オープンバンキングが抱えるリスクとは?

この記事をシェア

あらゆる金融サービスを管理し、利便性を高める「オープンバンキング」にも代償は伴う。オープンバンキングの要点とあわせ、普及に伴うリスクについて考える。

この記事は、ESET社が運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。

オープンバンキングが抱えるリスクとは?

2010年代半ばに広まって以来、モバイルバンキングアプリの利用者は増加し続けている。そして、今ではあらゆる金融サービスに対応できる利便性の高いツールとなっている。スマートフォン(以下、スマホ)を使って商品を購入する、サービスの決済を行う、送金する、ローンに申し込む、保険に加入するなど、支出を管理することが可能だ。

モバイルバンキングが一般化するにつれ、異なる金融機関から複数のアプリをスマホにダウンロードする人も増えているだろう。ある銀行では当座預金を持ち、別の銀行では住宅ローン、さらに、貯蓄やオンライン決済では異なる口座を使っているというケースもあるかもしれない。すべての支払いを追跡するのが難しくなり、支払いや負債がどのくらいあるかを全体的に把握できなくなってしまうケースもあるだろう。

2012年以降、システム連携を実現する新しい金融機関がアプリストアに登場し始め、フィンテックの急速な成長を促した。Revolut、N26、Monzoといった新しいタイプの銀行は、旧来の銀行とは異なる特長を持ち、アクセスしやすく、洗練され、技術的に優れていた。これらの「チャレンジャーバンク」は若い世代のライフスタイルに合わせて作られており、旅行保険やショッピング保険、プリペイド型のデビットカードなどが提供されている。

これらの新銀行は、さらに新たなサービスを追加してきている。例えば、オンライン決済用の使い捨てバーチャルカード、株式投資や暗号資産(仮想通貨)サービス、支出を可視化するためのわかりやすいダッシュボードといったサービスが挙げられる。ただし、これらの新銀行が個人にとってのメインバンクとしては扱われていないというのも実情だ。銀行のような競争の激しい業界で立ち位置を変えるのは極めて困難であるからだ。

そこで、ここ数年、新銀行はオープンバンキングに関する新たな法制度の整備を推進してきた。オープンバンキングは、銀行ではなく顧客自身が所有する金融情報の権利を主張するものだ。これには適切な相手に情報を渡す権利も含まれる。忘れてはならないのは、フィンテック企業だけではなく、旧来の銀行も既に同意を得た上で、匿名化したデータを第三者に販売している点だ。

図

オープンバンキングとは何か?

オープンバンキングでは、ユーザーが自ら選択したサードパーティーのアプリやサービスに口座情報をシェアするよう、金融機関に指示できる。例えば、(フィンテックのプラットフォームを介して)1つの銀行にすべてのアカウント情報を集約したり、あるいは特定の企業から融資を受けたり、すべての購入・送金についてリアルタイムで予算や費用を管理するようアプリに権限を与えることも可能となる。

世界中の政府や規制当局は、オープンバンキングの実装に向けて動いてきた。伝統的で保守的である銀行業界において、イノベーション・競争・透明性を促進するためポリシーを変更し、情報共有に対応するよう銀行に対し義務付けるようになった。加えて、ユーザーは(予算や)ニーズに合わせたサービスを受けられるようになった。では、プライバシーに関する代償はないのだろうか?

オープンバンキングが諸刃の剣である理由とは

口座情報をシェアすることには、どのようなリスクがあるのだろうか? 試しに直近20件の銀行取引を確認してみよう。筆者の場合、ただ見ただけでも私自身の人となりや習慣、さらには健康状態さえも把握するのに十分であった。

例えば、取引履歴からは以下のようなことが推測できた。

  • 公共交通機関を使っている(1ヶ月定期を購入した)
  • 健康上の問題を抱えている(ここ数日で病院と薬局を訪れた)
  • 外食よりも、自宅で料理することが多い(レストランに訪れた際、どこで、いくら支払ったかは明白)
  • 普段、長距離バスを予約している

つまり、銀行のデータは、対象者の日常生活を暴いてしまうのだ。

このような情報を他者に渡してしまって良いのだろうか? 気にしていない人もいるだろう。オープンバンキングを推進している英国政府は、2023年9月までに同国民の60%がオープンバンキングを利用するだろうと予測している。驚くべき数字であるが、これは同国が推進するオープンバンキング標準を実装するための取り組み結果を踏まえたものだ。また、金融データがどのように生成・共有され、アクセスする手段が提供されるかを定義するAPI標準も公開している。

銀行業界の競争を促進するのを主たる目的として、2015年に決済サービスに関する法令が初めて承認されたときは、英国はまだEUの一員であった。同様に、オーストラリアは消費者データ権(Consumer Data Right)の制度を通じて、オープンバンキングやデータ共有を推進している。北米やラテンアメリカ諸国を含めた各国は、独自の法制化を進めてきた。

オープンバンキングの導入が遅れている米国では、消費者金融保護局(Consumer Financial Protection Bureau)がいくつかの懸念を公表している。具体的には、データを保護するのにサードパーティーに対してどのような要件を設けるべきか、プライバシーに関して何の制限を設けるか、そして、どんなテクノロジーを許可するべきか、といった論点が挙げられる。また同局は、中小の金融機関がこれらの規制にどのように対応できるのか(そもそも対応できるのか)についても懸念している。

どのアプリや企業がオープンバンキングを活用できるかを定める厳しいガイドラインを作成している国もあるが、オープンバンキングにはプライバシーやサイバー攻撃に関するリスクも存在する。

  • 消費者に対するフィッシング攻撃は頻繁に見られる。誤ったリンクをクリックし、偽のWebサイトに銀行のログイン情報を入力してしまうと大きな問題に発展するだろう。すべての取引履歴を記録したアプリへのアクセス権を犯罪者に渡してしまい、情報を盗み見られる際のリスクを想像してみてほしい。
  • 不正なモバイルアプリは、オープンバンキングの機能を提供する有益なアプリに偽装し、銀行のログイン情報を詐取しようと試みる。
  • 情報漏えいにより、当該金融機関を使用している数千人ものユーザーの取引履歴が流出する可能性がある。
  • データを閲覧するために投資する広告主もいる。悪意のある広告主が、ユーザーの同意なくデータを収集するケースもある。
  • APT攻撃(標的に対し、継続的に攻撃を仕掛ける種類のサイバー攻撃)で、特定の人が標的にされる場合がある。
  • アプリのインフラに不正侵入したり、脆弱性を突いたりする攻撃もある。

オープンバンキングの今後

オープンバンキングの議論は全世界に広がっており、このトレンドは続いていく。しかし、普及のペースは国によって異なるだろう。インターネットへのアクセスが十分でない地域は未だ多く、モバイルインターネットの普及スピードには違いがあるからだ。また、オープンバンキングに付随するサイバーセキュリティは課題となっており、今後、あるいは既にリスクとして認識されるようになってきている。

私たちのデータの価値は、世界中で毎日のように語られているトピックだ。そのメリットを理解し、健康、金融、技術サービス、マーケットプレイスといった異なる領域のサービスを買収している企業は少なくない。これらの領域をすべて連携させ、銀行の口座情報とつなぎ合わせれば、ユーザー体験の改善につながる可能性がある。旧来の金融サービスも、より革新的なテクノロジーに変わっていくだろう。しかし一方で、私たちのプライベートな情報を譲り渡さなければならない点も忘れてはならないのだ。

この記事をシェア

スマートフォンのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!