資金決済法を勉強しよう｜前払式支払手段ー情報の安全管理に関する規制

今回は、資金決済法を勉強しようということで、前払式支払手段のうち情報の安全管理に関する規制について見てみたいと思います。

ではさっそく。なお、引用部分の太字、下線、改行などは管理人によるものです。

情報の安全管理措置（法21条）

情報の安全管理措置について資金決済法の定めは多くなく、法21条が以下のように定めるのみである。

（情報の安全管理）
第二十一条　前払式支払手段発行者は、内閣府令で定めるところにより、その発行の業務に係る情報の漏えい、滅失又はき損の防止その他の当該情報の安全管理のために必要な措置を講じなければならない。

ここでいう発行業務に係る情報は、発行業務に関する全ての情報（金額情報、取引情報、利用者情報、etc）を指す。

上記の内閣府令は前払府令43条～45条であるが、いずれも、具体的な内容は前払ガイドラインに定められている。

システム管理（前払府令43条）

前払府令43条は、特にシステムリスク管理について定めている。

（前払式支払手段の発行の業務に係る情報の安全管理措置）
第四十三条　前払式支払手段発行者は、その業務の内容及び方法に応じ、前払式支払手段の発行の業務に係る電子情報処理組織の管理を十分に行うための措置を講じなければならない。

これは、前払式支払手段においては、コンピュータシステムの障害（システムの停止、誤作動、不正アクセスetc）により利用者等が大きな損失を被るリスクがあるためである。特にIC型やサーバー型の前払式支払手段を念頭に、システムリスク管理の重要性が強調されている。

▽前払ガイドラインⅡ-3-1　システム管理

　前払式支払手段の発行の業務を行うに当たっては、コンピュータシステムのダウンや誤作動等、システムの不備等により、又は、コンピュータが不正に使用されることにより利用者や前払式支払手段発行者が損失を被るリスク（以下「システムリスク」という。）が存在することを認識し、適切にシステムリスク管理を行う必要がある。
　特に、ICカードを用いた前払式支払手段やサーバ型前払式支払手段については、発行者が使用するシステムに障害が発生した場合には、発行額、回収額、未使用残高の把握ができなくなるおそれや、前払式支払手段の発行業務が継続不可能となるなど利用者に多大な損害を及ぼすおそれがあることから、特にシステムリスク管理を適切に行う必要がある。

前払ガイドラインでは、IC型やサーバー型の前払式支払手段発行者を想定しつつ、

• システムリスクに対する認識等
• システムリスク管理態勢
• システムリスク評価
• 情報セキュリティ管理
• サイバーセキュリティ管理
• システム企画・開発・運用管理
• システム監査
• 外部委託管理
• コンティンジェンシープラン
• 障害発生時等の対応

といった着眼点が示されているが（前払ガイドラインⅡ-3-1-1）、紙型や磁気型の前払式支払手段であっても、システム障害により発行業務に支障が生じるおそれがある場合には必要に応じて態勢を整備すべきとされている。

利用者情報管理（前払府令43条＋前払府令44条等）

利用者情報管理については、上記の前払府令43条のほかに、前払府令44条～45条が、個人利用者情報について定めている。

漏えい・滅失・毀損を防止するための安全管理措置、発生したときの財務（支）局長への報告、などである。

（個人利用者情報の安全管理措置等）
第四十四条　前払式支払手段発行者は、その取り扱う個人である前払式支払手段の利用者に関する情報の安全管理、従業者の監督及び当該情報の取扱いを委託する場合にはその委託先の監督について、当該情報の漏えい、滅失又は毀損の防止を図るために必要かつ適切な措置を講じなければならない。

（個人利用者情報の漏えい等の報告）
第四十四条の二　前払式支払手段発行者は、その取り扱う個人である前払式支払手段の利用者に関する情報（個人情報の保護に関する法律（平成十五年法律第五十七号）第十六条第三項に規定する個人データに該当するものに限る。）の漏えい、滅失若しくは毀損が発生し、又は発生したおそれがある事態が生じたときは、当該事態が生じた旨を財務局長等に速やかに報告することその他の適切な措置を講じなければならない。

（特別の非公開情報の取扱い）
第四十五条　前払式支払手段発行者は、その取り扱う個人である前払式支払手段の利用者に関する人種、信条、門地、本籍地、保健医療又は犯罪経歴についての情報その他の特別の非公開情報（その業務上知り得た公表されていない情報をいう。）を取り扱うときは、適切な業務の運営の確保その他必要と認められる目的以外の目的のために利用しないことを確保するための措置を講じなければならない。

また、当然ながら個人情報保護法も適用があるので、

• 個人情報保護法等（▷掲載ページはこちら）
• 特定分野におけるものとして、金融ガイドライン（「金融分野における個人情報保護に関するガイドライン」）及び個人情報保護実務指針（▷掲載ページはこちら）

を遵守する必要がある。

これらを巻き込みつつ、前払ガイドラインでは、「⑴ 利用者に関する情報管理態勢」と「⑵ 個人情報管理」に分けて、主な着眼点が挙げられている（前払ガイドラインⅡ-2-3-1）。

⑴　利用者に関する情報管理態勢
①　経営陣は、利用者に関する情報管理の適切性を確保する必要性及び重要性を認識し、適切性を確保するための組織体制の確立（部門間における適切なけん制機能の確保を含む。）、社内規程の策定等、内部管理態勢の整備を図っているか。
②　利用者に関する情報の取扱いについて、具体的な取扱基準を定めた上で、研修等により役職員に周知徹底を図っているか。特に、当該情報の第三者への伝達については、上記の法令、保護法ガイドライン、金融分野ガイドライン、実務指針の規定に従い手続きが行われるよう十分な検討を行った上で取扱基準を定めているか。
③　利用者に関する情報へのアクセス管理の徹底（アクセス権限を付与された本人以外が使用することの防止等）、内部関係者による利用者に関する情報の持ち出しの防止に係る対策、外部からの不正アクセスの防御等情報管理システムの堅牢化などの対策を含め、利用者に関する情報の管理状況を適時・適切に検証できる態勢となっているか。
　また、特定職員に集中する権限等の分散や、幅広い権限等を有する職員への管理・けん制の強化を図る等、利用者に関する情報を利用した不正行為を防止するための適切な措置を図っているか。
④　利用者に関する情報の漏えい等が発生した場合に、適切に責任部署へ報告され、二次被害等の発生防止の観点から、対象となった利用者への説明、当局への報告及び必要に応じた公表が迅速かつ適切に行われる態勢が整備されているか。
　また、情報漏えい等が発生した原因を分析し、再発防止に向けた対策が講じられているか。更には、他社における漏えい事故等を踏まえ、類似事例の再発防止のために必要な措置の検討を行っているか。
⑤　独立した内部監査部門において、定期的に又は随時に、利用者に関する情報管理に係る幅広い業務を対象とした監査を行っているか。
　また、利用者に関する情報管理に係る監査に従事する職員の専門性を高めるため、研修の実施等の方策を適切に講じているか。
⑥　認定資金決済事業者協会会員については、情報の適切な取扱いを確保するために認定資金決済事業者協会で主催する研修又は同等の内容の研修に役職員を定期的に参加させているか。
　認定資金決済事業者協会非会員についても、上記と同等の内容の研修に役職員を定期的に参加させているか。

個人利用者情報に関しては、前述の内閣府令に沿って、着眼点が挙げられている。

クレジットカード情報等（カード番号等）に関しては、漏洩した場合の被害が大きいことから特に取り上げて言及されている。

⑵　個人情報管理
①　個人である利用者に関する情報については、内閣府令第44条の規定に基づきその安全管理及び従業者の監督について、当該情報の漏えい、滅失又は毀損の防止を図るために必要かつ適切な措置として以下の措置が講じられているか。
（安全管理について必要かつ適切な措置）
　イ．金融分野ガイドライン第8条の規定に基づく措置
　ロ．実務指針Ⅰ及び別添2の規定に基づく措置
（従業者の監督について必要かつ適切な措置）
　ハ．金融分野ガイドライン第9条の規定に基づく措置
　ニ．実務指針Ⅱの規定に基づく措置
②　個人である利用者に関する人種、信条、門地、本籍地、保健医療又は犯罪経歴についての情報その他の特別の非公開情報（注）を、金融分野ガイドライン第5条第1項各号に列挙する場合を除き、利用しないことを確保するための措置が講じられているか。
（注）その他特別の非公開情報とは、以下の情報をいう。
　イ．労働組合への加盟に関する情報
　ロ．民族に関する情報
　ハ．性生活に関する情報
　ニ．個人情報の保護に関する法律施行令第2条第4号に定める事項に関する情報
　ホ．個人情報の保護に関する法律施行令第2条第5号に定める事項に関する情報
　へ．犯罪により害を被った事実に関する情報
　ト．社会的身分に関する情報
③　クレジットカード情報等については、以下の措置が講じられているか。
　イ．クレジットカード情報等について、利用目的その他の事情を勘案した適切な保存期間を設定し、保存場所を限定し、保存期間経過後適切かつ速やかに廃棄しているか。
　ロ．業務上必要とする場合を除き、クレジットカード情報等をコンピューター画面に表示する際には、カード番号を全て表示させない等の適切な措置を講じているか。
　ハ．独立した内部監査部門において、クレジットカード情報等を保護するためのルール及びシステムが有効に機能しているかについて、定期的又は随時に内部監査を行っているか。
④　個人データの第三者提供に関して、金融分野ガイドライン第12条等を遵守するための措置が講じられているか。特に、その業務の性質や方法に応じて、以下の点にも留意しつつ、個人である利用者から適切な同意の取得が図られているか。
　イ．金融分野ガイドライン第3条を踏まえ、個人である利用者から PC・スマートフォン等の非対面による方法で第三者提供の同意を取得する場合、同意文言や文字の大きさ、画面仕様その他同意の取得方法を工夫することにより、第三者提供先、当該提供先に提供される情報の内容及び当該提供先における利用目的について、個人である利用者が明確に認識できるような仕様としているか。
　ロ．過去に個人である利用者から第三者提供の同意を取得している場合であっても、第三者提供先や情報の内容が異なる場合、又はあらかじめ特定された第三者提供先における利用目的の達成に必要な範囲を超えた提供となる場合には、改めて個人である利用者の同意を取得しているか。
　ハ．第三者提供先が複数に及ぶ場合や、第三者提供先により情報の利用目的が異なる場合、個人である利用者において個人データの提供先が複数に及ぶことや各提供先における利用目的が認識できるよう、同意の対象となる第三者提供先の範囲や同意の取得方法、時機等を適切に検討しているか。
　ニ．第三者提供の同意の取得にあたって、優越的地位の濫用や個人である利用者との利益相反等の弊害が生じるおそれがないよう留意しているか。例えば、個人である利用者が、第三者提供先や第三者提供先における利用目的、提供される情報の内容について、過剰な範囲の同意を強いられる等していないか。

加盟店の管理（※第三者型発行者のみ）

第三者型前払式支払手段の場合の加盟店の管理態勢については、第三者型発行者の登録拒否事項として定めがある（法10条1項3号・4号）。

加盟店が販売する商品やサービスが公序良俗を害するものでないことを確保するために必要な措置の実施（3号）と、加盟店に対する支払いを適切に行うために必要な体制の整備（4号）、である。

（登録の拒否）
第十条　内閣総理大臣は、登録申請者が次の各号のいずれかに該当するとき、…（略）…は、その登録を拒否しなければならない。
三　前払式支払手段により購入若しくは借受けを行い、若しくは給付を受けることができる物品等又は提供を受けることができる役務が、公の秩序又は善良の風俗を害し、又は害するおそれがあるものでないことを確保するために必要な措置を講じていない法人
四　加盟店（前払式支払手段により購入若しくは借受けを行い、若しくは給付を受けることができる物品等の販売者若しくは貸出人又は提供を受けることができる役務の提供者をいう。第三十二条において同じ。）に対する支払を適切に行うために必要な体制の整備が行われていない法人

前払ガイドラインでは、3号の措置に関しては、

　第三者型発行者については、利用者に物品等・役務を提供するのは主に加盟店であるため、前払式支払手段に係る不適切な使用を防止する趣旨から、加盟店が販売・提供する物品等・役務の内容について、公序良俗に反するようなものではないことを確認する必要がある。
　なお、法第10条第1項第3号に規定する「公の秩序又は善良の風俗を害し、又は害するおそれがある」とは、犯罪行為に該当するなどの悪質性が強い場合のみならず、社会的妥当性を欠き、又は欠くおそれがある場合を広く含むものであり、こうしたものが含まれないように加盟店管理を適切に行う必要があることに十分留意する。

4号の体制に関しては、

　また、前払式支払手段の決済手段としての確実性を確保する観点から、加盟店に対する支払を適切に行う措置を講じる必要がある。

とされている（前払ガイドラインⅡ-3-5）。

主な着眼点としては、

①　加盟店契約を締結する際には、当該契約相手先が公序良俗に照らして問題のある業務を営んでいないかを確認しているか。
②　加盟店契約締結後、加盟店の業務に公序良俗に照らして問題があることが判明した場合、速やかに当該契約を解除できるようになっているか。
③　加盟店契約締結後、加盟店が利用者に対して販売・提供する物品等・役務の内容に著しい変更があった場合等には当該加盟店からの報告を義務付けるなど、加盟店契約締結時に確認した事項に著しい変化があった場合に当該変化を把握できる態勢を整備しているか。
④　各加盟店に対して、前払式支払手段の使用実績について、一定期間ごとに報告を求めているか。また、加盟店からの使用実績について管理している部署とは別の部署が、当該報告を受けた支払金額の正確性について検証する態勢となっているか。

が挙げられており（前払ガイドラインⅡ-3-5-1）、加盟店契約（規約形態の場合も含む）の内容と、その締結前後のチェックによる管理が重要になっている。

委託先の管理（法21条の2）

発行業務の委託について特に制限する規定はないが（※）、委託した場合には、委託先の監督が必要である（法21条の2）。

（委託先に対する指導）
第二十一条の二　前払式支払手段発行者は、前払式支払手段の発行の業務の一部を第三者に委託（二以上の段階にわたる委託を含む。）をした場合には、内閣府令で定めるところにより、当該委託に係る業務の委託先に対する指導その他の当該業務の適正かつ確実な遂行を確保するために必要な措置を講じなければならない。

（※）第三者型発行者の場合、登録申請書への委託先名等の記載（前払府令別紙様式第3号の第5面）と、添付書類として委託契約書が必要（前払府令16条12号）とされています。

具体的な内容については、前払府令45条の2に定めがある。

（委託業務の適正かつ確実な遂行を確保するための措置）
第四十五条の二　前払式支払手段発行者は、その前払式支払手段の発行の業務の一部を第三者に委託する場合には、委託する業務の内容に応じ、次に掲げる措置を講じなければならない。
一　当該業務を適正かつ確実に遂行することができる能力を有する者に委託するための措置
二　委託先における当該業務の実施状況を、定期的に又は必要に応じて確認すること等により、委託先が当該業務を適正かつ確実に遂行しているかを検証し、必要に応じ改善させる等、委託先に対する必要かつ適切な監督等を行うための措置
三　委託先が行う前払式支払手段の発行の業務に係る利用者からの苦情を適切かつ迅速に処理するために必要な措置
四　委託先が当該業務を適切に行うことができない事態が生じた場合には、他の適切な第三者に当該業務を速やかに委託する等、前払式支払手段の利用者の保護に支障が生じること等を防止するための措置
五　前払式支払手段の発行の業務の健全かつ適切な運営を確保し、当該業務に係る利用者の保護を図るため必要がある場合には、当該業務の委託に係る契約の変更又は解除をする等の必要な措置を講ずるための措置

前払ガイドラインでは、主な着眼点として、

①　委託先の選定基準や外部委託リスクが顕在化したときの対応などを規定した社内規則等を定め、役職員が社内規則等に基づき適切な取扱いを行うよう、社内研修等により周知徹底を図っているか。
②　委託先における法令等遵守態勢の整備について、必要な指示を行うなど、適切な措置が確保されているか。また、外部委託を行うことによって、検査や報告命令、記録の提出など監督当局に対する義務の履行等を妨げないような措置が講じられているか。
③　委託契約によっても当該前払式支払手段発行者と利用者との間の権利義務関係に変更がなく、利用者に対しては、当該前払式支払手段発行者自身が業務を行ったものと同様の権利が確保されていることが明らかとなっているか。
（注）外部委託には、形式上、外部委託契約が結ばれていなくともその実態において外部委託と同視しうる場合や当該外部委託された業務等が海外で行われる場合も含む。
④　利用者との現金の受払いを委託する場合には、委託先が利用者との現金の受払いを行った際に、適切に当該現金の受払いに係る未使用残高の増減を把握できる措置を講じているか。
⑤　委託業務に関して契約どおりサービスの提供が受けられない場合、前払式支払手段発行者は利用者利便に支障が生じることを未然に防止するための態勢を整備しているか。
⑥　個人である利用者に関する情報の取扱いを委託する場合には、当該委託先の監督について、当該情報の漏えい、滅失又は毀損の防止を図るために必要かつ適切な措置として、金融分野ガイドライン第10条の規定に基づく措置及び実務指針Ⅲの規定に基づく措置が講じられているか。
⑦　外部委託先の管理について、責任部署を明確化し、外部委託先における業務の実施状況を定期的又は必要に応じてモニタリングする等、外部委託先において利用者に関する情報管理が適切に行われていることを確認しているか。
⑧　外部委託先において情報漏えい事故等が発生した場合に、適切な対応がなされ、速やかに委託元に報告される体制になっていることを確認しているか。
⑨　外部委託先による利用者に関する情報へのアクセス権限について、委託業務の内容に応じて必要な範囲内に制限しているか。その上で、外部委託先においてアクセス権限が付与される役職員及びその権限の範囲が特定されていることを確認しているか。
　さらに、アクセス権限を付与された本人以外が当該権限を使用すること等を防止するため、外部委託先において定期的又は随時に、利用状況の確認（権限が付与された本人と実際の利用者との突合を含む。）が行われている等、アクセス管理の徹底が図られていることを確認しているか。
⑩　二段階以上の委託が行われた場合には、外部委託先が再委託先等の事業者に対して十分な監督を行っているかについて確認しているか。また、必要に応じ、再委託先等の事業者に対して自社による直接の監督を行っているか。
⑪　委託業務に関する苦情等について、利用者から委託元である前払式支払手段発行者への直接の連絡体制を設けるなど適切な苦情相談態勢が整備されているか。

が挙げられており（前払ガイドラインⅡ-3-3-1）、業務委託契約の内容と、その締結前後のチェックによる管理が重要になっている。

苦情処理（法21条の3）

苦情処理措置の実施についても、定めがある。

（苦情処理に関する措置）
第二十一条の三　前払式支払手段発行者は、前払式支払手段の発行及び利用に関する利用者からの苦情の適切かつ迅速な処理のために必要な措置を講じなければならない。

これは、苦情等の受付態勢の整備については、自家型発行者の届出事項（法5条1項10号）や第三者型発行者の登録申請事項（法8条1項9号）として一部言及があるものの、従前は資金決済法に明示的な規定がなかったことから、その後の法改正によって受付態勢の整備義務が明確化されたものである。

前払ガイドラインでは、主な着眼点として、

①　苦情等に対する業者の取組み
　経営陣は、利用者からの苦情等によって、自社の信用失墜等の不利益を被るおそれがあることを認識し、適切な方策を講じているか。
②　苦情等処理体制の整備
　苦情等に対し迅速かつ適切な処理・対応ができるよう、苦情等に係る担当部署や処理手続が定められているか。苦情等の内容が経営に重大な影響を与え得る事案であれば内部監査部門や経営陣に報告するなど、事案に応じ必要な関係者間で情報共有が図られる体制となっているか。
③　加盟店における前払式支払手段の使用に係る苦情等について、利用者等から前払式支払手段発行者への直接の連絡体制を設けるなど適切な苦情相談態勢が整備されているか。
④　利用者に対する説明の履行
　申出のあった内容に関し、利用者に対し十分に説明し、利用者の理解と納得を得て、解決するなど真摯な対応を行うための態勢を整備しているか。また、苦情等の対応状況について、適切にフォローアップが行われているか。
⑤　フィードバック
　苦情等の内容及び対処結果について、適切かつ正確に記録・保存しているか。また、これらの苦情等の内容及び対処結果について、分析し、その分析結果を継続的にリスクの早期検知、利用者対応・事務処理についての態勢の改善や苦情等の再発防止策・未然防止策に活用する態勢を整備しているか。
⑥　認定資金決済業者協会の会員である前払式支払手段発行者については、当該協会における解決に積極的に協力するなど迅速な紛争解決に努めることとしているか。

が挙げられている（前払ガイドラインⅡ-2-4-1）。

結び

今回は、資金決済法を勉強しようということで、前払式支払手段のうち情報の安全管理に関する規制について見てみました。

ちなみに、金融庁管轄の領域では、監督指針や事務ガイドラインで、「体制」ではなく「態勢」の語が用いられることが多いですので、少し気にしておくといいかもしれません。

［注記］
本記事を含む一連の勉強記事は、過去の自分に向けて、①自分の独学や経験の記録を見せる、②感覚的な理解を伝えることを優先する、③細かく正確な理解は書物に譲る、ということをコンセプトにした読みものです。ベテランの方が見てなるほどと思うようなことは書かれていないほか、業務上必要であるときなど、正確な内容については別途ご確認ください。また、法改正をはじめとした最新の情報を反映しているとは限りませんので、ご注意ください。

参考文献・主要法令等