電子決済等代行業者に求める事項の基準

　ゆうちょ銀行は、銀行法第52条の61の11に基づき、以下のとおり「電子決済等代行業者に求める事項の基準」を定めます。

• セキュリティに関する管理責任の所在と対象範囲が明確化されていること
• セキュリティ関連文書の整備やデータ等へのアクセス管理の実施等、セキュリティ管理に関するルールを適切に整備していること
• 役職員に対する情報管理方法の周知やモニタリング等の実施により、セキュリティ管理態勢の定着が図られていること
• 情報資産の取扱態勢が適切であること
• 情報管理に関する役職員の不正対策を実施していること
• 情報の廃棄等の運用が適切であること
• セキュリティ不祥事案の発生に対する再発防止プロセスが適切であること
• 連鎖接続における安全性を確保すること
• 不正アクセス発生を想定して被害極小化に必要な体制が整備されていること

• 外部委託事業者を利用するにあたり、システム運用におけるデータの安全性・障害発生時の対応体制を確保していること
• クラウドサービスを利用するにあたり、リスクを考慮した対策がとられていること

• 銀行と協力し、セキュリティ対策の改善、高度化を図る態勢が整備されていること
• 利用者への補償対応を適切に実施できるよう態勢が整備されていること

• コンピュータ設備面での情報漏洩対策が適切であること

• 重要情報の保管場所への入室管理、情報資産に対するアクセス制限・管理が適切に行われていること
• 内部関係者による情報漏洩の出口対策を適切に行っていること
• ウィルス侵入対策を適切に行っていること

• 不正アクセス等の防止のため、アクセス管理を適切に行っていること
• 不正アクセスを防止するための認証・パスワード管理を適切に行っていること
• アクセスや作業ログを適切に保管・管理していること
• 不正作業の防止のため、システム担当者の単独作業を適切に防止していること
• システム変更時の品質低下防止の対策を適切に行っていること
• 外部からの不正アクセスによって、情報が漏洩したり改竄されたりすることがないよう、必要な対策が実施されていること
• 情報漏洩等が発生することがないよう、システムやネットワークに対する脆弱性対策が実施されていること
• 情報の持ち出し等に関する運用を適切に行っていること

• データの種類・内容に応じた管理策を適切に実施していること
• 機密性の高いデータの漏洩対策を適切に行っていること
• 情報喪失・破損からの復旧を可能とする態勢が適切に整備されていること
• リスクに応じた適切な認証機能により、利用者の利便性とセキュリティとを両立させていること
• 動作するアプリケーションに対して、不正な偽アプリケーションが出回らないよう、適切な対策を実施していること
• 不正アクセス時の被害拡大を最小限に止めるため、適切な態勢となっていること
• 不正アクセスが発生した場合、原因や対策を検討するための追跡調査ができるよう、必要な対策が実施されていること

• 認証に関わる機密情報の漏洩対策を適切に行っていること
• APIの想定外利用回避のための原則を整備し、想定外利用の脅威に対し、対策を適切に行っていること

• API利用に関わる利用者への説明責任を適切に果たしていること
• 安定的にサービス提供が可能な態勢が構築できていること

• 法令遵守態勢が整備されていること
• 照会・苦情等への対応体制が整備されていること
• システム障害発生時に適切な対応がとれる体制となっていること
• サービス規約等に損害賠償等の規定の整備がされていること
• 経営陣・社員、ステークホルダー、取引先、利用者から反社会的勢力を排除できていること
• マネーローンダリングに関する対策をとっていること
• 金融犯罪への対策を行っていること
• システム開発等における完全性を確保していること
• 不良データの検知や整合性確認による完全性を確保していること
• 接続先及びそのグループのビジネスが顧客の利便性向上や当行のサービス向上に資すること
• 利用者が未成年者であった場合の対応や、暴力団を排除するための対応等について、適切な態勢が整備されていること
• 金融犯罪等に対して、利用者の被害拡大を未然に防止する体制が整備されていること
• 利用者への情報提供・注意喚起が適切になされる体制が整備されていること
• 利用者の個人情報等の取扱いに問題がないこと
• （提供しているサービスが資金移動である場合）
  為替取引の結果を遅滞なく利用者へ通知もしくは確認を促していること

当行との連携及び協働をご検討されている電子決済等代行業者の方の問い合わせ先は以下の通りです。

本社　営業部門（連絡先：jp-bank.api.ii@jp-bank.jp）