電子決済等代行業の府令関連について(メモ)
fintechコミュニティの皆さんに待望されていた、本年6月1日に施行が予定されている、銀行APIを用いた新しい決済関連サービス「電子決済等代行業」の詳細を定めた府令関連の草案が、3月9日からパブリックコメントに付されています。
週末に内容をざっと読んでみた気づき事項を簡単にメモしておきたいと思います。以下はパブコメに付された規則関連についてのメモですので、電子決済等代行業の枠組みなど、改正銀行法本体に書かれている内容を勉強していることを前提としています。
注意1:本記事は気づき事項のメモであり法律アドバイスではありません。法律は複雑にできており、事業者が下記に依拠して事業上の判断をすることは危険です。特に、金融業法はIT事業者が想像できないほど厳格な執行が行われます。電子決済等代行業は、IT事業者に対する金融業法の適用という側面を持っていますので、IT事業者の皆さんは、くれぐれも本記事のみを見て自社事業は改正法と無関係だと判断せず、詳細について顧問弁護士などに問い合わせてください。
注意2:本記事はわかりやすさを重視しており、専門家向けの記事ではありません。
1.電子決済等代行業の登録が必要のない事業者
もともと改正銀行法は銀行APIの導入とこれを活用したfintech企業を対象に、PISP業務(送金指示の伝達サービス)とAISP業務(口座情報の取得サービス)について、情報セキュリティを確保した状態でビジネスを行ってもらえるよう、これらを銀行法のもとに登録制としようとするものでした。けれども、法案化するにあたってAISP業務を登録制とするのは過剰規制なのではないか、PISP業務について従前から行われていた送金指示の伝達サービスに対する規制強化なのではないか、といった点が論争を呼びました。法案が通らない事態は事業者側にも規制側にも望ましくない状態なので、法案の建付けを変えずに規則等のレベルで適切に調整するという妥協案で法案成立に至ったという背景があるといわれています。
このような経緯から、どのような業務が適用除外になるのかについては、今回の規則等の策定にあたって大きな注目を集めており、公表に先立って水面下でかなりの調整が行われていたものと想像します。
PISP業務にあたりうるもののうち、今回登録義務がかからないことになったのは、以下の4類型に整理されました。
(1) 預金者による特定の者に対する定期的な支払いを目的とするもの
(2) 預金者自身に対する送金を目的とするもの
(3) 国や行政関連機関に対する支払いを目的とするもの
(4) 事業者が、顧客との取引に付随して、その取引の支払いのためにのみ行うもので、事業者と銀行との間に事前に契約があるもの
第4類型に具体的にどのようなものが入ってくるのか、というところが、今後の実務相談に当たって重要になってきます。上記はざっくりとしたものですが、条文はかなり注意して作られているように見えますので、事業者で心当たりのある皆さんは早計に登録の要否を判断せずに、専門家に相談するべきでしょう。
なお、上記の4類型に当たっている場合でも、銀行が顧客に付与したID・パスワードを預かって行っている事業者は適用除外にならないようです。
2.銀行グループによる電子決済等代行業
銀行APIの導入後の銀行のビジネスモデルとして、銀行口座をプラットフォーム展開して様々なペイメントサービスに役立ててもらうというモデルが想定されていますが、先行する欧州では、これ以外にもいくつかのモデルが提案されています。そのうちの一つとして、銀行自身がAISPとして預金者のためのアグリゲーションサービスを展開するというものがあります。
今回のパブコメでは、銀行と保険会社の子会社は、金融関連業務として電子決済等代行業を行うことができることが明らかになりました。つまり、子会社を作って届出をすることで、銀行・保険会社の業務範囲規制はクリアすることができ、これらのビジネスに参入することができるということになります(当該子会社が電子決済等代行業の登録が必要なのは当然です。金融業の人たちは細かいので念のため追記しました。)。
証券・保険業界の皆さんにはお伝えしていますが、fintech/insurtechへの取組みとして、他社との競争(FoMO)に気を取られて、非金融な機能ばかりに着目して浮足立ってはいけません。fintech/insurtechは他社との競争のために行うのではなく、あくまでも顧客の利便性を高めるために行うものです。金融ビジネスは、非金融のビジネス以上にペイメントの要素を必然的に伴います。ペイメントという基本機能にしっかり着目して、サービス利用に当たっての顧客のフリクションを解消していくことが求められています。
銀行・保険会社が子会社に電子決済等代行業を行う会社を持つことができることは、fintech/insurtechの推進のために大きな一歩だと思います。
なお、銀行本体については法律上は手当されていませんが、規則34条の64の2第2項に、銀行等が登録申請者となることができることを前提とした条文があることが注目されます。
3.AISPのコントロール
振込に関与するPISPに比べて、AISPは口座情報の取得を行うのみなので、リスクベースで見てもAISPのほうが規制が軽くてしかるべきということが、法改正の段階でも指摘されていました。先ほどご説明したとおり、これは規則レベルで調整するということで落着したため、具体的にどのように軽くなるのかが注目されていました。
規則案等を見たところ、概ね以下の部分が軽減されているようです。
(1) 他業コントロールはPISPのみ(規則34条の64の2第1項但書き)
(2) AISPについて、委託管理体制の監督は顧客情報管理とセキュリティの部分に限定(規則34条の)
(3) 審査・監督におけるリスクベースを明言(登録申請時の留意事項等)
なお、PISPの他業コントロールは、日本標準産業分類における中分類ベースで行われます。但し、金融・保険業については細分類ベースです(電子決済等代行業者の登録申請時の留意事項等I.1.(3))。
4. 最低資本要件
欧州のPSDIIではPISP等の一部業務につき最低資本要件を課したり保険の設定を義務付けたり、比較的厳格な規制を敷いていましたので、日本はどうするのか、ということが法案段階で議論されていました。
これについては、新規参入者にはスタートアップ企業が多いという事情と、イノベーションを阻害すべきではないという要請によって、純資産額がプラスであればよしという方向で議論がなされていました。
今回の規則では、当初のとおり、PISP、AISPを問わず資本要件は純資産額がプラスであれば良いということで決着しました(規則第34条の64の6)。
5.電子決済等代行業者の義務
電子決済等代行業者の義務として銀行法本体に書かれていたものは、
(1) 利用者に対する説明義務
(2) 体制整備義務(銀行との誤認防止措置、利用者情報管理措置、委託先管理措置)
(3) 利用者に対する誠実義務
(4) 銀行との間の契約締結義務
でした。規則はそれぞれについてブレークダウンした詳細が定められています。詳細は諸々あり、例えば以下のものがあります。
・ 為替取引の結果通知義務を明記
・ 情報管理措置について①システム管理体制の整備、②顧客の個人情報管理体制の整備、③センシティブ情報を電子決済等代行業以外に用いないための体制整備を明記
・契約内容の公表はインターネットにより実施することを明記
これまで金融業の資格を取得したことがないIT事業者のために言うと、金融の資格を取得し、維持するために最も重要かつコストがかかるのは「体制整備」です。金融ビジネスのための体制整備で重要なのは、①コンプライアンス体制、②顧客保護体制(顧客情報管理、苦情処理(コールセンター))、③システム管理体制(顧客情報セキュリティ、サイバーセキュリティ、BCP)、④委託先管理体制、などがありますが、今回金融庁は、「電子決済等代行業者の登録申請時の留意事項等」を公表し、各事業者が行う電子決済等代行ビジネスについて、事業規模、事業内容、取扱う情報の重要度、システム処理する割合やその役割などの特性を踏まえつつ、システムについての審査に重点を置くことを明言しています。
審査にあたって重視する具体的な事項としては
・事業者、特に経営陣が、電子決済等代行業を行うにあたってシステムリスクの重要性についてしっかりとした認識を持っているかどうか
・システムリスク管理のための態勢(人的組織と物理的な設備、ルール等の整備)ができているか
・システムリスクの評価が行われているか
・情報セキュリティの管理ができているか
・サイバーセキュリティの管理(攻撃者によるシステムアタックと情報・データの剽窃に対する防御態勢)ができているか
・システムの企画・開発・運用の体制が整っているか
・システム監査の体制が整っているか
・外部委託管理のための体制(適切な事業者の選定、委託内容の明確化、委託先による情報管理や法令等遵守の確保、委託先からの報告や委託先への検査、委託先への改善要請ができることや改善されない場合に契約を打ち切ることができること等)が整っているか
・コンティンジェンシープランの整備
・障害発生時の対応
いずれも金融ビジネスに携わる事業者にとっては常識に属するものですが、IT事業者の皆さん、特に組織体制が未整備なスタートアップ企業からすると、たいへん面倒なことであると感じるかもしれません。今回金融庁は、これらについて、申請業者が単独で満たすことができない場合でも、連携・協働する銀行との役割分担によりこれらを満たすことができる場合には、それを評価するとしています。
スタートアップ企業について言えるのは、とにかく人のお金に触るビジネスは、単にコンテンツや非金融の個人情報を触る程度のビジネスとは訳が違う、ということを正しく理解するべきということです。金融は伝統的ビジネスのなかでも最も厳格なビジネスの一つであり、これはfintechの時代と呼ばれようと変わることがありません。欧米でも金融に触るスタートアップ企業は例外なく、金融ビジネスの出身者を中核に添えて腰を据えてビジネスをやっています。日本のスタートアップ企業を見ると、スタートアップ企業であることに甘えてこの点を疎かにしている(言葉を選ばずに言えば「舐めてかかっている」)起業家が散見されますので、くれぐれも注意してください。スタートアップ企業が社会の重要な部分を担うようになる過程で、スタートアップ企業の社会的な責任がどんどん高まっており、これまで許されてきたような甘さは、通用しなくなってきています。
銀行にとっては、これまで培ってきた自らのバックエンド業務を活用し、場合によってはマネタイズする機会とも捉えられるでしょう。
6.再接続業者についての規律
クレジットカードビジネスや資金移動業ビジネスなど、ペイメントのサービスでは、しばしば多段階の委託が行われることになります。電子決済等代行業は、こうした多段階の委託が行われる場合にも登録を求める制度になっていますが、自らがユーザインタフェースを持たずに、ユーザインタフェースを持つ事業者(アプリ提供者、コンテンツ提供者)の後ろ側に入って、処理の円滑さですとか銀行への接続のしやすさですとかを確保するビジネスモデルも想定されます。典型的には米国のPlaidのようなビジネスモデルです。
ユーザインタフェースを持たないので、ユーザに対する説明義務や通知義務などをどのように果たすのかということが問題となります。
この点については「電子決済等代行業再委託者」という定義を銀行法施行規則に設けて(規則第34条の69の4第3項)、銀行や他の電子決済等代行業者を介して義務を果たすことができることが明記されています。
7.銀行代理業との境界
今回、金融庁は、審議会報告書の宿題を受けて、電子決済等代行業の制度をローンチするにあたって必要となる、銀行代理業との境界について、新たに「銀行法等ガイドライン」を公表しています。要は、「AISP、PISP業務を行うにあたって、ユーザからマネタイズするのであれば問題ないものの、銀行サイドに課金をした場合に、銀行代理業にも該当してしまうのではないか」という課題に対して、一定の解決をしようとするものです。
法律的に言うと、銀行代理業は「銀行のために」(銀行法第2条第14項)行うものですが、電子決済等代行業は「利用者のために」(銀行法第52条の61の9)行うものとなっていることとの関係で、事業者が行っている業務が果たして誰のために行っている業務なのかをどのように判定するのか、という話です。
これに対して、ガイドラインでは、
① 銀行からの直接又は間接的な委託に基づいて預金等の受入れや金銭の貸付等、又は為替取引についての契約の締結の代理や媒介をするものではない場合
②契約条件の確定や契約への関与に関連して、銀行から経済的対価を受領していない場合
には、銀行代理業には該当しないとしています。
銀行からの経済的対価の受領は、形式ではなく実質を見ることになりますので、実際には銀行取引の促進(銀行と顧客との間の契約条件の確定や契約への関与)に対する対価であるものを他の名目として受領するということはできません。
他方、今回金融庁は、以下のサービスを銀行に提供している場合に、これに対する対価を受領することは、上記の②には該当しないことを明言しています。
(a) 銀行に対してシステムを提供し、システム利用料を収受する場合
(b) 銀行に対してウェブ広告サービスを提供し、広告料を収受する場合
(c) 銀行に対して、顧客から承諾を得て顧客情報を提供し、情報提供料を収受する場合
(d) 顧客からの手数料を、顧客に説明した上で銀行にまとめて徴収してもらい、銀行経由で顧客の手数料を収受する場合
なお、上記は銀行取引の成約(銀行と顧客との間の契約成立)に直接的に紐付いたサービスではないので、銀行との間の取引ベースでのレベニューシェアとなるような対価設定とすることは原則としてできません。より正確には、銀行取引の成約と紐づくような料金設定になっている場合には、基本的に銀行代理業に関する契約条件の確定や契約締結への関与に対する対価であるとの推定が働くということにして、もしそうではないというのであれば、そうではないということを当局に説得しなければならないということになります。
