オープンAPIで切り開く金融デジタル化と安心安全
~Cyber3カンファレンス報告~
Text:国際社会経済研究所 大平公一郎
2017年10月5日・6日、慶應義塾大学でCyber3カンファレンスが開催された。Cyber3は、「サイバーコネクション」「サイバークライム」「サイバーセキュリティ」を表し、IoTやインターネットサービスの相互接続性の増大、サイバー犯罪の増加、セキュリティの課題などが、主なテーマとして語られた。
サイバー犯罪の標的は様々あるが、その中でも特に狙われているのは金融機関であろう。金融機関が持つデジタル化された金融資産はもちろんのこと、顧客データなど価値の高い情報にあふれているからである。
この金融情報の安心・安全を考える上で、大変に注目を集めている施策にオープンAPI(1)がある。これは、主に金融機関のITシステムが持つデータやサービスにフィンテック事業者などがアクセスすることを可能にするもので、従来の金融機関だけでは生み出せなかった新しいサービスを生み出し、顧客利便性を高めようという試みである。
日本では、2017年6月に公布された改正銀行法で、銀行などにオープンAPI公開の努力義務が課された。また欧州では改正決済サービス指令(PSD2(2)、以下PSD2)で銀行のオープンAPIが義務化される予定であるなど、世界的に金融機関のオープンAPIが進められている。
一方、オープンAPIはこれまで金融機関の外に出ることのなかった情報を、第三者が利用することとなるため、これまで以上にセキュリティの確保やプライバシーへの配慮が重要になってくる。
今回、Cyber3の「デジタル時代の金融サービスを安全・安心にするために」セッションにおいては、このように金融情報の安全・安心に極めて大きな影響を与えるオープンAPIの動向を中心に議論が行われた。
- (1) Application Programming Interface
- (2) Payment Services Directive2
セッション出席者
モデレータ
-
NEC FinTech事業開発室 室長
岩田 太地
パネリスト
-
マネーフォワード 取締役兼Fintech研究所長
瀧 俊雄 氏 -
森・濱田松本法律事務所パートナー弁護士
増島 雅和 氏 -
equensWorldline SE エグゼクティブ・アドバイザー
マイケル・サルモニー 氏 -
三井住友銀行 システム統括部 システムリスク統括室長
持田 恒太郎 氏
大平 公一郎 氏
国際社会経済研究所
情報社会研究部 主任研究員
証券会社での証券アナリスト業務、NEC総研(現国際社会経済研究所)でのICT市場動向調査などを経て、現在はフィンテックを主なテーマに調査研究活動を行っている。これまでに、米国、中国、欧州などで現地訪問を含めた調査を実施。
EUにおけるPSD2導入とオープンAPI
セッションでは、まず日本に先んじてPSD2でオープンAPIの義務化を決定したEUの事情について、マイケル氏から説明があった。
PSD2は、既に2016年に発効され、2018年1月までにEU28カ国による法制度化が求められており、まさに導入に向けた最終的な取組が行われているところである。
PSD2では、オープンAPIによってフィンテック企業のサービス開発を促進することを目指し、PISP(3)(決済指示サービス提供者)、AISP(4)(口座情報サービス提供者)、という2つの事業形態を定めている。PISPは、オープンAPIを通じて銀行に対し決済・資金移動の指示が可能であり、AISPは、ユーザーの口座情報を銀行から取得し、集約・加工などを行うことができる。
両者のうち、特にPISPは、自らが実際に決済・資金の移動の指示を行い、問題が生じた場合には顧客の資金を失う可能性があるため、免許の取得や補償制度の設立など、厳しいルールが定められる方向である。一方、AISPでは、特に個人情報保護の取組などが大きな課題になっている。
- (3) Payment Initiation Service Provider
- (4) Account Information Service Provider
日本の改正銀行法とオープンAPI
一方、日本では、2017年6月に公布された「銀行法等の一部を改正する法律」が、オープンAPIを推進する起爆剤になることが期待されている。この導入背景について、増島氏は、欧州を始め世界的に金融機関のオープンAPI対応が進み、新しい金融サービスを生み出そうしている中で、日本の金融機関が遅れをとることなく、むしろリードできる枠組みづくりを狙ったものと説明した。
改正銀行法では、顧客と金融機関の間に入ってサービスを提供する、電子決済等代行業制度を創設し、業務としては(1)電子送金サービス(改正銀行法第2条第17項第1号)、(2)口座管理サービス(同第2号)を定めている。第1号の電子送金サービスは、EUのPISP、第2号の口座管理サービスはEUのAIPSに近い形態である。
電子決済等代行業を営むための要件としては、免許ではなく登録制を導入し、一定の財務要件や電子決済等代行業を適正かつ確実に遂行する体制整備などを求めている。
電子決済等代行事業者と銀行は協業にあたって、契約を締結し、損害賠償責任の分担や情報の適切な取扱い・安全管理の措置などを定める必要がある。
持田氏は、電子決済等代行業の法的位置づけが明確になり、さらに情報管理・業務管理体制の整備が期待されることで、金融機関がフィンテック企業に対する不安を払しょくし、オープン・イノベーションを前に進める前提条件が整ったとの見方を示した。
銀行には、2018年3月までに電子決済等代行業者との連携及び協働に係る方針の公表が求められ、方針の中にはAPI導入の有無とその理由、導入予定時期等などをいれる必要がある。ただし、銀行のオープンAPI対応が義務ではなく、努力義務に留まる点が、EUとの大きな違いになっている。
セキュリティを確保するための施策
オープンAPIが進められる中で、アクセスコントロールなどセキュリティを確保するための施策についても議論が行われた。従来のインターネットバンキングであれば、銀行がどういったサービス・情報を提供するかを自ら決定できたが、第三者(主にフィンテック企業)が入ることで、ルール整備や強固なセキュリティ対策が求められている。
持田氏は、金融機関とフィンテック企業のそれぞれで対応が必要だとし、金融機関は以前からあるFISC(金融情報システムセンター)等が定めるセキュリティ基準を状況に応じて強化すること、金融機関とフィンテック企業との間ではOAuth2.0(5)の適切なパラメータ設定や、フィンテック企業が金融機関のシステムにアクセスできる認可を証明するアクセストークンの不正防止対策などが求められるとした。
一方、瀧氏からは、求められるセキュリティ対策が厳しすぎると小規模なスタートアップ企業が対応できなくなるとし、セキュリティと参入障壁のバランスをいかに取っていくかが重要であるという意見が出された。
セキュリティの確保には、技術だけでなく企業のガバナンスも重要となる。増島氏は、米国のフィンテック企業の多くは、大手金融機関出身者を抱え、コンプライアンスなどへの対応を整備しているとし、人材をベースとした体制整備の重要性を指摘した。
日本における、今後のオープンAPI推進に向けた動き
今後の課題として、まず、情報の適切な取扱い・安全管理の措置について電子決済等代行事業者と銀行が結ぶ契約の在り方が提起された。契約は自由度が高い反面、企業によって内容が異なり、効率化を損ねる可能性がある。また銀行とフィンテック企業ではカルチャーが異なり、うまくかみ合わないことも想定される。
EUでは詳細なガイドラインが設けられるが、日本でもチェックリストやひな形など、業界で統一的なものを作成することを検討すべき、という指摘がなされた。
増島氏からは、さらに踏み込んで金融機関とフィンテック企業のAPIの標準化も提唱された。APIは一定のセキュリティを確保しつつ、スムーズに連携できることが大事であって、API自身は競争の対象ではなく、それよりも銀行はどのような企業と連携しどういったサービスを開発するか、で競争すべきという指摘だ。
瀧氏からは、APIや認証など、いわゆる周辺の技術・サービスがモジュール化され、プラットフォーム整備が進むと、スタートアップ企業のフィンテック分野への参入もしやすく、サービス導入までの時間も短くなるため、多種多様な金融サービスの開発につながるという意見が出された。
マイケル氏も、顧客へのよりよいサービス提供に向けて、金融機関、フィンテック企業、規制当局などが、積極的にコミュニティを形成すべきと述べた。
まとめ
オープンAPIの推進は、フィンテック企業など新しいプレーヤーが新しい金融サービスを生み出すために必要とする情報を入手しやすくし、結果として金融サービスの多様化につながると考えられる。
一方で、これまで金融機関内に留まっていた情報が外部に出る、さらには決済の指示までされるということで、安心安全の確保は従来よりも格段に難しくなってくる。
改正銀行法では、こうしたリスクに対して適切な措置を求めているが、その実際については金融機関とフィンテック企業という当事者に任されることになる。結果として、安心・安全の対応に大きなレベル差が生じる懸念もある。
こうした懸念を払しょくするには、セッションの中で提起されたAPIの標準化なども真剣に議論される必要があろう。金融機関・フィンテック企業・規制当局など幅広い関係者を巻き込んだ、さらなる対話が求められることになりそうだ。
関連リンク