不動産クラウドファンディングの手引書として、第1回では国土交通省が2019年4月に公表した「不動産特定共同事業法の電子取引業務ガイドライン」の「目的」から「商号」の章を解説しました。
今回は、不動産クラウドファンディングを行う上で避けては通れないシステム周りのガイドラインの逐条解説を行っていくことで、不動産のクラウドファンディング事業を行いたいと考えている事業者様や、今まさに第6面などの許可申請書を作りたいと考えている方のご参考になればと思います。
目次
「電子情報処理組織の管理」
6.電子情報処理組織の管理(規則第54条第1号)
電子取引業務を行う不動産特定共同事業者等は、電子取引業務の円滑かつ適正な運営を図るため、当該電子取引業務において用いる電子情報処理組織について、情報が漏えい、滅失又は毀損等をした場合に顧客等(不動産特定共同事業契約の締結の勧誘の相手方及び事業参加者をいう。以下同じ。)が被る権利利益の侵害の大きさを考慮し、事業の性質、情報の取扱状況及び情報を記録した媒体の性質等に起因するリスクに応じて、以下の記載に従って十分な管理を行う必要がある。
電子情報処理組織の管理を十分に行うための措置がとられていない場合に、想定される主な被害としては、顧客財産への被害、及び顧客情報の流出被害が挙げられる。
<顧客財産への被害>
顧客財産への被害については、振込先口座情報が書き換えられ、出資金を失う等の具体例が挙げられ、振込先金融機関口座(出金先口座)の指定・変更手続きにおいて、顧客口座と名義が異なる出金先口座への指定・変更を認めないこととし、更に転送不要郵便により顧客の住所地に口座指定・変更手続きのための書面を送付するなどにより、顧客口座と名義が異なる出金先口座へ の振込みを防止する措置を講じる等、顧客財産への被害を防止するための措置を講じる必要がある(詳細「(7)顧客財産への被害防止に対する対策」参照)。
<顧客情報の流出被害>
顧客情報の流出被害については、事業者のシステムがハッキングされ、顧客等の個人情報が流 出、売買される等の具体例が挙げられ、個人情報の保護に関する法律(平成15年法律第57号。 以下「個人情報保護法」という。)の遵守及び同法についてのガイドラインで示されるレベルと同様の管理体制の整備が求められる(詳細「(2)組織体制の整備」参照)。
不動産特定共同事業法の電子取引業務ガイドラインより(https://www.mlit.go.jp/common/001283702.pdf )
この章は長いので一旦、途中で切らせて頂きました。このガイドライン文中の中で、何度も「電子情報処理組織」という用語が出てきますが、概ね「WEBシステム」とかと置き換えて貰えれば理解出来ると思います。この章ではインターネットを使ってやり取りするためのシステムの管理方法について記載されています。
上記引用部分でいうと、不動産特定共同事業法に基づくクラウドファンディング(電子取引)を行う事業者の電子情報処理組織に不備などがあった場合、どのような被害が起こりうるかが記載され、注意喚起と、体制整備の重要性について説かれています。
そして、これ以降の各論が体制構築や許可申請書類の作成、実務で重要となります。
電子情報処理組織の管理-基本方針-
(1)基本方針・取扱規程等の整備
① 電子取引業務において用いる電子情報処理組織の管理を十分に行うための基本方針を策定し、公表するとともに、必要に応じて見直しを行うものとする。
基本方針に定める事項としては、電子取引業務を行う不動産特定共同事業者等の名称、 電子情報処理組織の管理に関する質問及び苦情処理の窓口、電子情報処理組織の安全管理に関する宣言、基本方針の継続的改善の宣言、関係法令等の遵守の宣言が考えられる。
② 電子取引業務において用いる電子情報処理組織の管理に係る取扱規程を整備し、必要に応じて見直すものとする。
取扱規程においては、情報の取得、利用、保存、提供、削除・廃棄等の段階ごとに、 取扱方法、責任者・担当者及びその任務等について定めることが考えられる。
なお、具体的に定める事項については、以降に記述する組織体制の整備、人的体制の整備、物理的・技術的な管理体制の整備、システム障害時への対応、外部委託先管理の内容を織り込むことが重要である。
不動産特定共同事業法の電子取引業務ガイドラインより(https://www.mlit.go.jp/common/001283702.pdf )
「(1)基本方針・取扱規程等の整備」を見ていきましょう。
まず、非常に重要なのが、①に記載されている通り、電子取引業務において用いる電子情報処理組織の管理を十分に行うための基本方針を策定し、公表する必要があるということです。これは電子取引業務ガイドラインの制定によって求められるようになった事項です。公表が義務付けられているため、許可の申請時に公表する予定の基本方針を規制当局(都道府県庁若しくは国土交通省、場合よっては金融庁も含む)に対して提出するのは勿論のこと、許可取得後に不動産クラウドファンディングの事業を開始する際にはサービスページに基本方針を公表しておく必要があります。
実例として、株式会社ブリッジ・シー・キャピタルの運営している「CREAL」を見てみましょう。まず下記のCREALへのリンクからトップページにいきます。
「CREAL」のリンクはこちらするとフッターに、「電子情報処理組織の管理に関する基本方針」というリンクがあるのでそこからリンク先に飛びます。
その先に下図のような基本方針が公表されており、ガイドラインに定められている事項が記載されています。
そして次に②についてで、電子情報処理組織の管理に関する規程を定める必要性が述べられています。この段階では、”システム管理規程”などで、システムの取り扱いなどについての最低限の事項を規定すれば十分です。
電子情報処理組織の管理-組織体制の整備-
(2)組織体制の整備
① 電子情報処理組織の管理を行う責任者を設置する必要がある。
② 取扱規程に従った運用を行うとともに、取扱規程に規定する事項の遵守状況の記録及び確認を行うものとする。
③ 電子情報処理組織の運用状況を確認できる手段として、次に掲げる事項を含む電子取引業務の遂行により取得する情報に関する台帳等を整備する必要がある。
イ.情報の項目
ロ.利用目的
ハ.保管場所・保管方法・保管期限
ニ.管理部署
ホ.アクセス制御の状況
④ 電子情報処理組織に関して、システムリスク管理の基本方針を定めるとともに、具体的基準に従い管理すべきリスクの所在及び種類を特定する必要がある。リスクの所在や種類の特定にあたっては、上記の台帳を活用することが重要である。
⑤ 電子情報処理組織の運用状況について、運用する部署における点検、又は当該部署以外の者による監査体制を整備し、定期的な点検又は監査を実施するとともに、運用状況及びリスクの評価、見直し及び改善に取り組む必要がある。
⑥ 情報の漏えい、滅失及び毀損が発生した場合若しくはその可能性を把握した場合、又は取扱規程に違反した事実若しくはその可能性を把握した場合における社内の報告連絡体制を整備する必要がある。
⑦ 情報の漏えい、滅失及び毀損に対応する体制として、次に掲げる体制を整備する必要がある。
イ. 対応部署
ロ. 漏えい事案等の影響・原因等に関する調査体制
ハ. 再発防止策・事後対策の検討体制
ニ. 自社内外への報告体制
⑧ 顧客情報の流出被害を防ぐため、個人情報保護法及び同法についてのガイドラインで示されるレベルと同様の管理体制の整備をすることにより、個人情報の流出を防止するための十分な措置を講じる必要がある。
定期的な審査や更新手続きのある個人情報保護等を目的とした認証等を取得してい る場合は、顧客情報の流出被害を防ぐための体制構築がなされていると考えられることから、ISO/IEC27001、JISQ15001、プライバシーマークの3つの認証のうち、いずれかを取得している場合には、個人情報の流出を防止するための十分 な措置が講じられているものと考えられる。
不動産特定共同事業法の電子取引業務ガイドラインより(https://www.mlit.go.jp/common/001283702.pdf )
(2)の①で重要となるのは電子情報処理組織を管理する責任者を設置する必要があり、許可申請の際には責任者名を明示して、その責任者となる方の経歴や保有資格などから、電子情報処理組織を適切に責任を持って管理出来るかどうかの審査を受けることとなります。社内に元々システム周りに精通する方がいる場合は問題ないのですが、そうでない場合は、責任者の選定若しくは採用は十分に検討した後に行う必要があります。
②の運用状況の遵守状況の記録及び確認を取ることについては、情報処理組織を管理する責任者の方で確認するのは勿論のこと、内部監査や内部統制などを担う部署でも定期的にチェックする体制が望ましいです。
③の情報管理を行うための台帳は、元々文書管理規定やシステム管理規定で定められていない場合は、別途規定して運用する必要があります。
④のリスクについては、リスク管理規程などで不動産クラウドファンディングを行う上でのシステムリスクを洗い出した上で、そのリスクに対する対応事項を規定する必要があります。
⑤は②に近く、 電子情報処理組織の運用状況について、運用責任者(部署)が定常的にチェックするとともに、第三者(内部監査や内部統制を行う部署、若しくはリスク管理委員会などの会議体)のチェック体制を構築する必要があります。
⑥~⑧の個人情報の漏えい防止や漏えい時の対応は、システム関連の規程に定める他に、個人情報取扱規程などで定めるのが良いです。なお、特に個人情報の漏えいの防止体制については、 ISO/IEC27001、JISQ15001、プライバシーマークの3つの認証のうちの何れかを有していると十分な体制があると認められるので、このためだけに取る程ではなくても、元々取得を検討している場合は取っておくと許可申請の際に楽になります。
電子情報処理組織の管理-人的体制の整備-
(3)人的体制の整備
① 電子情報処理組織を取り扱う者と非開示契約等を締結する必要がある。
② 電子情報処理組織を取り扱う者への教育及び訓練を行う必要がある。
③ 電子情報処理組織の管理に係る責任者又はその重要な業務を担当する者については、適切な知識及び経験を有する者を任命するものとする。 適切な知識及び経験を有する者を任命するためには、電子情報処理組織の管理を十分 に行うための予算確保及び人材の育成を行うことが重要である。 適切な知識及び経験を有する者としては、例えば、IT企業、研究開発機関、銀行、 又は電子取引業務と類似の業務を行う金融機関等において、システムエンジニアとしての業務経験が複数年ある者等が望ましい。
不動産特定共同事業法の電子取引業務ガイドラインより(https://www.mlit.go.jp/common/001283702.pdf )
(3)①の非開示契約等の締結については、特に外部に委託することがある場合は必須です。雛形などがあればそちらを使いなければwordファイルも公開しておりますので、上手く活用いただければと思います。
②の教育及び訓練については、不動産特定共同事業法全般に関する研修などもそうですが、基本的に定期的に研修を行うように事前に規程で定めて、研修などを実施した際は研修資料や研修参加者の記録を残していく運用が良いです。
③の電子情報処理組織の管理に係る責任者については、システムエンジニアとして経歴がある人が望ましいという趣旨の記載があり、それに合わせて社内若しくは場合によっては社外で適切な人材を探して対応することになります。
電子情報処理組織の管理-物理的・技術的な管理体制の整備-
(4)物理的・技術的な管理体制の整備
電子情報処理組織について以下のとおりセキュリティを確保する必要がある。
① アクセス者の識別及び認証
② 適切なアクセス制御の実施
③ アクセスの記録及び定期的な分析による不正アクセス等の検知及び分析
発生するおそれのある被害の程度に応じて、例えば、以下のような手法により検知及び分析することが考えられる。
イ. アクセス者のログの監視
ロ. システムに対する24時間365日の自動監視等
ハ. システム異常検知時における通報・対応体制の整備
二. ファイアウォール、ログの定期的な分析による不正アクセスの検知等
④ 外部からの不正アクセス又は不正ソフトウェアから保護する仕組の導入
発生するおそれのある被害の程度に応じて、例えば、以下のような手法により、システムのセキュリティを確保することが考えられる。
イ. 交信情報の暗号化
ロ. ネットワーク不正侵入(ハッカー)に対する防止策
ハ. コンピューターウイルスに対する防止策
二. ホームページ又は電子メールにて顧客等とのやり取りを行う際の誤操作の防止策等
⑤ セキュリティの確保についての定期的な見直し
電子情報処理組織の取扱いに関して、以下の物理的な措置を講じる必要がある。
イ. 管理区域及び取扱区域の管理
ロ. 機器及び電子媒体等の盗難の防止
ハ. 個人データを持ち運ぶ場合の漏えい等の防止
二. 個人データの削除及び保管されている機器や電子媒体等の廃棄
不動産特定共同事業法の電子取引業務ガイドラインより(https://www.mlit.go.jp/common/001283702.pdf )
(4)はシステムの運用に係るもので、アクセス権のコントロールは勿論のこと、ログの取得や監視体制の必要性など、多くの要件があります。不動産クラウドファンディングを始めたい事業者はシステムの依頼先を選ぶ時にこの辺りの要件を満たすシステムかどうかを確認してください。
電子情報処理組織の管理-システム障害時への対応 –
(5)システム障害時への対応
① システム障害時に対応するための適切な人員配置を行うなど社内の内部管理体制を整備する必要がある。
② システム障害等の発生に備え、業務への影響が大きい重要なシステムについては、オフサイトバックアップシステム等を事前に準備する等、十分なバックアップ体制を敷くとともに、システム障害等に係るコンティンジェンシー・プランを作成し、速やかに復旧させる体制を整備する必要がある。
③ システム障害の発生を想定した訓練を定期的に行うことが望ましい(特にクーリング・オフなどの解約時におけるシステム障害の発生に留意するものとする。)。
④ システム障害が発生した場合には、その状況について記録し、適宜、再発防止策を講じる必要がある。
⑤ 一定のシステム障害が発生した場合には、当局に報告を行うものとする。
不動産特定共同事業法の電子取引業務ガイドラインより(https://www.mlit.go.jp/common/001283702.pdf )
(5)のシステム障害時への対応としては、上記のような一連の要件に対応できる体制を備えるために、障害管理規程や、システム障害対応マニュアルを制定するのが良いです。
電子情報処理組織の管理-外部委託先管理-
(6)外部委託先管理
電子取引業務を行う不動産特定共同事業者等は、外部委託先(システム子会社を含む。以下同じ。)に電子情報処理組織の管理を委託する場合、外部委託先において、電子情報処理組織の管理が適切に講じられるよう、外部委託先に対し必要かつ適切な監督をする必要がある。電子取引業務を行う不動産特定共同事業者等は、法第31条の2第2項及び本ガイドラインに基づき自らが講ずべき電子情報処理組織の管理措置と同等の措置を講じる必要がある。具体的には、以下に掲げる必要かつ適切な措置を講じるものとする。
① 外部委託先に電子情報処理組織の管理を委託する場合においては、外部委託先における電子情報処理組織の管理体制が少なくとも法第31条の2第2項及び本ガイドラインにおいて委託元に求められるものと同等であることを確認するため、外部委託先の選定の基準を定め、当該選定基準に基づき評価、検討の上、外部委託先を選定する必要がある。
② 委託契約を締結し、外部委託先との役割分担・責任分担、監査権限、再委託手続き、提7供されるサービス水準、委託先におけるデータの漏えい、盗用、改ざん及び目的外利用の禁止を定めるものとする。
③ 外部委託先の役職員が遵守すべきルールやセキュリティ要件を外部委託先へ提示し、契約書等に明記するものとする。
④ システムの構築、保守、運用等に係る外部委託業務(二段階以上の委託を含む。)について、リスク管理を適切に行う必要がある。システム関連事務を外部委託する場合についても、システムの構築、保守、運用等に係る外部委託に準じて、適切なリスク管理を行う必要がある。
⑤ 外部委託先の管理について責任部署を明確化し、外部委託した業務(二段階以上の委託を含む。)について、委託元として委託業務(顧客等に関する情報管理を含む。)が適切に行われていることを定期的にモニタリングするなど、外部委託先における顧客等のデータの運用状況を、委託元が監視、追跡できる体制を整える必要がある。
⑥ 外部委託先による顧客等に関する情報へのアクセス権限については、委託業務の内容に応じて必要な範囲内に制限するものとする。かかる制限は、例えば、以下のような方法によることが考えられる。
イ. 取扱情報システムの限定
ロ. アクセスできるデータベース等の限定
ハ. アクセスできる従業者の限定
⑦ 再委託の条件としては、以下が考えられる。
イ. 外部委託先が再委託する場合には、委託元の事前の承諾を必要とさせ、契約書等において、再委託する業務内容、条件、監督方法等を確認する。
ロ. 二段階以上の委託が行われた場合には、外部委託先が再委託先等の事業者に対して十分な監督を行っているかについて確認する。
ハ. 必要に応じ、再委託先等の事業者に対して委託元による直接の監督を行う。
二. 再委託先等における顧客等のデータの運用状況を、委託元が監視、追跡できる体制とする。
ホ. 特に、個人情報を取り扱う場合には、その取り扱う個人データの漏えい、減失又は毀損の防止その他の個人データの安全管理のため、定期報告の実施、再委託先等の条件設定を実施する。
⑧ 外部委託先において漏えい事故等が発生した場合には、外部委託先において適切な対応がなされ、かつ、速やかに委託元に報告されるようにするものとする。
不動産特定共同事業法の電子取引業務ガイドラインより(https://www.mlit.go.jp/common/001283702.pdf )
(6)の外部委託先管理に関する条項は非常に重要です。多くの会社ではシステムの開発や管理を外部のシステム会社等に委託する場合が多いですが、その外部委託先もどこでも良いわけではありません。運用の際の注意事項としても重要ですが、特に許可申請などの観点でいえば、ガイドラインの要件を満たせるような外部委託先管理規程を制定するのが良いです。
電子情報処理組織の管理-顧客財産への被害防止に対する対策-
(7)顧客財産への被害防止に対する対策
顧客財産への被害の防止のための十分な措置を講じる必要がある。
① 振込先金融機関口座(出金先口座)の指定・変更手続きにおいて、顧客口座と名義が異なる出金先口座への指定・変更を認めないこととし、更に転送不要郵便により顧客等の住所地に口座指定・変更手続きのための書面を送付する、取引に利用しているパソコンのブラウザとは別の携帯電話等の機器を用いるなど、複数経路による取引認証、可変式パスワード、電子証明書、生体認証などの固定式のID・パスワードのみに頼らない認証、ハードウェアトークン等でトランザクション署名を行うトランザクション認証を採用する等により、顧客口座と名義が異なる出金先口座への振込みを防止する措置を講じている等、不正アクセスによる被害を防止するための適切な措置を講じている場合は、顧客財産への被害を防止するための十分な措置が講じられているものと考えられる。
② 犯罪による収益の移転防止に関する法律(平成19年法律第22号)及び犯罪による収益の移転防止に関する法律施行規則の一部を改正する命令(平成30年内閣府、総務省、法務省、財務省、厚生労働省、農林水産省、経済産業省、国土交通省第3号)において、本人の顔の画像等を活用したオンラインで完結する本人確認手法が導入されており、当該方法での確認もかかる措置として認められるものと考えられる。
不動産特定共同事業法の電子取引業務ガイドラインより(https://www.mlit.go.jp/common/001283702.pdf )
(7)の顧客財産への被害防止に対する対策も、システムの設計でも実務でも非常に重要です。
①では、特にどの事業者でも対応必須な事項として、出金先口座を必ずシステム上で登録してもらうこととし、会社から出金することがある時には、その振込先のみに送金することになります。
②は犯罪による収益の移転防止に関する法律(犯収法)の対応です。クラウドファンディングは、非対面取引のため、転送不要の簡易書留郵便にて登録された住所に発送し、登録者本人の受取を確認する必要があります。
例としてA-fundingの事例を見てみましょう。
A-fundingのサービスページA-fundingに登録すると、上キャプチャのようなはがきが送付されますが、その中で重要なのが、「簡易書留」で受取が確認出来、かつ投資家登録された住所に対して「転送不要」で送付することで、現住所に住んでいるかを確認することです。
転送不要と簡易書留での送付に加えて、認証コードを記載して投資家に送り、受け取ったら認証コードを入力してもらう形にすると、より本人確認の正確性が担保されます。
電子情報処理組織の管理-顧客等による誤操作など操作ミスに対する対策-
(8)顧客等による誤操作など操作ミスに対する対策
入力した注文内容を顧客等が再度確認する画面を作成するものとする。確認画面は、顧客等が意識的に操作しない限り発注されないような仕組みにするものとする。
不動産特定共同事業法の電子取引業務ガイドラインより(https://www.mlit.go.jp/common/001283702.pdf )
(8)の顧客等による誤操作など操作ミスに対する対策は、契約成立前書面や契約成立時書面を閲覧し、それに同意してファンドへの投資の申込みや、出資の確定を投資家が行う際に、申込み口数を誤って入力している際などに気づけるように、確認画面を出す必要がある旨を記載しています。
今回は、電子情報処理組織の管理に関する条項を解説しました。重要性が高いのもあり、(1)~(8)まで、記載事項も多いですが、一つ一つ丁寧に内容を確認し、許可申請書類の作成や、システムの開発の際には対応漏れの無いようにしましょう。次回は案件の審査を取り扱います。