Q&Aわかりやすい銀行代理業・電子決済等代行業
電子決済等代行業の要諦について押さえるには良い本であった。
もう少し、各事業者の思惑や、PSD2との対比について書かれていると良かったかな。
●電代業制度が設けられた経緯
スクレイピング問題の解決
→APIの利用は銀行側の同意が必要だが、スクレイピングは同意不要
セキュリティの観点で危険なスクレイピングを規制しているわけではないし、そもそもできない
それにほぼEUのPSD2と同じ内容なので時流を読んだ対応だったのではないか
●電代業とは
利用者の代理で金融機関への取引指図を行う業者
2号:参照系APIのみを使う
→二段階の委託も可能と明記があった
●1号に該当しても電代業に該当しないもの
●電代業再委託業者
実際にAPIを叩くのを電代業者に委託するならば、fintech企業は電代業としての登録は不要
また、電代業者が電代業を第三者に委託する場合、委託業務の的確な遂行を確保するための措置を講じる義務を負う
しかし、電代業者に対する業務委託については委託元は電代業者に対する管理・監督義務を何ら負わない
●理由者に対して提供するべき情報
業者の基本情報、取引に関する情報、スクレイピングの場合はその旨、また、銀行が営む業務でないこと、為替取引の結果の通知
→為替取引の結果の通知は遅延なく行われなければならないとあるが、取引指図の直後ではなく、「実際に決済がなされた後、遅延なく」という解釈でいいか明記がない
特定の条件で決済されるように設定でき、決済が1ヶ月後くらいになったとしても問題ないのか?
また、結果の通知は「自分で記帳して確認しろよ」ということでも問題ないと記載あり。そんなのありか?自分ならブチギレ。
●安全措置
取引の性質や取り扱う情報の重要度によってケースバイケース
→とりあえずはFISCのAPI接続チェックリストには準拠しておくと間違いなさそう
●電代業にかかる契約
利用者に損害が生じた場合の責任分担などを明記、ほか
→契約を締結したら利用者がわかるような場所に掲示する必要があるとあったが、どこに掲示があるのかわからなかった
銀行は、利用者の本人確認手続きの結果、銀行が発行したトークンの使用があった場合、利用者本人からの指図とみなす
トークンとはOAuth2.0のもとではアクセストークンやリフレッシュトークンが該当する
●電代業との契約において銀行側が作る基準
一部の電代業に対して特段の理由なくAPI利用申請を承認しないなどの差別を行わない
〜〜〜
上記の疑問の解消と、FISCのAPI接続チェックリストの確認をしておきたい。