電子決済等代行業者に求める事項の基準
2018年6月1日
1
電子決済等代行業者の登録を受けている等、電子決済等代行業を営むうえで適切な主体であること。
(1) 電子決済等代行業者の登録を受けているか、または電子決済等代行業者として銀行法上みなされているか、または電子決済等代行業者の登録申請中であって登録拒否されていない者であり、登録取消のおそれがあると判断するべき事由がないこと。
(2) 当行が必要と判断する内容の契約を締結する意向があり、同契約の内容を適切に履行するうえでの懸念がないこと。
(3) 電子決済等代行業者、その役員、主要株主、従業員等が、反社会的勢力に該当し、または反社会的勢力と関係を有するとの懸念がないこと。
2
電子決済等代行業に係るサービスを継続的に提供できる経営・組織・体制等があること。
(1) 経営および財務の状況が電子決済等代行業に係るサービスの提供を継続的に行うために十分なものであると判断できること。
(2) 電子決済等代行業者のサービスを適切に実施するための人的体制を有していること。
(3) システム開発・運用管理の体制が不十分と判断すべき事由がないこと。
3
不正アクセスやサイバー攻撃の防止策等が適切に講じられていること。
(1) 不正アクセスやサイバー攻撃の発生を想定した体制が適切に講じられていること。
(2) 当行との接続において不正アクセスやサイバー攻撃のリスクを低減するための対策が適切に講じられていること。
(3) サービスに係るユーザーの認証機能が不十分と判断すべき事由がないこと。
4
利用者に関する情報の適正な取扱いおよび安全管理のために行うべき措置が講じられていること。
(1) セキュリティ管理責任の所在が明確であること。
(2) セキュリティ管理ルールが整備されていること。
(3) セキュリティ管理体制の周知・定着がはかられていること。
(4) 役職員による守秘義務に関して措置が講じられていること。
(5) 情報資産の廃棄の体制が講じられていること。
(6) セキュリティ不祥事案の発生に対する体制が講じられていること。
(7) セキュリティ対策の高度化をはかる体制が講じられていること。
(8) 利用者の個人情報等の取扱いの体制が講じられていること。
(9) 利用者の要配慮個人情報の取扱いの体制が講じられていること。
(10) コンピュータ設備およびオフィス設備に係る情報漏洩対策が講じられていること。
(11) サービスに係る情報の取扱いの体制が不十分ではないこと。
(12) システム開発・運用管理の態勢が不十分でないこと。
(13) API接続等を使ったサービスに係るユーザーの認証機能が不十分でないこと。
5
電子決済等代行業に係る業務の執行が法令に適合することを確保するための適切な法令遵守体制や内部管理体制が講じられていること。
6
外部委託管理の体制が適切に講じられていること。
7
利用者保護がはかられていること。
(1) 利用者の被害拡大を未然に防止する体制が適切に講じられていること。
(2) 利用者への情報提供・注意喚起の体制が適切に講じられていること。
(3) 利用者への説明が適切に行われていること。
(4) 利用者からの相談・照会・苦情・問い合わせ等に対する対応を的確に行う体制が講じられていること。
(5) 利用者への補償対応の体制が適切に講じられていること。
(6) 電子決済等代行業者およびそのグループ会社の事業が利用者保護のうえで支障があると判断すべき事由が認められないこと。
8
お客さま、地域経済および当行に有益なサービスの提供がなされること。
(1) 電子決済等代行業者およびそのグループ会社の事業がお客さまの利便性向上、地域経済の発展に資すると判断できること。
(2) 電子決済等代行業者およびそのグループ会社の事業が当行サービスの付加価値向上に資すると判断できること。
(以 上)