• 第三銀行
  • 電子決済等代行業者に求める事項の基準

電子決済等代行業者に求める事項の基準

 株式会社第三銀行(以下、「当行」)は、銀行法第52条の61の11に基づき、当行が電子決済等代行業者と契約を締結するにあたり、電子決済等代行業者に求める事項の基準(以下、「本基準」)を、以下のとおり制定いたします。
 なお、API利用による電子決済等代行業者との契約受付体制は現在整備中であり、整い次第受付を開始いたします。

1.契約締結および解除について

(1)当行は、当該電子決済等代行業者が本基準を満たしていると判断できる場合に、当該電子決済等代行業者と電子決済等代行業にかかる契約を締結するものとします。

(2)契約締結においては、当行が必要と判断する契約内容を締結するものとします。

(3)契約締結後も、定期的に本基準の充足状況の調査を行い、問題があると認められる場合には改善を求めます。改善が図られない場合には、契約の解除等の措置を講じる場合があります。

2.本基準の変更について

(1)本基準は、諸般の事情により変更が必要となる場合には、当行ホームページへの掲載により変更できるものとします。

3.電子決済等代行業者の事業体制について

(1)内閣総理大臣の登録を受けた電子決済等代行業者(みなし電子決済等代行業者および電子決済等代行業者の登録申請中であって、登録拒否されていない者を含む)であり、かつ、登録取消事由があるとの懸念がないこと。

(2)電子決済等代行業者、その役員、主要株主または従業員等が、反社会的勢力に該当せず、また反社会的勢力と関係を有していないこと。

(3)反社会的勢力排除に係る規程・体制等を適切に整備していること。

(4)法令遵守態勢および内部管理態勢を適切に整備していること。

(5)個人情報の取扱体制を整備していること。

(6)電子決済等代行業にかかるサービスを継続的かつ安定的に提供するための、健全な財務内容を維持していること。

(7)電子決済等代行業者およびそのグループの事業が、当行顧客の利便性向上や当行サービスの付加価値向上に資するものであること。

4.提供サービスの運営体制について

(1)情報・セキュリティ管理態勢

ア.情報資産の安全管理措置に係る基本方針・取扱規程等を整備していること。

イ.セキュリティ管理の対象範囲を明確にし、セキュリティ管理に関する責任者を設置していること。

ウ.システム開発・運用管理において、内部不正を防止するために、適切なアクセス権限管理を実施していること。

エ.外部からの不正アクセスやサイバー攻撃を防止するための、適切な対策を実施していること。

オ.役職員に対して、セキュリティ管理ルールの遵守について、周知徹底していること。

カ.セキュリティ不祥事案の発生に対して、対応体制を整備していること。

キ.セキュリティ対策の高度化に向けて、改善・見直しを実施していること。

ク.セキュリティ管理ルールの遵守状況について、内部監査等を実施していること。

(2)コンピュータ設備管理

コンピュータ設備においては、情報漏えい対策など、適切な情報・セキュリティ管理を実施していること。

(3)オフィス設備管理

重要情報の取扱・保管場所が特定できており、アクセス権限管理等の取扱ルールの整備や保管場所の入退室管理は適切に実施されていること。

(4)サービスシステムのセキュリティ機能

ア.認証機能等に脆弱性が無く、サービスに応じたセキュリティレベルを維持できていること。

イ.アクセストークン等、認証に関わる機密情報の漏洩対策は、十分に実施されていること。

ウ.APIの想定外利用回避のための原則を把握し、想定される脅威に対して、適切な対策を講じていること。

エ.不正アクセス発生時に、追跡調査が可能となるよう、必要な対策を実施していること。

オ.不正な偽アプリケーションが出回らないよう、必要な対策を実施していること。

(5)利用者保護態勢

ア.被害拡大の未然防止のために、利用者との連絡手段を予め確保していること。

イ.利用者からの相談・照会・苦情・問合せのための連絡先を表示するとともに、対応体制を整備していること。

ウ.利用者への補償対応を的確に行うための、補償対応体制を整備していること。

(6)外部委託先の管理

ア.電子決済等代行業者が、その業務の全部または一部を外部委託(二段階以上の委託先を含む)する場合、事前に当行の承諾を得ること。

イ.電子決済等代行業者が、その業務の全部または一部を外部委託(二段階以上の委託先を含む)する場合、当該委託先における委託業務の遂行状況等について、監査を行うなど、管理のための体制を整備していること。

ウ.電子決済等代行業者が、その業務の全部または一部を外部委託(二段階以上の委託先を含む)する場合、当該委託先においても本基準を遵守すること。