オープン・バンキングAPIとは何ですか?
オープンバンキングAPIは銀行業務を変えます。オープン・バンキング・イニシアチブは、銀行の顧客がサード・パーティー・プロバイダー(TPP)と口座情報を安全に共有できるようにするものです。これは、TPPプログラムが銀行のアプリケーションと通信できるようにするアプリケーション・プログラミング・インターフェース(API)を通じて実現されます。その目的は、デジタルバンキングにおけるイノベーションを促進し、新しい金融アプリケーションの開発を加速させ、企業や消費者のためのサービスを向上させることです。
オープン・バンキングは2018年、英国の競争市場庁(CMA)が銀行に対してTPPへのアプリケーション開放を指示したことで始まりました。同年、欧州連合(EU)は決済サービス指令(PSD2)を更新し、決済口座や金融取引へのアクセスに関する新たなセキュリティ規制を義務付けると同時に、同じ目的を掲げました。
オープンバンキングAPIの典型的な使い方は、TPPアプリケーションによって提供される、異なる銀行口座からのデータを単一のビューに集約することです。TPPには2種類あります。Payment Initiation Service Providers(PISP)は顧客の銀行口座に接続し、顧客に代わって支払いを開始します。口座情報サービスプロバイダー(AISP)は顧客の銀行口座に接続し、資金管理などの金融サービスを提供します。
オープン・バンキングAPIのメリット
オープン・バンキングの長期的な成果のひとつは競争の激化であるため、既存銀行はオープン・バンキングの導入に消極的でした。歴史的に、銀行は顧客により良い金融サービスを提供するためにフィンテック企業と競争してきました。しかし、オープン・バンキングは、銀行が新興フィンテック企業や他の銀行と競争するのではなく、協力・提携する新しいビジネスモデルを模索する機会を提供します。また、オープンバンキングによって取引データをより詳細に管理できるようになるため、最終的には顧客にもメリットがあります。
銀行の顧客体験と金融機関の双方にとってWin-Winの状況です。顧客は口座や金融サービスへのアクセスや管理が向上し、新しい機能やサービスを利用することができます。金融機関は顧客により良いサービスを提供し、収益分配のエコシステムに参加することができます。オープン・バンキングと銀行APIがどのようにフィンテックの成長を後押ししているか」と題されたInsider Intelligenceの記事によると、調査会社は「オープン・バンキングに対応した中小企業(SMB)と小売顧客の提案を通じて生み出される英国での収益の可能性は、2024年までに20億ドルに達すると予測しています。
銀行、ひいてはその顧客は、オープンバンキングAPIを使用して自社のアプリケーションをフィンテックに開放することで、大きな勝者となることができます。いくつかの利点があります:
- イノベーションの迅速化: フィンテックは通常、既存の銀行のITチームよりも迅速に新しいアプリケーションや機能を革新し、開発することができます。
- 収益の増加: フィンテックは、テクノロジー構築プロジェクトを引き受け、提供するのに有利な立場にあります。
- 詳細な顧客インサイト: フィンテックは銀行の顧客データと連携し、顧客の財務傾向やパターンを把握することができます。
- パーソナライズされたオファー: 顧客の金融動向やパターンを利用し、フィンテックはパーソナライズされたサービスや提案を提供することで、顧客エンゲージメントを向上させることができます。
オープン・バンキングAPIを利用する銀行の例
金融業界全体では、有名な大手銀行、金融機関、貸金業者、フィンテック・スタートアップがすでにオープン・バンキングAPIを利用して、より優れた金融商品やサービスを提供しています。以下はその例です:
- テレフォニカ・ドイツのO2バンキング:テレフォニカ・ドイツは、携帯電話番号経由の取引、少額の即日融資、より良いモバイル・データ・プランを提供するモバイル専用銀行口座を立ち上げ、ドイツ銀行Fidorのプラットフォーム上に構築しました。
- Waveによる顧客財務情報の統合:請求書および会計ソフトウェアWaveは、銀行APIを使用してユーザーの銀行口座に接続し、クライアントが1か所でビジネス財務を完全に管理できるようにします。
オープン・バンキングへの取り組み
オープン・バンキングへの取り組みは、市場主導型と規制主導型の2つに大別されます。
米国や日本、シンガポール、インド、韓国を含むアジアの国々のような市場主導型の環境では、規制当局はオープン・バンキングAPIの導入のイニシアチブを銀行やTPPといったプレーヤーに任せています。米国では多くの大手銀行が独自の取り組みを開始し、TPPと協力しています。例えば米国では、オープン・バンキングはまだ、フィンテックがバンキング・アプリのディスプレイに表示されるデータから顧客情報を収集するスクリーン・スクレイピングが大部分を占めていますが、業界はより安全で信頼性の高いAPIに移行していくことが期待されています。
英国や欧州のような規制主導の環境では、主にPSD2によってイニシアチブが推進されてきました。香港も規制的なアプローチをとっており、金融機関はどのTPPSと連携するかを選択できます。
もう一つ注目すべきは、オーストラリアのオープンバンキングのアプローチです。これはオープンバンキングに対するアプローチとしては、これまでで最も野心的かつ革新的なものかもしれません。オーストラリアは実際にオープン・バンキングを超えて、オープン・データ・エコノミーを提案しています。これにより、オーストラリア国民はリテール・バンキング機関だけでなく、例えばエネルギー・プロバイダーや通信会社などの他の企業に対しても、サードパーティ・プロバイダーとのデータ共有を可能にするよう要請することができます。
オープンバンキングAPIのセキュリティリスク
銀行アプリケーションのTPPへの開放には、対処すべきリスクが伴います。すべての関係者にとって、不正防止は最優先事項です。OneSpanのセキュリティ・コンピテンス・センターの責任者であるフレデリック・メネス氏は、これらのリスクを3つのタイプに分類しています。
- 第一に、金融機関はシステムを公開し、消費者データをTPPと共有しています。そのため、金融機関には、信頼できるTPPとしか連携しないようにする義務があります。悪意のある、あるいは無許可のTPPがデータにアクセスすることは許されません。
- 第二に、TPPが提供するアプリケーションの利用者が銀行の口座にアクセスする際、不正アクセスを防ぐために適切に認証されなければなりません。これには、Strong Customer Authentication (SCA)のような追加認証が必要になることもあります。
- 第三に、銀行のITインフラは基本的にTPPのITインフラを含んでいます。そのため、TPPがデータ流出などの危険にさらされた場合、銀行も影響を受ける可能性があります。
セキュリティの脅威から銀行を守るには
上記の最初のリスクは、無許可のTPPが銀行の口座にアクセスしようとすることです。この種の不正アクセスから守るために、銀行はTPPにすべてのリクエストにデジタル署名を要求することができます。TPPは信頼できる認証局から発行された証明書に対応する公開鍵と秘密鍵のペアを持つことになります。これにより、TPPはオープンなバンキング・インターフェースを通じて通信する際に、自分自身を認証することができます。
権限のないユーザーが銀行の口座にアクセスするリスクに対処するため、銀行はPSD2で指示されているように、強力な顧客認証とトランザクション監視を使用する必要があります。他の仕様の中でも、PSD2は、リクエストの処理に必要な認証のレベルがリクエストされるトランザクションのリスクのレベルに依存するトランザクション認証を義務付けています。例えば、オンライン・バンキングにログインした後、残高を確認するための顧客からのリクエストはシームレスに処理されるかもしれませんが、資金を送金するためのリクエストは、より強力な認証をユーザーに求めるかもしれません。
PSD2および関連する規制技術基準(RTS)は、オープンバンキングAPIを通じて行われるものも含め、オンライン決済の大半について、不正行為の監視を行い、強固な顧客認証(SCA)を適用することを義務付けています。SCAは、決済口座情報へのアクセス、およびオープンバンキング経由の取引を含むすべての決済開始に適用されなければなりません。適用除外は義務ではありませんが、銀行が決定すれば適用除外の恩恵を受けることができます。
オープンバンキングの不正分析プログラムでは、OneSpan Risk Analyticsのようなソリューションが、銀行が公開するオープンバンキングAPIを通じて、1つまたは複数のオープンバンキングサービスを運営するTPPからのイベントの監視をサポートします。OneSpan Risk Analyticsは、PSD2不正モニタリング要件、ビジネスロジック、典型的な不正シナリオをカバーするルールシナリオを事前に構築します。これらのルールは、オープンバンキングを含むデジタルバンキングのチャネルをサポートします。
PSD2で要求されるオープンAPIは、新しい革新的なバンキングサービスやアプリを生み出すでしょう。しかし同時に、銀行は犯罪者による顧客データや取引へのアクセスを防止しなければなりません。そのため、銀行とTPPはリスクを認識し、十分な保護を提供する必要があります。詳しくはこちらのブログをご覧ください:PSD2におけるオープンバンキングAPI:リスクを軽減する方法。
強固な顧客認証
SCAに合格するためには、顧客は多要素認証(MFA)を使って認証を成功させなければなりません。PSD2におけるオンライン決済では、顧客は3つの認証要素のうち2つを提供する必要があります。3つの要素とは
- 知識:パスワードや暗証番号など、利用者が知っているもの。
- 所有:携帯電話など、ユーザが持っているもの。
- 内在:指紋や掌紋など、ユーザが存在するもの。
SCAを実現するには3つの方法があります:
- 銀行のウェブ・アプリケーションによるリダイレクト・アプローチ
- TPPアプリケーションに直接組み込む方法
- 銀行のモバイルTrusted Deviceアプリケーションを使った分離アプローチ
リダイレクト・アプローチでは、ユーザは銀行のウェブサイトにリダイレクトされ、認証情報 を入力します。組み込み型アプローチでは、認証プロセスは完全に自動化され、ユーザーは認証情報をTPPと共有し、TPPはバックグラウンドで認証を行い、支払いを開始します。分離型アプローチでは、第二の要素は、トランザクションを要求するデバイスとは別のデバイスを介して提供されます。
オープンファイナンスについて
オープンバンキングは、銀行業界ではまだかなり新しいものです。しかし、金融機関はすでにオープン・ファイナンスという次のステップに進むことを話し合っています。オープンバンキングの取り組みは、主に決済口座に適用されています。 今こそ、このコンセプトをすべての口座に適用し、消費者が個人の財務や財務データを総合的に把握できるようにする時です。オープン・バンキングの新しいサービス、技術、メリットが、住宅ローン、投資、年金、保険など他の金融口座に適用できない理由はありません。
Tyrrell, Darcy, Yodlee, "Open Banking APIs Explained," June 2020,https://www.yodlee.com/open-banking/open-banking-api
Belmaker, Gidon, TearSheet, "7 Examples Showing the Power of Banking APIs," November 2016,https://tearsheet.co/artificial-intelligence/7-examples-showing-the-power-of-banking-apis/
Mennes, Frederik, OneSpan, "Security and Compliance in an Open Banking World," https://www.onespan.com/resources/video-open-banking-security-considerations