前回の続編
電子情報処理組織の管理について
要約すれば、不動産特定共同事業法に基づくクラウドファンディング(電子取引)を行う事業者の電子情報処理組織に不備などがあった場合、どのような被害が起こりうるかが記載され、注意喚起と、体制整備の重要性について説かれています。
(1)基本方針・取扱規程等の整備
①に記載されている通り、電子取引業務において用いる電子情報処理組織の管理を十分に行うための基本方針を策定し、公表する必要があるということです。
これは電子取引業務ガイドラインの制定によって求められるようになった事項です。公表が義務付けられているため、許可の申請時に公表する予定の基本方針を規制当局(都道府県庁若しくは国土交通省、場合よっては金融庁も含む)に対して提出するのは勿論のこと、許可取得後に不動産クラウドファンディングの事業を開始する際にはサービスページに基本方針を公表しておく必要があります。
例文:引用(クリアル株式会社)
電子情報処理組織の管理に関する基本方針
クリアル株式会社(以下「当社」といいます。)は、不動産特定共同事業法に基づき、下記の通り、電子取引業務において用いる電子情報処理組織の管理に関する基本方針を定め、遵守いたします。
1. 電子情報処理組織の安全管理
当社は、電子情報処理組織の管理にあたり、お客様の財産への被害および情報の流出被害を防止するため、電子情報処理組織の管理に係る取扱規程を整備し、適切な安全対策を講じます。
2. 法令等の遵守
当社は、電子情報処理組織の管理について、関係法令やその他国が定めるガイドライン、規範に関する法令を遵守いたします。
3. 基本方針の継続的改善
当社は、お客様の財産への被害および情報の流出被害を防止するため、電子情報処理組織の管理に関する基本方針の定期的な見直しおよび改善に努めます。
4. 電子情報処理組織の管理に関する質問、相談への対応
当社の電子情報処理組織の管理に関するご質問やご相談、ご意見については、お問い合わせ窓口よりご連絡ください。
当社の電子情報処理組織の管理責任者は以下のとおりです。
サービスデベロップメント部・部長
クリアル株式会社
〒110-0015 東京都台東区東上野2-13-2
制定日:2019年6月1日
②についてで、電子情報処理組織の管理に関する規程を定める必要性が述べられています。この段階では、”システム管理規程”などで、システムの取り扱いなどについての最低限の事項を規定すれば十分です。
(2)組織体制の整備
(2)の①で重要となるのは電子情報処理組織を管理する責任者を設置する必要があり、許可申請の際には責任者名を明示して、その責任者となる方の経歴や保有資格などから、電子情報処理組織を適切に責任を持って管理出来るかどうかの審査を受けることとなります。社内に元々システム周りに精通する方がいる場合は問題ないのですが、そうでない場合は、責任者の選定若しくは採用は十分に検討した後に行う必要があります。
②の運用状況の遵守状況の記録及び確認を取ることについては、情報処理組織を管理する責任者の方で確認するのは勿論のこと、内部監査や内部統制などを担う部署でも定期的にチェックする体制が望ましいです。
③の情報管理を行うための台帳は、元々文書管理規定やシステム管理規定で定められていない場合は、別途規定して運用する必要があります。
④のリスクについては、リスク管理規程などで不動産クラウドファンディングを行う上でのシステムリスクを洗い出した上で、そのリスクに対する対応事項を規定する必要があります。
⑤は②に近く、 電子情報処理組織の運用状況について、運用責任者(部署)が定常的にチェックするとともに、第三者(内部監査や内部統制を行う部署、若しくはリスク管理委員会などの会議体)のチェック体制を構築する必要があります。
⑥~⑧の個人情報の漏えい防止や漏えい時の対応は、システム関連の規程に定める他に、個人情報取扱規程などで定めるのが良いです。なお、特に個人情報の漏えいの防止体制については、 ISO/IEC27001、JISQ15001、プライバシーマークの3つの認証のうちの何れかを有していると十分な体制があると認められるので、このためだけに取る程ではなくても、元々取得を検討している場合は取っておくと許可申請の際に楽になります。
(3)人的体制の整備
(3)①の非開示契約等の締結については、特に外部に委託することがある場合は必須です。
②の教育及び訓練については、不動産特定共同事業法全般に関する研修などもそうですが、基本的に定期的に研修を行うように事前に規程で定めて、研修などを実施した際は研修資料や研修参加者の記録を残していく運用が良いです。
③の電子情報処理組織の管理に係る責任者については、システムエンジニアとして経歴がある人が望ましいという趣旨の記載があり、それに合わせて社内若しくは場合によっては社外で適切な人材を探して対応することになります。
(4)物理的・技術的な管理体制の整備
(4)はシステムの運用に係るもので、アクセス権のコントロールは勿論のこと、ログの取得や監視体制の必要性など、多くの要件があります。不動産クラウドファンディングを始めたい事業者はシステムの依頼先を選ぶ時にこの辺りの要件を満たすシステムかどうかを確認してください。
(5)システム障害時への対応
(5)のシステム障害時への対応としては、上記のような一連の要件に対応できる体制を備えるために、障害管理規程や、システム障害対応マニュアルを制定するのが良いです。
(6)外部委託先管理
(6)の外部委託先管理に関する条項は非常に重要です。多くの会社ではシステムの開発や管理を外部のシステム会社等に委託する場合が多いですが、その外部委託先もどこでも良いわけではありません。運用の際の注意事項としても重要ですが、特に許可申請などの観点でいえば、ガイドラインの要件を満たせるような外部委託先管理規程を制定するのが良いです。
(7)顧客財産への被害防止に対する対策
(7)の顧客財産への被害防止に対する対策も、システムの設計でも実務でも非常に重要です。
①では、特にどの事業者でも対応必須な事項として、出金先口座を必ずシステム上で登録してもらうこととし、会社から出金することがある時には、その振込先のみに送金することになります。
②は犯罪による収益の移転防止に関する法律(犯収法)の対応です。クラウドファンディングは、非対面取引のため、転送不要の簡易書留郵便にて登録された住所に発送し、登録者本人の受取を確認する必要があります。
例:
A-fundingに登録すると、はがきが送付されますが、その中で重要なのが、「簡易書留」で受取が確認出来、かつ投資家登録された住所に対して「転送不要」で送付することで、現住所に住んでいるかを確認することです。
転送不要と簡易書留での送付に加えて、認証コードを記載して投資家に送り、受け取ったら認証コードを入力してもらう形にすると、より本人確認の正確性が担保されます。
(8)顧客等による誤操作など操作ミスに対する対策
(8)の顧客等による誤操作など操作ミスに対する対策は、契約成立前書面や契約成立時書面を閲覧し、それに同意してファンドへの投資の申込みや、出資の確定を投資家が行う際に、申込み口数を誤って入力している際などに気づけるように、確認画面を出す必要がある旨を記載しています。
次回は「適切な審査」になります
