オープンAPIによる金融サービスの変革への対応 | KPMG | JP
close
Share with your friends

オープンAPIによる金融サービスの変革への対応

オープンAPIによる金融サービスの変革への対応

金融機関が非金融機関とイノベーションを推進し、新たなサービスを創出するための手段として、オープンAPIが期待されています。金融機関におけるAPI公開の背景、技術基盤、想定されるリスクと対策、イノベーション推進のための取組み等について解説します。

関連するコンテンツ

インターネットサービスや電子商取引の拡大に伴い、金融機関の役割や金融機関に求められるサービスが変わろうとしています。金融庁は、金融システムの発展と安定、金融機関の持続可能なビジネスモデルを実現するための、顧客情報に根ざした共有価値の創造を要求しています。このような状況のなか、金融機関が非金融機関とイノベーションを推進し、新たなサービスを創出するための手段として、オープンAPIが期待されています。本稿では、金融機関におけるAPI公開の背景、技術基盤、想定されるリスクと対策、イノベーション推進のための取組み等について解説します。なお、本文中の意見に関する部分は、筆者の私見であることをあらかじめお断りします。

1.金融機関におけるAPI公開の背景

API(Application Programming Interface)とは、「あるアプリケーションの機能や管理するデータ等を他のアプリケーションから呼び出して利用するための接続仕様」を指し、このうち、社外に提供されるAPIがオープンAPIと定義されます。APIは、オープンIDコネクトなどの他業種間におけるデータ連携等で活用されてきた技術ですが、金融機関ではこれまで、取り扱う情報の機密性から非金融機関との連携には慎重な姿勢を取ってきました。そのなかで現在、金融機関がAPI公開を加速させている背景として、「APIエコノミーの形成・発展」、「オープン・イノベーションを推進するための法・枠組み、標準仕様の整備」の2つの要素が挙げられます。

 

  • APIエコノミーの形成・発展

APIを利用して急速に普及したサービスの1つとして、インターネットとモバイルの特性を活用した配車サービスがあります。このサービスは、スマートデバイスの位置情報とAPIで提供される地図情報サービス、自社で構築した予約システム等の組み合わせにより実現しています。地図情報サービスを単独で構築することは困難ですが、他社が提供するAPIサービスを組み合わせることで、高機能・低コストのサービスを短期間で構築することが可能です。このように、APIを用いて異なる企業間でサービスを活用し合い、新たなサービスが提供され拡がっていく経済圏をAPIエコノミーと呼びます。
金融機関においても同様にAPIエコノミーが拡がっており、様々な金融サービスのAPIが公開され非金融機関とのサービスの連携を実現しています。例として、金融機関がローンサービスのAPIを公開しEコマース企業等を通じてショッピングローンを提供するサービスや、利用者が持つSNSへの書き込みコメント・評価を含む多面的な基準で与信判断をするサービスが挙げられます。このように、金融サービスに関わるAPIを公開し非金融機関に提供すること、また、非金融機関のAPIを活用することで、顧客の多様なニーズに応える新たなサービスの創出が可能になります。

 

  • オープン・イノベーションを推進するための法、枠組み、標準仕様の整備

APIエコノミーの形成・発展の動向を踏まえて、各国の政府や中央銀行は、金融機関にAPI公開を求め始めています。欧州では2015年11月に銀行によるオープンAPIの提供を義務付ける「第二次決済サービス指令」(PSD2)が成立し、金融機関はAPIを公開することが義務付けられました。
日本においても、2017年5月に銀行法が改正され、金融機関に対して決済代行業者との連携・協働に関する方針公表やオープンAPIに関わる体制整備の努力義務を課すなど、オープン・イノベーションを推進するための法律が整備されています。さらに、これらの法整備を受け、全国銀行協会が中心となり非金融機関が効率的に金融機関のオープンAPIを活用するための電文やプロトコル等の標準仕様を世界に先駆けて定義しています。これらの法、枠組み、標準仕様が整備されたことにより、金融機関が非金融機関とイノベーションを推進し、新たなサービスを創出するための環境が整ったと考えられます。

2.オープンAPIの技術基盤

オープンAPIでは、顧客のIDとパスワードの認証情報を接続先に預ける必要がないトークン認証によるAPI方式が用いられます。API方式は、認証情報を金融機関で管理するため、従来のWebスクレイピング方式に比べて認証情報が漏洩するリスクが低いと考えられています。また、API方式は、データのみを連携することから通信量が小さく、Webサイトのデザインを変更しても接続先に影響を与えることがないため、安定的なサービスの提供が可能となります。

API方式

Webスクレイピング方式

3.オープンAPIに関わる主なリスクと対策

API方式の技術基盤は、従来方式と比較してリスクが低いと考えられる一方で、金融機関にはセキュリティに関わるリスクや金融機関側のシステムに関わるリスク、サービス等のビジネスに関わるリスク等が残存します。金融機関は、顧客を保護し安定的なサービスを提供するため、これらのリスクを整理し適切な対応を講じることが必要となります。

金融機関が想定すべきリスクと対策の例

セキュリティに関わるリスク

リスク要因 リスクシナリオ 対応例
金融機関
に対する
不正アクセス
トークンが外部に流出することで、顧客情報の漏洩、不正送金や情報改ざん/破壊が発生する サイバー攻撃に対する多層防御対策、セキュリティ管理態勢の強化、トークンに関するアクセス権限の管理と有効期限の設定
接続先
に対する
不正アクセス
接続先がマルウェア感染や不正アクセスを受けることで、接続先からの機密情報の流出や、接続先を踏み台とした不正送金や情報改ざん/破壊が発生する 接続先のセキュリティ管理態勢に関わる定期的なモニタリングの実施
役職員の
内部不正
金融機関、接続先の役職員が利用者情報等の機密情報を外部に持ち出し、不正に利用する(転売、私的利用等) 役職員に対するシステムアクセス権限の適切な適用、教育・研修の実施

 

システムに関わるリスク

リスク要因 リスクシナリオ 対応例
キャパシティの超過
金融機関のシステムの高負荷によるパフォーマンスの低下、処理遅延、システム停止が発生する キャパシティ計画の策定と監視、クラウド基盤等容易なリソース変更が可能となるアーキテクチャの採用
接続先におけるプログラムバグ
接続先が提供するアプリケーションのプログラムバグにより、金融機関で誤った処理が行われる 接続先の開発・運用管理態勢に関わる定期的なモニタリングの実施

 

ビジネスに関わるリスク

リスク要因 リスクシナリオ 対応例
問題発生時の責任範囲が不明確 情報流出等のセキュリティインシデントやシステム障害発生時に利用者に損害が発生した場合、利用者に対する責任の所在や対応窓口・主体等が不明確になる APIの利用約款等における、接続先との責任範囲の明確化
サービスの低迷 計画通りにサービス利用が増えず、接続利用料が低迷することでシステム投資コストを回収できない 外的価値を持つ情報の見極めと適切な課金体系の検討
不適格な接続先との協業 接続先の事業内容や社会的・経済的信用に疑義があることで、利用者が十分な補償や保護が受けられない 接続先に対する審査基準の整備(API接続先チェックリスト(施行版)の活用等)とモニタリングの実施、利用者に対する補償措置の事前取決め

4.イノベーションの推進に向けて

金融機関におけるAPI公開の目的は、法令・指針に基づいてAPIを公開し非金融機関を受け入れることではなく、APIを活用して顧客が求めるサービスを迅速に提供し、新たな収益源に繋げることにあります。そのためには、サービス開発体制・手法の見直しや、その他の先端テクノロジーとの融合も視野に入れてサービス開発を行うことが効果的となります。


1.サービス開発体制・手法の整備

いかに優れた革新的なアイデアが生まれたとしても、企画からリリースまでの時間が長ければ、市場や顧客の興味が薄れ、また、他社に先行され機会損失に繋がる可能性があります。このため、新たなサービスを短期間でリリースするための取組みとして、サービス開発体制・プロセスの整備が必要となります。多くの金融機関では、システム開発における役割が企画・開発・運用と分離され、従来のウォーターフォール型による開発手法が用いられていますが、より短期でフレキシブルなサービスリリースが期待できるアジャイルモデルの開発手法の導入や、企画・開発・運用・品質保証が一体となったサービス開発体制を採用するなど、市場・顧客の要求の変化や技術革新のスピードに合わせた体制・手法を整備することが望まれます。


2.先端テクノロジーの導入と融合

金融機関が、API公開を通じて高い収益性と真の顧客満足度を得るためには、自らも新たなサービスを提供することが重要となります。接続先主導での受け身的なAPI公開に留まる場合、顧客は接続先が提供するサービスに対して評価・満足したとしても、金融機関に対する高い評価は得られないことも想定されます。このため、金融機関は、AI、ブロックチェーン、IoT等の社会を大きく変えると期待されている先端テクノロジーを活用した革新的なサービス創出に主導的に取り組み、新たな収益基盤の発掘にチャレンジすることが望まれます。

API公開の背景と金融機関に求められる取組み

5.まとめ

非金融機関による金融サービスの提供やFinTechに関わる法整備が進むなかで、金融機関が今後も持続可能なビジネスモデルを実現するためには、APIを活用し非金融機関と連携してイノベーションを進めていかなければなりません。しかしながら、非金融機関と協業を進めるにあたり考慮しなければならないリスクも存在するため、併せて対応を検討する必要があります。また、オープンAPIによるイノベーション効果をより享受するためには、サービス開発体制・手法の見直しやその他の先端テクノロジーを活用したサービス創出の取組みが重要となります。オープンAPI公開を法令対応の一種ではなくイノベーションの機会と捉え、主体的に取り組むことが金融機関には期待されます。

執筆者

KPMGコンサルティング株式会社
マネジャー 江波戸 晃
シニアコンサルタント 笹木 亮佑

リスクマネジメント解説

お問合せ

 

RFP(提案書依頼)

 

送信