電子決済システムの統合が目指されているEUでは、これが実現すると新たなサービス事業体として金融関連企業が持つ顧客情報を、第三者でも活用できるようになる。これまで以上に情報漏えいの懸念が増す一方で、顧客のニーズにマッチしたさまざまなサービスが提供される道が広がる。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
欧州で、決済サービスの状況と銀行業に大転換もしくは激震を引き起こしかねないような事態が生じている。そのため、今がちょうど「EU決済サービス指令」(改訂版)(Payment Services Directiveの日本語訳。「PSD2」と呼ばれる)の概要を俯瞰するには、良いタイミングではないだろうか。この視点から読者に情報を提供することで、この新しい法律がどの程度の変革をもたらすのかを各自で判断いただければと思う。
進化/革命?
2007年から実施されていていたPSD1に続き、PSD2はEU域内の電子決済システムのさらなる統合を目的として要求水準を引き上げている。同時に、競争と革新を促進し、支払いの安全性とセキュリティをも担保しようというものである。これらのことは「開かれた銀行業」の名の下に、最終的には顧客の利益のために実施される。
PSD1の問題点を解決することを目指し、また、急ピッチで進む技術革新に追従すべく、EUの立法者は、異なる決済サービス事業者間の事業・競争環境を改善し、新規市場参入の障壁を低減しようとしている。EUは当該指令が適用される地域を拡大すべく、決済サービス事業者の一方でもEU域内に存在すれば、その取引は規制の範囲内とすることとした。
2018年1月13日までに、EU諸国はPSD2を国内法に組み込まなければならない。しかし、その指令の実施に向けた道のりが険しい国も存在する。ベルギー、スウェーデン、およびオランダは、それぞれの国内法に本規制を組み込むのに、遅延が生じる見込みであると報道されている。加えて、欧州委員会がオランダとポーランドで実施した最近の調査を踏まえると、新ルールの実際の適用は全てが思う通りには進まない可能性が高い。
本規制の核心は、顧客が事前に合意している場合において、銀行が金融サービスを提供する第三事業者(TPP)に顧客アカウント情報を提供できるようにする点にある。この顧客情報へのアクセスは、「API」(アプリケーション・プログラミング・インターフェース)というデジタルリンクにより提供されるが、TPPは顧客の金融データを多数入手することが可能になる。これらのデータには、収入や履歴、支出の傾向やプロファイルなど、顧客を全方位から観察できる情報が含まれており、これにより革新的かつお好みのサービスを顧客に提供することが可能になる。
本法律により、2つのゲームプレーヤーのカテゴリーが定義された。1つは決済指図伝達サービス提供者(PISP)であり、もう1つは口座情報サービスプロバイダー(AISP)である。
PISPは口座保持者の代わりに支払人と受取人の口座をソフトウェアでブリッジすることで、支払い手続きを開始できる。その際に、顧客は銀行口座に直接アクセスしたり、デビットカードやクレジットカードを利用する必要はない。
AISPは、銀行の顧客の口座情報へのアクセス権を得ることにより、顧客の支出パターンを分析できるようになる。また、異なる銀行にある顧客の複数のアカウントの情報を集約できるようになる。
これからの銀行の行方
欧州の銀行はこれまで、小売業やタクシー、ホテルの取引は別として、デジタル化による混乱の影響を抑制すべく尽力してきた。しかし、ポストPSD2時代には、競争が盛んな領域で戦うことを強いられることになり、そこではほかの銀行(従来の銀行と新銀行の双方)のみでなく、巨大ハイテク業者や新興のフィンテック(=ハイテク金融サービス)企業などが切磋琢磨している。これらの企業は金融サービスおよび決済サービスの第三事業者としての活動を展開する用意ができている。巨大ハイテク業者の多くは自身の決済サービスをすでに展開しており、彼らは2018年には万全の態勢でサービスを展開する計画で動いていると考えられる。
決済に関する収益を失うリスクに加え、銀行は顧客との接点を失い、TPPに利用される単なる公共施設になってしまうというリスクも持っている。とはいえ、アルバート・アインシュタインの言葉を引用するならば、「困難の中にこそ好機が存在する」のである。
実際、PSD2によりもたらされる新たな好機は銀行も生かすことができ、決済から得られる収益の減少を取り戻し、新たな収益源を育てていくことも可能である。銀行が口座情報サービスプロバイダー(AISP)もしくは決済指図伝達サービス提供者(PISP)としての機能を担うことも、特段禁止されていないのである。
すなわち、現在銀行業を実施している側は、たたき付けられた挑戦に消耗して防衛に回るか、顧客への商品とサービスを拡充して新たな好機をつかむか、いずれかである。新たな好機をつかみに行くことにより、各種勢力からの挑戦を回避することができる。多くの銀行が素早く変化しており、自身で新たなフィンテック企業を立ち上げたり、もしくはスタートアップ企業を買収している。
英国で実施された最近の調査によると、個人の金融情報のことになると、顧客は小売りやソーシャルメディアよりも銀行を信用するという事実が示唆されている。このことは、銀行にとって励みになるのではないだろうか。
一方、銀行にとって心配すべきこともある。グローバル規模での調査結果によると、顧客の約3分の1は、GoogleやAmazon、Facebookがもし同様のサービスを提供し始めたら、そちらにスイッチするだろうとの結果が出ているのである。
どちらにせよ、顧客にとっては、提供されるサービスの選択肢が広がり、コストが下がり、利便性が高まり、セキュリティが高まるため、うれしいことである。
セキュリティ
利便性が向上する際には、セキュリティに対する考察をする必要がある。電子決済に関するものであれば明確にセキュリティに関する示唆がたくさんある。サイバー脅威が絶え間なく進化してきている現在においては、このことをあらためて強調したい。
PSD2は「強力な顧客認証(SCA)」と呼ばれるものを義務付けることにより、電子決済の開始と処理について、厳しいセキュリティの要求条件を定めている。これは、次の3つの認証要素のうち少なくとも2つが満たされれば、認証は強力であるというものである。
- 1 知識:ユーザのみが知っているもの(パスワードなど)
- 2 所有:ユーザのみが保有しているもの(カードなど)
- 3 固有なもの:ユーザの特徴(指紋や音声認識など)
これらの要素はお互いに独立していなければならず、1つの要素が破られてもほかの要素の信頼性に影響しない必要がある。
それに加え、欧州銀行監督機構(EBA)は、欧州中央銀行(ECB)と密に連携することにより、強力な顧客認証とセキュアな通信に関する規制技術基準(RTS)の草案を作成した。欧州銀行監督機構は、これらが「EU全土において、決済サービスについて顧客保護を強化し、革新を促進し、セキュリティを改善するための要諦」であると確信している。
将来にさらなる発展を可能にするという観点から、PSD2は「技術とビジネスモデルの中立性」を義務付けている。RTSの最終草案が、やや中立な立場で要求条件を定義しているのはこのためである。記載されている幾つかの要件には、データ交換のための適切な暗号化の使用、最短と考えられる通信プロセスの利用、および交換されるデータの明確な言及が含まれている。
RTSの提案は、協議プロセスにあり、結果的に最終草案の提出を遅らせることとなった。さらに、欧州銀行監督機構と欧州委員会は、RTSの幾つかの面で対立しており、後者は幾つかの大きな変更を求めている。欧州銀行監督機構は委員会の目的には合意したものの、4つの変更提案のうちの3つについて反対を表明している。
最先端かつ最新のRTS草案は現在、欧州委員会の承認を待っている。この承認が得られた際には、RTSは「発効後18カ月間適用される」こととなる。欧州銀行監督機構によると、この猶予期間(最短でも2019年春まで)のうちに、業界は「欧州銀行監督機構のRTSに準拠した業界標準および/または技術ソリューションを開発する」必要がある。
銀行に変化が及ぶ時代
変化が革命的であるかどうかは、将来になって初めて分かることなので、現時点での判断は控えたい。いずれにしても、PSD2とそれに伴う変化は、技術主導型の変革の進展の大きな一歩を形づくろうとしている。
PSD2にはこれまでにないチャンスとチャレンジが多数存在する。混乱が落ち着いたころになると、今回の変化が銀行に資するものなのか、それとも破滅に導くものなのかが分かるかと思う。結局のところ、「予測するのは非常に難しく、特に将来のことであれば大変困難」(ニールス・ボーア)なのである。