LINKブログ
/
変わる銀行法シリーズ第三回 : 「オープンAPIとセキュリティ」
API

変わる銀行法シリーズ第三回 : 「オープンAPIとセキュリティ」

マネーツリー編集部
2018
06
05

変わる銀行法シリーズ第三回 : 「オープンAPIとセキュリティ」

2017年5月26日に成立した改正銀行法が、今年2018年6月1日に施行されました。この改正銀行法で今後何が変わるのかについて、さまざまな角度からシリーズで解説している「変わる銀行法リシーズ」。第1回は、イノベーションの世界の潮流をAPIを切り口に紐解く「APIとAPIエコノミー」。第2回では、改正法銀行法のこれまでの動きと今回の改正法のポイントを解説した「改正銀行法と構造的変換」。第3回の今回は、改正銀行法でサービスやアプリが具体的にどのように変化して行くのか、簡単にテクノロジーの側面も踏まえて核心に迫ってみます。

openapi_security_1200x840

WebスクレーピングからAPI利用へ 

改正銀行法の施行でファイナンスアプリやサービスは大きく変化する。これまで利用者はファイナンスアプリを使用する際、IDやパスワードを用いてネットバンキングサイトにアクセスし、ファイナンスアプリはWebサイトから情報を抽出するWebスクレイピングで情報を取得していた。だが、Webスクレイピングはネットバンキングサイトのデザインが変わると正しく動作しなくなるため、その都度変更を加えなければならない。さらにWebスクレイピングを用いたファイナスアプリが取得できる情報は、金融機関が提供するデータに限られる。このようなビジネススピードの停滞を招く、応用性の狭さは問題だ。

 一方でAPIを利用した場合、ユーザーはファイナンスアプリを立ち上げると、接続先となる銀行へ認証済みユーザーを識別するためのアクセストークン※1 を取得し、ID/パスワードを用いた場面よりも堅牢な状態で、口座取り引き情報などのデータ取得が可能になる。そのデータ取得先もWebサーバーなどに限定されないため、データ保護の観点からも望ましい。また、API経由で取得した情報を他業種のサービスと連携させることで、企業間のエコシステムと新たなビジネスを創生する可能性も高い。官民挙げてオープンAPIを推進する潮流に至ったのは必然と言えるだろう。

※1 アクセストークンとは : サービスを利用する際にユーザー認証情報を保持する認証局が払い出す証明書。ユニークかつ乱数を持ちいた数十桁の文字列を用いる。再認証時もID/パスワードの代替情報としてトークンを用いることでユーザー体験の向上を可能にする。

Webスクレイピング と APIの違い

Moneytree-LINK-LINK-blog-mark's-mic-on-the-difference-of-web-scraping-and-api-2018

だが、更新系APIは経費精算振り込みに代表される資産の移動や口座属性の変更と言ったことが可能になる。このあたりもスクレイピングではなし得なかった可能性の1つだ。更新系APIは口座データを書き換えるため、資産流出リスクは確かに存在する。しかし、世の中の存在する技術にリスクゼロなどあり得ない。次の章ではオープンAPIのセキュリティについて考察してみよう。

APIエコノミーとセキュリティ、そしてプライバシー

 参照系APIは民間団体や政府の後押しで今後普及することが見込まれるものの、更新系APIはさらなるセキュリティ保護が必要となる。全銀協が2017年7月13日に公開した「オープンAPIのあり方に関する検討会報告書」では、オープンAPIが供えるべきセキュリティ原則を提示した。

 開発スタイルは当初は概念として生まれながらも、現在はHTTP方式でデータの送受信を行うREST(Representational State Transfer)を採用。ただし、全銀協はRichardson Maturity Model(リチャードソン成熟モデル)レベル2で定義した条件を満たすことを推奨している。通信プロトコルはHTTPS(Hypertext Transfer Protocol Secure)、データ形式はJSON(JavaScript Object Notation)、アクセス権限の認可にはOAuth 2.0を推奨した。また、バージョン管理手法はセマンティック・バージョニングを使用する。

 いずれの技術もIT業界では標準的な実装だが、それでも万全とは断言できない。新たに構築するシステムにバグはつきものである。また、改正銀行法で電子決済等代行業の枠を絞り込んでも、API接続先が社会的信用に疑義がある可能性は否定できない。そのため全銀協は「API 接続先の適格性」「内部/外部からの不正アクセス対策」「不正アクセス発生時の対応」「セキュリティ対策の継続的な改善・見直し、高度化」を掲げている。

 一方強固なセキュリティがあっても情報を操作する上でのポリシーであるプライバシーがしっかりしていないと個人情報の保護は確保できない。セキュリティとプライバシーの調和で、ユーザーからの信頼を確立できる。マネーツリーの「Moneytree LINK」は、顧客の信頼性を勝ち取るため、サービス開始当時より厳しい制限を設けてきた。例えば、同社が個人向けに提供する「Moneytree」の基幹部分はMoneytree LINKを使用し、同一IDの利用が可能だ。「お客さまのデータはお客さまのもの」という理念のもと、取り引き明細の解析データを用いた広告などは行わず、個人のプライバシーを重視し、個人の同意に基づいたビジネスモデルを構築している。

現在注目を集めるデータポータビリティにも対応済みだ。EUのGDPR (一般データ保護規則)でも定められているように、とあるサービスが特定のユーザーに関して収集・蓄積した利用履歴などのデータを、ユーザー主導で他のサービスでも再利用できる。つまり持ち運び可能である(=ポータビリティ)ことを示すユーザーの権利だが、日本でも経済産業省と総務省が共同で2017年11月に「データポータビリティに関する調査検討会」を開き、積極的な姿勢を示してきた。Moneytree LINKは利用者の意思で、データの集約や移動など自己管理できるプラットフォームとして、データポータビリティに対して積極的な姿勢を取っている。様々なサービスが繋がるAPIエコノミーの世界では、このユーザーのデータ主導権が肝になってくる事は間違いない。

シリーズ第四回へ続く

オープンAPIに伴うデータ利活用やデータポータビリティについて詳しく知りたい方は、下記をご参考ください。                                            

変わる銀行法シリーズ第一回 : 「APIとAPIエコノミー
変わる銀行法シリーズ第二回 : 「改正銀行法と構造的転換
変わる銀行法シリーズ 最終回 : マークに聞く「オープンAPIの重要性」

         

筆者プロフィール

マネーツリー編集部

改正銀行法, オープンAPI, APIエコノミー

Share this article

関連記事