銀行のAPI化で問われる責任の所在
これまでにも銀行業務の一部を、銀行の代理として担う「銀行代理店」はありましたが、近年はそれとは別に、顧客からの依頼で口座情報の確認などを代理する事業者が増えています。これが「中間的事業者」です。この中間的事業者について制度的な枠組みを作ろうというのが金融庁の「金融制度ワーキング・グループ」で検討されていることです。
銀行のAPI化が進んだ場合、中間的業者との間にどのような問題が起こりうるのか、例を使って考えてみます。例えば、銀行のAPI公開が広がり、PFM(Personal Financial Management)サービスであるマネーフォワードが中間的事業者として銀行振込を代理できるようになったとします。
マネーフォワード上でAさんがBさんに1万円を送りたい場合に、マネーフォワードはAさんに銀行振り込み用の情報を教えてもらい、マネーフォワード上からBさんへの振込指示を代理で担ったとする。これはどういう整理になるのでしょうか。
これを「代筆」と見ることはできるでしょう。現在も秘書のようにで代筆している人は存在しますが、もちろん代理店登録はしていません。顧客の側で勝手にやっているということで問題にはなっていませんでしたが、今回の例のように、銀行がAPIを公開したことで、マネーフォワードがお金を送る指示をできるようになったとしたら、銀行はお金を送る仕組みを中間的業者に提供したことになり、必ずしも「代筆なので無関係」とはいえなくなります。
仮に、中間的業者が誤った情報を更新系のAPI経由で伝達してしまった場合、責任は誰にあるのかが問題になります。例えば顧客を代理している会社のシステムがエラーを起こし、1万円ではなく1億円を振り込む指示をしてしまったとします。
責任を問うなら、もちろんマネーフォワードは悪いとなるでしょうが、1億円という振込金額を銀行は疑わなかったのかという話にもなるでしょう。API化により「仕組み」を提供している中で、責任の所在を改めて定義する必要がでてきているのです。
欧州での規制の例
このような問題に対応するため、欧州にはすでに中間的業者への規制が設けられつつあります。決済の安全性や安定性の向上、利用者保護、決済サービス市場の効率化、フィンテック企業も含めたレベル・プレイング・フィールド(競争上の公平性)の確保を目的に、EUは「決済サービス指令」(PSD)を改正しました。この改正法はPSD2と呼ばれています。
PSD2は、ユーザーから見たデータのポータビリティや、即時型の決済を可能とすることを求める、欧州全域にかかる制度になりますが、その中で中間的業者を「決済指図伝達サービス提供者」(PISP)と、「口座情報サービス提供者」(AISP)の2つに分類し、規制を定めています。PISPというのは、利用者の依頼で決済指示をする業者で、資本金5万ユーロ以上という財務要件があり、免許制です。AISPは利用者への口座情報の提供などをしている業者で、財務要件はない登録制です。

金融審議会「金融制度ワーキング・グループ」(第3回)事務局説明資料(決済に関する中間的業者に係る 欧米における制度面での対応等)から引用
今のマネーフォワードは顧客の依頼でマネーフォワードのサーバから口座を確認しに行っている状態なので、純粋な形の代理人としての立場が当てはまります。しかし、銀行がAPIを公開した場合には、銀行はAISPが口座を確認することに協力していることになります。その時に、もしAISP業者が情報を漏えいさせたり、目的外使用をした場合、銀行の責任有無がどうなるのかは難しい問題です。もちろん、契約上の、もしくは法律上の責任はないと言い切ることはできるかもしれませんが、社会的期待からすると「銀行が見ることを許したのではないか」と問われる可能性もあります。
また、PISPについても、先ほど出したAさんとBさんの取引の例でお話したように、誤った情報を更新系のAPIに伝達し、顧客に損害が発生した場合の補償をどうするべきか、そのような状態をそもそも防いだり、保障を行うための体制としてどのようなことが望ましいのかが、問題となるでしょう。