電子決済等代行業者に求める事項の基準
当行が電子決済等代行業者(※1)と電子決済等代行業にかかる契約を締結するにあたり、当行は、当該電子決済等代行業者が以下の基準を満たしていると判断できる場合に、当該電子決済等代行業者と電子決済等代行業にかかる契約を締結するものとします。
また、以下の基準を変更する場合には、当行のホームページ上でお知らせします。
(※1)銀行法等の一部を改正する法律(平成二十九年六月二日公布)による改正後の銀行法第二条第十八項に定める事業者。
1.電子決済等代行業者にかかる基準
- 電子決済等代行業者は内閣総理大臣の登録を受けた電子決済等代行業者であり、かつ、登録取消事由があるとの懸念がないこと
- 電子決済等代行業者、その役員、主要株主、または、従業員等が、反社会的勢力に該当し、または、反社会的勢力と関係を有するとの懸念がないこと
- 電子決済等代行業者、および、そのグループ会社のビジネスにおいて法令などに違反する、または、社会的信用を害するおそれのある業務が含まれていないなど、利用者保護および当行の社会的信用の維持のうえで支障がないこと
- 電子決済等代行業者の経営、および、財務の状況が、電子決済等代行業を活用したサービス(以下「本件サービス」という)を継続的かつ安定的に提供する上で十分なものであること
2.電子決済等代行業者における内部管理態勢にかかる基準
- 適切な法令等遵守態勢や内部管理態勢が整備されていること
- 本件サービスを適切に実施するための知識および経験を有した事業責任者がいるなど、人的態勢を有していること
- セキュリティ管理責任の所在が明確になっていること
- 適切なセキュリティ管理態勢が整備されていること
- セキュリティ管理態勢の周知・定着が図られていること
- 個人情報の保護に関する法律や関連するガイドラインなどにもとづき、利用者の個人情報などの適切な取扱いのための態勢が整備されていること
- 利用者の個人情報などの取扱範囲について、適切な取扱いのための態勢が整備されていること
- 利用者の要配慮個人情報の取扱範囲について、適切な取扱いのための態勢が整備されていること
- 役職員による守秘義務が担保されていること
- 情報資産の廃棄のための適切な態勢が整備されていること
- セキュリティ不祥事案の防止および発生後の対応に関する適切な態勢が整備されていること
- 本件サービスにかかる事務リスク管理のための適切な態勢が整備されていること
- コンピュータ設備、および、オフィス設備、その他電子決済等代行業者のシステムの堅牢性(情報漏洩対策を含む)が確保されていること
3.不正アクセスによる被害発生・拡大への未然防止への取り組みにかかる基準
- 不正アクセス(内部・外部からの不正アクセスおよび不正利用を含む。以下同じ)の防止のため、電子決済等代行業接続に用いるトークンまたはID・パスワードなどの管理が適切に行われること
- 不正アクセスへの対応マニュアルなどを作成・運用するなど、不正アクセスの発生を想定し適切に対処するための態勢が整備されていること
- 不正アクセス、または、その疑いの検知・監視を担当する部署を設置するなど、利用者の被害拡大を未然に防止するための適切な態勢が整備されていること
- 利用者からの個々の取引指図にかかる認証方法が、利用者保護や不正アクセスおよび情報流出防止の観点から問題のない水準のものであること
- 不正アクセスの発生時において、本件サービス利用の制限、停止などを行うことができるシステム設計・仕様にするとともに、当行との間で情報連携ならびに原因究明および必要な対策などの協議を行う体制を設けていること
- 不正アクセス時の原因究明などのため、利用者のアクセスログを適切に記録・保存する態勢としていること
- 内部からの情報流出を防止するため、役職員への教育・研修の実施や重要な情報等を複製したり持ち出しすることを禁止または制限するなどの対策を講じていること
4.セキュリティ対策の継続的な改善・見直し、高度化への取り組みにかかる基準
- セキュリティ対策の高度化を図るための適切な態勢が整備されていること
- システム開発・運用について、定期的または必要に応じて、内部監査または外部監査を受けるなど、システム開発・運用管理のための適切な態勢が整備されていること
- 不正リスクを低減するための適切な対策が講じられていること
- 本件サービスに係る情報の適切な取扱いのための態勢が整備されていること
- 本件サービスに係るユーザーの認証方式に脆弱性がないなど、その認証機能が当該本件サービスのセキュリティの観点から問題のない水準であること
- セキュリティ対策について、当行が定期的にまたは必要に応じて確認すること、および、セキュリティ対策に懸念があると当行が判断した場合には、電子決済等代行業者に対して改善を求め、または、必要に応じて本件サービスとの接続を停止するなどの措置をとることに同意すること
5.利用者に対する責任・補償にかかる基準
- 本件サービスにかかる相談・照会・苦情・問い合わせ(以下「相談・苦情等」という)のための連絡先を表示し、相談・苦情等に的確に対応するなど、利用者からの相談・苦情等対応を適切に行う態勢が整備されていること
- 利用者の故意・重過失によらない損害を補償する態勢が整備されていること
- 利用者への情報提供・注意喚起の適切な態勢が整備されていること
- 電子決済等代行業者または当行のシステムメンテナンス時には本件サービスが利用できないことや利用者の情報の利用目的・方法などを含め、当行との電子決済等代行業に関する事項および本件サービスに関する事項にかかる利用者への各種説明が適切かつ十分にされ、利用者から必要な同意を得ていること
6.その他電子決済等代行業の適切なサービス運営体制にかかる基準
- 電子決済等代行業者およびそのグループ会社の業務内容が、当行の顧客や地域経済、ひいては当行サービスの発展および向上に資すること
- 電子決済等代行業者の外部委託先に対して定期的または必要に応じて監査を行うなど、外部委託(再委託など二段階以上の委託を含む)管理のための適切な態勢が整備されていること
- 当行の定める電子決済等代行業にかかる契約に合意し、その内容を遵守および履行するとともに、同契約に定める試験に合格すること
以上