金融分野では、フィンテック事業者が金融機関のオープンAPIを用いて顧客の口座の取引情報を取得して顧客に提供する参照系サービスや、決済の実行を金融機関に指示する更新系サービスを提供している。こうしたサービスを安全に実現するうえで、金融機関がフィンテック事業者に顧客の情報へのアクセスを許可するための認可処理のセキュリティ要件を適切に設定することが必要である。こうした要件を整理したセキュリティ要件集の標準として、2025年2月にFAPI 2.0が公表された。今後、金融機関やフィンテック事業者が自社のサービスのセキュリティ要件を検討する際には、FAPI 2.0を参照することが有用である。また、FAPI 2.0の標準化完了より前に公表されている海外のセキュリティ要件集をみると、FAPI 2.0と整合的なセキュリティ要件が既に含まれているだけでなく、FAPI 2.0よりもリスク低減に資する要件も含まれている。海外のオープンAPIのサービスと遜色ないセキュリティを確保する観点から、金融機関やフィンテック事業者は、FAPI 2.0をベースラインとして参照しつつ、海外のセキュリティ要件集に含まれている、リスク低減に資する要件の採用についても検討することが重要であろう。
キーワード:オープンAPI、更新系サービス、参照系サービス、セキュリティ要件集、認可処理、FAPI 2.0
掲載論文等の内容や意見は、執筆者個人に属し、日本銀行あるいは金融研究所の公式見解を示すものではありません。