アグリゲーションとAPI(ウェルズ・ファーゴ銀が発表)


金融経済新聞の平成28年7月11日付記事です。ウェルズ・ファーゴ銀行(WFBK)が、オンライン会計のXeroと新データ交換方式で合意したと発表したそうです。スクリーン・スクレイピングで口座データをアグリゲートしていたサービスを、OAuthを使ったAPIに置き換えるという内容です。

手順としては、ユーザーはXeroにログインし、WFBKからアグリゲーションすることを選択。自動的にWFBKサーバーにコントロールが移り、銀行のConnect Account画面で対象の口座とデータ種類を指定する。その指定内容は、自動的にXeroサーバーに伝送する。それをユーザーが確認すると、コントロールがXeroに戻って、OAuthのトークンが発行され、WFBKとXeroとの口座データをシェアする経路が確立される。以降は、毎朝、更新された異動明細と残高データが伝送されるようになる。(この毎朝という点に注意。)

昨年の秋に、米銀大手は、アグリゲータが顧客のIDとパスワードを使って銀行の口座データを引きだすことを嫌って、一時的にアグリゲータとの接続を遮断しました。1週間程度で復旧させましたが。銀行としては、セキュリティに不安があることを名分としましたが、多くのアグリゲータが無神経に銀行サーバーにアクセスするので、ホスト側の負荷が大きくなったことも理由だったとされています。アグリゲータからの照会を有料にすべきだとの意見も出ました。何よりも、銀行を怒らせたのは、自分と顧客との間にアグリゲータが入り込んで、インタフェースを奪われることだったのでしょう。その点でわが国の銀行は鷹揚です。

とはいえ、顧客側に口座データをアグリゲートしたいというニーズのあることは確かです。そこで、JPモルガンやWFBKなどは、必要性の高いデータ提供要請に関しては、顧客の指示を受けた第三者に情報提供するプッシュ型のシステムを作る動きとなりました。それには、APIとセキュリティ確保が大きな検討課題となります。米国で最もAPI開放に積極的なのはCapitalOneだとされています。(事実かどうかは確認していません。)同行は開発者向けの開発支援ポータルを開設し、SwiftID API、Rewards API,Credit Offer APIの三つを公開しています。EUははるかに進んで、ペイメント業者が顧客の銀行口座から送金できる仕組み(API)を2018年までに銀行が構築するようにEU決済サービス指令を発出しているそうです。

わが国でもAPIとセキュリティがFinTechの重要な技術要素であることは認識されています。そこで金融庁や経産省は標準化を図りたいと考えています。専門家にヒアリングするのですが、どんなサービスでどんなデータをどういう手順でアグリゲートしたいのですかと逆質問されて、止まってしまう。それは当り前です。今現在、アグリゲーションされているサービスについては要件を説明できるが、これから何が出てくるかは誰にもわからない。迂闊に標準と称して固定してしまうと、将来の発展を止めかねません。大手銀行もAPIの研究を進めており、BTMUは11パターンで銀行APIの要件を整理しているようですが、進捗状況を公表していません。その点で、マネーフォワード(MF)のようなフィンテック企業の方が進んでいるようです。

マネーフォワードAPIは、@ユーザー登録・連携・認証 Aアグリゲーション登録・更新 Bユーザーデータへのアクセスを基本機能として2500以上の企業サイトと接続しています。ISO27001やTRUSTeなどのセキュリティ認証も取得しています。ただ、金融機関との間は、スクレイピングが多く、顧客のIDとパスワードを預っています。それはMFの望むところではありませんし、金融機関側も不安で仕方ない。専用APIとOAuth認証の組合せが必要だとMFは以前から主張しています。それに答えたのが住信SBIネット銀行です。専用のAPIとOAuthを使って、今年3月にMFと接続しました。顧客のIDやPWをMFに預ける必要はなく、何よりもセキュリティ全般のレベルを上げられる。顧客の情報管理は銀行が行なえ、伝送量も銀行側が制御できる。(従来方式だとアグリゲーション・リクエストが重なって、サーバーがDDos攻撃と判断することすらあるようです。)そして、隠れた期待としては、自社が思いもつかないヒット・サービスを相手先サービス業者が開発してくれることもあるようです。

日本IBMも6月末から銀行APIサービスの本格展開を始めました。2月から提供していますが、フィンテック企業5社との接続検証を終えて、本格的な販売活動を開始したとのことです。BIAN方式でOAuth認証を採用しています。インターネット・バンキングとは別建てのシステムなので、どんなIBシステム、勘定系システムでも利用できるのが強みです。

OAuthという認証方式がしばしば出てきます。これは、Webサービス間のAPI連携用の認証手法です。国際標準として期待されていますが、まだ確立されていません。facebookやTwitterなどが採用しているそうですが、デスクトップなどには不向きだとか、実装が複雑すぎるとか言われています。しかし、権限管理ができるので悪用を抑えられることや、何よりもIDやパスワードを渡す必要がないことがメリットです。FinTechでは多様なサービスが連携しますので、セキュリティは大きな課題です。まだまだ、いろいろな対策手法が出てくるでしょう。それに対応できる人材かベンダーを確保することも大きな課題です。

                        (平成28年7月15日 島田 直貴)