改正銀行法の成立とこれを踏まえた実務対応(4)
渥美坂井法律事務所・外国法共同事業
弁護士 落 合 孝 文
弁護士 谷 崎 研 一
四 改正銀行法の解説と実務対応(承前)
4. 監督権限の行使
改正銀行法においては、電子決済等代行業者に対して、①報告又は資料の提出命令、②立入検査、③業務改善命令、④登録の取消し、⑤登録の抹消等の監督規定が設けられている。
(1) 報告又は資料の提出命令
改正銀行法第52条の61の14においては、以下のように規定されている。
- (ⅰ) 当局の電子決済等代行業者自身に対する報告又は資料徴求
-
「電子決済等代行業の健全かつ適切な運営を確保するため必要があると認めるときは」「その業務又は財産の状況に関し」報告又は資料の提出を求めることができる。
- (ⅱ) 当局の電子決済等代行業務に関して取引する者又は電子決済等代行業の業務の委託を受けた者に対する資料徴求
- 「電子決済等代行業の健全かつ適切な運営を確保するため特に必要があると認めるときは」「その必要の限度において」「電子決済等代行業者の業務又は財産の状況に関し」報告又は資料の提出を求めることができる(同条第1項、2項、下線については執筆者らによるもの。)。
但し、(ⅱ)の電子決済等代行業者と電子決済等代行業務に関して取引する者又は電子決済等代行業者から電子決済等代行業の業務の委託を受けた者は、正当な理由があるときは、かかる報告又は資料の提出を拒むことができるとされる(同条第3項)。
上記(ⅱ)については、「電子決済等代行業務に関して取引する者又は電子決済等代行業の業務の委託を受けた者」の範囲が問題となりうる。一例として、利用者がAに対して委託し、AがBに対して再委託をし、Bが銀行に対して資金を移動させる為替取引を行うことについての指図を伝達する場合には、銀行に対して直接決済指図の伝達を行う者(B)のみが電子決済等代行業者に該当するものと整理される可能性がある。
このような整理を前提とする場合、Aが「電子決済等代行業者と電子決済等代行業務に関して取引する者」又は「電子決済等代行業の業務の委託を受けた者」に該当する可能性がある。このうち「電子決済等代行業者と電子決済等代行業務に関して取引する者」については、あくまでも「電子決済等代行業の業務に関して」取引を行う者に限定されており、文言上、当該業務以外の業務について取引関係にある者は含まれないものと解される。「特に必要があると認めるとき」に限定して、また、「必要な限度」でのみ監督権限が認められるものであり、その意味で謙抑的な定めとされている。
もっとも、上記の電子決済等代行業者に対する監督権限は、文言上は、銀行自体及び銀行の外部委託先等に対する監督権限を規定する銀行法第24条と同様の建付けになっている。金融制度WG報告にもあるように、電子決済等代行業者については「顧客から資金を預かることがないことに留意」する必要があること、また、スタートアップ企業にとっては報告・調査に対応することが相応の負担となる可能性もあることから、監督権限の行使はより謙抑的であることが望まれる。具体的には、かかる報告・調査命令が発令されるのは、顧客情報等の漏洩事案の発生など、重大なインシデントの発生時に限定されるといった運用が望ましく、これらの考え方が監督指針やガイドラインに盛り込まれることが望まれる。
(2) 立入検査
改正銀行法第52条の61の15において、規制当局は、(ⅰ) 電子決済等代行業者自身に対し、また、(ⅱ) 電子決済等代行業者と電子決済等代行業務に関して取引する者又は電子決済等代行業者から電子決済等代行業の業務の委託を受けた者に対して、立入検査を行うことができることが規定されている。(ⅰ)と(ⅱ)との間には、(1) 報告又は資料の提出命令の場合と同様、取扱いについての差異が設けられている。また、立入検査権についても、銀行自体及び銀行の外部委託先等に対する監督権隈を規定する銀行法第25条と同様の建付けになっている。かかる立入検査についても、報告又は資料の提出命令の場合と同様、謙抑的であるべきであるし、また、その考え方が監督指針やガイドラインに盛り込まれることが望まれる。
(3) 登録の取消し等
改正銀行法第52条の61の17において、規制当局は、電子決済等代行業者について次の事由が発生した場合には、登録を取り消し、6月以内の期間を定めて業務の全部又は一部の停止を命じることができるとされる。
- - 登録拒否事由に該当することとなったとき
- - 不正の手後により登録を受けたとき
- - 銀行法・規制当局の処分に違反したとき、電子決済等代行業の業務に関し著しく不適当な行為をしたと認められるとき
特に、登録拒否事由としての「内閣府令で定める基準に適合する財産的基礎を有しない」の適用に際しては、現在のFinTechベンチャー企業の経営状況を鑑みた場合には、かかる財産的基礎(前述のとおり、債務超過でないことなど必要最小限の基準が設けられることが望まれる)を一時的に欠くことになった場合には、スタートアップ企業であることも勘案の上、直ちに登録取消処分がなされるようなことはないような配慮が望まれるところである。
5. 認定電子決済等代行事業者協会に関する規定
(1) 認定電子決済等代行事業者協会の意義
電子決済等代行業者が設立した一般社団法人であって、電子決済等代行業の業務の適正確保、その健全な発展及び利用者の利益保護を目的とするなどの所定の要件に該当すると認められるもののうち、法令及び同協会の定める規則遵守のための会員に対する指導、監督等(改正銀行法において「認定業務」と定義される。)を行う者を、「認定電子決済等代行事業者協会」として認定することができるとされている(改正銀行法第52条の61の19・20)。
(2) 認定業務の内容
認定業務としては次の内容が定められている。
- 1 会員が電子決済等代行業を営むに当たり、この法律その他の法令の規定及び第三号の規則を遵守させるための会員に対する指導、勧告その他の業務
- 2 会員の営む電子決済等代行業に関し、契約の内容の適正化その他電子決済等代行業の利用者の利益の保護を図るために必要な指導、勧告その他の業務
- 3 会員の営む電子決済等代行業の適正化並びにその取り扱う情報の適正な取扱い及び安全管理のために必要な規則の制定
- 4 会員のこの法律若しくはこの法律に基づく命令若しくはこれらに基づく処分又は前号の規則の遵守の状況の調査
- 5 電子決済等代行業の利用者の利益を保護するために必要な情報の収集、整理及び提供
- 6 会員の営む電子決済等代行業に関する利用者からの苦情の処理
- 7 電子決済等代行業の利用者に対する広報
- 8 前各号に掲げるもののほか、電子決済等代行業の健全な発展及び電子決済等代行業の利用者の保護に資する業務
認定電子決済等代行事業者協会においては、「会員が電子決済等代行業を営むに当たり、この法律その他の法令の規定及び第三号の規則を遵守させるための会員に対する指導、勧告その他の業務」を営むことが想定されている。会員が遵守すべき法令等には、電子決済等代行業者に対する規制法令である改正銀行法のほか、消費者契約法、個人情報の保護に関する法律などが含まれることはもちろんであるが、それ以外にも認定電子決済等代行事業者協会が制定する規則が含まれていることにも留意が必要である。
認定電子決済等代行事業者協会には、「会員の営む電子決済等代行業の適正化並びにその取り扱う情報の適正な取扱い及び安全管理のために必要な規則」を制定する権限が認められている。このような規則を制定するに際しては、法令のみならず、全銀協の中間的な整理案やFISCが公表する予定の「金融機関におけるFinTechに関する有識者検討会」における報告書などのいわゆるソフトローについても考慮されることになるものと考えられる。また、これらのソフトローは本稿では正面から解説の対象にはしていないが、認定電子決済等代行業者以外の関係でも、実務的には重要なものである。そこで、以下、これらの概略について簡単にコメントする。
ア. 中間的な整理案
中間的な整理案では、銀行の開放するオープンAPIに議論をフォーカスしているものの、オープンAPIの主なリスクを「セキュリティ上の脅威とリスク」及び「利用者保護上のリスク」に分けて分析し、これに対応して「セキュリティ原則」「利用者保護原則」を整理している。この分析は、オープンAPI以外の電子決済等代行業者によるセキュリティや利用者保護にも妥当する部分がある。
このうち、セキュリティ原則については、まず、①電子決済等代行業者の適格性審査として、(i)セキュリティ原則の充足状況、(ii)過去のセキュリティ関連の不祥事案と改善状況、(iii)継続的なセキュリティ対策の高度化に向けた体制やリソースの有無が最低限の確認対象とされている。AP1接続先の適格性審査に際しては、FISCが事務局となって制定される予定の「API接続先チェックリスト」(仮称)がベースとなろう。②外部からの不正アクセス対策としては、アクセス権限の認可にOAuth 2.0が採用されることを前提としつつ、システムの堅牢性の観点からは、電子決済等代行業者についても、銀行と同水準のセキュリティ対策が講じられることが理想ではあるものの、電子決済等代行業者に対する顧客の情報管理に関する期待の程度等を踏まえて、リスクベースで個別に判断される。その場合でも、ウィルス対策ソフトの導入、機密性の高い情報の暗号化、情報喪失等に備えたバックアップ等の対策は最低限必要と考えられる、また、③内部からの不正アクセス対策としては、第一義的には、電子決済等代行業者が自らリスクベースで個別に判断すべきであるものの、アクセスログの記録保存、定期的な査閲、サーバルームの監視、認証、入退室管理などの措置については、最低限要求されるものと考えられる、さらに、④不正アクセス発生時の対応としては、被害発生やその拡大を未然に防止する観点から、サービス利用の制限、停止を行うことができるシステム設計・仕様とすることが義務付けられる。また、不正アクセス発生時には、銀行と速やかに情報連携を行い、原因調査や必要な対策等の協議等を協力して行っていく必要がある。加えて、⑤サイバー攻撃は、年々巧妙化していることから、銀行及び電子決済等代行業者は、連携して、自社のみならず、他社での不正アクセス事例等を踏まえ、セキュリティ対策の継続的な改善・見直し、高度化を図っていくことが期待される。認定電子決済等代行事業者協会制定規則においては、上記のような対応が可能となるような体制整備、人的・物的リソース確保等について定めることも想定される。
イ. FISCにおける金融機関におけるFinTechに関する有識者検討会
FISCにおいて2016年10月5日から2017年6月頃までを目処に開催されている「金融機関におけるFinTechに関する有識者検討会」(以下「有識者検討会」という。)では、今後、同検討会報告書が作成・公表される予定である。
有識者検討会においては、「金融機関におけるFinTechに関する安全対策検討の在り方」についても検討対象とされている。従来の安対基準では、金融情報システムにおける安全対策実施上の関係者として、金融機関とITベンダーの二者を念頭に置き策定されてきていたことが指摘されている。他方、FinTech業務を担う企業は、ITベンダーと類似の技術的な性質を有するとともに、金融関連サービスといったビジネスモデルの企画実施等を行う業務的な性質もあわせて有していることが明確にされている。そのうえで、FinTech業務に関して安対基準を適用するに際しては、金融機関、ITベンダーに、FinTech企業を加えた三者関係を整理する必要があるとされている。
また、別の観点で、FinTech業務について、金融機関が主導的な立場に立つ形態(さらに、金融機関がFinTech企業に対して支配力を持たないタイプⅠのケースと子会社化するなどして支配力を持つタイプⅡのケースに分類される)と、金融機関が受動的な立場に立つ形態(顧客と金融機関の間にFinTech企業が介在する等、金融機関の主導性の発揮が部分的であると解される業務タイプ)とされるタイプⅢの3つに分類がなされている。そのうえで、タイプⅠ、Ⅱ、Ⅲごとに、金融機関、ITベンダー、FinTech企業の組み合わせを考慮して類型化がなされ、各類型ごとに安対基準の適用可能性が検討されている。
また、FinTechに関する安対基準の適用を検討するに際しては、多岐にわたるFinTechの出現が予想される状況下で、個別具体的な技術を前提として安全対策を確定的に設定することは適切でないことから、金融機関において、個々のFinTech業務のリスク特性に応じて安全対策が決定され、リスクベースアプローチを踏まえた安全対策における基本原則に従ってITガバナンスが行われることも想定されているといえる。また、今後の安対基準を検討するに際して、リスクベースアプローチの観点から、「高い安対基準」の対象が「重大な外部性を有する情報システム」「機微情報を保有する情報システム」であることを明確化する方向で検討されることになる。
最終的な検討結果は、有識者検討会の報告書の公表を待たざるを得ないが、協会規則の制定に際しては、ここでの議論も大いに参考にされるものと思われる。