経済産業省
文字サイズ変更
アクセシビリティ閲覧支援ツール

クレジットカードデータ利用に係るAPI連携に関する検討会(第2回)-議事要旨

日時:平成29年4月28日(金曜日)13時00分~15時00分 
場所:経済産業省別館3階302各省庁共用会議室

出席者

藤原座長、木原委員、島貫委員、辻委員代理(瀧様)、ケル委員代理(丸山様)、二村委員、丸山委員

議事概要

freee株式会社及びマスターカードからのAPI連携サービスの在り方に関するプレゼンテーション後、事務局より「クレジットカード会社とFinTech企業の連携促進」について説明を実施。その後、クレジットカード会社とFinTech企業の連携促進に関する意見交換を行った。

委員及びオブザーバーからの主な意見は以下のとおり。

【カード会社とFinTech企業の連携を進める意義】

  1. 連携のメリット
    • 企業のクラウド会計システム上に、デジタルデータとして決済データが使えるようになるということは、業務効率化とともに中小企業の経営管理のレベルが上がるということが大きな意義。
    • よりセキュアなAPI連携でデータ取得を行うことにより、データの同期速度が安定・迅速化する。実際にAPI連携をしている一部の銀行のユーザーから高評価を受けている。
    • 接続される側にAPIがなければ、連携先と都度プロジェクトを立ち上げ、フォーマットや接続方法等を決める必要。APIの提供により、開発時間の短縮化、連携先数の飛躍的増加が可能。
  2. 国際カードブランドにおけるAPI連携
    • マスターカードとしては、APIは、インターネットを通じて接続し、かつ独自に仕様を決めるもの。カード会社と接続しているブランドネットワーク(バンクネット)は、専用のサーバー同士の接続であり、かつISO仕様に基づき構成されているため、APIとは捉えていない。
    • 国際カードブランドが提供するAPIの機能はFinTech企業のサービスと類似。カード会社からすると、サービスベンダーの1つとして、国際ブランドもFinTech企業も存在するということだろう。そういう意味で、カード会社の消費者へのサービス提供の形態には、自前主義、FinTech企業等との外部連携、国際カードブランドとの連携の3パターンか。
    • ブランドネットワークのAPIを提供するのが原則だが、関係者の協力の下、日本国内のネットワークについても同等のものを提供している。また、一部ベンチャー等に技術供与することで、ネットワークに依存しないサービスの実現にも寄与している。
    • 国際カードブランドとAPI連携するパートナーには、APIの種類にもよるが、FinTech企業も加盟店も含まれる。
    • 日本のカード会社には、様々な種類のブランドカードを発行しており、さらにオンアス/オフアス取引がある。同じカード会社のサービスなのに、扱っているブランドや取引形態によって、使えるサービスと使えないサービスが分かれてしまうと、ユーザーには分かりにくい。そのため、ネットワーク等に依存しないイシュアに近い位置にFinTechサービスがあると便利だろう。複数種類の決済ネットワークをどうやってまたいでいくのか、が大きな論点になる。

【連携促進のためのガイドライン策定】

  1. ガイドライン策定のメリット
    • オープンイノベーションという観点を取り入れるのであれば、カード会社における決済指図型サービスも含め、どういう業者・サービスが出てくるか分からない。こうした部分もスコープに入るような設計は何か、そしてそれには法律がいいのかガイドラインがいいのか、という風に検討すればよいのではないか。
    • カード会社におけるAPI連携については、直接決済を指図するトークナイゼーション型のようなものをどこまでAPIの発想で取り組むか次第ではあるが、基本的にデータ利活用の観点が強いこと、銀行におけるシステミックリスクがそこまで強くはないこともあり、ガイドラインでの対応が適切。
    • ガイドラインでよいと考えている。クレジットカードにおいて銀行の電子決済代行のようなビジネスが想定されるかというと、支払いに関する部分はカード会社のメインのビジネスフィールドなので、ここを第三者に明け渡すというのは想定しにくい。
    • ガイドラインがよい。カード会社に対して規定される法律がない中で、個別の法律においてひとつひとつ規定することが必要かという点。また、すでにAPIを提供しているカード会社は、APIに関する社内規定も有していると思うが、ガイドラインの方が対応しやすいだろう。
    • そもそもガイドラインを作る必要があるのかという指摘があるのであれば、サービスの利用者として想定される消費者や加盟店がこういうものが使えるということが分かれば、オープンイノベーションは広がるので、まずはガイドラインを整備して多様性が生まれやすい環境を整えるべきと考えている。
    • 昔から参考にしているのは2002年の全銀協「アカウントアグリゲーション・サービスに関する基本的な考え方」というガイドラインで、これにより、日本においてアカウントアグリゲーション・サービスがある種ホワイトゾーンとして定義され、取組が進んだ。
  2. 留意点
    • 現状のスクレイピングからの移行となる参照系API連携は広く使われるようにして、その上で、更新系や+αのビジネスの部分をどのようにするか、といった二段階の整理が考えられる。
    • 銀行にAPI接続する企業とカード会社にAPI接続する企業は、同じ場合もあれば違う場合もあろうが、銀行業界、カード業界の制度設計が大きく違うと、どちらか緩い方に粗悪な事業者が集まってしまう懸念がある。
    • 銀行システムが内国為替に閉じるのに対し、カードの場合は国際的なネットワークを担っているという違いも留意しなくてはいけない。

【個別の検討内容】

  1. API接続先の対象範囲
    • カード会社がAPI連携を行う対象事業や事業者をどの範囲にするかは、銀行法改正で規定されているように家計簿サービス等に限定するアプローチで考えるのか等、整理する必要がある。
    • 加盟店はカード会社のパートナーでもあるので、API連携先として加盟店も含めてよいのではないか。幅広な可能性を求めたいと考えているし、その方が事業の拡がりがあるだろう。
    • クレジットカードの場合、APIを使った多種多様なサービスが想定しうる。カードの自己制御ができるON/OFF機能は、キャッシュレス促進の観点でも有益なサービス。そういう点でサービスの拡がりを持たせた方が、カード会社にもFinTech企業にも、より高度な政策課題にも適合的と考えられ、弊害がなければ幅広く認めていくという思考がよいのではないか。
    • FinTech企業とはユーザーにとって使いやすいものを広げていくもので、ベンチャー企業に限るものではない。API連携先の範囲がFinTech企業となっている部分があるが、ブランドでも、加盟店でも、ユーザーの間のエージェントでも基本的には変わらないと考えている。
  2. セキュリティ
    • カード番号等が漏えいすればクレジットカードの特性としてその番号を使って決済等ができてしまう要素はあるが、カード番号の保護については、前回と今回の割賦販売法の改正により法制面での強化が図られている。特にカード会社では実行計画も含めて明確な規範ができあがっており、これに基づき、API接続する事業者に対して自ら適切に判断せよと求められるだろう。その補助として、ガイドラインでチェックリスト的なものを設ければ十分ではないか。
    • カード会社としてはセキュリティの部分が一番の関心事で、特にカード番号情報を保持するのかどうかというところ。保持するのであれば、PCI-DSS等国際標準に照らしたセキュリティ基準のクリアが必要という声がカード会社からある。
    • 当社は決済に繋がる情報は預からないという宣言を数年前にし、ユーザーからの理解を得た。
    • カード会社の特有な部分としては、カード番号情報を扱うかどうか。企業同士で一意に結びつける方法がカード番号しかないケースもあるし、決済処理はカード番号でないとできない。扱われないのであれば、銀行法改正案における登録電子決済等代行業者とのAPI連携でも、そうでないAPI連携でも、リスクの本質はそんなに変わらないと思う。
    • カード会社のネット明細を取得するだけなら、ログイン用ID・PWで認証するのでカード番号は不要。ただし、ネット明細を利用していないカード会員もおり、こういうユーザーの場合の認証をカード番号で行うケースがあるかどうか、という論点がある。例えば、カード会社だと自動音声応答システム(IVR)においてカード会社のセキュアな環境に入ってカード番号を打つということは今でもある。そもそもOAuth2.0の認証においては、FinTech企業には認証の番号は知らされない仕組みだが、カード番号が、FinTech企業に入力されるのか、カード会社に入力されるのかでリスクも変わってくるので、細分化して考える必要があるのではないか。
    • カード会社によっては、カード会員を特定するときにカード番号を使わざるを得ないということもでてくると思われる。
    • API連携によってカード会員の属性情報の書き換えも可能になると、カード再発行も出来るようになるかも知れず、他人に成りすましてカードを入手できることも考えられる。このようにカード番号情報を扱わないから安全とは言い切れないケースもある。
  3. API仕様
    • API仕様の標準化は大事なところ。プレイヤーはやりたいことも様々なので、全て標準化しようというのは無理だが、どの部分は標準化した方がいいのか、そのときにはどのような関係者が集まって話し合ったらよいのかということを、どういう風に検討してガイドラインに盛り込んでいくのか、ということも次回以降検討するとよいのではないか。
    • 多様なプレイヤーが色々なサービスを行うと思っているので、出来るだけ共通化したり、コネクター役を果たすような中間業者を認めたりすることも検討してはどうか、という声がカード会社からある。
    • 各カード会社でシステムがかなり異なるので、大枠の部分にとどめざるを得ないのではないか。
    • カード業界は護送船団方式というより雁行型で進んできており、先行者利益が取れるという方がふさわしい印象。そうなると、データフォーマットは後日共通化していきますと見せすぎると、先行者利益というより、むしろ後行者にアドバンテージを与えることになってしまう。
  4. その他
    • 費用分担については、APIそのもので分担するのではなく、APIを使って提供されるサービス全体で分担している。これに関する考え方をガイドラインで詰めるのは難しいだろう。
    • 全銀協でのAPIの在り方の検討会においては、顧客保護・セキュリティの部分に時間をかけてきた。こうしたサービスの提供には、安心・安全といった信頼を勝ち取らなければいけない。
    • まだ手探りのビジネスなので、本当に収益が上げられるのか、コスト削減につながるのかなかなか見えにくく、海外事例を参考にしたい。ただし、米国は大手プロセッシング会社がインフラをとりしきる特殊な市場で、API連携を行うシステム主体がそもそも少ない。日本のようにカード会社が多い環境としては、ヨーロッパの事例をぜひ参考としたい。
    • カード会社のAPI連携は、国際ブランドにとっても新たな事業ドメインになる領域。彼らのビジネスチャンスを潰さないような配慮がいるのではないか。
    • 複数のカード会社とAPIに関する契約を結んでいるベンチャー企業がいる場合、それぞれから個別に監査されると、その企業は監査対応で忙殺されることになる。あるカード会社がその企業に関するモニタリングや監査を行う場合、その結果を他のカード会社も準用できるというような考え方が大事なのではないか。より検査能力が高い人たちが検査をする方がよいという比較優位的発想と、集約できるところは集約した方がよいという発想を勘案したガイドラインがベンチャー企業にとっては喜ばしいものになるのではないか。
    • データの在り方も将来的に重要なテーマと思っている。カードデータは、例えば同じ店舗であってもネットワークが違うと違う名称になっているし、データの段階によっても、売上が未確定の明細はカタカナ表記に対し、確定されると漢字に変わるケースがある。そもそも綺麗なデータでないと役に立たないということもある。
    • もしオープンという話をするのであればオープンの言葉の定義を明確にしていただきたい。

関連リンク

お問合せ先

商務流通保安グループ 商取引・消費経済政策課
電話:03-3501-6683
FAX:03-3501-6646

最終更新日:2017年5月16日
経済産業省 〒100-8901 東京都千代田区霞が関1-3-1 代表電話 03-3501-1511
Copyright Ministry of Economy, Trade and Industry. All Rights Reserved.