金融サービスが便利になるオープン・バンキングの基本とリスク

　FinTech（金融×テクノロジー）の広がりにより、ITの高度化が進むにつれ金融機関と他の企業との垣根が低くなりデータ連携が可能になってきました。オープン・バンキングによりますます便利になる金融のサービスですが、そもそもオープン・バンキングの仕組みやリスクを正しく理解していますでしょうか。

オープン・バンキングでは金融機関が「金融ビジネスを行なう場」をFinTech企業に提供する

　銀行などの金融機関が保有するデータを、他の企業が利用できる仕組みのことを「オープン・バンキング」と言います。2016年頃からイギリスが先進的に取り組みをはじめ、FinTechの広がりとともに日本でも取り組みが進んでいます。

　金融機関はAPI（アプリケーション・プログラミング・インターフェイス）を他企業が利用できるように整備し、その金融機関が持つデータを参照・更新できるようになっています。

銀行でのAPI解放の例（三菱UFJフィナンシャルグループの場合）

三菱UFJ銀行、カブドットコム証券、三菱UFJ国際投信の3社がそれぞれAPIを公開し提供しています。

証券会社で利用できるAPIの例（カブドットコム証券の場合）

銀行だと残高照会や送金といった機能のイメージがしやすいですが、証券会社の場合だと、取扱のある商品ごとに発注や損益の状況などを確認する機能があります。

　オープン・バンキングの仕組みの全体像を以下の図に整理します。ちなみに「バンキング」というくらいですから、主に銀行のことを指しますが、証券会社やクレジットカード会社にも顧客のデータが存在します。銀行に限らず広く金融機関のことを指していると考えて問題ありません。

オープン・バンキングの全体像を理解する

金融機関はAPIを、データの参照が可能な参照系と書き換えが可能な更新系の２つに分けて説明する場合が多いです。図中の薄黄色部分が、金融機関が提供する機能・システム、薄緑色部分が、FinTech企業が提供する機能・システムです。

　オープン・バンキングの主な登場人物は金融機関、FinTech企業、利用者の３つです。利用者とは金融機関のサービスを利用する個人や法人です。FinTech企業は、金融機関が公開するAPIを利用し利用者に金融サービスを提供する業者を表しています。

　特に「インターフェイス」として整理した部分がポイントです。利用者が直接金融機関のサービスを利用する場合には、金融機関が提供するユーザー・インターフェイス（UI）を使います。一方でFinTech企業が提供するサービスを利用した場合には、APIを通じて金融機関のデータを読み書きしていることになります。

　システム的に考えると、FinTech企業のサービスを利用するにせよ金融機関のUIを利用するにせよ、金融機関のデータを読み書きしていることに違いはありません。したがって、データを保有するのは金融機関で、そのデータを利用してサービスを提供するのがFinTech企業という風に機能・役割を分担することができます。このことが「金融ビジネスを行なう場」を金融機関が提供するといわれる所以です。「金融機関のプラットフォーム化」ということもあります。

　ただし金融機関でしか提供できない商品やサービスの場合には、FinTech企業は当然、APIを通じたサービスを提供することができません。例えば銀行振込を使って他銀行に送金する場合には「全国銀行資金決済ネットワーク」というシステムに接続する必要がありますが、登録を受けた金融機関しか接続できません。他にも証券取引所への接続や、クレジットカード会社などの決済業者との契約が該当します。

自分の金融データの秩序が保てなくなるリスクがある

　FinTech企業が、金融機関とは異なるUIでサービスを提供したり、複数の銀行間にまたがるサービスを提供したりすることで、利用者の利便性が向上し今まで以上に金融サービスを使ってもらえる期待が高まります。その結果、利用者の金融リテラシーが向上し、政府が掲げる目標「貯蓄から資産形成へ」の達成可能性も高まります。しかしFinTech企業にデータを渡すということは以下のようなリスクがあります。

1. データが流出するリスク：金融機関とFinTech企業間での暗号通信品質が低くてハッキングされるリスクや、データ管理を行なうFinTech企業のセキュリティー水準が甘いためハッキングされるリスク
2. プライバシーが侵害されるリスク：複数の金融機関のデータを収集したFinTech企業では、利用者の収入やローンなどの情報が丸裸にされてしまい、マーケティングのダシにされてしまう

　1のデータが流出するリスクは、高いセキュリティー性能を誇る金融機関に対してFinTech企業のセキュリティー性能に差がある場合に発現しやすくなります。強固なセキュリティー対策をしている金融機関でさえハッキングの被害にあうことがあります。セキュリティー対策の度合いや、もしデータが流出したときの補償があるのかといった観点で、評価が必要です。

　2のリスクは金融機関に限らず、ネット系ビジネスを行なう全てのサービスを利用するときに気にかけたいリスクです。ひとことでいうと「個人情報」がどこまで使われてしまうかということです。金融機関のUIを使っている場合だと、その金融機関のプライバシーポリシー（個人情報取り扱い方針）にしたがっていましたが、FinTech系企業のサービスを利用していると場合だと、各サービスのプライバシーポリシーを気にかけなければなりませんし、自分の金融データがどこまで副次的に利用されているかは把握することが困難になります。

まとめ

　オープン・バンキングにより、金融機関がお金に関するサービスを専門的に提供する立場から、他企業が金融ビジネスを提供する場へと変わろうとしています。APIを使ったシステム的な接続は、ITでは欠かせない存在となっている一方、金融ならではの「データを守る強固さ」がFinTech企業にも求められるようになります。