オープン バンキングとは何か、テクノロジの功罪

オープン バンキングは金融とテクノロジの融合ですが、リスクが伴います。安全なオープン バンキング フレームワークの構築についてご紹介します。

オープン バンキングでは、サードパーティの決済サービスなどの金融サービスを提供するプロバイダが、アプリケーション プログラミング インターフェイス(API)を通じて従来の銀行や金融機関の銀行取引などのデータにアクセスできます。この安全性の高いデータ相互運用性を備えたオープン バンキングによって、消費者は複数のプラットフォームにわたって金融情報にアクセスして管理できるようになり、分散型銀行サービス、新しい決済機能、より革新的でパーソナライズされた金融サービスのビジネス モデルを利用することができます。

オープン バンキングの概要

従来の銀行取引では、金融データは各銀行内でサイロ化されているのが普通です。顧客にとって、データを第三者と共有する選択肢は限られており、データ アクセスは銀行内の閉じたサービス プロバイダ エコシステムに制限されていることが多く、利用できるオプションの幅も狭く、競争やイノベーションが阻害されています。オープン バンキングが従来の銀行取引と違うのは、金融サービス業界(FSI)内でのデータ共有、競争、顧客エンパワーメントを重視している点です。

オープン バンキングとは何か

オープン バンキングとは、安全性の高いAPIを通じて金融機関と認可されたサードパーティ プロバイダとの間で安全なデータ共有を促進する、テクノロジベースの銀行システム向けフレームワークです。オープン バンキングは、競争とイノベーションを促して金融データの顧客管理を強化します。これにより消費者は、堅牢なセキュリティ対策を維持しながら広範な金融サービスとアプリケーションにアクセスすることができます。オープン バンキングは、透明性を高め、カスタマ エクスペリエンスを改善し、よりパーソナライズされた金融商品およびサービスの開発を推進することを目的としています。

主な登場人物と要素

オープン バンキング環境は複数の登場人物と要素で構成されていて、これらが互いに関わり合って、データの安全な共有と新たな金融サービスの開発を可能にしています。

オープン バンキング システムの主役は、銀行、信用組合、証券会社など、従来の金融サービスを提供し、顧客の口座や金融データを保有している金融機関です。これらの金融機関に加え、オープン バンキングAPIを利用して新たな金融商品とサービスを提供しているサードパーティ プロバイダ(TTP)が存在します。このようなTTPには、最新のテクノロジを使用してよりユーザーフレンドリーで革新的、かつニッチな商品とサービスを開発することで、従来のFSIに揺さぶりをかけようとしているソフトウェア開発業者や金融テクノロジ(フィンテック)企業がいます。オープン バンキング エコシステムのもう一つの主役は規制当局です。規制当局は、銀行規制を監督して施行し、さらに大規模な金融サービス分野でデータ共有とセキュリティを統制するルールや標準を策定しています。

オープン バンキングは一連の主要なテクノロジも利用しています。その中で最も重要なのがAPIです。APIは、アプリケーションが他のアプリケーション、サービス、プラットフォームと(この場合は、銀行、TTP、顧客、場合によってはデータ アグリゲーターとの間で)円滑に通信を行い、データをやり取りするためのインターフェイスです。このデータのやり取りを攻撃から確実に守るには、暗号化、認証と認可、データ共有プロトコルといった強力なセキュリティ対策を整備することでデータ プライバシーを維持し、サイバー攻撃、データ侵害、不正アクセスを阻止する必要があります。

オープン バンキングAPI

APIは、銀行が顧客の金融データをサードパーティ プロバイダと安全に共有するための標準化された方法を提供します。

オープン バンキングにおけるAPIの役割

APIは、オープン バンキングを可能にする要です。APIのおかげで、双方が互いのアーキテクチャの複雑さを意識することなく他方のシステムを認識して連携することができます。厳密な認可メカニズムを使用することで、銀行は、API経由でアクセスできるデータをきめ細かく制御して、サードパーティが必要なデータ以外にアクセスできないようにすることができます。APIまたはAPIゲートウェイには通常、銀行がデータ アクセスを監視して追跡するための監査機能が組み込まれています。この監査機能により、不審な活動や不正な活動を特定し、誰がどのデータにいつアクセスしたかを記録することができます。

オープン バンキングAPIの標準

APIの標準とプロトコルを共有することは、オープン バンキング システムのエンティティ間でデータを安全に共有して交換するための一貫性、セキュリティ、相互運用性を確保する上で不可欠です。その例をいくつか示します。

  • OAuth(Open Authorization)は、APIでの安全な認可と認証に一般的に使用される認証プロトコルです。このプロトコルを使用することで、サードパーティ アプリケーションはユーザーのデータにその資格情報を公開することなくアクセスできます。
  • RESTful API(Representational State Transfer API)は、ネットワーク アプリケーションを設計するための軽量なWeb APIアーキテクチャです。RESTful APIは、インターネットを介した、さまざまなソフトウェア システム間での通信とデータ交換を可能にするためのもので、Webサービスの構築でよく使用されています。RESTful APIはステートレスであるため、クライアントからサーバに送信される各リクエストに、このリクエストを認識して処理するために必要なすべての情報が含まれていなければなりません。
  • JSON Web Token(JWT)は、コンパクトかつ自己完結型の安全な方法でデータを二者間で送信するための、オープン標準の方法です。JWTは、トークンベースの認証と認可に広く使用されています。
  • SSL/TLS暗号化は、安全性の高いWeb参照のためのセキュリティ フレームワークで、高度なセキュリティを提供し、セキュアな通信と認証を容易にします。最新バージョンのTLSプロトコルはTLS 1.3で、Perfect Forward Security(PFS)と呼ばれる重要なセキュリティ機能が新たに組み込まれています。PFSプロトコルで使用されている鍵交換メカニズムは、セッションごとに動的に生成され、そのセッションのみに使用されます。攻撃者が現在の通信を暗号化するために使用されている秘密鍵にアクセスしたとしても、PFSでは過去または将来の通信を復号することはできません。

オープン バンキングAPIのユース ケース

オープン バンキングAPIを活用することでフィンテックとTPPは、次のような革新的な金融ソリューションを提供できます。

  • アカウント アグリゲーションは、複数の金融機関や口座の金融情報(銀行口座、クレジット カード、投資、貸付など)を1つのビューに統合することで、顧客は1つの統合インターフェイスで金融情報全体を確認できます。オープン バンキングAPIによって、さまざまな銀行や金融機関に保管されている口座情報に安全にアクセスし取得できるため、消費者は容易に家計を管理して支出を追跡し、予算を設定して、情報に基づいて財務上の判断を下すことができます。
  • 決済指図伝達サービスは、電子決済取引の一つです。消費者は小切手やクレジット カードなどの従来の手段を使わずに銀行口座から直接決済を行うことができます。決済指図伝達サービス プロバイダ(PISP)は、オープン バンキングAPIを使用して資金を送金元の銀行口座から受領者の銀行口座に、従来の決済方法よりも迅速かつ効率的に送金できます。しかもその多くで、取引手数料が安くなります。
  • 信用スコアは、消費者の信用力をその金融履歴や行動に基づいて評価するものです。オープン バンキングAPIにより、金融データをリアルタイムで取得することで十分な情報に基づいたより精度の高い信用プロファイルを作成できます。

オープン バンキングは安全か

オープン バンキングは、金融データと取引の機密性、整合性、可用性を保護するために、複数のセキュリティ対策を講じて運用されています。これらのセキュリティ対策によってオープン バンキングの安全性は大幅に向上しますが、リスクが皆無のシステムはありません。サイバーセキュリティの脅威は常に進化し、脆弱性は出現します。オープン バンキングは一般的に安全ですが、そのセキュリティは標準化されたセキュリティ慣行の導入と規制遵守に大きく依存しています。

欧州連合の場合、オープン バンキングは、PSD2(Revised Payment Services Directive 2)内の堅牢な規制の枠組みによって統制されています。PSD2は、銀行とTPPの双方に厳格な顧客認証、データ保護、セキュリティ標準を規定しています。米国には、オープン バンキングの規制の枠組みは特にありませんが、国内の銀行関連活動には、既存の金融規制とデータ保護法の両方が適用されます。これらには、米国通貨監督庁(OCC)、連邦準備制度、消費者金融保護局(CFPB)などの連邦機関が含まれます。Financial Data Exchange(FDX)も米国である役割を担っており、北米最大の金融サービス機関の代表者で構成された非営利団体として、相互運用可能な共通のデータ標準であるFDX API標準の策定に注力しています。

また、オープン バンキング ソリューションには、金融データと取引の機密性、整合性、可用性を保護するためのセキュリティ対策が組み込まれています。銀行とTPPは、不正アクセスを防止して攻撃を防御するために、アクセス制御、レート制限、脅威監視など、APIの強力な安全対策を導入する必要があります。オープン バンキングでは、金融データと決済指図伝達サービスへのアクセスに厳格な顧客認証が必要であり、さらに銀行、TPP、消費者間のデータ送信の安全性を確保するための暗号化プロトコルが組み込まれています。

オープン バンキングのメリット

オープン バンキングは、最先端のデジタル金融サービスとたくさんの従来の銀行機関との統合を加速させます。また、消費者に無数のメリットをもたらし、金融サービス環境を顧客中心の効率的で包摂的なものに転換する可能性を秘めています。

カスタマ エクスペリエンスの強化

オープン バンキングによって顧客は、1つの銀行で一般に提供できる範囲を超えた、より広範な金融商品とサービスを利用できるようになります。1つの統合ダッシュボードにさまざまなサービスが表示され、その多くは1つのモバイル アプリケーションやモバイル プラットフォームを使用して、1か所で複数の銀行や金融機関のさまざまな口座を確認して管理することができます。その結果、財務管理が簡素化され、顧客は自身の財務状況を包括的に把握することができます。フリクションレス認証が可能なサービスなら、CAPTCHAやMFAメカニズムなどのセキュリティの質問を排除して、強力なアクセス セキュリティを維持したまま、カスタマ エクスペリエンスをさらに合理化できます。

競争とイノベーションを促進

従来の障壁を取り払い、新規参入者が新たな金融商品やサービスを提供できるようにすることで、オープン バンキングは、金融業界の競争とイノベーションをさらに促進します。こうした新規参入者は、銀行取引と金融に対する斬新なアプローチを提供することで、既存の銀行と金融機関に挑戦し、経済活動における顧客のニーズと目的により合致するようにカスタマイズした金融商品やサービスを提供することができます。また、銀行とTPP間の競争が激しくなることで、金融商品とサービスの低価格化が進み、顧客は手数料の引き下げ、金利の向上、利用規約の改善といった恩恵を受けることができます。

金融包摂と利用可能性

またオープン バンキングは、従来の信用履歴を持たず、十分なサービスが受けられない消費者層に金融サービスを拡張するのにも役立ちます。公共料金の支払いや家賃の履歴といった従来とは異なる金融情報源を評価することで、個人が他の方法では拒否されるかもしれない融資や金融商品を利用できるようになるかもしれません。

オープン バンキングの課題と懸念

オープン バンキングには無数のメリットがありますが、課題や懸念もいくつかあります。実装と導入を成功させるには、これらを克服するする必要があります。

データ プライバシーとセキュリティ

オープン バンキングにおける顧客データの盗難と悪用の可能性についての懸念は重大な問題であり、金融情報の機密性に起因しています。顧客は、厳格なセキュリティ対策で自身の金融データが確実に管理されていて、顧客データが保護され、許可された目的にのみアクセスされ、使用されるという確信を求めています。脆弱なセキュリティはデータ漏洩を招き、顧客の機密情報をサイバー犯罪者や攻撃者にさらすことになりかねません。

法規制の遵守

オープン バンキングに関する規制の現状は複雑で、欧州のPSD2など、地域ごとに異なる標準が存在します。金融機関やTPPは、コンプライアンス標準が異なる複数の国で事業を展開するには、こうした規制にうまく対処しなければならなず、異なるシステム間の相互運用性を確保し、複数の規制の枠組みに準拠することが、技術的な課題になりかねません。また、商品やサービスが規制の境界をまたぐ場合、オープン バンキング標準の効果的な実施とコンプライアンス違反に対する責任の追及が難しくなる可能性があります。

データ侵害と不正行為のリスク

銀行やTPPの間で顧客の金融データを共有することは、データ侵害のリスクを高めるため、顧客情報や口座情報を保護するには、堅牢な認証と暗号化が極めて重要です。また、オープン バンキング エコシステム内でTPPなどの当事者と金融データを共有することについて、顧客の明確な同意を得て、これを追跡、管理するプロセスは、複雑なものになりがちです。顧客の同意が悪用されることなく、データ保護規制とプライバシー規制に従って顧客から明示的な許可を得た上でのみ顧客データにアクセスして使用するようにするには、明確でユーザーにわかりやすい同意の仕組みが必要です。

オープン バンキングの未来

最先端の銀行サービスを求める顧客の需要が加速する中、オープン バンキングは大きく成長していくでしょう。また、テクノロジの進化やセキュリティへの関心の高まり、サイバー攻撃のまん延も、オープン バンキングの進化を推し進めるでしょう。

オープン バンキング テクノロジの進化

人工知能(AI)やブロックチェーンなどの新たなテクノロジは、セキュリティを強化して革新的な金融サービスを可能にすることで、オープン バンキングの未来に著しい影響を及ぼす可能性があります。AIを活用したセキュリティ ソリューションは、リアルタイムで膨大な量のデータを分析して不正行為や異常を検知することができ、より堅牢なID確認を実現することで、オープン バンキング プラットフォームのセキュリティ全体を強化することができます。ブロックチェーン テクノロジは分散型金融アプリケーションの鍵であり、金融資産の貸付、借入、取引を分散化して個人間の直接的なピアツーピア取引を可能にすることで、銀行や決済処理業者といった従来の中間業者を通す必要性をなくします。こうしたイノベーションは、従来の銀行サービスの崩壊を進め、オープン バンキングの範囲を広げる可能性があります。

また、規制の変更や技術の進歩、消費者ニーズが、国際的金融環境の相互のつながりを強め、競争を激化させる動きを生み出しています。オープン バンキングの取り組みが広がり、オープン バンキングの規制や標準を導入する国が増えるにつれて、国境を越えた相互運用性の実現が重要になっています。金融データやサービスを国境をまたいで円滑にやり取りするには、標準化されたプロトコルと方法論が必要であり、これによって顧客は国境を越えて旅行やビジネスをする際も金融サービスにシームレスにアクセスできるようになります。

さらにオープン バンキングは、商品中心のビジネスから顧客中心のビジネスへと、金融業界が根本的に移行しつつあることも意味しています。オープン バンキングでは、顧客を戦略の最重要課題と据え、パーソナライズされたサービスとエクスペリエンスを重視します。また、その運用でデータ分析とAIを活用して、進化する顧客ニーズに合わせたアドバイスや投資オプション、貯蓄方法を提供することもできます。

銀行業界に混乱を招く可能性

顧客には、オープン バンキングがバンキング エクスペリエンス全体を向上させるものに見えるかもしれませんが、そのダイナミクスによって、競争が激化して従来の銀行にサービス改善、手数料引き下げ、イノベーションの圧力をかけ、金融業界に混乱を引き起こす可能性もあります。古いITシステムを抱えた従来の銀行は、技術的な制約やシステム アップグレードの高いコストが課題となって、より俊敏なフィンテック競合企業に追いつくことが難しくなり、オープン バンキングとの競争に苦戦するかもしれません。また、オープン バンキングは、金融取引における中間業者の必要性を減らし、従来の銀行を通さない可能性もあります。こうした仲介機能の排除は、銀行の融資手数料や収益源に影響を及ぼします。

ただし、オープン バンキング参入企業と従来の金融機関の関係が敵対的である必要はありません。従来の銀行とフィンテック企業の連携が双方に有益なパートナーシップを生み、従来の銀行も競争力を維持し、イノベーションを起こし、サービスを強化することができる可能性もあります。従来の銀行がフィンテックと協働することで、バラエティに富んだ金融商品やサービスを顧客に提供し、多様なニーズと好みに応え、未開拓だった市場や消費者層にアプローチすることができます。オープン バンキングは、両者が互いの強みとサービスを補完し合う機会をもたらします。

F5がお手伝いできること

オープン バンキングは、複数のプラットフォームにまたがって金融情報にアクセスして管理できるようにすることで、分散型銀行サービス、新しい決済機能、より革新的でパーソナライズされた金融サービスのビジネス モデルを実現する可能性を秘めています。ただし、オープン バンキング エコシステム内での金融データの共有は、サイバーセキュリティとデータ プライバシーのさまざまなリスクを引き起こします。そのため、銀行やTPPは、プライバシーを維持してサイバー攻撃、データ侵害、不正アクセスを防御するために、暗号化、認証と認可、データ共有プロトコルなどの堅牢なセキュリティ対策をAPIに導入しなければなりません。

F5は、APIとアプリケーション、そしてそれらが可能にするオープン バンキング サービスを堅牢に保護する、包括的な銀行・金融サービス サイバーセキュリティ製品を提供しています。これらのソリューションは、アーキテクチャ、クラウド、エコシステム統合全体にわたってAPIとアプリケーションを保護し、APIセキュリティの総コストを削減しながら、リスクと運用の複雑さを低減します。金融サービス業界のデジタル イノベーションを支えながらリスク管理を改善する積極的なAPIセキュリティ モデルを導入することで、F5ソリューションがオープン バンキングAPIをどのように保護するのかをぜひご覧ください