改正銀行法の成立とこれを踏まえた実務対応(3)
渥美坂井法律事務所・外国法共同事業
弁護士 落 合 孝 文
弁護士 谷 崎 研 一
四 改正銀行法の解説と実務対応(承前)
3. 銀行・電子決済等代行業者の業務に関する規律
(1) 電子決済等代行業者の業務に関する規律
改正銀行法においては、電子決済等代行業者に対して、利用者に対する説明義務、損害発生時の責任分担の明確化、利用者の情報に関する情報の適正な取扱い、委託業務の的確な遂行といった業務上の義務のほか、銀行との契約締結義務、契約等の公表義務、帳簿書類の作成・保存義務、報告書作成・提出義務等が課せられている。
ア. 利用者に対する説明義務
改正銀行法第52条の61の8において、電子決済等代行業者は利用者に対する説明義務として次のような規律が設けられている。
-
第52条の61の8 電子決済等代行業者は、第2条第17項各号に掲げる行為(同項に規定する内閣府令で定める行為を除く。)を行うときは、内閣府令で定める場合を除き、あらかじめ、内閣府令で定めるところにより、利用者に対し、次に掲げる事項を明らかにしなければならない。
一 電子決済等代行業者の商号、名称又は氏名及び住所
二 電子決済等代行業者の権限に関する事項
三 電子決済等代行業者の損害賠償に関する事項
四 電子決済等代行業に関する利用者からの苦情又は相談に応ずる営業所又は事務所の連絡先
五 その他内閣府令で定める事項 - 2 電子決済等代行業者は、電子決済等代行業に関し、内閣府令で定めるところにより、電子決済等代行業と銀行が営む業務との誤認を防止するための情報の利用者への提供、電子決済等代行業に関して取得した利用者に関する情報の適正な取扱い及び安全管理、電子決済等代行業の業務を第三者に委託する場合における当該業務の的確な遂行その他の健全かつ適切な運営を確保するための措置を講じなければならない。
第1項第3号において、電子決済等代行業者による損害賠償に関する事項を明確にしなければならないとされる。後述の改正銀行法第52条の61の10において、利用者に損害が生じた場合における当該損害についての銀行と決済代行業者との責任分担に関する事項が、銀行・電子決済等代行業者間の契約上の記載事項かつ公表事項とされているが、これに加えて電子決済等代行業者の単独の損害賠償を行う範囲(なお、後記中間的な整理案の策定過程でも、「銀行は、API接続先の利用約款について、消費者契約法等を踏まえ、不相当にAPI接続先の責任を限定する条項が定められていないかを精査することが必要である」とされ、また、「API接続先の利用約款等においてAPI接続先の免責事由が過大に定められている等(例えば、過失責任も負わない等)、実質的に利用者に対する補償・返金責任が果たされないおそれがある場合、消費者契約法等を踏まえ、見直しを求めることが必要である」とされるなど、銀行としても、消費者契約法に抵触するような損害賠償制限に関する規約を定めている事業者に対して一定の注意義務を負うものとされている。)についても利用者に対して明示することを求める趣旨であると考えられる。また、全銀協が事務局となって設置された「オープンAPIに関するあり方検討会」において2017年3月16日付で公表された「オープンAPIのあり方に関する検討会報告書-オープン・イノベーションの活性化に向けて-【中間的な整理(案)】」(以下「中間的な整理案」という。)において、「銀行および API 接続先は、利用者に対して速やかな被害回復、補償等を図る観点から、不正アクセスや情報流出、不正送金、システム上の不具合等が発生した場合の対応窓口や、利用者に損害が生じた場合の補償・返金方法(含む、その主体)、補償範囲について、予め取り決めておかなければならない。なお、利用者に対して双方とも責任を負わない等の利用者保護に著しく欠ける取決めは、行ってはならない。」とされていることから、銀行APIに接続する電子決済等代行業者としては、対応窓口や補償・返金方法についても、明確にすることが求められる。
繰り返しにはなるが、銀行APIに接続しないが為替取引の指図を行うとして電子決済等代行業者として登録を行う事業者の中には、利用者ではなくECコマース等の店舗運営者との契約のみを締結して事業を行っているものも少なくない。このような事業者は、利用者に対して直接コンタクトが取り難い場合もあるので、政府令において具体的に説明が可能となるように規定整備がされることが望まれる。
電子決済等代行業者においては、第2項において銀行の業務との誤認防止のための情報の利用者への提供ということも定められている。シームレスで利便性が高いサービスを指向した場合には、意識せずにインターフェースとなる画面を作成すると、サービス提供者が電子決済等代行業者か銀行かわからなくなる場合もあるので留意が必要である。この点については、中間的な整理案でも、次の点については、特に利用者の誤認や誤解が生じるおそれがあることから、適切な表示が求められている。
- ー API接続先が提供するサービスは銀行が提供するサービスとは異なること
- ー 銀行とAPI接続先の関係、それぞれの役割(特にAPI接続先が銀行代理業者または銀行の外部委託先でないこと)
- ー 決済指図取引と他のサービスの区別
- ー 銀行とAPI接続先の画面の区別
さらに第2項では電子決済等代行業者への情報の適正な取扱い及び安全管理が問題とされている。現時点では、電子決済等代行業者は、公益財団法人金融情報システムセンター(以下「FISC」という。)の安全対策基準に従ったセキュリティ対策を講じるよう、検査マニュアル等において定められた事業者ではないので、どのような基準が定められるかは不明確である。ただ、中間的な整理案では、API接続先も含めたセキュリティに関するあり方が検討されているので、これに沿った内容の安全対策を電子決済等代行業者に求めるものとなることが期待される。
最後に、第2項では、電子決済等代行業者による外部委託先管理について規定がされている。銀行APIへの連鎖接続先が電子決済等代行業者としての登録事業者に含まれないと整理される場合には、直接銀行API接続する電子決済等代行業者が、当該連鎖接続先を管理することになると想定される。
イ. 誠実義務
改正銀行法第52条の61の9において、電子決済等代行業者に対しては、次のとおり、誠実義務が課せられている。
- 第52条の61の9 電子決済等代行業者は、利用者のため誠実にその業務を遂行しなければならない。
この規定は、元々は、保険仲立人に関する規定を参考にして設けられたものと言われている。保険仲立人は、顧客にとって最適な保険設計を行い、最適な保険条件を提供してくれる保険会社を自らの責任に於いて選定・推薦することになることから、その業務遂行に際して誠実義務が課せられているところ(保険業法第299条)、電子決済等代行業者は、利用者からの指図に基づいて連携する銀行等と契約することになるのであるから、その裁量は極めて限定的とならざるを得ない。その意味で、電子決済等代行業者の誠実義務は訓示的なものに留まるものと考えられる。
ウ. 銀行との契約締結義務、契約等の公表義務
電子決済等代行業者は、電子決済等代行業を行う前に、銀行との間で、電子決済等代行業に係る契約を締結することが義務付けられている(改正銀行法第52条の61の10第1項)。そして、この契約には、次に掲げる事項を定めなければならないとされる(同条第2項。以下、「法定記載事項」という。)。
- 一 電子決済等代行業の業務に関し、利用者に損害が生じた場合における当該損害についての当該銀行と当該電子決済等代行業者との賠償責任の分担に関する事項
- 二 電子決済等代行業者が電子決済等代行業の業務に関して取得した利用者に関する情報の適正な取扱い及び安全管理のために行う措置並びに当該電子決済等代行業者が当該措置を行わない場合に当該銀行が行うことができる措置に関する事項
- 三 その他電子決済等代行業の業務の適正を確保するために必要なものとして内閣府令で定める事項
さらに、銀行及び電子決済等代行業者の義務として、銀行・電子決済等代行業者間で電子決済等代行業に係る契約が締結されたときは、遅滞なく、当該契約の内容のうち法定記載事項をインターネットの利用その他の方法により公表しなければならないとされる(同条第3項)。インターネットでの公表内容については、特に銀行側においてどこまで記載をすれば良いか悩ましいところであるが、最終的にはこの規定も含めて実務的に見て接続までの道しるべが各銀行になって明らかになってくることから、この点の基準も含めて早期に内閣府令が制定されることが望まれる。
銀行・電子決済等代行業者間の契約において、銀行と電子決済等代行業者との賠償責任の分担に関する事項を定めなければならないとされているのは、上記3.(1)ア. において記載した説明義務と同様の趣旨と考えられる。なお、中間的な整理案においては、「銀行とAPI接続先との間の取決めにもとづきAPI接続先が利用者に対して補償・返金責任を負う場合、銀行は、API接続先の利用者に対する補償・返金に係る態勢や資力等が利用者保護に欠けるおそれがないかに留意のうえ、API接続の是非を判断するとともに、それらの状況について定期的にまたは必要に応じて確認することが必要である」とされていることも踏まえ(中間的な整理案3.4.5 h)、責任分担を定める必要がある。
利用者情報にかかる取扱い及び安全管理措置については、金融制度WG報告書においても指摘されているところであり、個人情報保護法等の関連法令等を踏まえた、顧客情報の適切な取扱いが図られる必要がある。電子決済等代行業者が所定の措置を行わない場合には、中間的な整理案において、「銀行は、API接続先の利用者保護態勢等に関する適格性に懸念があると判断した場合にはAPI接続先に対して改善を求め、利用者保護の観点から必要な場合にはAPI接続先のアクセス権限の制限、停止、取消等を行わなければならない」とされ、義務的な規定として定められていることも勘案して[1]、銀行としての具体的な対応方針を定める必要があるように思われる。すでに電子決済等代行業者に該当する事業者と銀行との間で何らかの契約を締結しているケースもありうると思われるが、その場合であっても、法定記載事項のすべてを網羅した契約書が作成されている事例は少ないものと思われる。よって、既存契約の巻き直し又は新規契約の締結が必要となることが多くなることが想定される[2]。
なお、後述の通り、本件については経過措置が設けられており、口座情報サービス提供者(AISP)と銀行との契約締結義務は、改正銀行法施行日から2年以内の政令で定める日までは猶予される。
(2) 銀行の業務に関する規律
改正銀行法においては、銀行に対して、電子決済等代行業者との連携に当たり当該事業者に求める基準の作成・公表の義務が課せられている。基準に含むべき内容としてセキュリティの確保等も求められる。また、当該基準を満たす電子決済等代行業者に対し、銀行は、不当に差別的な取扱をすることが禁じられており、また契約を締結した際にはその公表も義務づけられている。
さらに、実際の電子決済等代行業者との連携に当たっては、銀行は、改正銀行法施行後2年以内にAPI連携を行うための体制を整備することが努力義務として課せられている。ただ、実際にAPIを提供する銀行が少ないと、改正銀行法が規制強化に関する改正法となってしまいかねないこともあり、多くの銀行においてAPIの提供を進めることが期待されている。
ア.契約締結義務・契約内容公表義務
上記(1)ウ. において述べたとおり、銀行に対しては、契約内容のうち法定記載事項についての公表義務が課せられている。
イ.電子決済等代行業者に求める基準の作成・公表の義務
銀行は、上記ア. 記載の契約を締結するに当たって電子決済等代行業者に求める事項の基準を作成し、インターネットの利用その他の方法により公表しなければならない、とされる(改正銀行法第52条の61の11第1項)。ここには、電子決済等代行業者が電子決済等代行業の業務に関して取得する利用者に関する情報の適正な取扱い及び安全管理のために行うべき措置その他の内閣府令で定める事項が含まれる必要がある(同条第2項)。また、銀行は、かかる契約を締結するに当たって、銀行が定めた基準を満たす電子決済等代行業者に対して、不当に差別的な取扱いを行ってはならないとされる(同条第3項)。
かかる基準としてどのような基準が示されるのかは、今後内閣府令が出された段階で、これを踏まえた実務の動向によるところが大きい。また、差別的な取扱いの禁止との関係では、例えば、銀行において、競争関係にある他銀行とAPI接続していることを理由に、当該電子決済等代行業者との連携を拒否するというような対応は許容されないものとされるべきと考えられる。
銀行が契約締結を行うに当たって、電子決済等代行業者の適格性を審査することになると思われるが、これに関しては、中間的な整理案では、少なくとも「セキュリティ原則の充足状況」「過去に発生したセキュリティ関連の不祥事案と改善状況」「利用者の属性や取引のリスクに応じた、継続的なセキュリティ対策の高度化に向けた態勢やリソースの有無」を審査することとされているが、特にセキュリティに関してはFISCのAPI接続先チェックリスト(仮称)ワーキンググループにおいて、全銀協の中間的な整理案を踏まえての議論がされているので、その議論の結果がこの適格性審査において利用されることが期待される。
ウ. API連携を行うための体制整備にかかる努力義務
後述の通り、改正銀行法の附則において、電子決済等代行業者等との間で契約を締結しようとする銀行等は、当該電子決済等代行業者等が、その営む電子決済等代行業等の利用者から当該利用者に係る識別符号等を取得することなく当該銀行等に係る電子決済等代行業等を営むことができるよう、体制の整備に努めなければならない、とされる。ここで「識別符号等」とは、銀行等が、電子情報処理組織を利用して行う役務の提供に際し、 その役務の提供を受ける者を他の者と区別して識別するために用いる符号その他の情報をいうとされているので、この規定は、利用者を識別するような符号等の情報を利用者から取得しない方法、すなわち、API連携を行うための体制の整備に努めなければならないことを意味すると考えられる。なお、かかるAPI連携のための努力義務は、改正銀行法施行後2年以内の政令で定める日までに行う必要があるとされている。
エ. 電子決済等代行業者との連携・協働にかかる方針の決定・公表義務
後述の通り、かかる連携・協働にかかる方針については、改正銀行法の公布日から9か月以内に決定・公表が義務付けられることになるため、改正銀行法施行日より前に決定・公表を行わなければならなくなる可能性がある点に留意が必要である。
(以上第3回)
4. 監督権限の行使
5. 認定電子決済等代行事業者協会に関する規定
(以上第4回)
6. 施行期日
7. 経過措置等
五 最後に
(以上第5回)
[1] 中間的な整理案において、セキュリティ原則及び利用者保護原則の関係で「しなければならない」という語尾は、「社会規範として強く求められる対応を意味する」とされている(中間的な整理案における脚注38参照)。
[2] なお、改正銀行法を前提としたものではないものの、銀行API提供に関する利用規約案について検討したものとして、鈴木由里・落合孝文・谷崎研一「銀行API提供に関する利用規約ひな型案と実務上の留意点」金融法務事情2060号がある。この規約案については、後日、改正銀行法の成立、内閣府令の制定や実務動向等を踏まえてリバイスする予定である。