電子決済等代行業者に求める事項の基準
株式会社三井住友銀行(以下、「当行」)は、当行と電子決済等代行業者(銀行法第二条第十八項に定める事業者)との連携に際し、当行に口座を保有するお客さまが、安心・安全を確保しつつ利便性の高いサービスをご利用頂けるように、銀行法第五十二条の六十一の十一の定めに従って、電子決済等代行業者に求める事項の基準(以下、「本基準」)を制定します。
1. 本基準の位置付け及び変更
- (1)当行は、電子決済等代行業者との間で電子決済等代行業に関する契約(以下、「接続契約」)を締結するに当たり、電子決済等代行業者に対して、本基準の充足を求めるものとする。
- (2)当行は、電子決済等代行業者が本基準を充足しないと判断した場合、当該電子決済等代行業者との接続契約締結を拒絶できるものとする。また、当行は、接続契約締結後に電子決済等代行業者が本基準を充足しなくなったと判断した場合、当行と当該電子決済等代行業者との接続の制限や停止、接続契約の解除等の措置を講じることができる。
- (3)本基準は、法令諸規則等の改正やその他諸般の状況の変化、その他相当の事由があると認められる場合、当行のホームページへの掲載により変更できるものとする。また、この変更については、掲載の際に当行が定める日から適用されるものとする。
2. 本基準の内容
当行は、電子決済等代行業者に対し、当行の定める「電子決済等代行業者との連携及び協働に係る基本方針」(※)との整合性及び次の各基準(電子決済等代行業者の態様や実施する電子決済等代行業の内容等を考慮の上、当該電子決済等代行業者に適用することが合理的と認められるものに限る)の充足を求めるものとする。
(1) 利用者情報に関する適正な取扱い及び安全管理のために行うべき措置に関する基準
以下の項目を遵守するために必要な態勢が整備されていること
- 利用者に関する情報(以下、「利用者情報」)のうち、電子決済等代行業を行う上で利用者の指図に基づき金融機関から取得したものについて、以下に掲げる法令諸規則等上、対応が求められる項目
- (ア)銀行法第五十二条の六十一の八第二項、銀行法施行規則第三十四条の六十四の十二〜十五
- (イ)個人情報保護法、個人情報保護委員会が定める「個人情報の保護に関する法律についてのガイドライン」
- (ウ)その他利用者情報の適正な取扱い及び安全管理に関して、電子決済等代行業者に適用される法令諸規則等
- 電子決済等代行業者は、利用者情報のうち、当行との接続契約に基づいて、当行より取得したもの(電子決済等代行業者において、匿名加工した情報を含む)について、当行が利用者より同意を得た目的や提供先の範囲内であり、かつ、当行との接続契約において許容された目的や提供先の範囲内でのみ使用すること
- 上記(1)Aの利用者情報(当該情報と一体で取扱う、他の利用者情報を含む)について、上記(1)@Aに加え、以下に掲げる項目
- (ア)金融庁が定める「<主要行等向けの総合的な監督指針>Ⅲ-3-3-3(顧客等に関する情報管理態勢)、Ⅲ-3-7-1(システムリスク)」における、利用者情報の適正な取扱い及び安全管理に係る項目
- (イ)個人情報保護委員会及び金融庁が定める「金融分野における個人情報保護に関するガイドライン」「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針」
- (ウ)金融情報システムセンターが定める「金融機関等コンピュータシステムの安全対策基準・解説書」・「API接続チェックリスト(試行版)」における、利用者情報の適正な取扱い及び安全管理に係る項目
- (エ)その他利用者情報の適正な取扱い及び安全管理に関して、当行に適用される法令諸規則
(2) 業務の執行が法令に適合することを確保するために整備すべき態勢の基準
電子決済等代行業者において、業務の執行が法令に適合することを確保するために、銀行法や個人情報保護法等、業務の執行に適用される法令諸規則等(EUにおける一般データ保護規則(General Data Protection Regulation)等、海外の法令諸規則の適用を受ける場合は、これを含む)について、以下の態勢が整備されていること
- 当該法令諸規則等の把握及び遵守
- 当該法令諸規則等の制改定情報の収集及び対応
- 当該法令諸規則等の遵守状況の定期的な検証及び改善
(3) 適正かつ安全な決済指図伝達のために行うべき措置に関する基準
電子決済等代行業者は、銀行法第二条第十七項第一号に定める指図の伝達(以下、「決済指図伝達」)について、以下に掲げる事項を遵守する態勢を整備していること
- 金融庁が定める「<主要行等向けの総合的な監督指針>V-3-7-1(システムリスク)、Ⅲ-3-8(インターネットバンキング)」における、適正かつ安全な決済指図伝達に係る項目
- 金融情報システムセンターが定める「金融機関等コンピュータシステムの安全対策基準・解説書」・「API接続チェックリスト(試行版)」における、適正かつ安全な決済指図伝達に係る項目
- その他適正かつ安全な為替取引の実施に関して、当行に適用される法令諸規則
(4) 反社会的勢力の排除に向けた基準
電子決済等代行業者は、暴力団排除条例や「企業が反社会的勢力による被害を防止するための指針」(2007年6月19日、犯罪対策閣僚会議幹事会申合せ)等を参考にして、反社会的勢力との関係を遮断する態勢を構築していること
(5) その他、電子決済等代行業上の運営に関する基準
- 電子決済等代行業者は、電子決済等代行業の規模や内容等に見合った適正な価格を算定し、利用者より適切に徴求する等、業務の継続(下記(5)Bに定める、利用者への適切な賠償または補償を含む)に向けた安定的な財務基盤を構築していること
- 電子決済等代行業者は、電子決済等代行業を行う上で生じた苦情・不満等の利用者の声について、誠実に対応するとともに、適切に管理・分析し、業務の改善に繋げる態勢を整備していること
- 電子決済等代行業者は、電子決済等代行業を行う上で、利用者に損害・損失等が生じた場合、直ちに事実関係や原因を調査の上、利用者に対して適切に賠償または補償し、再発防止を徹底する態勢を整備していること
(6) 電子決済等代行業の委託先及び電子決済等代行業再委託者に関する基準
電子決済等代行業者は、電子決済等代行業を第三者に委託する場合及び電子決済等代行業再委託者(銀行法施行規則第三十四条の六十四の九第三項に定める事業者)と連携する場合、以下に掲げる事項を遵守すること
- 電子決済等代行業者は、委託する第三者及び連携する電子決済等代行業再委託者を追加変更する場合、当行に対して事前に連絡し、必要に応じて、当行の承諾を得ること
- 電子決済等代行業者は、自己の管理・監督の責任において、委託する第三者及び連携する電子決済等代行業再委託者と協力の上、上記(1)〜(5)に掲げる事項を遵守すること。また、遵守が困難な場合は、委託の解除や連携の解消を含め、当行と対応を協議すること
(7) 上記(1)〜(6)に関する当行への報告等に関する基準
- 電子決済等代行業者は、本基準の対応状況について、当行から報告(定例含む)や改善等の申し出があった場合にはこれに応じるほか、当行が立ち入りでの確認が必要と認めた場合には、これに協力すること
- 電子決済等代行業者は、電子決済等代行業を行う上で、以下に掲げる事態もしくはその惧れが生じた場合、直ちに当行に対して報告すると共に、当行と連携の上、適正な措置を講じること
- (ア)利用者情報の漏洩等、本基準に違反する事態
- (イ)システムの障害や不正アクセス等、電子決済等代行業の適正な遂行に重大な影響を及ぼす事態
- (ウ)銀行法第五十二条の六十一の五に規定する電子決済等代行業の登録の拒否事由、同法第五十二条の六十一の六に規定する変更の届出事由及び同法第五十二条の六十一の七に規定する廃業等の届出事由に該当する事態
3. 本基準に対する照会先
決済企画部 (smbc-api@dn.smbc.co.jp)