.1.電子決済等代行業者の登録拒否事由に該当しないこと
  • 銀行法第五十二条の六十一の五に規定する、電子決済等代行業の登録の拒否事由に該当しないこと。

2.3.利用者保護における管理体制

  • 2.3.1.利用者に対する説明
  • 利用者に対してサービス内容を適切に説明すること。インターネットその他の適切な伝達方法において、利用者保護の観点から必要な表示、注意喚起、同意の取得を行い、かつ誤認を防止するための措置を講じる管理体制を整備すること。

  • 2.3.2.問合せ窓口の設置
  • 利用者からの苦情、問合せに対応するための、問合せ窓口を設置し公表すること。提供する接続サービスや事業内容に応じて、情報流出や不正送金、システム上の不具合等により利用者に損害が発生した場合の対応窓口を設置すること。

  • 2.3.3.利用者保護策の高度化に向けた組織運営とリソースの確保
  • 利用者の属性や接続サービス内容に応じた、利用者保護策の継続的な改善と見直し、高度化に向けて取り組む組織体制を確保すること。

2.4.外部委託における管理体制

  • 2.4.1.委託業務の的確な遂行を確保するための措置
  • 電子決済等代行業の業務の一部を委託する場合には、あらかじめ選定基準と業務委託する際の手続を策定し、委託先の管理状況を把握すること。利用者情報の取扱いを外部委託する場合にはその委託先について、当該情報の漏えい、滅失又は毀損の防止を図るために監督する措置を講じること。

  • 2.4.2.電子決済等代行業再委託者による利用者情報の適正な取扱い及び安全管理のために電子決済等代行業者が行う措置
  • 接続サービスを第三者と共同して提供又は連携する場合、利用者情報の適切な取扱い及び安全管理を確保させるために、当該第三者を監督する体制を整備すること。

(*)当行と電子決済等代行業者との間でAPI接続を行う場合は、加えて次の各文書に記載される内容に照らした上で、基準の充足状況を判断いたします。

一般社団法人 全国銀行協会「オープンAPIのあり方に関する検討会報告書」(2017年7月13日)

一般社団法人 全国銀行協会「銀行法に基づくAPI利用契約の条文例」(2018年12月27日)

公益財団法人 金融情報システムセンター「API接続チェックリスト」(2018年10月12日)

公益財団法人 金融情報システムセンター「金融機関とAPI接続先のためのAPI接続チェックリスト解説書」(2018年10月12日)

留意事項

本基準は、法令諸規則等の改正や当行の判断により、当行ホームページへの掲載によって変更することがあります。また、変更時点において当行と契約を締結している電子決済等代行業者に対し、一定期間内に変更後の基準を適用する場合があります。

以上