スクリーンスクレイピングで情報を収集するようなサービスでは、顧客から預かるログイン情報の管理が事業継続の根本に関わる。FinTech事業者は、ログイン情報の漏えい対策に注力しており、厳密な管理に自信があるからこそ、このようなリスクの高いサービスを提供できる。
スクリーンスクレイピングへの規制と反発
とはいえ、ログイン情報を用いたスクリーンスクレイピングに否定的な意見は、その仕組みが登場した当初から言われていることである。
特に金融機関や規制当局からは、やはりサードパーティー企業が利用者のログイン情報を預かることの不透明性や、そのログイン情報を用いたアクセスが不正なものかどうかを見極められなくなることなど、顧客の把握・保護を阻害するものとして受け止められている。
米JPMorgan Chaseはこの4月に公表した「年次報告書」の中で、「顧客はサードパーティーにパスコードを預けることがどういう結果をもたらすか知らないことが多い。サードパーティーがそのパスコードを不正利用したり、取得したデータを好き勝手に利用したりするかもしれないし、また顧客がサードパーティーのサービスを使わなくなっても、そのサードパーティーは引き続きデータへのアクセス権限を持ち続けるかもしれない」と、自行ならびに顧客が抱えることになるリスクについて懸念を表明している。
また業界に対する大規模な規制としては、2018年から発効される、EUの決済サービス指令改正(PSD2)がある。
現在その技術標準である「Regulatory Technology Standards (RTS)」の策定が欧州銀行監督機構 (EBA) にて進められており、この2月に公開された「PSD2下での確実な顧客認証とセキュアな通信に関するRTS」のドラフト初版では、銀行に API(RTSでは「dedicated interface」と称している)提供を義務付け、サードパーティー事業者によるスクリーンスクレイピングを実質的に禁止する内容が打ち出された。
しかし、このようなスクリーンスクレイピング規制の動きを、FinTech事業者が新たな脅威として受け止め、反発するケースも出てきている。
この5月、欧州の70社を超えるFinTech事業者が「Future of the European Fintech Alliance」というグループを結成し、RTS 施行に伴いスクリーン・スクレイピングが禁止されることに反対する「マニフェスト」を発表した。
その中でこのアライアンスは、「ダイレクト・アクセス」(スクリーンスクレイピングと同義)は十分に実績のあるやり方であり、一律禁止するのではなく、登録事業者からのアクセスについては現状のまま受け付けるべきであると主張している。
また銀行各行がAPIを独善的に運用することにより、これまでスクレイピング事業者が好きなようにつなぐことができていた状況に制限が生じ、イノベーションを阻害するとも表明している。
