- 電子決済等代行業の概要
- 政省令案の公表と施行スケジュール
- 電子決済等代行業の規制範囲と既存ビジネスへの影響
- 電子決済等代行業の登録要件
- 電子決済等代行業の行為規制について
- 電子決済等代行業者の契約締結義務、銀行がとるべき措置
- 銀行代理業との関係
- クレジットカードサービスにおけるオープンAPI
>
電子決済等代行業の概要
2017年5月26日に成立した銀行法等の改正法は、「電子決済等代行業」という新たな業種を設け、これを行う事業者に登録を義務付けるなど一定の規制を課すこととした。これは、FinTechの一翼を担うプレーヤーとして、銀行のシステムにアクセスして一定のサービスを提供する事業者が台頭していることを受け、その金融規制上の位置付けを明確にするものである。
決済指図伝達サービスと口座情報取得サービス
改正銀行法における電子決済等代行業は、決済指図伝達サービスと口座情報取得サービスの2つに分類される。決済指図伝達サービスの事業者をPISP(Payment Initiation Service Provider)、口座情報取得サービスの事業者をAISP(Account Information Service Provider)と呼ぶことも多い。
決済指図伝達サービスは、顧客の委託に基づき銀行に対して決済指図(送金指示)の伝達を行うものである。具体的な例としては、顧客による決済指図を銀行に伝達して仕入や経費等の振込処理を可能としたり、決済・送金分野のスタートアップがアプリ等で顧客からの依頼を受け、銀行口座にある顧客の資金をもとに、銀行に対して決済指図を伝達して決済・送金を可能とするサービス等が挙げられる。
これに対し、口座情報取得サービスは、金融機関における口座情報の取得を行うものであり、たとえば、個人向けの家計簿サービス、中小企業向けの会計サービス等である。改正法は、電子決済等代行業者が金融機関のシステムにアクセスするための方法である「API」について、その利活用を推進するための法律でもある。APIは、Application Programming Interfaceの略称であり、金融機関以外の者が金融機関のシステムに接続し、その機能を利用することができるようにするための仕様を指す。
金融機関が、FinTech企業等にAPIを提供し、顧客の同意に基づいて、金融機関のシステムへのアクセスを許諾するための取組みを「オープンAPI」という。金融庁の公表資料によれば、改正法の成立を受け、ほとんどすべての邦銀が、オープンAPIの導入に積極的な姿勢を示しているようである。
政省令案の公表と施行スケジュール
本年3月9日、金融庁は、電子決済等代行業の規制に関して細目を定める以下の政省令案や関連するガイドライン案を公表し、パブリックコメントの手続に付した。
- 銀行法施行令案(施行令案)
- 銀行法施行規則案(施行規則案)
- 電子決済等代行業者の登録申請時の留意事項等(案)(留意事項案)
- 銀行法等に関する留意事項について(銀行法等ガイドライン)(案)(銀行法等ガイドライン案)
本稿執筆時点において既にパブリックコメントの募集期間は終了しているが、結果は未公表である。これらは、パブリックコメントを踏まえて修正・確定した内容により、改正銀行法と合わせて本年6月1日に施行される予定である。
改正銀行法の経過措置として、同法の施行日時点で電子決済等代行業を行っている事業者は、施行日後6ヶ月の間に登録申請を行えば、当該猶予期間中は登録を受けずに電子決済等代行業を行うことができるとされている。
しかし、施行日以降は、このような「みなし」電子決済等代行業者も登録を受けた事業者と同じ規制に服することになる。そのため、登録申請準備だけでなく、必要な体制整備や銀行とのAPI利用に関する契約締結など、実務対応を要する点に変わりはない。但し、口座情報取得サービスのみを行う電子決済等代行業者は、銀行との契約締結義務を改正法施行日以降2年間猶予される見込みである。
一方で、銀行に対しては、電子決済等代行業者との連携及び協働に係る方針の決定・公表が義務付けられていた。改正銀行法において、銀行は、オープンAPIに関する体制整備に努めるものとされており、政省令案の公表を受けて、事業者から連携・協働のための具体的な実務対応を求められることになろう。そのため、銀行においても電子決済等代行業の規制の趣旨・目的を正しく理解し、法施行に備える必要があると言える。
なお、本稿では便宜上、銀行及び改正銀行法に関する説明をしているが、法改正は、銀行法にとどまらない。信用金庫法や農業協同組合法等、他の口座開設金融機関に関する法令も改正されており、基本的に銀行の場合と同様の規制が導入される予定である。
電子決済等代行業の規制範囲と既存ビジネスへの影響
電子決済等代行業の2類型のうち、決済指図伝達サービスについては、施行規則案による規制の例外が認められており、たとえば、以下のようなサービスを行う事業者は、電子決済等代行業者としての登録を要しないものとされている。
- 光熱費やクレジットカード利用料金等の引落しなど、預金者による特定の者に対する定期的な支払のための送金指図の伝達
- 同一預金者間の送金を目的として行う決済指図の伝達
- 預金者による国・地方公共団体等に対する支払を目的として行う決済指図の伝達
- 事業者が物品売買やサービス提供を行い預金者に対する代金債権を有するときに、その自己の代金債権を回収するために銀行に対して決済指図の伝達を行う場合(銀行と事前に口座振替契約等を締結する必要がある)
- ECモールの運営主体が、モール上の売買等に付随するものとして、代金支払につき銀行に決済指図の伝達を行う場合(銀行と事前に口座振替契約等を締結する必要がある)
オンラインショッピング等においては、事業者やモール運営者がさらに別の決済代行業者等を利用する場合も多いが、そのような決済代行業者が銀行に対する決済指図の伝達サービスを行っている場合、電子決済等代行業の規制対象となる可能性がある。
なお、実際の条文案は複雑な構造となっており、具体的な規制の範囲や例外への該当性判断については、専門とする弁護士に相談して慎重に検討しなければならない。
上記の規制の例外については、いずれもスクレイピングによる場合は例外に当たらないとされているため、スクレイピングの手法による場合は電子決済等代行業の規制対象となる。スクレイピングとは、プラットフォーム事業者が銀行システムにアクセスをするために、顧客からインターネットバンキングのID・パスワードの提供を受ける方法である。
上記を規制の例外に位置づけなかったのは、今般の法改正の背景として、スクレイピングについて不正利用や情報セキュリティ上のリスクがあり、利用者保護上の懸念があると指摘されていたことによると考えられる。
電子決済等代行業の登録要件
既述のとおり、電子決済等代行業を行う事業者は、改正銀行法に従い電子決済等代行業者として登録を要する。政省令案は登録要件や登録申請に必要な書類等についての細目を定める。本稿では詳細は割愛するが、電子決済等代行業者の登録要件としては、大要以下のようなものが挙げられている。
- 財産的要件として、純資産がマイナスではないこと
- 電子決済等代行業を適正かつ確実に遂行するために必要な体制の整備が行われていること
- 5年以内に電子決済等代行業等の登録取消し等の処分・廃止命令を受けていないこと、5年以内に銀行法等の罰則の適用を受けていないこと、その他欠格事由に該当しないこと
①は、「電子決済等代行業を適正かつ確実に遂行するために必要と認められる内閣府令で定める基準に適合する財産的基礎を有すること」という改正銀行法の規定を受け、施行規則案で明確にされたものである。欧州のPSD2(決済サービス指令の改正)のように、銀行システム自体の更新に直接かかわるPISPについて、AISPよりも重い規制を課すべきとの議論もあり得るが、スタートアップ等の参入を阻害しないため、双方とも純資産がマイナスではないことのみが要件とされた。
②の体制整備については、次に説明する行為規制を遵守するための体制を意味するものであり、項を改めて解説する。
電子決済等代行業の行為規制について
電子決済等代行業者は、改正銀行法・政省令案において、以下のような規制に服する。
- 電子決済等代行業と銀行が営む業務との誤認を防止するための情報の利用者への提供
- 利用者に対する説明義務
- (決済指図伝達サービスに限り)為替取引の結果の預金者への通知
- 情報の安全管理措置に関する義務
- 個人利用者情報の安全管理措置に関する義務
- 特別の非公開情報の取扱いに関する義務
- 利用者情報管理に関する義務
- 業務委託先の管理に関する義務
- 銀行との契約締結義務
- 帳簿書類作成・保存
- 監督への対応(各種届出、当局への報告書提出等)
電子決済等代行業者のサービスの中核は、顧客の口座に関する情報を取り扱うものである。そのため、顧客保護の観点から、登録審査に当たっては、システムリスク管理や情報セキュリティの審査に重点が置かれることが留意事項案において明らかにされている。
- 当該電子決済等代行業者におけるシステムリスクに対する認識等
- システムリスク管理態勢
- システムリスク評価
- 情報セキュリティ管理(例:情報を適切に管理するために方針・社内規程の策定、重要情報へのアクセスの相互牽制等の内部管理態勢の整備を図ることや、他社における不正・不祥事件も参考に、情報セキュリティ管理態勢のPDCAサイクルによる継続的な改善を図ること)
- サイバーセキュリティ管理(例:電子決済等代行業が非対面取引を前提としていることに鑑み、可変式パスワードや電子証明書などの、固定式のID・パスワードのみに頼らない認証方式や、不正なログイン・異常な取引等を検知し、速やかに利用者に連絡する体制の整備等をとることにより、セキュリティの確保を講じること)
- システム企画・開発・運用管理
- システム監査
- 外部委託管理
- コンティンジェンシープラン
- 障害発生時等の対応
電子決済等代行業者の規模、電子決済等代行業の内容、取り扱う情報の重要度、電子決済等代行業におけるコンピュータシステムの仕組みや占める役割などの特性を踏まえ、リスクベースで審査するものとされている。また、決済指図伝達サービスが、不正送金等により顧客に直接的な損害を及ぼし得るのに対し、口座情報取得サービスは、情報漏えい等のリスクはあるものの顧客の口座内の預金が失われるリスクが低いことなども考慮するものとされており、PISPとAISPの差異が明確に意識されている。
オープンAPI活用のための指針については、実務レベルで検討が深められている。たとえば、一般社団法人全国銀行協会(全銀協)が昨夏に公表した報告書(全銀協報告書)においては、セキュリティ対策及び利用者保護を中心に、銀行及び電子決済等代行業者の双方が守るべき規範が議論されている。並行して、公益財団法人金融情報システムセンター(FISC)も「API接続チェックリスト(試行版)」を公表しており、銀行がAPI接続先の適格性を審査する際の確認事項について、技術的な側面を含む詳細化・標準化が図られている。
電子決済等代行業者の契約締結義務、銀行がとるべき措置
電子決済等代行業者は、電子決済等代行業に該当する行為を行う前に、それぞれ銀行等との間で、電子決済等代行業に関する契約を締結し、これに従って当該銀行等に係る電子決済等代行業を営まなければならない。改正銀行法は、当該契約に以下の事項を含むことを義務付け、また、銀行等・電子決済等代行業者双方に対して、インターネット等による当該事項の公表義務が課されている。
- 電子決済等代行業のサービスに関し、利用者に損害が生じた場合における銀行等と電子決済等代行業者との賠償責任の分担に関する事項
(例:不正アクセス、情報流出、不正送金、システムの不具合等が発生した場合の対応窓口や対応方針、顧客に損害が生じた場合の補償・返金方法・補償範囲・一次的な補償主体、顧客への補償後の銀行等・電子決済等代行業者間の内部分担・求償関係についての規定) - 電子決済等代行業者が電子決済等代行業に関して取得した利用者に関する情報の適正な取扱い及び安全管理のために行う措置、電子決済等代行業者が当該措置を行わない場合に銀行が行うことができる措置に関する事項
(例:銀行による電子決済等代行業者の情報セキュリティ・利用者保護態勢に関するモニタリングの規定や、問題が生じた場合の電子決済等代行業者のアクセス権限の制限、停止、取消等に関する規定)
銀行との契約締結義務の内容について、多くの部分が実務レベルの検討に委ねられている。たとえば、既述の全銀協報告書においては、銀行と電子決済等代行業者との間で事前に取り決めておくべき事項が検討されている。また、一般社団法人Fintech協会・一般社団法人コンピュータソフトウェア協会は、昨秋、APIの利用に関する契約のひな形を公表した。
そして、これらを踏まえて、全銀協が事務局を務め、銀行・電子決済等代行業者双方が参加する「API推進研究会」において、APIの利用に関する契約の論点整理が行われており、今後、双方の意見を反映した取りまとめがされる見通しである。
施行規則案は、電子決済等代行業者と銀行との契約に定める事項として、電子決済等代行業者が「電子決済等代行業再委託者」の委託を受けて電子決済等代行業のサービスを提供する場合において、関連する利用者情報の適正な取扱い及び安全管理のために当該電子決済等代行業者が行う措置、電子決済等代行業者が当該措置を行わないときに銀行が行うことができる措置に関する事項を定めるものとする。
電子決済等代行業再委託者は、施行規則案において、大要、①預金者の委託を受けて、決済指図の伝達を受け、電子決済等代行業者に対し、当該指図を銀行に対して伝達することの委託をする事業者(決済指図伝達サービスの場合)、②預金者の委託を受けて、口座情報を当該預金者に提供することを目的として、電子決済等代行業者に対し、銀行から当該情報を取得することの委託をする事業者と定義されている。
電子決済等代行業者がユーザーと直接の接点を持たない場合に、電子決済等代行業再委託者を通じて決済指図伝達や口座情報取得の委託を受ける場合が念頭に置かれているが、電子決済等代行業再委託者の該当性判断や具体的な規制の範囲については、今後議論が深められることになろう。
銀行は、電子決済等代行業者との契約締結に当たって電子決済等代行業者に求める事項の基準を作成し、インターネット等により公表しなければならない。当該事項については、利用者情報の適正な取扱い及び安全管理のために行うべき措置、電子決済等代行業に係る業務執行が法令に適合することを確保するために整備すべき体制が含まれる。銀行は、電子決済等代行業者との契約締結に当たって、このような基準を満たす電子決済等代行業者に対して、不当に差別的な取扱いを行ってはならないとされている。
銀行代理業との関係
銀行法は、「銀行のため」に預金・融資・為替に関する契約の締結の代理・媒介を行う営業を「銀行代理業」と定義し、許可を受けた者でなければ銀行代理業を営んではならないとする。
スタートアップを含むFinTech企業において、兼業規制等が課される銀行代理業の許可を取得することは現実的ではない。電子決済等代行業者が提供するサービスを含め、規制導入時に想定されなかったIT技術の活用により多様なサービスが登場していることなどを受け、銀行法等ガイドライン案は、銀行代理業の範囲について一定の解釈指針を示す。
銀行代理業における「銀行のため」に行う営業とは、銀行から委託を受けて行うものを意味し、専ら「顧客のため」だけに行う営業は含まれない。「銀行のため」に行うかどうかを判定するための1つのポイントとして、対価として銀行から経済的対価(手数料収入その他の対価)を受領するかどうかが挙げられる。
銀行法等ガイドライン案は、どのような手数料や報酬がこの「経済的対価」に該当するかに関して具体的な解釈指針を示している。たとえば、事業者が、決済指図(為替取引)を取り次いだことにより銀行から件数や金額に応じた従量制の手数料を受け取るような場合、銀行代理業に当たり得ることを示唆する。
他方で、たとえば以下のような経済的対価は、預金・融資・為替に関する契約締結の代理・媒介に関する対価と異なるものとされており、このような手数料や報酬を銀行から受領するからといって必ずしも銀行代理業の規制に服するとは限らない。
- 事業者が銀行にシステムを提供し、顧客等が当該システムを利用して銀行口座にアクセスできるようにした対価としてのシステム利用料
- 事業者のウェブサイト上に銀行のサービスを広告したことの対価としての広告料
- 事業者が取得した顧客情報を顧客同意の下で銀行に提供する場合の情報提供料
銀行法等ガイドライン案において、具体的な事例に即して銀行代理業の該当性が議論されることにより、電子決済等代行業者や銀行APIを用いたアプリ等を提供する事業者にとっては、予測可能性が高まることになったと言えよう。
クレジットカードサービスにおけるオープンAPI
改正銀行法が対象とするのは口座開設金融機関とのAPI連携であるが、クレジットカードサービス(カードサービス)に関しても、カード会社とFinTech企業とのAPI連携により、クレジットカードデータを利用した新たなサービスの提供が期待されている。
そのため、クレジットカードに関する規制を所管する経済産業省は「クレジットカードデータ利用に係るAPI連携に関する検討会」を設置し、同検討会の議論を踏まえ、4月11日に、カードサービスにおけるAPI連携のあり方に関する「クレジットカードデータ利用に係るAPIガイドライン」を公表した。以下では、このクレジットカードAPIガイドラインのポイントを簡単に説明する。
クレジットカードAPIガイドラインは、全銀協報告書と同様、カードサービスにおけるAPI連携について、カード会社とAPI接続先における情報セキュリティや利用者保護の規範・考え方を定める。項目や基本的な考え方は全銀協報告書と同様であり、カード会社とAPI接続先との間で、情報セキュリティに関するモニタリングのための取決めや、不正アクセス・情報流出時の対応方針や利用者に対する補償に関する取決めを行うことが求められている点は全銀協報告書と類似するが、一方で以下のような差異・特徴も有する。
クレジットカードAPIガイドラインが想定しているのは、「参照系」(API接続先が、利用者の依頼に基づき、カード会社の保有するデータを取得し、利用者に提供する機能)のみに限られる。このような参照系のサービスとしては、銀行APIにおける口座情報取得サービスと同様の家計簿サービスや会計サービス等のほか、最適カードのマッチング、残高不足アラートといったサービスが想定される。
これに対し、「更新系」(API接続先が、利用者の依頼に基づき、カード会社の保有するデータについて、生成、更新、削除を行うことを可能にする機能)・「認証系」(API接続先が、利用者の依頼に基づき、カード会社の保有する利用者を識別するための情報を取得する機能)は対象とされていない。また、利用者が、カード会社のウェブサイト等においてカードを利用するために用いるID・パスワードについては、API接続先が取り扱わない前提とされている。
このように、対象が参照系APIに限定されたことから、カードの不正利用といった利用者の資産が直接的に毀損することを念頭に置いた記載はされていない。
銀行APIに関する全銀協報告書と異なり、クレジットカードAPIガイドラインでは電文仕様標準の策定までは対象とされていない。これは、金融機関の残高照会等の業務に比べ、カード会社のデータは、各カード会社独自の設計思想に基づき仕様が策定されており、個社毎の乖離も大きく、標準化について業界内の合意形成に時間がかかるためであると説明されている。
クレジットカード取引等を規制する割賦販売法においては、現時点でオープンAPIの推進や電子決済等代行業のような規制導入に関する法改正は予定されていない。ガイドラインの位置付けとしても、カード会社に対し、APIの開放をその意に反して要求するものではないことが明記されている一方で、カード会社とAPI接続先の双方において合意がされている場合において、ガイドラインの規定に形式的に準拠していないケースでも、ガイドラインの主旨を逸脱しない範囲でAPI連携を妨げないとされている。
したがって、クレジットカードサービスに関するオープンAPIの導入は、各カード会社の個別戦略に応じ、柔軟性をもって取組みが行われることが期待されている。
【※補足事項】
本稿の内容は筆者の私見であり、所属する法律事務所の見解ではない。
- 寄稿
-
森・濱田松本法律事務所末廣 裕亮 氏
弁護士