情報センサー

進まない「銀行オープンAPI」 -何が起きているのか

2020年1月31日 PDF
カテゴリー EY Consulting

情報センサー2020年2月号 EY Advisory

EYアドバイザリー・アンド・コンサルティング(株) 原島茂幸

大手銀行を経て、当法人入所後、EYアドバイザリー・アンド・コンサルティング(株)へ転籍。同社 シニアマネージャー。金融機関のシステムリスク管理に関するアドバイザリー業務、システム監査業務等に従事。2018年6月まで一般社団法人電子決済等代行事業者協会 事務局長として団体立上げと自主規制基準策定準備作業に従事していた。

Ⅰ  銀行オープンAPIの概要

例えば家計簿アプリに電気料金支払いを記帳する場合、銀行の口座振替データをアプリに連携すれば、手動入力の手間を省け、便利で快適な使い方が実現できます。このようなデータ連携を行う機能として銀行オープンAPIが注目されています。
APIとはApplication Programming Interfaceの略であり、システムの機能やデータを外部のシステムや組織に利用させる場合の公開用接続口といえるものです。APIを利用する側は、所定の仕様に従ってプログラミングすることで、その機能やデータへのアクセスが可能となります。このうち、セキュリティなど一定の要件を満たす外部企業等であれば誰にでも公平に利用を認めるものをオープンAPIといいます。オープンAPIは公開する側の目的や戦略に応じて、有償の場合も無償の場合もあります。
銀行オープンAPIは、Fintechの一環として、決済高度化や生産性革命の実現への期待により国の審議会等で取り上げられ、2018年6月の改正銀行法(以下、法)によって制度化されました。預金者の側に立って銀行口座にアクセスしサービスを提供する家計簿事業者などの者について「電子決済等代行業者」(以下、電代業者)という業態を新設して登録制が導入されました。

Ⅱ 銀行オープンAPIを巡る課題

最近の報道によれば、銀行オープンAPIのための電代業者と銀行との契約締結が進まず、公正取引委員会も調査に乗り出すということです。一体何が起きているのでしょうか。
法では、預金者口座へのアクセスのための接続契約締結が電代業者と銀行に義務付けられましたが、2年間の猶予措置が設けられています。その期限である20年5月までに電代業者と銀行は法の施行前から運営されている既存サービスについて契約締結を行うこととされました(<図1>参照)。契約締結が完了しないまま猶予期間が満了した場合にサービスが中止に追い込まれることとなれば、既存利用者への影響は避けられません。決済高度化や生産性革命といったイノベーションへの期待により制度が整備されてきたはずですが、逆に普及しつつあるFintechの芽を摘み、イノベーションを阻みかねないと憂慮されています。

図1 契約締結スケジュール概要

Ⅲ 課題の背景

背景には、大きく二つの要因があると思います。

1. セキュリティ審査

銀行は、契約を通じて電代業者による情報の取扱いや安全管理措置の審査を行うことと法で定められていますが、制度の趣旨からは銀行で求められるほどのセキュリティ到達度を求められていません。スタートアップ企業が多い電代業者の特性を踏まえ、当該電代業者の組織規模やサービスのリスクを総合的に勘案して管理体制を評価し、リスクを判断することが銀行には求められています。しかし、銀行が当該新しい仕組みのリスクを査定して当該電代業者の管理体制を評価するには、契約締結の猶予期間が2年というのは短いのかもしれません。
審査の負担は制度の検討初期から認識され、公益財団法人金融情報システムセンター(FISC)によりAPI接続契約審査のためのチェックリストが作成される等、関係者は相当な努力を払っているようですが、前述のリスク査定および管理体制の評価には時間を要するということでしょうか。

2. 接続料

銀行オープンAPIを巡るこれまでの報道では、銀行から電代業者の採算に合わない高額の接続手数料を求められるケースが増えていることや、一部銀行とFintech企業間でのAPI接続手数料交渉が難航しているといったことが伝えられています。
そもそも企業がオープンAPIを通じてデータを公開する目的は何でしょうか。「APIエコノミー」や「APIのビジネスモデル」といった各種の解説によれば、直接の「接続料収入」のほかには「広告・マーケティング・顧客ベース拡大」「提携先拡大」「サービス品質向上」といったものがあるようです。わが国の状況として、アンバンクト※1と呼ばれる層がほとんど存在しないことや、銀行サービスが普及している状況を踏まえると、現時点ではAPIを活用した各種サービスに対して、接続料収益以外のメリットを直ちに見いだせないのかもしれません。このような状況であればこそ、魅力あるオープンAPI活用サービスを育成し普及させていく期間が必要であり、やはり契約締結の猶予期間は2年では短いのかもしれません。

Ⅳ おわりに

銀行オープンAPIについては、イノベーションへの期待とともに、セキュリティの向上も期待されています。API接続契約が未締結の場合、「スクレイピング方式」により口座情報へのアクセスが行われていますが、この方式には情報閲覧範囲制限に係るコントロールが弱いという課題※2があるとされています。
しかし、これまでのところ、スクレイピング方式に伴う預金者保護上の問題が大きく報じられたことはないようです。セキュリティ対策は収益や利便性の向上とのバランスで判断されるべきです。

※1Unbanked:経済力の不足等により銀行口座を開設できない人。世界人口の4分の1が該当するとされている。

※2預金者はインターネットバンキングのパスワード等を電代業者に預け、電代業者は預金者に成り代わって銀行口座へアクセスするため、情報閲覧範囲制限等のコントロールが弱いとされている。

関連資料を表示

  • 「情報センサー2020年2月号 EY Advisory」をダウンロード

情報センサー2020年2月号

情報センサー

2020年2月号

※ 情報センサーはEY Japanが毎月発行している社外報です。

 

詳しく見る