日本のオープンAPIバンキング - その機会と脅威、そして戦略 Part 2: オープンAPIの脅威
セキュリティ対策と利用者保護
システム的には、オープンAPIは金融機関の情報システムに金融機関内外との新たな通信路を設置することを意味する。従って、それを悪用したデータの漏洩・改ざんや不正取引等、新たなリスクが生じうる。また、利用者の口座情報や決済指図にかかるデータが、TPPs を経由して漏洩・改ざん等のリスクにさらされる可能性もある。
何より、金融機関がAPIをTPPsに開示する際の本質的なシステム上のリスクは、利用者の本人確認と口座や指図に関する情報の信憑性にある。今日、金融機関の情報システムはこの難題、つまり、認証と指図の真偽判定に直面している。
そこで、このリスクへの対応として日本では、TPPsのサービス形態とデータ送受信方式における、リスクと利便性に関して様々な議論が展開された。その集約が、スクレイピング方式からトークン認証への転換であった。
日本の場合、「全銀協報告書」において、トークン認証を前提としたセキュリティ対策と利用者保護の原則についての詳細な記述がある。セキュリティ対策については、以下の各項で、継続的な改善、見直し、高度化を求めている。
- API接続先の適格性
- 外部からの不正アクセス対策
- 内部からの不正アクセス対策
- 不正アクセス発生時の対策
加えて、利用者保護原則について、業界団体としての標準の策定とその遵守策を求めている。
- API接続先の適格性
- 説明・表示、同意取得
- 不正アクセスの未然防止
- 被害発生・拡大時の未然防止
- 利用者に対する責任・補償
セキュリティの観点からも、オープンAPIは金融機関とテクノロジーベンダーの関係を見直す契機となる。それは、オープンAPIを提供する金融機関の増加、金融機関の提供するAPIの範囲と規模の拡大、APIを通じて提供されるサービス、連携するTPPsなど外部企業数と業種の多様化、金融機関/TPPs/企業/消費者におけるAPI利用の高度化に従い、抜本的な関係再構築の機会となろう。オープンAPI時代の金融サービスとそのセキュリティは、金融機関が単独で維持管理出来るものではない。業界団体全体、バリューチェーン全体で継続的な発展と進化を続けるものであろう。日本の金融機関も、セキュリティにおける外部認証機関の利用、セキュリティ全般の外部サービス化を考慮すべきタイミングにある。