APIを使った安全・安心なサービスを提供するために必要なこと

三菱UFJ銀行 API事務局です。
今回は、エンドユーザであるお客さまに、当行APIを利用したAPI利用事業者(以下、事業者)のサービスを安全・安心に使っていただくために必要なことについて、その基準と当行の考え方をご紹介できればと思います。

1.事業者、銀行双方のお客さまに安全・安心を提供するための基準とは

銀行は、これまで自らがサービスの提供主体者としてお客さまに”直接”サービスを提供する形態をとってきました。一方で、銀行分野におけるオープンAPI(バンキングAPI)の世界では、銀行はあくまでも他の事業者に対してAPIという形式で銀行機能を提供する立場に留まり、お客さまであるAPIサービスの利用者(以下、利用者)に対するサービスの提供主体は当該事業者が担います。しかし、このように他の事業者と連携してサービスを提供した前例はほとんどありませんでした。各銀行とも他の事業者とのオープンイノベーションを進めていくにあたり、双方のお客さまに安心を提供するための仕組み作りが大きな課題でした。

そのようななか、2017年6月に改正銀行法が公布。「電子決済等代行業者(以下、電代業)」の金融庁への登録義務化と、当該業者との連携・協働を行うと宣言した銀行は、電代業との接続可否に係る「基準」の作成・公表が義務づけられました。

こうした動きがあるなかで、2017年7月に全国銀行協会(以下、全銀協)(※1)の「オープンAPIのあり方に関する検討会」が、データの種類・プライバシー等に応じたリスクベース・アプローチにもとづき、利用者利便と利用者保護のバランスを踏まえた、バンキングAPIにおけるセキュリティ対策および利用者保護に関する基本的な考え方を公表しました。FISC(※2)の「API接続チェックリストワーキンググループ」でも、事業者と銀行のAPI接続に向けた円滑なコミュニケーションツールとして専用のチェックリストを作成するなど、事業者と銀行の双方が同じ場で議論し、1つの指針をまとめていくプロセスが踏まれました。

当行を含む各銀行は、これらの検討結果を参照しながら改正銀行法に基づき独自の目線を策定していくことになりました。
以下リンクは外部サイトへ遷移します。
※1 全銀協は国内の銀行等を会員とする組織で、銀行業務の発展に向けた活動や消費者保護への取組み、決済インフラの運営などを行っている一般社団法人です。
参考資料:全銀協  オープンAPIのあり方に関する検討会
※2 FISC(金融情報システムセンター)は金融情報システムの諸問題に対してガイドラインや調査レポートを作成している公益財団法人です。

イメージ

図1.事業者と銀行の取り組み

 

2.利用者保護とセキュリティに関する当行の考え方

ここでは、利用者保護とセキュリティ対策について、当行がどのような目線を置いているかくわしくお話します。
当行では、当行がAPIで事業者に連携する利用者の情報の保全と、事業者からAPIで当行に連携される利用者の指図の正確な処理を第一に考えています。

したがって、事業者の皆さまが当行のAPIを利用する前に、そうした考え方に共感し、連携し合える相手であるかを、利用者保護態勢やセキュリティ態勢などの観点で確認をさせていただいています。確認する内容は当行独自のものを定めていますが、前述の全銀協やFISCのガイドラインを参考にし、関連する法律やセキュリティの国際標準化基準なども取り込んでいます。
利用者保護態勢では、利用者への説明態勢や、利用者の相談や苦情等に対するサポート体制の整備、利用者情報の取り扱いが適切であるかなどを確認します。セキュリティ態勢では、開発・運用時やサービスシステム自体のセキュリティ、またAPI利用時のセキュリティはもちろんのこと、オフィス等の設備管理についても確認します。どちらも、これまで当行が策定し遵守してきた目線も採り入れており、事業者が利用者の情報を安全に取り扱えるかなどを審査しています。(※3)
オープンAPIでは、利用者からの申請・同意にもとづいて取引が行われるとはいえ、銀行が持つ口座情報などはプライバシー性の高い情報のため、十分な利用者保護とセキュリティ対策を図る必要があります。そのため、事業者と当行は、ともに安全・安心なサービスを創出し提供していかなければなりません。
ただし、このような目線が結果として利用者の利便性を阻害することがないよう、利用者保護とバランスを図ることが最も重要です。そのため、今後利用者によりスピーディにサービス提供できるよう、事業者への確認項目の見直しや手続きの簡素化を検討していきます。
※3 利用者保護やセキュリティ以外にも、当行APIと接続するための基準を公開しています。接続基準についてくわしく知りたい方は、こちらからご確認いただけます。

オープンイノベーションを実現していくにあたり、利用者保護を最優先に考えつつ、事業者と銀行の協業・連携の円滑化に向けて、今後も互いに変化ある柔軟な考え方を採り入れていきたいと考えています。
今後もAPIに関する情報をお伝えしていきますので、ぜひご覧ください!

タグ