日経ビジネスONLINE Special 週刊日経ビジネスオンライン SPECIAL日経ビジネスオンライン

世界が協調して社会を守るサイバーセキュリティ最前線

EU(欧州連合)で2015年11月に採択されたEU決済サービス指令 PSD2の後を追う形で、日本でも改正銀行法が2017年5月に可決。FinTechを使った電子送金を始めるための基本的な枠組みが整う。実装で今問われているのは、この新しい仕組みをどうやって安全でイノベーティブにするかということ。EUと日本のステークホルダーが実際的な意見を述べた。

 2017年5月の銀行法改正を受け、日本でも銀行システムのAPI(ソフトウェアのインターフェース)開放が進もうとしている。モデレータを務めたNECの岩田太地氏は、「産業のかなめである金融サービスの安全・安心を守りつつ、産業のイノベーションを促すには、どのように発展させればよいでしょうか」と問題を提起。銀行、FinTech企業、FinTechコンサルタント、法曹の各領域から集まったパネリストにディスカッションを促した。

NEC
FinTech事業開発室 室長
岩田太地 氏

 EUでの銀行API開放に関わってきたequensWorldline SEのマイケル・サルモニー氏は、「PSD2(EUの決済サービス指令)によって、EU圏の銀行は2018年1月までにAPIを開放することになっています」と説明。「その成功のためには、銀行がオープン化を積極的に受け入れ、APIでのアクセス制御を確実に実施し、ステークホルダーが対話を続け、金融業界と規制当局が協力してコ・レギュレーション(共同規制)することが望まれます」と述べた。

 この提言に続いて、三井住友銀行の持田恒太郎氏は「日本の金融機関はFISC(金融情報システムセンター)基準によるアクセス制御を以前から実施しています。今後、FinTech企業との間では認証を適切に設定し、一般の方々にはワンタイムパスワード(一度だけ有効なパスワード)などで本人確認する必要があるでしょう」とコメント。マネーフォワードの瀧俊雄氏は、「スタートアップ企業でも電子決済等代行業に登録できるレベルのセキュリティ対策基準とし、FISCの安全対策基準の改訂によって、金融業とFinTech企業の境目をつないでいくべき」と指摘した。

 こうしたオープンバンキングに関するセキュリティ対策の枠組みに関し、森・濱田松本法律事務所の増島雅和氏は「EUでは口座情報の書き換えに携わる事業者と口座情報の参照だけの事業者を分けて、前者を厳格に規制する方式。一方、日本の改正銀行法ではEU型にならいながらも、両者を同じ規制下に置こうとしています」と解説する。

マネーフォワード
取締役兼Fintech研究所長
瀧俊雄 氏
森・濱田松本法律事務所パートナー弁護士
増島雅和 氏

イノベーションとセキュリティの両立が必要

 その一方、オープンバンキングを安全・安心なものとするには、セキュリティ技術以外の要素にも目を向ける必要があるとの意見もあった。

 例えば、「現状では機能ごとにモジュール化されたソフトウェアがないので、“部品を組み合わせる”方式でFinTechアプリを開発するのは不可能。その結果、スタートアップ企業がセキュリティを実装する際の難易度が高くなっています」(瀧氏)や、「セキュリティ確保にはガバナンスも重要。プリンシプルや利益相反の感覚がない人が金融に携わるのは、好ましくありません」(増島氏)といった意見。持田氏は、「100年前は、金庫の中の現金が金融業の信頼の源泉。今では、それが、自社データセンターで勘定データ元帳を厳重に保管することに代わっています」と言う。

 では、セキュリティを確保するための規制とイノベーションの間でバランスをとるには、ステークホルダーがどのような対話をしていくべきなのか――。

equensWorldline SE
エグゼクティブ・アドバイザー
マイケル・サルモニー 氏
三井住友銀行
システム統括部 システムリスク統括室長
持田恒太郎 氏

 サルモニー氏は、EUでの経験をもとに、「オープンバンキングを推進するには、ガバナンス、スキーム、紛争解決メカニズムなど、さまざまなものを用意する必要がありました」と述べて、そのためにも、金融機関、FinTech企業、規制当局の対話が求められたと振り返った。持田氏も、「わが国でも、これから、イノベーションとセキュリティのバランスがとれた実体的体制を整備するための協業をしていくフェーズになるでしょう」と見ている。

 なお、改正銀行法では金融機関とFinTech企業の間で契約を結ぶ仕組みを採用したため、わが国でのコ・レギュレーションのあり方はEUとは異なったものとなる可能性が高い。「EUは契約方式を取らず、その代わりに、ガイドラインで詳細に指示しています」と、サルモニー氏。これに対して、瀧氏は「金融機関との契約交渉をスムーズに進めるためには、ある程度詳細なガイドラインが必要です」と説明。現状では、チェックリストを作って対応していると説明した。

NEC
http://jpn.nec.com/cybersecurity/