だからあなたはあなたのネオバンクを成長させたいですか?デジタルバンクに関する規制上の考慮事項

Michael Magrath, 2020年8月28日

支店のないオンラインのみのネオバンク(チャレンジャーバンクまたはデジタルのみの銀行とも呼ばれます)は、ヨーロッパ、ラテンアメリカ、アジアで普及しており、米国で急速に勢いを増しています。

ネオバンクは通常、顧客により優れた利便性と優れたオンライン体験を提供します。たとえば、ネオバンクで口座を開く顧客は、Webブラウザーまたは銀行のモバイルアプリを通じて完全にオンラインでプロセスを完了します。紙のフォームに署名したり、銀行の支店に出向いたりする必要はありません。パンデミック以降、新しい口座を開設したり、金融取引を行ったりするために支店に行きたがる人は少なくなり、完全なモバイル体験を求めている消費者を獲得できるようにネオバンクを位置づけています。

ネオバンクは成功するために成長し続ける必要があります。多くの人にとって、成長は地理的な拡大と同義です。このブログでは、デジタルのみのネオバンクが急速に成功を収めるために検討する必要がある最も重要な規制について説明します。

以下のセクションのいずれかにジャンプします。

1. リモートアカウントの開設に関する顧客(KYC)規制を知る

すべての銀行は、関連するKnow Your Customer(KYC)規制に準拠して顧客をオンボードする必要があります。これらの規制は、そのユーザーがリモートで物理的に支店にいない場合でも、銀行が新しい口座を開く人の身元を確認する必要があることを規定しています。ネオバンクはモバイルおよびオンラインの口座開設に依存しているため、デジタルID検証を対象とする規制に準拠していることを確認することが特に重要です。

米国では、経済成長、規制緩和、および消費者保護法 2019年5月に法律となりました。セクション213では、モバイル法(オンラインバンキングの開始を法的かつ簡単にすること)により、金融機関は、運転免許証または個人識別カードのスキャンから新規顧客をデジタル化することができます。このリモートデジタル口座開設のモードは、銀行のコストを削減し、社会的距離のガイドラインに準拠しながら、関係の最初からカスタマーエクスペリエンスを向上させます。2001年の米国愛国者法は、すべての米国に対してKYCを義務付けています。銀行。この法律には、顧客識別プログラム(CIP)の要件が含まれています。CIPは、金融機関が金融取引を行う前に、個人の身元を確認することを義務付けています。

カナダでは、Financial Transactions and Reports Analysis Center of Canada(FINTRAC)が、個人の身元を確認し、法人または法人以外の存在を確認する方法個人が実際に居ない場合、金融機関はデジタル口座開設および身元確認技術を使用して、その個人が銀行口座を開くことができると規定しています-銀行が申請者のID文書の信憑性を評価して検証できるソリューションを使用している場合アカウントを開こうとする個人は、ID文書に記載された人物であること。

英国では、マネーロンダリング、テロ資金調達、資金移動(支払者に関する情報)規制2017 金融機関に厳格な顧客の身元確認措置を実施することを義務付けています。COVID-19パンデミックの最初の数か月間、英国のFinancial Conduct Authority(FCA) 前記これは、「コロナウイルスのロックダウン中の負担を軽減するためのいくつかの手段の1つとして、顧客の電話写真「自分撮り」を受け入れて本人確認を行う金融サービス会社のルールを緩和する準備ができていました。」

2020年3月、財務行動特別委員会 (世界の主要な金融センターを代表する39か国で構成)さらに公開デジタルIDガイダンス 。ガイダンスには、顧客のデューデリジェンスを使用してデジタルアカウントの開設プロセスを適用する最良の方法の詳細が含まれています。デジタルID検証カスタマーオンボーディングの一環として。FATFによれば、「信頼性の高いデジタルIDを使用すると、金融セクターの個人を簡単に、安く、安全に特定できます。  また、トランザクション監視の要件を支援し、人間による制御手段の弱点を最小限に抑えることができます。」 FATFのガイダンスは、「非対面のオンボーディング」についてデジタル銀行が従うべき青写真です。

これらの要件を満たすために、一部の銀行は自動ID文書検証顔の比較見込み客の身元をデジタルで検証する。これは、お客様が電話を使用して政府発行のIDドキュメント(通常は運転免許証、パスポート、またはIDカード)をスキャンするように求められる場所です。IDドキュメントのスキャンは、真正性アルゴリズムと機械学習を使用して分析され、本物かどうかが検証されます。

身分証明書が確認されると、顔の比較技術を使用して、ドキュメント上の写真が自分撮り写真と比較されます。一致が確認され、両方が本物であると判断された場合、申請者はリモート銀行口座開設プロセスに進むことができます。規制当局はこれを「非対面のオンボーディング」と定義しており、ユーザーの利便性、運用コストの削減、社会的距離の要件に準拠したオンボーディング機能など、顧客と銀行にさまざまなメリットをもたらします。。

2. オンラインセキュリティとリスクベースの認証規制

従来の銀行と同様に、ネオバンクも堅牢なオンライン詐欺防止システムとデジタルセキュリティシステムを統合して維持する必要があります。これには、バックエンドのセキュリティ、フロントエンドシステムのセキュリティ、コンプライアンスとレポートが含まれます。

規制要件のほかに、ネオバンクには、顧客のアカウントを保護するためのもう1つの強力な推進力があります。ながら米国のネオバンク顧客の90% 英国では88% 彼らはネオバンクの経験に満足していると言い、消費者の61%は従来の銀行をネオバンクよりもお金で信頼していると言い、82%は取引のセキュリティの確保が銀行を選択する際の重要な懸念であると言っています。多くの従来の銀行とは異なり、ネオバンクは消費者の信頼を得て、モバイルトロイの木馬や攻撃、フィッシング詐欺、アカウント乗っ取りの試みなど、あらゆる種類の詐欺から顧客を厳密に保護する必要があります。  

不正行為や不正アクセスから顧客アカウントを保護することも、規制当局にとって最大の懸念事項です。米国では、ニューヨーク州の規制当局であるニューヨーク金融サービス省(NYDFS)が特定のサイバーセキュリティ要件 。要件には、特に、金融機関に「効果的な管理策を使用することを要求することが含まれます。リスクベースの認証または、非公開情報または情報システムを不正アクセスから保護するための多要素認証。」    

EUでは、決済サービス指令2(PSD2)により、強力な顧客認証詐欺に対する支払いと取引を保護するため。PSD2は、動的リンク、モバイルアプリのデバイスバインディング、モバイルアプリのシールド、トランザクションリスク分析などの高度な認証概念が、金融サービスの標準的なセキュリティツールになることを保証します。PSD2のようなイニシアチブは、バーレーンや七面鳥 EUのアプローチも採用しています。

金融機関はクラウドデータストレージのセキュリティ、冗長性、および財務上の利点を活用していますが、ネオバンクはローカルのクラウドとデータの居住に関する法律も考慮する必要があります。   

3. モバイルチャネルの保護

すべての銀行、特にブランチレスネオバンクは、モバイルチャネル、特にモバイルアプリ自体に堅牢なセキュリティを実装する必要があります。これは、世界的なパンデミックの影響を受けて非常に重要です。従来の銀行、挑戦銀行、FinTechsのモバイル脅威が急増 。つい最近、 FBIはモバイルアプリベースのバンキング型トロイの木馬の増加を消費者に警告しました活動は、モバイルバンキング活動のパンデミック主導の増加の結果として予想されました。

多くのネオバンクにとって、モバイルアプリは利用可能な唯一の顧客タッチポイントです。モバイルアプリは、顧客がアカウントを開き、自分のお金にアクセスし、支払いと取引を実行し、サポートの問題を解決し、新製品を通知するチャネルです。アプリに非常に多く乗っているので、それは優れている必要があります。それは完璧な顧客体験を提供する必要があり、また安全である必要があります。攻撃によりモバイルアプリがダウンすると、バンク全体がダウンします。アプリの停止は、顧客のお金へのアクセスを拒否するだけでなく、消費者の信頼を著しく損なう可能性があります。チャレンジャー銀行の違反に関する否定的な見出しは、顧客にネオバンクを彼らのお金で信頼するように説得することをさらに難しくする可能性があります。

さらに、モバイルアプリはネオバンクのアプリ開発者が制御できないモバイルデバイスにダウンロードされるため、それらのデバイスのセキュリティステータスは信頼できません。したがって、ネオバンクはアプリのセキュリティと整合性を確保するために追加の対策を講じる必要があります。

金融機関は、顧客体験を同時に提供しながら、継続的にチャネルと顧客のデータとトランザクションを監視および保護するための知識と専門知識を身に付けるために必要なことを行うことが不可欠です。 

これらの要件を満たすために、多くの銀行は信頼できるサードパーティソリューションプロバイダーに依存して実装していますモバイルアプリのシールド彼らのために。アプリのシールディングが、モバイルバンキングアプリを徹底的に保護します。ジェイルブレイクされたデバイスやルート化されたデバイスなど、悪意のある可能性のある環境でもアプリが安全に動作し、絶対に必要な場合にのみサービスを拒否できます。

Mobile App Shielding
White Paper

Mobile App Shielding: How to Reduce Fraud, Save Money, and Protect Revenue

Discover how app shielding with runtime-protection is key to developing a secure, resilient mobile banking app.

Download Now

 

4. データプライバシーとデータ保護

過去数年間に広く知られている違反と、データアグリゲーターによる消費者データの不正な販売と共有を考えると、ネオバンクは顧客のデータを違反や攻撃から保護する必要があります。罰金を超えて、データ侵害や攻撃は、非伝統的な銀行に対する消費者の信頼を著しく損なう可能性があります。プライバシーとデータ保護の懸念により、消費者がネオバンクに切り替えることもできなくなります。

2020年7月の終わりに、マークキューバンが支援 FinTechスタートアップのDaveがセキュリティインシデントを報告しましたその結果、数百万人のユーザーの個人を特定できる情報が公開されます。FinTechは不正行為は発生していないとの声明を発表しましたが、違反のニュースと、750万人の顧客に通知してすべての顧客のパスワードをリセットする必要性は、消費者の信頼に確実に影響します。 

世界中で数多くのデータプライバシーとデータ保護に関する法律と規制が制定されています。これらには以下が含まれます:

  • 欧州連合の一般データ保護規則(GDPR)
  • 米国カリフォルニア州消費者プライバシー法(CCPA)
  • タイのデータ保護法(遵守は2020年5月27日発効)
  • ブラジルの一般データ保護法(施行は2021年8月1日)

より多くのそのような規制が来ています。特に米国では、他の州がCCPAに似た法律を展開しており、米国議会は最近、連邦法を導入しました。

5. オープンバンキングの取り組み

過去数年にわたって、世界中で多くのオープンバンクイニシアチブが実施されてきました。オープンバンキングを使用すると、サードパーティの金融サービスプロバイダー(TPP)は、アプリケーションプログラミングインターフェイス(API)を使用して、銀行または金融機関から(顧客の同意を得て)顧客データにアクセスできます。 オープンバンキングは、より多くのプレーヤーが金融サービス市場に参入できるようにすることで、消費者により良い金融サービスオプションを作成することを目指しています。

ネオバンクは、各規制当局の固有の要件に準拠する必要があり、規制対象および規制対象外のローカルオープンバンキングイニシアチブが新しい管轄区域に移行することを検討している場合は、そのことを認識しておく必要があります。より大きな銀行の相当なコンプライアンスチームのないネオバンクは、これらの急速に変化するさまざまなイニシアチブで深い主題知識を示すことができるベンダーとパートナーを探す必要があります。

EUではオープンバンキングが明確に定義され採用されていますが(PSD2で定められた規制に従う必要のある金融機関もいます)、アジア太平洋、香港、日本、シンガポール、韓国もオープンバンキングの取り組みを進めています。オーストラリアでは、2020年2月の消費者データ権利(CDR)の成立がオープンバンキングのきっかけとなり、2020年7月1日、オーストラリアの「ビッグ4」銀行は「認定データ受領者と製品参照データ」を共有する必要がありました。

北米では、カナダは詳細な調査を実施しており、「オープンバンキング」を「消費者向け金融」に改名しました。カナダ政府はまだオープンバンキングを承認していませんが、研究は有望であり、消費者向け金融は遅かれ早かれ開始される可能性があります。

概要

無数の規制要件は、どの銀行にとっても圧倒的です。この記事は、ネオバンクが直面する規制要件に関して非常に高レベルであり、コンプライアンスへのロードマップを意図するものではありません。しかし、それは世界的にネオバンクが直面しているニュアンスのいくつかを強調しています。

地理的に拡大しようとしているネオバンクは、多くの課題に直面しています。彼らは慎重な消費者に彼らのお金を安全に保つことができると説得する必要があります。彼らは規制当局に対し、安全かつ順守して活動できることを説得する必要があります。また、攻撃や詐欺の増加するインスタンスから貴重なモバイルアプリを保護する必要があります。彼らは、顧客に提供する優れたオンラインおよびアプリ内エクスペリエンスに影響を与えたり、低下させたりしない方法で、これらすべてを行う必要があります。

これを行うには、ネオバンクは、一般的な顧客が日常的にアプリを操作する方法に影響を与えることなく、詐欺や攻撃を検出して阻止するのに役立つテクノロジを探す必要があります。行動バイオメトリクス、デジタルID検証、機械学習ベースのリスク分析などのテクノロジーはすべて、このバランスを達成するのに役立ちます。重要なのは、強力な顧客認証やデジタルIDの要件など、特定の規制に対処するのに役立つテクノロジーを探すことです。

彼らがこれを行うことができれば、成長と拡大の機会は無限大です。

Michael Magrathは、OneSpanのソリューションロードマップをグローバルな標準および規制要件に合わせる責任があります。 彼はFIDOAllianceのGovernmentDeployment Working Groupの共同議長であり、Electronic Signature and Records Association(ESRA)の理事会に所属しています。