オープンバンキングAPIとはどのようなもので、どのように機能するのでしょうか?
オープンバンキングのAPIが銀行業務を変える オープン・バンキング・イニシアチブにより、銀行のお客様は自分の口座情報を第三者機関(TPP)と安全に共有できるようになりました。 これは、TPPプログラムが銀行のアプリケーションと通信するためのAPI(Application Programming Interfaces)によって実現されています。 その目的は、デジタル・バンキングのイノベーションを促進し、企業や消費者のための新しい金融アプリケーションやサービスの向上の開発を加速することにあります。
オープンバンキングは、2018年に英国の競争・市場庁(CMA)が銀行に対してTPPへの申請を開放するよう指示したことで始まった。 同年、欧州連合(EU)の決済サービス指令の更新(PSD2)も同じ目的で行われ、決済口座へのアクセスや金融取引に関する新たなセキュリティ規制が義務付けられました。
オープンバンキングAPIの典型的な使用方法は、TPPアプリケーションによって提供される、異なる銀行口座からのデータを単一のビューに集約することです。 TPPには2つのタイプがあります。 Payment Initiation Service Providers(PISP)は、お客様の銀行口座に接続し、お客様に代わって支払いを開始します。 AISP(Account Information Service Provider)は、お客様の銀行口座に接続し、資金管理などの金融サービスを提供します。
オープンバンキングAPIのメリット
オープンバンキングの長期的な成果の1つは競争の激化であるため、既存の銀行はオープンバンキングの導入に消極的でした。 歴史的には、顧客により良い金融サービスを提供するために、フィンテック企業と競争してきた。 しかし、オープンバンキングは、銀行が新興のフィンテックや他の銀行と競争するのではなく、協力したり提携したりして、新しいビジネスモデルを模索する機会を提供してくれます。 また、オープンバンキングにより、顧客は自分の取引データをより自由にコントロールできるようになるため、最終的には顧客にもメリットがあります。
銀行のお客様の体験と金融機関の両方にメリットがあるのです。 お客様は、ご自身の口座や財務状況をよりよく把握し、コントロールすることができ、新しい機能やサービスを利用することができます。 金融機関は、顧客にサービスを提供し、レベニューシェアのエコシステムに参加することができます。 How open banking and bank APIs are boosting fintech growth」と題されたInsider Intelligenceの記事によると、調査会社は「オープンバンキング対応の中小企業(SMB)やリテール顧客向けプロポジションを通じて生み出される英国内の潜在的な収益は、2024年までに20億ドルに達すると予測している」
銀行、ひいてはその顧客は、オープンバンキングAPIを利用して自社のアプリケーションをフィンテックに開放することで、大きな勝利者となることができるのです。 いくつかの利点があります。
- イノベーションの迅速化:フィンテックは一般的に、既存の銀行のITチームよりも迅速に新しいアプリケーションや機能を革新・開発することができます。
- 収益の増加:フィンテック企業は、技術構築プロジェクトを受注し、提供するのに適した立場にあります。
- 詳細な顧客インサイト:フィンテックは銀行の顧客データと連携して、顧客の財務傾向やパターンを提供することができます。
- パーソナライズされた提案:顧客の財務傾向やパターンを利用して、フィンテック企業はパーソナライズされたサービスや提案を提供することで、顧客エンゲージメントを向上させることができます。
オープンバンキングAPIを利用している銀行の例
金融業界全体では、有名な大手銀行、金融機関、貸金業者、フィンテックのスタートアップ企業が、すでにオープンバンキングAPIを利用して、より優れた金融商品やサービスを提供しています。 いくつか例を挙げてみましょう。
- Telefonica DeutschlandのO2 Banking:Telefonica Deutschlandは、ドイツの銀行Fidorのプラットフォームを利用して、携帯電話番号での取引、少額の即日融資、より良いモバイルデータプランを提供するモバイル専用の銀行口座を開設しました。
- Waveによる顧客の財務情報の統合:請求書・会計ソフトのWaveは、銀行APIを利用してユーザーの銀行口座に接続し、顧客がビジネスの財務を一箇所で完全に管理できるようにしています。
オープンバンキングへの取り組み
世界のオープンバンク・イニシアチブの推進要因は、市場主導型と規制主導型の2つに大別されます。
米国や日本、シンガポール、インド、韓国などのアジア諸国のような市場主導型の環境では、規制当局は銀行やTPPなどのプレイヤーにオープンバンキングAPIの導入のイニシアチブを委ねています。 米国では多くの大手銀行が独自の取り組みを開始し、TPPに取り組んでいます。 例えば米国では、オープンバンキングはまだ銀行アプリのディスプレイに表示されたデータからフィンテックが顧客情報を収集するスクリーンスクレイピングが主流ですが、業界ではより安全で信頼性の高いAPIへの移行が期待されています。
PODCAST
State of Open Banking in United States podcast
In this podcast, writer and lecturer Jason Pereira interviews Frederik Mennes to discuss the state of Open Banking in the United States.
Listen Now
英国や欧州のような規制主導の環境では、主にPSD2によって取り組みが進められています。 香港も規制的なアプローチをとっており、金融機関がどのTPPSと連携するかを選択できるようになっています。
また、オーストラリアにおけるオープンバンキングの取り組みも注目すべき点です。 これは、これまでのオープンバンキングの中で最も野心的で革新的なアプローチかもしれません。 オーストラリアでは、オープンバンキングにとどまらず、オープンデータエコノミーを提案しています。これは、オーストラリア国民が、リテールバンキング機関だけでなく、エネルギー供給会社や通信会社など、第三者のプロバイダーとのデータ共有を可能にするよう要求できるというものです。
オープンバンキングAPIのセキュリティリスク
銀行業務をTPPに開放することには、対処すべきリスクがあります。 不正行為の防止は、すべての関係者にとって最優先事項でなければなりません。 OneSpan社のSecurity Competence Centerの責任者であるFrederik Mennes氏は、これらのリスクを3つのタイプに分けています。
- まず、金融機関がシステムを公開し、消費者データをTPPと共有しています。 そのため、金融機関には、信頼できるTPPとだけ連携することが義務づけられています。 悪意のある、あるいは権限のないTPPが自分のデータにアクセスすることは許されない。
- 第二に、TPPが提供するアプリケーションの利用者が銀行の口座にアクセスする際に、不正なアクセスを防ぐための適切な認証が必要である。 これには、SCA(Strong Customer Authentication)などの追加の認証が必要になる場合があります。
- 第三に、銀行のITインフラには、基本的にTPPのITインフラが入っている。 そのため、TPPがデータ漏洩などの被害を受けた場合、銀行にも影響が及ぶ可能性があります。
銀行をセキュリティの脅威から守るには
前述の1つ目のリスクは、不正なTPPが銀行の口座にアクセスしようとすることです。 この種の不正アクセスを防ぐために、銀行はTPPにすべての要求をデジタル署名することを要求することができます。 TPPは、信頼できる認証局から発行された対応する証明書を持つ、公開鍵/秘密鍵のペアを持つ。 これにより、TPPがオープンバンキングのインターフェースを介して通信する際に、自分自身を認証することができるようになります。
承認されていないユーザーが銀行の口座にアクセスするリスクに対処するために、銀行はPSD2で指示されているように、強力な顧客認証と取引監視を使用する必要があります。 PSD2では、取引の認証を義務付けており、リクエストの処理に必要な認証のレベルは、リクエストされた取引のリスクレベルに応じて決定されます。 例えば、オンラインバンキングにログインした後、お客様からの残高確認のリクエストはシームレスに処理されますが、資金移動のリクエストにはより強力な認証が求められることがあります。
PSD2および関連するRTS(Regulatory Technical Standards)では、オープンバンキングAPIを介して行われるものも含め、大部分のオンライン決済において不正行為の監視を行い、強力な顧客認証(SCA)を適用することが義務付けられています。 SCAは、支払い口座情報へのアクセスや、オープンバンキングによる取引を含むすべての支払い開始に適用されなければなりません。 免除措置は義務ではありませんが、銀行が決定すれば恩恵を受けることができます。
オープンバンキングの不正分析プログラムでは、OneSpan Risk Analyticsのようなソリューションが、銀行が公開しているオープンバンキングAPIを通じて、1つまたは複数のオープンバンキングサービスを運営するTPPからのイベントの監視をサポートします。 OneSpan Risk Analyticsは、PSD2不正監視の要件、ビジネスロジック、および典型的な不正シナリオをカバーする、あらかじめ構築されたルールシナリオを提供します。 このルールは、オープン・バンキングを含むデジタル・バンキング・チャネルをサポートします。
PSD2で求められているオープンAPIは、新しい革新的な銀行サービスやアプリにつながります。 しかし同時に銀行は顧客データとトランザクションにアクセス使用とする犯罪を回避しなければなりません。 そのため銀行とTPPはリスクを意識し、十分な保護を提供しなければなりません。 詳しくはこちらのブログをご覧ください:PSD2におけるオープンバンキングAPI:リスクを軽減する方法
Strong Customer Authentication(確実な本人認証)
SCAに合格するためには、お客様は多要素認証(MFA)による認証に成功する必要があります。 PSD2のオンライン決済では、3つの認証要素のうち2つをお客様に提供していただくことになります。 という3つの要素があります。
- 知識:ユーザーが知っているもの、例えば、パスワードやPINなど。
- Possession:ユーザーが持っているもの、例えば、携帯電話など。
- インヘレンス:ユーザーが持っているもの、例えば、指紋や掌紋など。
SCAを実現するには3つの方法があります。
- 銀行のウェブアプリケーションを使ったリダイレクトアプローチ
- TPPアプリケーションによる直接の組み込み型アプローチ
- 銀行のモバイル・トラステッド・デバイス・アプリケーションとの切り離したアプローチ
リダイレクト方式では、ユーザーは銀行のウェブサイトに誘導され、認証情報を入力します。 組み込み型のアプローチでは、認証プロセスは完全に自動化されており、ユーザーは認証情報をTPPと共有し、TPPはバックグラウンドで認証を行い、支払いを開始します。 デカップルド・アプローチでは、第2の要素は、トランザクションを要求した人とは別のデバイスを介して提供されます。
オープンファイナンスについて
オープンバンキングは、銀行業界ではまだかなり新しいものです。 しかし、金融機関はすでに次のステップであるオープンファイナンスに向けて話し合っています。 オープンバンキングの取り組みは、主に支払口座に適用されます。今後は、このコンセプトをすべての口座に適用し、消費者が個人の財務や金融データを総合的に把握できるようにしたいと考えています。 オープン・バンキングの新しいサービス、技術、メリットが、住宅ローン、投資、年金、保険などの他の金融口座に適用できない理由はありません。
Tyrrell, Darcy, Yodlee, "Open Banking APIs Explained," June 2020, https://www.yodlee.com/open-banking/open-banking-api
Belmaker, Gidon, TearSheet, "7 Examples Showing Power of Banking APIs," November 2016, https://tearsheet.co/artificial-intelligence/7-examples-showing-the-power-of-banking-apis/
Mennes, Frederik, OneSpan, "Security and Compliance in an Open Banking World," https://www.onespan.com/resources/video-open-banking-security-considerations