FinTech日本普及のカギはどこに〜金融庁の指針は? ドコモの参入どうなる?[JSSECセミナーレポ]
※ この記事は 2017年07月31日に DX LEADERS に掲載されたものです。
フィンテックがバズワードのように叫ばれるようになってから3年ほどの年月が経っている。IT企業がリリースしている家計簿アプリなどを活用している方も多いのではないだろうか。
これまで金融機関がお金をコントロールしていたが、APIを開放することで、フィンテックベンチャーと呼ばれる企業が参入できるようになった。
ただ、そこで気になるのは、フィンテックのセキュリティの話だ。新しい事業者の参入の障壁を下げることは重要ではあるが、利用者の情報が守れなくなってしまえば本末転倒である。
そのために、省庁をはじめ、セキュリティ企業が協力し合い、安心・安全にフィンテックを利活用できるような施策を検討している。
今回は、一般社団法人日本スマートフォンセキュリティ協会(JSSEC)の技術部会が開催する『フィンテックセミナー』に参加した。
当協会は、スマートフォンやタブレットなど(以下スマートデバイス)の登場によって企業や個人の活動が活発化している中で、スマートデバイスの安心または安全な利活用を図るために、利用者・技術者それぞれの観点における啓発活動を行っている。スマートフォンが普及したばかりの時代から活動を行っており、現在ではIoTや今回取り上げているフィンテックの分野に至るセキュリティ対策について幅広く世の中に発信している。
アメリカ人の33%が「銀行は全く必要なくなる」と考えている
金融庁 総務企画局信用制度参事官 井上 俊剛氏は、フィンテックの進展とその推進に向けた金融庁の指針について語った。
「欧米の銀行では、最近の環境変化に対し危機感を持ってとらえています。特に、ビル・ゲイツ氏は、こう発言しています。“Banking is necessary, banks are not”(銀行業は必要だが、銀行は必要ない)」(井上氏)
アメリカの一般利用者の意識調査の結果も興味深い。33%の人が、銀行は全く必要なくなると回答している。
銀行の競争相手は銀行ではなく、「GoogleやFacebook、その他の企業と競合することになるだろう」とJPモルガン・チェースCEOであるジェイミー・ダイモン氏は言っている。
これらを受け、欧米の銀行ではITイノベーションの取り込みを目的とした、IT・ネット企業との戦略的な連携・協働が活発化しているそうだ。
一方で、日本の状況はどうだろうか。
日本の優れている点は、ATMの機能が極めて高機能であること。例えば、他行宛の振り込みや、生体認証の導入などが進んでいる。そして、プリペイドカード・電子マネーが2000年代前半から普及していることを挙げる一方で、ITを活用したキャッシュマネジメントサービスの分野で欧米よりも遅れを取っているとした。
欧米では、複数の銀行にまたがって携帯番号やEmailアドレスで送金できるサービスが拡大しているところだが、日本ではまだ普及まで至っていない。米銀では、IT予算の投資にあたり、優先される分野の半分以上は変化への投資だ。一方で、邦銀は変化への投資は21%、70%は現状のシステムの維持に割かれるそうだ。また、銀行のITエンジニアの比率も米銀と大きく異なる。米銀では全体の3割がエンジニアであるのに対し、邦銀では3.7%ほどとのこと。
こういったITへの投資の考え方や、人材の確保に関して邦銀では課題があるとしている。
フィンテック参入のためオープンAPIを整備
さて、フィンテックを推進するにあたり、オープンイノベーションの考え方が大きなポイントになる。つまりは、金融機関と非金融機関の連携だ。とはいえ、非金融機関の参入に当たっては利用者保護が重要だ。
例えば、家計簿アプリなどで用いられる技術であるスクリーンスクレイピングの安全性だ。アプリ上でユーザーに代わって電子決済代行業者といわれるアプリの運営企業が金融機関にアクセスしてもよい旨の了承とあわせて、口座にアクセスするためのIDやパスワード(以下PW)を得て、運営企業はスクリーンスクレイピングを用いて、ID、PWを用いてユーザーの口座情報を入手したのち、情報をアプリに反映している。
しかし、万が一、アプリの運営企業側でハッキング等の被害があったときに、情報セキュリティの利用者保護というところで懸念がある。そのための法整備が必要になるということだ。
「今年5月に可決された “銀行法等の一部を改正する法律案”では、銀行側が開放しているAPI(以下オープンAPI)による安全な接続を金融機関と電子決済代行業者の中に確立。これで結果的に顧客からこの電子決済代行業者はID、PWを預からなくてもサービスを提供できる環境を整備したいと考えております。そのため、電子決済代行業者は、金融庁に対する登録制を導入し、情報の適切な管理と業務管理体制の整備を義務付けることになります。」(井上氏)
金融機関に対してもオープンAPIの体制整備に努め、両者の連携を促進する。また、顧客に万が一損失が生じた場合の両者間の責任分担ルールを策定・公表できるようになっている。
顧客の大事な情報を守るためにも、しっかりとした法整備が進むことはありがたいことだ。そして金融庁では、フィンテックのサポートデスクを設け、金融規制に対する法律的な質問にワンストップで対応している。
ITの進化により、銀行の姿も変わりつつある。国としても法整備をはじめ、既存のフィンテック企業はもちろんのこと、新規でフィンテックに参入したいと考える企業に対するバックアップを行うことで、利用者の安全性を守るための対策を行っていることがわかる。
フィンテックでも、利用者の心理的弱点を突き、古い手法で利用者を狙う
さて、利用者として留意すべきことはどんなことだろうか。
「インターネットバンキングは二要素認証やハードトークンの配布が徹底され、セキュリティ対策をしている人はおおむね被害は減っています。しかし、フィッシング詐欺のように利用者側が騙されることはあります。かつて、インターネットバンキングの被害が多発した際、被害があった方のパソコンは、大抵マルウェアに引っかかっていたそうです。古い手法で利用者を狙う手口はまだまだありますから、利用者側のセキュリティの意識を上げていくことは大事なのです。」
と語るのは、トレンドマイクロ株式会社 今泉 智氏だ。
感染経路の例として、Web経路でセキュリティ警告メッセージである不正広告を表示し、利用者を不正ソフトのインストールに誘い込む。利用者は正規ソフトの更新を思い、インストールをしてしまった結果、ウイルスに感染するというケースがある。これは、最新のセキュリティ対策ソフトの必要性は分かっているが、正規・不正規の判断を知らないことや、セキュリティの警告が出るとパニックを起こしてしまい、すぐにクリックしてしまうといった利用者の心理的弱点を突いている、と同社は語る。
マルウェアのテクニックを応用してシステムの頑強性をあげる仕組みづくりを提案
利用者全体のセキュリティ意識の向上も大切なポイントだ。企業であれば、見慣れない警告メッセージが表示されたらむやみにクリックせず、IT担当に報告することを徹底し、被害を最小限に食い止めるための教育を行うことができるが、利用者に対しては被害があってから報道されるケースが多く、水際で食い止めることが難しい現実がある。
パネルディスカッションでは、ソフォス株式会社 佐々木 潤世氏がこう語っていた。
「中国で偽のゲームアプリをインストールするとスマホがハッキングされるという事例がある。フィンテックとアプリとゲームアプリが同じスマートフォン上に共存する環境にあるので、もし偽のゲームアプリにハックされてしまうと、情報を取られる危険性もあります。」
ただ、利用者側にセキュリティ教育を浸透させることも難しいと語っていた。そこで、アプリケーションやシステムを開発する企業としては、二段階認証など認証の仕組みを複雑化することも考えられるとしている。
また、ウイルス対策製品を開発し続けている同社は、マルウェアの動きも把握しているということで、マルウェアのテクニックをセキュアなアプリに応用できないか、と提案していた。
「たとえば、コードの難読化についても、マルウェアであれば利用している文字コードを変える、例えばUTFを使っていたのにJISにする、ですとか、ダミーのブロックやメソッドを入れて、解読しようとする人を混乱させることはよくやっています。」(佐々木氏)
マルウェアのテクニックを組み込みすぎてしまうと、スキャンエッジに引っ掛ける可能性もあるとのことだが、手段として検討してみる価値はありそうだ。
フィンテックの将来
同じくパネルディスカッションの中では、フィンテックの将来に関しての意見交換が行われた。
モデレーターのJSSEC技術部会長 谷田部 茂氏は、冒頭でモバイルとネットのショッピングの歴史について振り返った。
1996年の金融ビッグバンから始まり、楽天市場のオープン、1999年、ドコモのi-modeが開始。翌年2000年にはジャパンネット銀行の開設。続いてAmazon.comがオープンし、JR東日本のSuicaは2001年に開始された。2004年7月にはFeliCaチップを搭載した携帯電話が発売…という形で、実は2000年代前半からインターネットを介した買い物や、モバイル端末を利用した決済が行われている。
こういったモバイルの決済を2000年代前半から牽引しており、2020年からLTE-Advancedの次の世代である5Gのサービス開始を目指し、新たな通信インフラの確立を目指すNTTドコモ 鈴木 康夫氏から話を伺った。
NTTドコモでは、2017年4月に中期戦略である「Beyond宣言」を発表している。このBeyond宣言の中にフィンテックサービスの展開も挙げられている。その中の一つである投資・レンディングについて鈴木氏はこう語っている。
「貯蓄から投資へのハードルが高いという社会課題があると考えています。弊社としては金融機関が主戦場でやられている富裕層への投資サービスのノウハウはなく、難しいと思っていますが、携帯電話の契約者も含むマス層の投資未経験者に少しでも投資を体験していただけるサービスを考えております。」
今後の経済活動や、年金制度などを鑑みて、富裕層ではない層に対しても投資を底上げする必要があることを踏まえ、初めての方にもわかりやすく投資ができるような取り組みを考えている。
「レンディングは、金融機関さんと同じようなサービスをするというよりは、我々が掲げるライフスタイル応援として、お客様が将来プラスになることを応援することを考え、お客様が借りられる上限のお金を貸すのではなく、お客様のニーズと与信を組み合わせて無理のない貸し方を行い、アドバイスを適宜行うなど、今までの貸金サービスにない、レンディングサービスに取り組んでいきたいと考えております。」(鈴木氏)
日本人はほとんど誰でも銀行口座を持っているので、お金は銀行など金融機関に預けるもので、貯蓄や投資なども金融機関で行うもの、という前提があるのではないだろうか。しかし、利用者からすれば知識面での不安・心理的なハードルが存在するためなかなか投資に踏み込めないという現状もあるだろう。
利用者がもっと貯蓄や投資に関心を持つには、金融機関がもっと利用者に近づくか、利用者に近い企業が金融サービスを始めるかのどちらかになる。NTTドコモの例はまさに後者である。わかりやすい投資の仕方、無理のない貸し方など、より利用者のニーズを汲んだうえでのサービス展開に今後期待したい。
今後、フィンテックを取り巻く環境は、銀行のオープンAPIや、通信インフラのさらなる進化も手伝って、金融にかかわる新しいサービスが増えていくだろう。それにより、利用者が便利になるなど、金融が身近になる反面、古い犯罪もさることながら、新しい犯罪も発生することになるだろう。
それを見越したうえで、フィンテック各企業はユーザーに安心安全に使ってもらえるアプリケーションやサービスを作っていく必要がある。
フィンテックの世界は、異業種間をつなげていくサービスである。支払いたいユーザーが、金融業を介して、支払う先の業者に支払う。そこには必ず業界間の横断が発生している。業界間で縦割りになっているようでは、どの官庁が・どの企業が責任を取るといったことを決めるだけでも手間がかかる。JSSEC事務局長であり、株式会社ラック 代表取締役社長の西本 逸郎氏は、「実は犯人たちは日本における社会的な脆弱性を突いてきているのではないか」と語っていた。業界を横断しての関係者間の連携は、システムを作るうえでも、社会的な脆弱性を解消するうえでも必要になってくるであろう。
取材・文:池田 優里
