- BLOGトップ
- 改正割賦販売法でカード決済はこう変わる「フィンテック」とカード会社の API 連携
2017年6月に閣議決定された「未来投資戦略 2017」では、我が国が目指す未来像である「Society 5.0」の実現に向けた重点分野の一つとして「フィンテック(FinTech)」を取り上げている。その進捗を計る目標として「今後 10年間(2027年6月まで)に、キャッシュレス決済比率 を倍増し、4割程度とすることを目指す」と明記された。
キャッシュレス決済の拡大に伴い、カード会社には多くの消費データが蓄積されるようになっていく。2016年2月に経済産業省がまとめた報告書『クレジットカード産業とビッグデータに関するスタディグループ』 では、これらのデータを一層有効に活用することが顧客の利便性を向上させ、結果として更なるビジネス展開につながると記載している。
その方法の一つとして、カード会社とフィンテック企業の連携による新サービスの提供、その具体的な手段として API(アプリケーション・プログラミング・インターフェース)の活用を挙げた。こうした課題意識の下で、2017年3月に経済産業省は「クレジットカードデータ利用に係る API連携に関する検討会」(以下「検討会」)を設置し、議論を開始した。
APIの活用によるイノベーションの促進に関しては、2017年5月に「銀行法等の一部を改正する法律」(以下「改正銀行法」)が成立した。送金などの「決済指図伝達型」および口座や取引情報をまとめる「口座情報取得型」の2種類を対象として、フィンテック企業に「電子決済等代行業者」として登録制を導入し、サービスに対応する金融機関との契約締結を義務付けた。経産省の検討会の中間とりまとめ(2017年6月)で は、この動向を踏まえて、カード会社とフィンテック企業の API 連携に対して、「新技術やサービスの出現により迅速に対応できるよう、ガイドラインでの対応が望ましい」とした。
2018年3月には『クレジットカードデータ利用に係るAPIガイドライン』(以下「APIガイドライン」)を公開した。サービスの効率化に加え、データを安全に利用できるようにすることを目的としている。決済分野を中心に多数のフィンテック企業が出現し、カード発行会社や国際ブランドなど外部のカード関連事業者とAPIを通して連携することで新しいサービスが登場することを想定している(図1)。
▼図1:フィンテック企業とカード会社 / 国際ブランドの連携による新サービスの提供形態
APIを通してフィンテック企業と連携するサービスの提供に際して、 カード会社に関わる機能とは大きく ①システム内のデータを取得する「参照系」、②システム内のデータを変更する「更新系」、③カード会員を識 別するための情報を取得する「認証系」― の3つに分類できる。API ガイドラインは、主にカード発行会社における「参照系」のAPIを利用したサービスを想定している。
図2は、API連携により提供可能になるサービスの想定例である。フィンテック企業がカード会社と連携する際には、データが安全に利用 される環境が重要である。例えば、図2の「CLO(Card Linked Offer)」は、カード会社との間でカード番号のやり取りが発生し得るサービスである。そのため、検討会の中間取りまとめでは、カード情報を取り扱う事業者に対してPCI DSSに準拠するとともに改正割賦販売法におけるセキュリティ対策の対応ができる体制の整備も必要としている。
▼図2:フィンテック企業とカード会社/国際ブランドの連携による新サービスの想定例
APIガイドラインでは、カード会社とのAPI連携における認証には、カード情報およびカード会社が提供するウェブサイトなどの ID/パスワードを使用しないことを前提としている。これによって、APIを連携させる フィンテック企業には、カード会社と同水準のセキュリティ対策(具体的には PCI DSS 準拠)を求めるのではなく、リスクベースのアプローチによって対策を講じていくことを原則としている。API接続先のセキュリティについては、カード会社による適格性審査および継続的なモニタリングも必要としている。
(共著:fjコンサルティング代表取締役CEO 瀬田陽介
PCI Security Standard Council アソシエイト・ダイレクター 日本 井原亮二)
※出所:書籍『改正割賦販売法でカード決済はこう変わる』(日経BP社、2018年4月発行)から著者および出版社の許諾を得て転載
■書籍の詳細はこちら(日経BP社):改正割賦販売法でカード決済はこう変わる
PCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。
是非一度、ご相談ください。
PCI DSS準拠を促進するクラウドサービスならPCI DSS Ready Cloud
■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する
■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適
■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス
キャッシュレス決済の拡大に伴い、カード会社には多くの消費データが蓄積されるようになっていく。2016年2月に経済産業省がまとめた報告書『クレジットカード産業とビッグデータに関するスタディグループ』 では、これらのデータを一層有効に活用することが顧客の利便性を向上させ、結果として更なるビジネス展開につながると記載している。
その方法の一つとして、カード会社とフィンテック企業の連携による新サービスの提供、その具体的な手段として API(アプリケーション・プログラミング・インターフェース)の活用を挙げた。こうした課題意識の下で、2017年3月に経済産業省は「クレジットカードデータ利用に係る API連携に関する検討会」(以下「検討会」)を設置し、議論を開始した。
APIの活用によるイノベーションの促進に関しては、2017年5月に「銀行法等の一部を改正する法律」(以下「改正銀行法」)が成立した。送金などの「決済指図伝達型」および口座や取引情報をまとめる「口座情報取得型」の2種類を対象として、フィンテック企業に「電子決済等代行業者」として登録制を導入し、サービスに対応する金融機関との契約締結を義務付けた。経産省の検討会の中間とりまとめ(2017年6月)で は、この動向を踏まえて、カード会社とフィンテック企業の API 連携に対して、「新技術やサービスの出現により迅速に対応できるよう、ガイドラインでの対応が望ましい」とした。
2018年3月には『クレジットカードデータ利用に係るAPIガイドライン』(以下「APIガイドライン」)を公開した。サービスの効率化に加え、データを安全に利用できるようにすることを目的としている。決済分野を中心に多数のフィンテック企業が出現し、カード発行会社や国際ブランドなど外部のカード関連事業者とAPIを通して連携することで新しいサービスが登場することを想定している(図1)。
▼図1:フィンテック企業とカード会社 / 国際ブランドの連携による新サービスの提供形態
APIを通してフィンテック企業と連携するサービスの提供に際して、 カード会社に関わる機能とは大きく ①システム内のデータを取得する「参照系」、②システム内のデータを変更する「更新系」、③カード会員を識 別するための情報を取得する「認証系」― の3つに分類できる。API ガイドラインは、主にカード発行会社における「参照系」のAPIを利用したサービスを想定している。図2は、API連携により提供可能になるサービスの想定例である。フィンテック企業がカード会社と連携する際には、データが安全に利用 される環境が重要である。例えば、図2の「CLO(Card Linked Offer)」は、カード会社との間でカード番号のやり取りが発生し得るサービスである。そのため、検討会の中間取りまとめでは、カード情報を取り扱う事業者に対してPCI DSSに準拠するとともに改正割賦販売法におけるセキュリティ対策の対応ができる体制の整備も必要としている。
▼図2:フィンテック企業とカード会社/国際ブランドの連携による新サービスの想定例
APIガイドラインでは、カード会社とのAPI連携における認証には、カード情報およびカード会社が提供するウェブサイトなどの ID/パスワードを使用しないことを前提としている。これによって、APIを連携させる フィンテック企業には、カード会社と同水準のセキュリティ対策(具体的には PCI DSS 準拠)を求めるのではなく、リスクベースのアプローチによって対策を講じていくことを原則としている。API接続先のセキュリティについては、カード会社による適格性審査および継続的なモニタリングも必要としている。(共著:fjコンサルティング代表取締役CEO 瀬田陽介
PCI Security Standard Council アソシエイト・ダイレクター 日本 井原亮二)
※出所:書籍『改正割賦販売法でカード決済はこう変わる』(日経BP社、2018年4月発行)から著者および出版社の許諾を得て転載
■書籍の詳細はこちら(日経BP社):改正割賦販売法でカード決済はこう変わるPCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。
是非一度、ご相談ください。
PCI DSS準拠を促進するクラウドサービスならPCI DSS Ready Cloud
■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する
■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適
■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス
この記事が気に入ったら
いいね!しよう
PCI DSS 関連の最新記事をお届けします
Copyright by LINK, INC.