インドの中央銀行であり、かつインドの決済システムの規制当局である「インド準備銀行(RBI)」は7月14日、Mastercard Asia / PacificPte Ltd(以下、”Mastercard”という)にあらたな遵守制限を課す命令(diective)を出した。すなわち、2021年7月22日以降、新規のインドの国内顧客(デビット、クレジットおよびプリペイドカード)をカードネットワークに取り込むにつき、オン・ボーディング(注1)を実施したのである。
今回のブログは、(1)RBIの命令の内容、(2)米国の大手クレジット会社のインドの銀行等への影響等を概観し、最後に(3)2018年4月6日付け各金融機関の会長兼常務取締役/最高経営責任者宛て通達内容を概観する。
なお、RBI命令はデータ保存場所の問題のみを問題視しているのか、2018年4月の各金融機関のトップ宛ての法令遵守の中身とも関連する問題があるのか、さらにナレンドラ・モディ(Narendra Modi)首相によって推進されている国内決済ネットワーク”Rupay”との関連など範囲は極めて広い問題である。この点は機会を改めて述べたい。
1.RBIの命令の内容
2018年4月からというかなりの時間の経過と十分な機会が与えられていたにもかかわらず、Mastercardは依然RBIのインド国内金融機関向け命令(directive)の不遵守・非準拠であることが判明した。Mastercardに対し7月22日以降インド国内の顧客に新しいデビットカードやクレジットカードを発行することを無期限に禁止した。主要市場での米国企業に打撃を与えるものである。
このような動きは、2021年4月23日、RBIが5月1日からAmex, Dinersに対し新規カードの販売を禁止したことに始まる(Reserve Bank of India bans Amex, Diners from selling new cards from May 1)
しかし、インドでは比較的小さなプレーヤーであるアメリカン・エキスプレスとは異なり、MastercardやVisaなどの大手カード企業は、米国企業の支払いネットワークを使用してカードを提供する多くのインドの銀行と提携している。
実際、2019年にMastercardは「インドに対する強気」であると述べたほか、2014年から2019年までの10億ドル(約1,090億円)の投資に加えて、今後5年間で10億ドルの投資を発表している。
今回のRBIの命令(directive)は、Mastercardの既存の顧客には影響しない。一方、Mastercardは、すべてのカード発行銀行およびその他の銀行にこれらの指示に従うようにアドバイスすることが命じられた。「 2007年支払および決済システム法( Payment and Settlement Systems Act, 2007 ;PSS法」の第17条に基づいてRBIに付与された権限の行使において今回の監督強化措置が講じられたのである。
この命令は、MastercardやVisaなどの企業も、ナレンドラ・モディ首相によって推進されている国内決済ネットワーク”Rupay” (注2)との競争の激化に直面している問題につながる。
Narendra Modi首相
なお、Mastercardは、PSS法に基づいて国内でカードネットワークを運用することを許可された決済システムオペレーターである。
【RBI命令のデータ保存場所以外の影響】
2018年4月6日付けの決済システムデータの保存に関するRBI通達に関して、すべてのシステム・プロバイダーは、6か月以内にデータ全体(完全な終端間のトランザクションの詳細/収集/実行/処理された情報を含む)を確保するよう指示された。
彼らが運営する決済システムに関連するメッセージや決済指示の一部としてインド国内でのみシステムへの保存が義務化された。
さらに、MastercardはRBIにコンプライアンス状況を報告するとともに、 Indian Computer Emergency Response Team (CERT-IN) (注3) の名簿から選ばれた監査人が指定したタイムライン内に実施する取締役会承認のシステム監査レポートを提出する必要が出てきた。
2.2018年4.月6日RBI通達”Storage of Payment System Data”の概要
以下の金融機関の会長兼常務取締役/最高経営責任者宛て発出した。
*認可された支払いシステム(Authorised Payment Systems)/
*RRBを含むすべての指定商業銀行(All Scheduled Commercial Banks including RRBs )/
*都市協同組合銀行/州協同組合銀行(Urban Co-operative Banks / State Co-operative Banks )/
*地域中央協同組合銀行/支払銀行(District Central Co-operative Banks )/小規模金融銀行および地域銀行(Small Finance Banks and Local Area Banks)(注4)
(1) 決済システムデータのインド国内保存場所の義務
A..2018年4月5日付けの2018-19年の最初の「隔月金融政策声明の開発および規制政策に関する声明(Statement on Development and Regulatory Policies of the First Bi-monthly Monetary Policy Statement) 」の第4項 (注5)を参照されたい。最近、国内の決済エコシステムはかなり成長している一方で、このようなシステムは技術に大きく依存しているため、クラス最高クラスの安全およびセキュリティ対策を継続的に採用する必要がある。
B.すべての金融機関のシステム・プロバイダーが支払いデータをインドに保存していないことが観察されている。
より良い監督・監視を確実にするために、これらのシステム・プロバイダー、およびそれらのサービス・プロバイダー、システムの仲介者、サードパーティ・ベンダー(コンピューター本体を製造している企業やその系列企業以外の、ソフトウエアや周辺機器などを作るメーカーの総称)および支払いエコシステム(payment ecosystem) (注6)の他の企業等が保存するデータへの無制限の監督アクセスを持つことが重要であり、したがって、RBIは次のことを決定した。
(ⅰ)すべてのシステム・プロバイダーは、それらが運用する支払いシステムに関連するすべてのデータがインド国内にのみのシステムに保存されることを保証するものとする。このデータには、メッセージ/支払い指示の一部として収集/伝達/処理された完全な終端トランザクションの詳細/情報が含まれている必要がある。トランザクションの外国法令に基づく取引データについては、必要に応じて、データを外国に保存することもできる。
システム・プロバイダーは、今後6か月以内に上記(i)の遵守を確保し、2018年10月15日までに準備銀行に遵守を報告するものとする。
システムプロバイダーは、上記(i)の要件が完了したら、システム監査レポート(System Audit Report :SAR)を提出する必要がある。監査は、上記(ⅰ)の活動の完了を証明するCERT-INにエンパネリングされた監査人によって実施されるべきである。システムプロバイダーの取締役会によって正式に承認されたSARは、2018年12月31日までに準備銀行に提出する必要がある。
C.本指令(directive)は、「2007年支払および決済システム法(2007年法律第51号)」の第18条(Power of Reserve Bank to give directions generally. )で引用される第10条第(2)項(注7)に基づいて発布する。
**************************************************************************************************
(注1)「オン・ボーディング(on-boarding)」とは、欧米ではすでにさまざまな企業が取り入れている教育・育成プログラムの1つで、新しく組織に入ったメンバーに対して手ほどきをおこない、早期の即戦力化を促し離職。離脱等を防ぐ方法を意味する。
(注2) 日本発唯一の国際カードブランド運営会社である株式会社ジェーシービーの海外業務を行う子会社、株式会社ジェーシービー・インターナショナル(以下:総称してJCB)は、インド決済公社(National Payments Corporation of India)(以下:NPCI)との提携により、NPCI傘下の銀行であるインドステイト銀行(State Bank of India)(以下:SBI)と、2020年12月よりインド国内で非接触型決済対応の新券種である「SBI RuPay/JCBデビットカード」の発行を開始しました。
SBIは、同国内で約3億のデビットカード会員、約5.8万台のATM、約2.2万の支店を有するインド最大の銀行です。JCBとSBIは2019年7月から接触型決済に対応したデビットカードを発行しておりますが、本カードはインド国内のRuPay加盟店で接触型決済および非接触型決済に対応したデビットカードとなります。将来的にJCBコンタクトレス(タッチ決済)の搭載も検討しております。 (JCB 2020.12.18 リリースから抜粋)
(注3) Indian Computer Emergency Response Team(CERT-IN)は、インド政府の電子情報技術省内の局である。 ハッキングやフィッシングなどのサイバーセキュリティの脅威に対処するのは接点機関(nodal agency)(注8)である。これにより、インドのインターネット・ドメインのセキュリティ関連の防御を強化している。
CERT-INは、通信情報技術省が管理する「2000年情報技術法(Information Technology Act 2000)」 第7条(Retention of electronic records. )第1項B 号に基づいて、2004年にインド政府によって設立された。 CERT-INは、首相官邸の下にある「国家技術研究機関(National Technical Research OrganisationNTRO)」の下にある「国家重要情報インフラストラクチャ保護センター(National Critical Information Infrastructure Protection Centre :NCIIPC」や内務省の下にある「国家災害管理局(National Disaster Management Authority :NDMA)」などの他の機関との責任が重複している。
(注4)インドの金融機関一覧はRBI年報等を調べたが”REPORT ON TREND AND PROGRESS OF BANKING IN INDIA”等に基づき丁寧にあたっていくしかないように思える。
すなわち、①Operations and Performance of Commercial Banks 、②Developments in Co-operative Banking 、③Non-Banking Financial Institutionsを参照されたい。
(注5)”Statement on Developmental and Regulatory Policies” の第4項を仮訳する。
4.決済システムデータの保存
近年、インドの決済エコシステム(payment ecosystem )は、新しい決済システム、プレーヤー、プラットフォームの出現により大幅に拡大している。 最高のグローバルスタンダードを採用することで決済システムデータの安全性とセキュリティを確保し、その継続的なモニタリングと監視は、デジタル決済の健全な成長ペースを維持しながら、データ侵害によるリスクを軽減するために不可欠である。
現在、特定の決済システム事業者とそのアウトソーシングパートナーのみが、決済システムデータを部分的または完全にインド国内に保存していることが観察されている。 監督目的ですべての支払いデータに自由にアクセスできるようにするために、すべての支払 決済システムのオペレーターは、自分たちが運用する支払いシステムに関連するデータが6か月以内に国内でのみ保存されるようにすることが決定された。 この点については、1週間以内に詳細な説明が発出される。
(注6) わが国で”payment ecosystem”に関する本格的な解説レポートは極めて少ないか極めて高額である。
(注7) 第10条第2項 :第1項の規定の反さない範囲で、準備銀行は、一般的に、または特定の支払いに関して、支払いシステムの適切かつ効率的な管理に必要であると考える場合がある場合、そのようなガイドラインを随時発行することができる。
(注8)インド電力情報技術省の”State-wise Nodal Officers for promotion of Electronic Hardware Manufacturing and applicable policy/incentives”を参照されたい。わが国のModalの解説は皆無である。
**************************************************************************
【DONATE(ご寄付)のお願い】
本ブログの継続維持のため読者各位のご協力をお願いいたします。特に寄付いただいた方で希望される方があれば、今後公開する筆者のメールアドレス宛にご連絡いただければ個別に対応することも検討中でございます。
◆みずほ銀行 船橋支店(店番号 282)
◆普通預金 1631308
◆アシダ マサル
◆メールアドレス:slutian165@gmail.com
【本ブログのブログとしての特性】
1.100%原データに基づく翻訳と内容に即した権威にこだわらない正確な訳語づくり。
2.本ブログで取り下げてきたテーマ、内容はすべて電子書籍も含め公表時から即内容の陳腐化が始まるものである。筆者は本ブログの閲覧されるテーマを毎日フォローしているが、10年以上前のブログの閲覧も毎日発生している。
このため、その内容のチェックを含め完全なリンクのチェック、確保に努めてきた。
3.上記2.のメンテナンス作業につき従来から約4人態勢で当たってきた。すなわち、海外の主要メディア、主要大学(ロースクールを含む)および関係機関、シンクタンク、主要国の国家機関(連邦、州など)、EU機関や加盟国の国家機関、情報保護監督機関、消費者保護機関、大手ローファーム、サイバーセキュリテイ機関、人権擁護団体等を毎日仕分け後、翻訳分担などを行い、最終的にアップ時に責任者が最終チェックする作業過程を毎日行ってきた。
このような経験を踏まえデータの入手日から最短で1~2日以内にアップすることが可能となった。
なお、海外のメディアを読まれている読者は気がつかれていると思うが、特に米国メディアは大多数が有料読者以外に情報を出さず、それに依存するわが国メデイアの情報の内容の薄さが気になる。
本ブログは、上記のように公的機関等から直接受信による取材→解析・補足作業→リンク・翻訳作業→ブログの公開(著作権問題もクリアー)が行える「わが国の唯一の海外情報専門ブログ」を目指す。
4.他にない本ブログの特性:すべて直接、登録先機関などからデータを受信し、その解析を踏まえ掲載の採否などを行ってきた。また法令などの引用にあたっては必ずリンクを張るなど精度の高い正確な内容の確保に努めた。
その結果として、閲覧者は海外に勤務したり居住する日本人からも期待されており、一方、これらのブログの内容につき著作権等の観点から注文が付いたことは約15年間の経験から見て皆無であった。この点は今後とも継続させたい。
他方、原データの文法ミス、ミススペリングなどを指摘して感謝されることも多々あった。
5.内外の読者数、閲覧画面数の急増に伴うブログ数の拡大を図りたい。特に寄付いただいた方で希望される方があれば今後公開する筆者のメールアドレス宛にご連絡いただければ個別に対応することも検討中である。
【有料会員制の検討】
関係者のアドバイスも受け会員制の比較検討を行っている。移行後はこれまでの全データを移管する予定であるが、まとまるまでは読者の支援に期待したい。
Civilian Watchdog in Japan & Financial and Social System of Information Security 代表
*****************************************************************************************************************************
Copyright © 2006-2021 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.
コメント
コメントを投稿