2019年9月3日8:00

2019年9月14日に施行が迫った「欧州決済サービス指令」(EU Payment Services Directive II、PSD2)は日本企業にとっても無関係の話ではない。そこで、SSL/TLS証明書、PKIの世界最大手デジサートの日本支社、デジサートジャパン合同会社(DigiCert Japan)に、オープンAPIを活用したフィンテック(FinTech)の可能性やPSD2で求められる強力な本人認証、日本企業との関わりなどについて説明してもらった。

デジサート・ジャパン合同会社

法規制も後押しするオープンAPIを活用したフィンテックの可能性

あらゆる業種、業態でデジタルトランスフォーメーション、デジタル化の波が広がっている。中でも積極的な取り組みが見られる業界の1つが金融・決済業界だろう。「フィンテック」(FinTech)という言葉が示すとおり、Webサービスやスマートフォンをはじめとするさまざまなテクノロジを活用し、従来の決済システムを介さずにリアルタイムに決済を行い、手数料などのコストを引き下げる取り組みが広がっている。これは金融機関側、決済事業者側はもちろん、利用者にもメリットをもたらすものだ。

 

一連の動きで鍵を握るのが「オープンAPI」だ。以前ならば、金融・決済業務は、金融機関の中に閉じた形で安全に、確実に処理されることに価値があった。だが、さまざまなWebサービスやソーシャルネットワークサービス(SNS)が広がり、オープンなイノベーションが促進される今となっては、むしろ逆だ。多様な事業者が提供するサービスと金融機関のシステムとを「API」を介してつなぎ、支払いや資金移動といったさまざまな処理を柔軟かつ即座に行えるようにすることで、利用者の利便性を高めようとする動きが広がっている。

日本国内では、2017年に成立した改正銀行法によって、フィンテック企業を「電子決済代行業」として登録制を導入したほか、銀行側には2年以内にオープンAPI体制の整備を求め、オープンイノベーションを推進していく姿勢が明確にされた。これを受けて、すでに130行、つまり国内のほぼすべての銀行がオープンAPIの提供を表明しており、すでにクラウドベースの家計簿サービスや会計サービスと連携したサービスをスタートした事例もある。

目をヨーロッパに転じると、オープンAPIの取り組みはさらに先行している。この動きを後押ししている要因の1つが、ヨーロッパ連合(EU)で2018年1月に施行された「欧州決済サービス指令」(EU Payment Services Directive II、PSD2)だ。最初のバージョンはヨーロッパ域内での決済の標準化を狙って策定されたが、バージョン2は明らかに、オープンAPIを介したフィンテックの促進を狙っている。

具体的には、ユーザーからの依頼に基づいて、金融機関などに対し決済や資金移動を指示する「PISP」(決済指図伝達サービス提供者:Payment Initiation Service Provider)と、同じくユーザーからの依頼に基づいて、複数の決済口座情報を統合する「AISP」(口座情報サービス提供者:Account Information Service Provider)という2種類の事業形態を定義し、前者は免許制、後者は登録制としている。そしてこれら事業者と金融機関の間をAPIで結ぶことで、多様な金融サービスが生まれ、競争し全体としてサービスが向上していくことを期待しているわけだ。

PSD2で求められる強力な本人認証と適格トラストサービスに基づく認証

このように、フィンテックとオープンAPIによる新たな金融・決済サービスには期待が高まっているが、一方で押さえておかなければいけない要件もある。その1つがセキュリティ対策だ。

例えば全国銀行協会では改正銀行法を踏まえ、銀行間でオープンAPIを利用する際の標準仕様を策定するとともに、接続時のセキュリティチェック項目などもまとめており、イノベーションの促進と利用者の安心・安全を両立させようとする取り組みを進めている。

PSD2も同様に、オープンAPIを促進すると同時にいくつかのセキュリティ要件を義務づけている。1つは、強力な本人認証(Strong Consumer Authentication、コンシューマの強力な本人認証、以下SCA)だ。

最近のキャッシュレス決済サービスで発生した情報漏洩事件でも明らかになった通り、IDとパスワードの組み合わせだけでは犯罪者によるなりすましや不正ログインを許す恐れがあり、複数の手段を組み合わせた「多要素認証」の必要性が広く認識されるようになった。PSD2ではそれを先取りし、決済や資金移動が伴う処理については、「ユーザーが知っているもの」「ユーザーが持っているもの」「ユーザー自身の特徴」のいずれかを組み合わせて、仮にどれか1つが破られてもなりすましが難しい、強力な認証を導入するよう求めている。

PSD2では加えて、当局の認定を受けた認証局が発行する電子証明書を用いた通信経路ならびにデータの保護とアイデンティティ保証も求めている。

より具体的には、2014年に成立した「電子取引向けトラストサービスに関するEU規制(eIDAS:Electronic Identification and Trust Services Regulation)が定める「適格トラストサービス」に準拠した「適格個人認証」に基づいて取引相手の認証を行うことを定めているのだ。

こうした情勢を見据え、2019年1月にスイスのWISeKey International Holdingから、EU向けの認定トラストプロバイダーであるQuoVadis Group(QuoVadis)を買収した米デジサートには、eIDAS準拠の証明書に関する問い合わせが急増している。eIDASに準拠した認定トラストプロバイダーとして電子証明書発行サービス(適格トラストサービス)を展開するには、非常に厳密な要件が求められるのだ。

適格トラストサービスで発行される電子証明書には、EV-SSL証明書に記載される情報に加え、決済サービスプロバイダー(PSP)が金融当局から発行された認証番号や割り当てられた役割(ロール)といったフィールドも追加され、証明書の有効性や事業者の信頼性を確認できるようになっている。これを用いて、SCAで求められる強力な個人認証や通信経路の保護が可能になる。

なお、PSD2で直接規定されているわけではないが、eIDASに準拠した適格電子署名や適格タイムスタンプを活用すれば、「例えば政府機関ならば税やその還付金関連のトランザクション、あるいは法律関連の文書に対し、また銀行や保険といった金融機関や民間企業でも長期保存が義務付けられる文書に対し、一括して大量に電子署名や電子的な封印(シール)を行える」(デジサート)という。電子的な文書や契約について「誰が」「いつ」作成し、かつ「内容に改ざんが加えられていないか、真正性が担保されているか」を、EUの法的規制に準拠した形で保証し、証明していく仕組みだ。

日本企業にとっても無縁ではないPSD2、いよいよ9月14日に施行へ

日本企業にとっては遠い国の話に聞こえるかもしれないが、グローバルに、特にオンラインで事業を展開しようと考える企業にとって、PSD2に限らず各国の法規制遵守は重要な課題だ。

例えば米国では、政府調達に関わる企業に「NIST SP 800シリーズ」に準拠するセキュリティ対策を求めているし、ヨーロッパ連合(EU)で2018年から施行された「一般データ規則」(GDPR)では、域外のデータ保存にさまざまな規制が課せられ、顧客情報が漏洩したにもかかわらず適切な対応・報告を取らなかった場合、莫大な額の罰金を科せられることになった。すでに、British AirwaysやMarriott Internationalのように巨額の制裁金を課された事例が生まれており、広く事業を展開する日本企業にとっても他人事ではない。

PSD2については2019年9月14日に施行が迫り、いよいよ銀行にはAPIの公開が、それを活用する企業にはSCAや適格トラストサービスによる認証と通信経路の保護が求められることになる。あらためて、自社の対応体制を確認してみてはいかがだろうか。

関連記事

ペイメントニュース最新情報

ポータブル決済端末、オールインワン決済端末、スマート決済端末、新しい決済端末3製品をリリースしました(飛天ジャパン)

国内最大級のクレジットカード情報データベース(アイティーナビ)

「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
電子マネー、クレジット、QR・バーコード、共通ポイントなど、多数のキャッシュレス決済サービスをワンストップで提供(トランザクション・メディア・ネットワークス)
決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP