本格化する金融機関のオープンAPI
FinTechに触れていると、毎日のようにAPIにまつわるニュースがあり、中でも金融機関のAPI公開の動きが急激に加速している。
銀行業界では、この5月に改正銀行法が成立し、銀行などに対する「オープンAPI」を提供する努力義務が課されることとなり、金融庁や金融情報システムセンター(FISC)、Fintech協会、金融ISAC、そしてソリューションベンダーなど、ステークホルダーの取り組みがより本格的になってきた。
次いでクレジットカード業界でも、経済産業省がクレジットカードデータ利用におけるAPI連携の検討を進めており、API連携の際のガイドラインが今年度内に策定される見込みである。
筆者の業務である「APIセキュリティのコンサルティング」においても、金融API提供に関する案件が過半数を占めており、活況にあることを実感している。
金融機関におけるAPI公開は、支店の住所情報のようないわゆる「オープンデータ」の提供から、コア機能のホワイトレーベル提供(いわゆる「Bank as a Service」)まで、さまざまな領域で進展している。
本稿では、口座情報や契約情報、取引履歴の提供、さらには取り引きの実行といった、エンドユーザーに関わるデータ、機能のAPI化にフォーカスしたい。
「金融機関のAPI公開」と他のサービスとの違い
金融機関のAPI公開は、見方によっては一般的なB2Cサービスの類型である「エンドユーザーに関わるデータ・機能のAPI化」ととらえることができるだろう。
ただし他業界と決定的に異なるのは、顧客の把握・保護が最優先であるということと、サードパーティー事業者(本稿ではFinTech事業者と呼ぶ)がAPI公開を待たずに、「スクリーンスクレイピング」という手法によって金融機関の顧客情報にアクセスしていること、である。
スクリーンスクレイピングとは、ウェブブラウザ経由のウェブサイトへのアクセスをプログラムによってエミュレートし、ウェブサイトから取得したコンテンツからデータを抽出する手法のことである。
特にインターネットバンキングのような、エンドユーザーのログインがアクセスの前提となるサービスに対しては、口座保有者からIDやパスワードなどの「ログイン情報」を預かることで、ユーザーに成り代わってコンテンツを取得するかたちになる。
FinTech事業者は、金融機関とは直接の関係を持たない場合であっても、以前からこのようなスクリーンスクレイピングによって金融機関の顧客の取引履歴などを収集し、エンドユーザー向けにサービスを提供している。
その一つが、複数の金融サービスの利用状況を一元的に管理することのできる「アグリゲーションサービス」である。その歴史は古く、国内では2001年に複数の事業者がサービスを開始した。その後プレイヤーの入れ替わりを経て、近年のモバイルデバイスの普及とともに、利用者層が拡大している。
