オープンバンキングは、人と企業の間での資金の移動方法を再構築しています。オープンバンキングにより、顧客は銀行口座を既知のアプリやサービスに直接接続し、決済、会計、財務管理を容易にすることができます。オープンバンキングの世界市場規模は、2024 年に約 316 億ドルに達し、今後も成長が続くと予測されています。迅速かつ効率的です。しかし、安全性は確保されているのでしょうか。

幸いなことに、オープンバンキングはセキュリティのために構築されました。強力な顧客認証 (SCA) と厳格な規制を備えた暗号化で保護された接続で実行されます。ユーザーは、共有する内容と期間を決定し、アクセスを即座に取り消すことができます。

オープンバンキングの安全性は、テクノロジーだけでなく信頼によっても左右されます。以下では、オープンバンキングとは何か、その保護の仕組み、使用中の安全性を維持する方法について説明します。

目次

• オープンバンキングとは？
  
• オープンバンキングは安全ですか?
  
• オープンバンキングのリスク
  
• オープンバンキングはどのようにして安全設計になっているか
  
• オープンバンキングを規制し、安全基準を施行しているのは誰ですか？
  
• イギリスにおけるオープンバンキングの安全性
  
• オープンバンキングを利用する際に安全を維持する方法
  
• Stripe Payments でできること
  

オープンバンキングとは？

オープンバンキングは、銀行が顧客の許可を得て、顧客の財務データを他の許可されたビジネス (予算編成アプリ、会計ツール、決済プラットフォームなど) と安全に共有できるようにするフレームワークです。オープンバンキングでは、各銀行が個別にデータを保護するのではなく、標準化されたアプリケーションプログラミングインターフェイス (API) が使用されます。API は、信頼できるサードパーティーが特定の情報にアクセスしたり、ユーザーに代わって決済を開始したりするデジタルの玄関口として機能します。

オープンバンキングを通じてアプリを銀行に接続すると、ユーザーはパスワードやログイン認証情報を渡すことなく、銀行で直接認証します。その後、承認されたアクセスのみを許可する安全な期限付きトークンが発行されます。

オープンバンキングは安全ですか?

規制当局が意図した方法で設計および使用される場合、オープンバンキングは安全です。オープンバンキングは、銀行が自社のシステムを保護するために使用するのと同じセキュリティ基準に基づいて構築されており、すべての接続、共有データ、決済は許可に基づいており、暗号化されています。

顧客がオープンバンキングアプリや決済サービスを使用する場合、銀行パスワードをサードパーティーと共有することはありません。代わりに、顧客は銀行独自のインターフェイスにリダイレクトされ、ログインして共有または承認されている情報を正確に確認します。

このアーキテクチャにより、オープンバンキングは、ログイン認証情報を第三者に渡す必要があった「スクリーンスクレイピング」などの以前のデータ共有方法よりも安全になります。オープンバンキングでは、認証情報が銀行外に出ることなく、いつでもアクセスを取り消すことができます。

オープンバンキングは安全性が高くても、完璧ではありません。オープンバンキングは、依然として強力な規制、安全なテクノロジー、ユーザー意識に依存しています。

オープンバンキングのリスク

オープンバンキングは、安全性を維持する必要のあるデジタルの「表面領域」を拡大し、より多くのリスクを生み出します。

オープンバンキングの潜在的なリスクには以下が含まれます。

• 接続が増えると、より多くの危険にさらされます: 銀行とサードパーティープロバイダーの間の新しいリンクのそれぞれが、保護が必要なもう 1 つのポイントです。プロバイダーのシステムが脆弱であったり、メンテナンスが不十分であったりすると、そのプロバイダーが不正利用者のエントリーポイントになる可能性があります。

• サードパーティーの責任は必ずしも明確ではない: 多くの管轄区域では、財務データにアクセスするすべてのプロバイダーにライセンスを付与し、規制する必要があります。しかし、データ侵害や不正な取引があった場合、誰が責任を負うかを判断するのに時間がかかる可能性があります。

• 不正利用は人間の層を標的にする: テクノロジーが安全であっても、犯罪者の多くは社会的操作を使用して個人の資金にアクセスします。詐欺師はフィッシングや偽のアプリを使用して、ユーザーに決済を承認させたり、機密情報を共有するように仕向けます。

• 技術的なエラーが摩擦を引き起こす: API が失敗したり、誤作動したりすることがあります。多くの場合、問題は軽微ですが、すぐに修正しなければ、一時的にアクセスが中断したり、限られたデータが表示されたりする可能性があります。

オープンバンキングはリスクフリーではありませんが、現代の金融にはリスクがありません。ここでの主な違いは、リスクが可視化され、規制され、積極的に管理されている点です。

オープンバンキングはどのようにして安全設計になっているか

テクノロジーから規制まで、オープンバンキングのあらゆるレイヤーは、データと決済の共有を透明化し、管理するために存在します。オープンバンキングは、銀行インフラストラクチャー自体と同じ厳格さで構築されています。

これらの対策は、オープンバンキングの安全性を保護します。

• 銀行グレードの暗号化: オープンバンキング接続はすべて、金融セキュリティ基準を満たすエンドツーエンドの暗号化 API を使用します。転送中のデータを傍受したり、変更したりすることはできません。

• SCA: オープンバンキング取引のすべてに多要素認証が必要です。通常は、顧客が知っているもの (パスワードなど) と所有しているもの (携帯電話や指紋など) が必要です。このようにすることで、アカウント所有者のみがアクセスや決済を承認できます。

• 詳細な権限と制限付きのアクセス: ユーザーは、サービスがアクセスできるデータ (アカウント履歴全体ではなく最近の取引のみなど) とその期間を正確に承認します。同意は、通常、更新されない限り、設定された期間が過ぎると自動的に期限切れになります。

• いつでも取り消し可能なアクセス: 顧客は、銀行またはアプリ自体を通じて、アプリを即座に切断できます。アクセスが取り消されると、プロバイダーはデータの表示や決済の開始のすべての機能を失います。

• 厳格に規制されたプロバイダー: 通常、財務データにアクセスするには、顧客と企業を保護するための規制要件と監督が必要です。これらのプロバイダーは、定期的な監査、厳格なデータ保護ルール、および責任要件の対象となります。

• 消費者保護の組み込み: オープンバンキングチャネルを通じて不正な決済が発生した場合、通常、銀行やクレジットカード不正利用のケースの後と同様に、顧客が返金されます。

オープンバンキングを規制し、安全基準を施行しているのは誰ですか?

オープンバンキングを採用している国では、一般的に、誰が参加できるのか、データがどのように共有されるか、それらのルールに違反した場合どうなるかについて明確なルールが定められています。

イギリス

金融行動監督機構 (FCA) は、すべてのオープンバンキングプロバイダーを監督します。FCA によって承認された企業のみが銀行データにアクセスしたり、決済を開始したりでき、公式の Open Banking Directory に掲載する必要があります。フレームワーク自体は Open Banking Limited によって維持されており、銀行が従う必要のある技術基準とセキュリティ基準が設定されています。

EU 全域

オープンバンキングは、各国の金融規制当局によって施行される改正決済サービス指令 (PSD2) によって管理されます。欧州銀行監督機構は、基本的な技術基準を策定し、各国の規制当局は銀行とサードパーティーが準拠することを徹底します。

世界の他の地域

オーストラリア、ブラジル、アメリカなどの国では、同様の指令が制定または最終決定されています。オープンバンキングが存在するすべての場所で、この規則は通常同じです。つまり、認可を受けた監督機関のみが財務データの取り扱いを許可されます。

イギリスにおけるオープンバンキングの安全性

イギリスは、オープンバンキングの安全性に関する世界的なベンチマークとして広く認識されています。Open Banking Standard は、2018 年の発売以来、厳格に規制されたネットワークとして成熟し、数百万の顧客とビジネスに利用されています。

すべての取引は、安全な API と SCA を介して実行されます。ユーザーは、サードパーティーアプリを経由することなく、銀行で直接認証するため、パスワードは保護されます。

Open Banking Limited の 2024 年のレポートによると、イギリスのオープンバンキング取引は、金額ベースの不正利用率が他の決済タイプに比べて大幅に低くなっています。不正利用が発生した場合、過失が証明されない限り、銀行は通常、顧客に払い戻す必要があります。

大手小売業者、フィンテック企業、さらには陛下の収入関税庁 (HMRC) を含む政府機関が、決済にオープンバンキングを使用しています。

オープンバンキングを利用する際に安全を維持する方法

顧客は、オープンバンキングの利用中に、認識とスマートなデジタル習慣を通じて、自分自身を守ることができます。

アカウントを保護するためのヒントは次のとおりです。

• 規制対象のプロバイダーのみを使用: 銀行アカウントをアプリに接続する前に、そのアプリが自国の金融規制当局によって承認されていることを確認してください。規制当局の承認リストにない場合は、アカウントを接続しないでください。

• 銀行の認証情報を絶対に共有しない: 実際のオープンバンキングサービスでは、パスワード、個人識別番号 (PIN)、またはワンタイムコードを求められることはありません。銀行のウェブサイトまたはアプリからのみログインしてください。アプリやメールで詳細を直接求められた場合は、詐欺と見なしてください。

• 付与している権限を読む: アクセスを承認する前に、アプリの表示や動作を正確に確認する必要があります。評判の良いプロバイダーは、アクセスが必要な理由と期間を明確に説明します。

• 口座を定期的に確認する: 身に覚えのない取引やデータアクセスを監視し、使用しなくなったアプリに対する権限を取り消します。これは通常、バンキングアプリ内で実行できます。

• デバイスを保護する: スマートフォンとコンピューターを最新の状態に保ち、強力なパスコードを使用し、可能な限り生体認証を有効にします。

Stripe Payments の活用方法

Stripe Payments は統合型のグローバル決済ソリューションです。成長中のスタートアップから大企業まで、あらゆるビジネスがオンライン、対面、世界各地で決済を受け付けられます。

Stripe Payments は、以下のような場面でご活用いただけます。

• 決済体験の最適化: 構築済みの決済 UI、125 種類以上の決済手段へのアクセス、Stripe が構築したウォレットである Link により、スムーズな顧客体験を実現し、エンジニアリングの工数を何千時間単位で節約できます。

• 新市場への迅速な展開: 195 か国、135 以上の通貨で利用可能な国際決済オプションにより、世界中の顧客にリーチし、多通貨管理の複雑性とコストを軽減できます。

• 対面とオンライン決済の統合: オンラインと対面チャネルにまたがるユニファイドコマース体験を構築し、インタラクションをパーソナライズし、ロイヤルティに報い、収益を伸ばします。

• 決済パフォーマンスの向上: ノーコードの不正利用防止機能や承認率向上のための高度な機能を含む、カスタマイズ可能で設定が簡単な各種決済ツールにより、収益を増加させます。

• 柔軟で信頼性の高いプラットフォームによる迅速な成長: 99.999% の稼働率と業界トップクラスの信頼性を備え、スケールに合わせて拡張可能なプラットフォーム上で構築できます。

Stripe Payments のオンラインおよび対面決済がビジネスにどのように役立つかについて、詳しくはこちらをご覧ください。または、今すぐ始めることもできます。