2022年の銀行規制とセキュリティに関する法規制遵守の要件におけるトップトレンド

2021年、決済やデジタル通貨などデジタル化への移行が進む中で、政府の政策立案者や規制当局は、サイバーセキュリティの向上、デジタルIDやオンライン認証の強化、消費者の保護に明確な焦点を当て、多忙な日々を送っていました。

以下に、金融機関、FinTech（フィンテック）企業、決済システム、商業銀行、貸し手、借り手、資産運用会社、銀行業界全体に影響を及ぼすことが予測される主な世界の最新の法規制をまとめました。

包括的なリストについては、OneSpanの「2022年グローバル金融規制レポート」をオンラインで、または、ダウンロードしてご覧ください。

目次：

• 2022年の規制に関する最新情報
  • サイバーセキュリティ
  • 暗号資産
  • 中央銀行デジタル通貨（CBDC）
  • AI（人工知能）
  • デジタルID
  • データ保護
  • マネーロンダリング防止／テロ資金供給対策（AML/CFT）
  • 生体認証ATM
  • 電子署名
  • オープンバンキング
• 2022年の予測

サイバーセキュリティ

アメリカ合衆国

11月、米連邦準備制度理事会（FRB）、米連邦預金保険公社（FDIC）、米通貨監督庁（OCC）は、「銀行組織」に対して、特定の種類のコンピュータセキュリティインシデントが発生した場合、36時間以内に主要な連邦規制機関に通知することを義務付ける最終規則を発表しました。同規則では、「銀行サービスプロバイダー」に対して「4時間以上にわたって顧客に重大な影響を与えている、またはその可能性があるインシデントが発生した場合、銀行組織の顧客に可能な限り早急に通知する」ことを別途求めています。銀行サービスプロバイダーとは、銀行サービス会社法の対象となるサービスを提供する会社またはサービスを提供する者を指します。2022年4月1日に施行され、銀行組織とその銀行サービスプロバイダーは2022年5月1日までに遵守することが必要となります

8月、米連邦金融機関審査委員会（FFIEC）は、「金融機関のサービスおよびシステムへの認証およびアクセスに関するガイダンス」を10年ぶりに改定しました。同ガイダンスは、金融機関に対し、多要素認証（MFA）などのより強力な認証管理が必要となるユーザーや顧客に加え、認証とアクセス管理のコントロールが必要なユーザーや顧客の本人確認を奨励しています。FFIECは、ユーザー名や固定パスワードのようにユーザーが知っていること（記憶情報）による単一要素認証では十分ではないと指摘し、

「単一要素認証で保護されたシステムやユーザーへの攻撃は、データの盗難や破壊、ランサムウェアによる悪影響、顧客口座詐欺、個人情報の盗難などを引き起こす不正アクセスにつながることが多い。そのため、単一要素認証のみのアクセス制御は、これらの脅威に対して不十分である」と述べています。

また、FFIECは顧客確認（KYC）に関する規制における重要な要素である本人確認も重要視しており、「信頼性の高い検証方法とは、知識ベースの質問のみに依存してない本人確認である」と強調しています。当社はこれに同意し、本人確認書類の読み取りと顔写真の照合のようなデジタル本人確認を推奨しています。

2021年10月、米連邦取引委員会（FTC）は、グラムリーチブライリー法に基づく「セーフガード・ルール」の改正版を発表し、FTCの管轄下にあるノンバンクの金融機関が顧客の金融情報をどのように保護すべきかを示しました。銀行、銀行持株会社、およびその子会社は、米通貨監督庁（OCC）や米連邦預金保険公社（FDIC）などの連邦銀行規制当局が発行する個別のガイダンスや基準の対象となります。今回の改定は、自動車ディーラー、不動産鑑定士、税務申告書作成者、投資アドバイザー、連邦政府の財政援助プログラムに参加する大学など、「金融活動に従事する」機関に適用されます。また、現行の対象者に加えて、改正版では、インターネットサービスプロバイダー、ギグエコノミー、オンラインマーケットプレイスにも適用される可能性があります。

同改定により、従業員や顧客などに関わらず、個人が情報システムにアクセスする際には必ず多要素認証（MFA）が必要となりました。

FTCは、コンプライアンス違反行為に対して、1回の違反につき1日あたり43,792ドルの罰金を科すなど、大きな罰則を課しています。

暗号資産

金融活動作業部会（FATF）

FATFは10月、暗号資産および暗号資産交換業者（VASP）に関する新たなガイダンスを発表しました。2019年発行のガイダンスに代わるものとなります。39の加盟国は、暗号資産交換業者に免許または登録制を課し、金融規制当局が暗号資産交換業者を監督・監視することになりました。同ガイダンスは、ステーブルコインに適用され、ステーブルコインの手配に関わるさまざまな事業体が、FATF基準の暗号資産交換業者として適格であることを明確にしています。2022年には、多くの国や地域でFATFに準拠した規制の改正が行われることが予想されます。

エストニア

2021年12月、政府はFATFの新たなガイダンスに沿って暗号資産交換業者への規制強化に関する法案を承認しました。財務大臣のWebサイトに次のように記載されています。

「暗号資産交換業者への規制は、電子マネー機関や決済サービスプロバイダーへの規制と一致させるためのもので、ウォレットを利用して暗号資産を所有している顧客や個人に直接影響を与えるものではない。ただ、エストニアの暗号資産交換業者は、匿名サービスの提供は認められておらず、顧客の本人確認が必要となる。その識別情報は、銀行送金のように、該当するトランザクションとの関連付けが可能な方法で保持しなければならない」

2022年前半には、国会において可決、施行される予定です。

欧州連合（EU）

MiCA（暗号資産市場規制案）は、包括的な暗号資産規制の枠組みを確立し、EU全体の法的安定性と調和を高めることを目的としています。主な優先事項は、透明性、消費者保護、市場濫用の防止、認可、監督です。暗号資産の定義を、電子マネートークン、資産参照型トークン、ユーティリティートークンやアルゴリズムステーブルコインなどその他すべてのタイプという3つのグループに分類しています。発行者はどの暗号資産を販売するかによってその規制要件に従うことになり、電子マネートークンと資産参照型トークンの発行者に対してはEU域内での認可と設立が義務付けられています。MiCAの立法プロセスは、2022年初頭に完了する予定です。加盟国は2024年に新たな規制を実施する必要があるでしょう。

日本

2021年、日本の金融庁は、FATFの新たなガイダンスに沿って「トラベルルール」を実施する意向を発表しました。トラベルルールは、デジタル資産の送金において送信側（依頼人）と受信側（受取人）が顧客情報を共有することを義務付けるものです。電信送金や暗号資産の送金における匿名性を低減することで、マネーロンダリング・テロ資金供給（ML/TF）リスクを防止することを目的としています。

必要な情報は、顧客デューデリジェンス情報と密接に関連しており、依頼人の氏名、住所、生年月日、出生地、口座番号、ID番号となります。また、受取人の氏名、口座番号またはウォレット番号も必要です。

ペルー

2021年12月、「暗号資産市場フレームワーク」の法案が議会に提出されました。暗号資産交換業者が事業運営の際に従うべき要件を定義するためのものです。同法案には、利用者が取引所やプラットフォームが登録されているかどうかを確認できる暗号資産交換業者の公的登録簿の作成も含まれています。

また、暗号資産交換業者は、ペルーでは暗号資産を法定通貨として認めておらず、今回の政府による暗号資産の監督は、暗号資産を使った運用がユーザーにもたらすリスクを保証するものではないことを、契約上でユーザーに通知することを義務付けています。同法案は2022年に制定されると予想しています。

トルコ

12月下旬、エルドアン大統領は、国内での主流の実施に向けて、議会と近日中に共有される暗号資産法の草案の完成を確認しました。トルコでは、2021年4月にThodexとVebitcoinという2つの暗号資産取引所が破綻し、トルコの暗号資産投資家が口座にアクセスできなくなったことを受けて、暗号資産に関する規制整備を急いでいます。

カウンターパーティーリスクを排除するための中央保管銀行の設立も含まれる見込みです。同法案は速やかに議会を通過し、2022年に制定される見込みです。

米国

暗号資産は、明らかに米連邦規制当局の照準上にあります。2021年11月23日、連邦銀行規制当局は、規制対象となる銀行および銀行持株会社の暗号資産関連事業への参加に焦点を当てた省庁間の連携プロジェクト「暗号資産政策スプリントイニシアチブおよび次のステップに関する共同声明」を発表しました。共同声明では、

「2022年を通じて、次のような、銀行組織が行う暗号資産関連の特定の活動の法的な許容性について、また、安全性と健全性、消費者保護、既存の法律や規制の遵守に対する期待について、より明確にすることを計画している。

• 暗号資産の保管および従来のカストディサービス
• 付帯的なカストディサービス
• 顧客による暗号資産の購入・販売の促進
• 暗号資産を担保とした融資
• ステーブルコインの発行・配布
• 貸借対照表上の暗号資産の保有を伴う活動

Tまた、米国の銀行組織が関与する活動について、自己資本と流動性の基準の暗号資産への適用を評価し、この分野の協議プロセスについてはバーゼル銀行監督委員会（BCBS）との関わりを継続する」と示しています。

これとは別に、通貨監督庁長官代理のMichael Hsu氏は、暗号資産関連企業への規制を求めており、「銀行規制当局の手が届かず、銀行規則に縛られずに活動するシンセティック・バンキング・プロバイダー（SBP）」が暗号資産の分野で非常に活発に活動していることに懸念を示し、SBPに銀行基準を課す必要性を強調しています。こうした動きを受けて、2022年の後半には、包括的な暗号資産に関する法案の事前公告（ANPRM）が公表されると予想しています。

中央銀行デジタル通貨（CBDC）

中国

中国は、2022年第1四半期中にデジタル人民元（e-CNY）の利用を展開する計画です。現金を補完するために開発された他のCBDCとは異なり、デジタル人民元は現在流通している紙幣と硬貨を置き換えるように設計されています。1月初旬、中国人民銀行（中央銀行）はデジタル人民元を取り扱うためのウォレットアプリの試験版をアプリストアで公開し、国内の10地域で利用を拡大しています。

ナイジェリア

2021年10月、ナイジェリア中央銀行（CBN）は、CBDCの「イーナイラ（eNaira）」を正式に導入すると発表しました。ナイジェリアがアフリカ大陸におけるCBDCの「発射台」 としての役割を担っていると言えます。現時点では、ガーナ、南アフリカ、チュニジアがCBDCの試験運用を実施しています。ジンバブエ、ナミビア、マダガスカル、ルワンダ、モーリシャス、モロッコ、ケニアは調査段階です。

スウェーデン

イークローナ（e-krona）試験運用を開始した背景には、スウェーデンでは現金の使用が減少しており、将来的に起こりうる通貨システムの混乱に備えたいという思いがあります。しかし、スウェーデンの銀行家の中には、CBDCが銀行の暴走を招き金融の安定を脅かす可能性があるのではないかと懸念する人もいます。スウェーデン国立銀行（リスクバンク）は、2022年11月にイークローナの導入について結論を出す予定です。

AI（人工知能）

欧州連合（EU）

欧州委員会は、欧州データ戦略の一環として、特に「高リスク」なシステムや状況に関して、AIの活用を規制する108ページに及ぶ広範囲なAI規制法案を発表しました。EU域内に所在するすべてのプロバイダーとユーザー、およびEU域内でそのサービスが利用されている域外のプロバイダーに適用されます。同法案は、今後欧州連合の承認プロセスを通過する必要があります。2022年には影響がないと思われますが、データ保護に関するEU一般データ保護規則（GDPR）と同じように、世界のAI規制の先駆けとなることが見込まれているため、注目しておくと良いでしょう。

米国

金融規制当局を含む連邦政府は、2021年にはAIを非常に重視していました。

2021年3月、金融規制当局は、金融機関における機械学習を含むAI活用に関するRFI（情報提供依頼書）を発行しました。このRFIは、

「金融機関の顧客へのサービス提供やその他の事業・業務目的におけるAI活用、AIに関する適切なガバナンス・リスク管理・コントロール、AIの開発・採用・管理における課題に関する回答者の見解を把握すること」を目的としています。

また、3月には、AIに関する国家安全保障委員会（NSCAI）が、AI時代の「より広範な技術競争に勝つ」ための戦略をまとめた最終報告書を発表しました。

4月には、米連邦取引委員会（FTC）が「会社でAIを活用する際は、真実・公平・公正を目指そう」と題したブログを公開し、人種的偏見のようなネガティブな結果を避けるためのガイダンスを配信しています。

7月には、米国立標準技術研究所（NIST）が、「AIリスク管理フレームワーク」の草案を作成するにあたり、情報提供を求めるためにRFIを発行しました。同フレームワークは、AIシステムの信頼性向上に向けてテクノロジーの開発者・ユーザー・評価者を支援することを目的とした、任意自発的なガイダンス文書です。

10月には、米ホワイトハウスの科学技術政策局（OSTP）が、本人確認、個人識別、個人の精神的・感情的状態などの属性推論を目的とした、生体認証技術の活用に焦点を当てたRFIを発行しました。OSTPによると、このRFIの目的は、

「過去、現在、または計画的に活用されている生体認証技術の範囲と多様性、生体認証技術が活用されている分野、生体認証技術を活用している事業体、生体認証技術の活用を管理する現在の原則・慣行・方針、および生体認証技術の活用または規制によって影響を受ける、または受ける可能性のあるステークホルダーを理解すること」です。

活用の増加を踏まえ、2022年にはAI関連の規制が行われるだろうと予想しています。

デジタルID

デンマーク

MitIDは、従来のNemIDに代わる待望のデジタルID基盤です。MitIDは、NemIDよりも柔軟で安全に利用でき、MitIDアプリから各種ログインや支払いが可能となります。MitIDは、十分な運用テストを経て、NemIDが完全に廃止されるまでの6ヶ月間の移行期間の後にデンマーク全土で導入される予定です。遅れているため、ソリューションの完成は2022年夏頃になる見込みです。

カナダ

カナダ・デジタルID認証評議会（DIACC）が主導する汎カナダ・トラスト・フレームワーク（PCTF）が、2022年に「Voila Verified Trustmark」プログラムを開始する予定です。PCTFの構成要素に準拠していることを証明した組織には、トラストマークが発行されます。

欧州連合（EU）

EUのデジタルIDウォレットの稼働はまだ2年ほど先のことですが、2022年には具体的なアーキテクチャ、標準規格、リファレンス、ガイドラインやベストプラクティスの確認作業に焦点が当てられます。年末には、欧州委員会は加盟国やその他の関係者が利用できるツールボックスを公開する予定です。

2021年12月、欧州銀行監督局（EBA）は「リモート顧客オンボーディングに関するガイドライン」に関する草案を発表し、パブリックコメントを募集しました。加盟国の中には、生体認証を活用したデジタル本人確認のソリューションによるリモート・オンボーディングを既に採用しているところもあります。当然ながら、それぞれの加盟国の規制当局が、自撮り写真の許可や動画の禁止など異なるアプローチをとっています。EBAの最終ガイダンスがどのような内容になるかはまだ分かりません。パブリックコメントの受付期間は2022年3月10日までで、最終ガイダンスは2022年後半の発表になる見込みです。

スイス

スイス連邦参事会は、自己主権型アイデンティティ（SSI）の原則に基づいて構築される公的なeID基盤を開発する計画を発表しました。公的基盤とは言え、民間企業がIDプロバイダー、エージェント、依拠当事者、IDウォレットプロバイダーとしての重要な役割を果たすことが予想されます。eID法は2022年に導入される見込みです。

米国

2022年初めに、米国立標準技術研究所（NIST）は、電子的認証に関するガイドラインの改正案を公開し、パブリックコメントを募集する予定です。これは2017年以来の改正となります。NISTガイドラインを遵守する義務があるのは、連邦政府機関およびその請負業者となりますが、金融セクターなど世界中の数多くの民間および公共の企業や組織がNISTガイドラインを参考にしてきました。大幅な改正は予想されませんが、バイデン政権がフィッシングに強い認証システムでフィッシング攻撃に対抗することを重視していることから、AAL2レベルに分類される認証システム間で差別化が図られることが予想されます。

データ保護

日本

個人情報保護法（APPI）の改正が2021年に発表され、2022年4月1日の施行が予定されています。

改正個人情報保護法は、データ主体の権利を強化し、パーソナルデータを処理する事業体に新たな要件を課しています。データ漏えいが発生した際の個人情報保護委員会（PPC）に対する報告義務、報告書の提出要請や外国の事業体の調査などPPCの権限の拡大、違反した場合の罰則の強化、仮名加工情報制度の新設などが行われています。

仮名加工情報とは、データ主体の個人を識別できる情報を仮名に置き換えて加工することで、データ主体の権利を保護するとともに、処理者がデータ主体の情報をより容易に活用できるようにするデータ管理方法です。また、改正個人情報保護法では、パーソナルデータの消去や利用停止に関するデータ主体の権利が拡大され、アクセス権についてもデータ主体が自分のデータを受け取る方法（書面または電子メール）を選択できるようになっています。

EU一般データ保護規則（GDPR）と同様に、改正個人情報保護法は域外適用となり、日本国民のパーソナルデータを処理するすべての事業体に、その事業体の物理的な所在地にかかわらず適用されます。また、PPCは外国の事業体に対して処理業務の報告を求めることができるようになり、遵守されていない場合には、外国の事業体に罰金を課すことができます。

スイス

2020年に成立した改正スイス連邦データ保護法（revDPA）は、多くがGDPRの内容を踏まえたものですが、顕著な違いも認められています。改正法は2022年下半期に施行される予定です。

改正データ保護法では、企業は重大なデータ漏えいを直ちに連邦テータ保護情報コミッショナー（FDPIC）に報告すること、リスクを伴う可能性のあるデータ処理を行う際には事前にデータ保護影響評価を行うこと、サブプロセッサーを使用する前に承認を求めること、データを収集するたびにプライバシーに関する通知を発行することなどが義務付けられます。GDPRとは対照的に、管理者はデータ保護責任者を任命することができますが、義務ではありません。意図的な違反があった場合には、会社に代わって個人が刑事罰を受ける可能性があります。

タイ

COVID-19のパンデミックにより、タイ政府は個人情報保護法（PDPA）の完全施行を2022年6月1日に延期しました。2019年5月に発表されたPDPAは、GDPRをモデルとしており、パーソナルデータの処理に関する要件や、データ管理者および処理者の責任についてまとめています。同法は域外適用となり、タイ国民のパーソナルデータを取り扱うすべての事業体は、その事業体がタイに居住していなくても適用されます。パーソナルデータの国外移転については、移転先の国は「適切な個人情報保護基準」を備え、要請事項に準拠している必要があります。また、PDPAは、個人情報保護委員会（PDPC）と呼ばれるコンプライアンスを監視する国家データ保護機関を設立する予定です。

マネーロンダリング防止／テロ資金供給対策（AML/CFT）

欧州連合（EU）

昨年春、欧州銀行監督機構（EBA）は、マネーロンダリング・テロ資金供給対策（AML/CFT）に関する中央データベースの構築に関する規制技術基準（RTS）草案に関する公開協議を開始しました。パブリックコメントの募集を経て、EBAは12月に最終報告書を提出しました。RTS案の趣旨は、AML/CFTに対するEUのアプローチの調整や調和に役立つと考えられるデータベースの有効性と機密性を保護する規則を定めることです。EUのAML指令が加盟各国の裁量に委ねられている性質上、国内法に反映させ、さまざまな方法で実施することができるため、必ずしも汎欧州的なアプローチを可能にしていないことから、これは重要な動向と言えます。デジタル化が進む中でサイバー犯罪がより巧妙かつ国際的になっているため、中央データベースの存在によりEU全体のAML/CFT対策の効率化が期待されます。RTS案では、データベースがデータ保護法を遵守していることも保証しています。

EBAはRTS案を欧州委員会に提出し、承認を得る予定です。承認されると、すべての加盟国に適用されることになります。承認手続きの進捗状況にもよりますが、2022年には欧州委員会で承認される可能性があります。

米国

12月、米財務省の金融犯罪捜査網（FinCEN）は、実質的所有者情報の報告義務に関する立法案公告（NPRM）を公表しました。同規則案は2021会計年度米国防権限法（NDAA）の一部として署名された企業透明化法の第6403条を実施するものです。最終決定されると、マネーロンダリング、テロ資金供給、税金詐欺、その他の違法行為の防止と対策のため、事業体は実質的所有者と会社の申請者情報をFinCENに提出することが求められます。同規則案は、　

「(1)誰が申請するのか、(2)いつ申請するのか、(3)どのような情報を提供するのか、という情報を提出することになる。これらの情報を収集し、法執行機関やインテリジェンス・コミュニティー、その他の主要なステークホルダーがその情報にアクセスできるようにすることで、悪意のある行為者が匿名のペーパーカンパニーやフロント企業を利用して自らの活動を隠匿することが難しくなる」と示しています。

パブリックコメントの受付期間は2月7日までで、FinCENは2022年中に最終規則を発表すると予想しています。

また、FinCenは12月に、「AML/CFT規制体制の近代化」に関する情報提供募集を発表しました。FinCENは、銀行秘密法（BSA）に基づいて発行されたリスクベースのAML/CFT規制およびガイダンスを近代化することに関心を持っています。今回の正式な見直しにより、FinCENは、時代遅れで冗長な規制やガイダンス、金融機関のリスクベースの AML/CFT遵守体制を促進しない規制やガイダンス、あるいは国際的なAML/CFT基準を満たすための米国の公約に適合しない規制やガイダンスを特定することができます。パブリックコメントの受付期間は2022年2月14日までで、2022年後半には立法案公告（NPRM）が公表される可能性があります。

生体認証ATM

アルゼンチン

2021年1月、中央銀行は、指認証装置を使ったATMへのアクセスに関するルールをまとめた通達を発表しました。新しいルールでは、利用者は指紋の他に、暗証番号やIDカード（DNI）などの「記憶情報」を使ってATMにアクセスしなければならないとしています。このルールは、段階的に実施されます。2021年12月31日までに35％のATMに指認証装置の搭載が義務付けられ、2022年6月20日までに60％のATMに、2022年12月31日までにはすべてのATMでの搭載が義務付けられます。

電子署名

日本

2020年10月、菅首相は、2022年末までに銀行やその他の金融機関が電子署名技術を活用し、帳票をデジタル化することを決定しました。従来、企業は金融庁に紙の書類を提出していたため、効率が悪く、コストもかかっていました。

アラブ首長国連邦

2021年9月、15年前に制定された電子商取引と取引に関する連邦法No.1/2006を廃止し、電子商取引とトラストサービスに関する連邦法令No.46/2021が制定されました。アラブ首長国連邦のデジタルトランスフォーメーションの取り組みを支援するため、新法はあらゆる種類の電子取引を奨励・促進するとともに、電子取引を行う顧客の権利を保護するものです。

同法によると、トラストサービスには、電子署名の作成、適格電子署名に対する認証証明書の発行、電子スタンプの作成、適格電子スタンプに対する認証証明書の発行、Webサイトに対する認証証明書の発行などが含まれます。

この新法は2022年1月2日に施行されましたが、企業が遵守するために1年間の猶予期間を設けています。

米国

リモートオンライン公証システム（RON）の導入が進んでいます。現在までに39の州でRON法案が可決されており、ニューヨーク州知事は、2021年12月22日に恒久的なRON制度を制定する法律に署名しました。

ニューヨーク州のRON法は2022年6月20日に発効します。これにより、ニューヨーク州は、アラスカ州、アリゾナ州、アーカンソー州、コロラド州、フロリダ州、ハワイ州、アイダホ州、イリノイ州、インディアナ州、アイオワ州、カンザス州、ケンタッキー州、ルイジアナ州、メリーランド州、ミシガン州、ミネソタ州、ミズーリ州、モンタナ州、ネブラスカ州、ネバダ州、ニューハンプシャー州、ニューメキシコ州、ニュージャージー州、ノースダコタ州、オハイオ州、オクラホマ州、オレゴン州、ペンシルバニア州、テネシー州、テキサス州、ユタ州、バーモント州、バージニア州、ワシントン州、ウェストバージニア州、ウィスコンシン州、ワイオミング州に合流しました。

各州がRON対策を法制化し始めたのは、COVID-19のパンデミックにより社会的距離ルールができ、企業が業務をリモートに移行せざるを得なくなったためです。各州の施策には基本的に同じ内容が含まれており、視聴覚的コミュニケーション手段の使用、視聴覚的コミュニケーションの記録、署名者の公証人による認証などが挙げられます。

オープンバンキング

ブラジル

ブラジルでは、12月中旬より、オープンバンキングの最終である第4段階が開始されました。 これは、オープンバンキングからオープンファイナンスへの移行を意味するもので、消費者の同意を得て信頼できる第三者のAPIと共有できる対象項目に、投資商品、保険、外国為替が追加されました。既存項目の住宅ローン、当座預金、年金、クレジットカードを補完するものです。

第4段階で重要な点は、共有する金融商品に関連するAPIに認証プロセスを要求することです。これにより、中央銀行の技術要件への準拠が保証されます。 

承認期限

• 2022年3月4日：保険、付加年金、資本金
• 2002年3月11日：支払手配における認定サービス
• 2022年3月18日：為替業務
• 2022年3月25日：定期預金口座およびその他の投資商品

2022年5月31日には第4段階の第2期が開始され、また、2022年5月31日から消費者はデータ共有に同意できるようになります。運用モデルを通して利用可能になった参加機関のサービスでデータ共有に同意できるようになるため、オープンファイナンスは、消費者の目に見える形で行われることになります。オープンファイナンスの導入は、2022年9月30日までに完了する予定です。

カナダ

2021年8月、連邦政府のオープンバンキングの諮問委員会が報告書を発表しました。報告書によると、政府と産業界が協力してロードマップを作成し、2023年1月までに第1段階を開始する予定です。2022年は2023年の第1段階開始に向けての準備に費やされます。

コロンビア

立法府は、オープンバンキングのモデルを開発するための法案を作成しています。同法は、2022年中に施行される予定ですが、明確な日程はまだ決まっていません。

香港

香港金融管理局 （HKMA）は、銀行セクター向けのオープンAPIフレームワークを段階的に展開しており、28の銀行が参加しています。各銀行とも、2021年末には第3段階と第4段階を開始し、最初は預金口座情報とオンライン加盟店決済に重点を置いていました。

HKMAのWebサイトによると、第3段階では、2022年6月30日までに25行が小売顧客向けにAPI機能を開始する予定です。また、大企業・中小企業顧客向けには23行が2022年6月30日までにAPI機能の提供を開始します。

第4段階では、参加銀行28行のうち27行が2022年6月30日までにアプリ間決済機能を開始します。残りの銀行も、2022年9月30日までに同機能を展開する予定です。

サウジアラビア王国

中央銀行は、銀行システムにおける競争、革新、金融包摂、効率性を促進することを目的としたオープンバンキング政策の概要を発表しました。現在、オープンバンキングの潜在的な影響と最善な導入方法を評価しています。オープンバンキングの導入は、設計、実施、稼働という3つの段階を経て行われます。

中央銀行の政策文書によると、実施段階では、定義されたフレームワークやテクノロジーの構成要素の開発、金融市場参加者との運用テストや顧客意識の向上などの展開活動が実施されます。2022年前半に本稼働する予定です。

英国

2021年5月、英国金融行為監督機構（FCA）は、電子商取引における強力な顧客認証（SCA）要件の実施期限を2022年3月14日まで延長する声明を発表しました。この6ヶ月の延長は、加盟店と消費者への混乱を最小限に抑えることを目的としており、前回の期限である2021年9月14日までに準備を整えるために業界が直面している継続的な課題を認識しているためとしています。

米国

これまで米国におけるオープンバンキングは市場主導で行われてきましたが、その状況は近い将来に変化する可能性があります。2021年7月、バイデン大統領は、米国経済における競争促進に向けた大統領令を発出しました。この大統領令は、経済全体における最も差し迫った競争上の諸問題を解決するため、10以上の連邦政府機関に対する72項目の命令で構成されています。米消費者金融保護局（CFPB）の局長が開始または継続を検討すべき72項目の取り組みの1つに、消費者の金融取引におけるデータポータビリティの促進を目的とした、ドッド・フランク法第1033条に基づく規則の制定があります。これにより、消費者はより簡単に金融機関を乗り換えたり、新しい革新的な金融商品を利用したりすることができるようになります。また、米国におけるオープンバンキングのきっかけにもなります。

2022年の予測

このような大きな規制変更の動きを踏まえて、今年の大胆な予測を考えてみましょう。

1. 米国が、暗号資産関連企業への規制に関する法案の事前公告（ANPRM）を公表する。
2. 米国の金融規制当局、通貨監督庁（OCC）、連邦準備理事会（FRB）、連邦預金保険公社（FDIC）、証券取引委員会（SEC）が、連邦取引委員会（FTC）による改正セーフガード・ルールのような包括的な規制に関する立法案公告（NPRM）を公表する。　
3. 米消費者金融保護局（CFPB）が、米国におけるオープンバンキングを推進するための政策を発表する。
4. 世界の中央銀行が、中央銀行デジタル通貨（CBDC）を保管・取引するデジタルウォレットに対して、顔や指紋などの生体認証を活用した多要素認証やモバイルアプリケーションシールドなど、厳格なセキュリティ要件を追加する。セキュリティは中央銀行にとって最も重要であり、同要件はCBDCが世界的に導入されるにつれて標準的なものとなるでしょう。
5. フランスのデータプライバシー規制機関である情報処理と自由に関する国家委員会（CNIL）は、機密性の高い個人データにアクセスする際、パスワードの使用が認められなくなることを発表する。単一要素認証（ユーザー名とパスワード）でアクセスするシステムやデータベースは、EU一般データ保護規則（GDPR）に準拠しなくなるでしょう。

銀行規制と機会

地域の銀行、グローバル銀行、銀行持株会社、信用組合、そして金融システムで、2022年は世界的に大きな規制改革を経験することになるでしょう。そのため、現在の規制変更や銀行法、さらには事業を展開している国や地域で議論されている新たな提案などについて、常に最新の情報を得ることが必要となります。規制の変更は、デジタルトランスフォーメーションの取り組みに決定的な影響を与える可能性があります。

セキュリティに関するソリューションと法規制の遵守については、「法規制の遵守の課題」を紹介したページをご覧ください。