欧州が「PSD3」で目指すオープンファイナンス戦略
欧州委員会は2023年6月28日、EU加盟国の決済サービス・事業者を規制する法的枠組み「決済サービス指令」の第3版(PSD3=Payment Service Directive3)案を公表した。欧州の決済サービス関連法令には、フィンテック企業を含めたエコシステム形成を目指したPSD2(Payment Services Directive2)が存在していたが、PSD3はこれをさらに強化するものとなっている。
本稿では、PSD3の概況について、エコシステム形成の観点から日本にも参考になると思われる点を紹介する。
オープンバンキングからオープンファイナンスへ
欧州連合(EU)は2009年、最初の決済サービス指令(PSD)を施行し、銀行や電子マネー事業者とは別に、新たに決済事業者(PI=Payment Institution)というカテゴリーを追加し、同事業者への規制を開始した。
上記指令を改正して2018年にPSD2が施行され「口座情報サービス提供者」(AISP=Account Information ServiceProvider)、「決済開始サービス提供者」(PISP=Payment Initiation Service Provider)と呼ばれるカテゴリーが追加的に導入された。総称してTPP(Third Party Provider)と呼ばれるこれらの事業者は、銀行等が該当する「決済口座サービス提供者」(ASPSP=Account Servicing Payment Service Provider、注1)にアクセスし、口座の情報を収集して家計簿アプリなどに反映したり(日本における、いわゆる参照系サービス)、決済「指図」を送信して資金移動を行わせたりする(更新系サービス)機能等を有している。
PSD2は、2022年5月からのレビューを経て、EU内でのエコシステム形成や不正行為防止に一定程度寄与したと評価された。その一方で、規制の枠組みには改善が必要という指摘もなされていた。
レビューでの指摘を受け、PSD3の案が今般提示された。その案では、資金移動を指図する更新系サービスについて、域内統一的かつきめ細かい制度の再調整を目指している。また、情報取得を行う参照系サービスについては、GDPR(EU一般データ保護規則)の思想を基として「オープンバンキング」から「オープンファイナンス」への移行が明記された。つまり、個人のデータコントロール権について、決済関連情報だけから金融情報一般へ拡大することが企図されている。PSD3の施行は、2025年末から2026年ごろが予定されている。
PSD2の大部分を「規則」化
PSD3に関連する法令案は、次の三つから構成されている。
①決済サービス指令第3版
②決済サービス規則(PSR=Payment Service Regulation)
③金融データアクセス規則(FIDA=Financial Data Access Regulation)
PSD2までは、EUの「指令」に基づく域内各国での「施行」(国内法化)という2段構成で法施行が行われていた。今回は事業者の認可関係部分等を①に残しつつ、PSD2の大部分の条項を②に移管している。
②③は「規則」であるため、欧州議会での立法・施行後に域内全域で一律に有効となる。域内での運用時の差異を少なくし、より統一化に向かう意思が感じられる。
③はオープンファイナンスを規定する完全に新しい規則である。この中には「金融データ共有スキーム」という枠組みもある(後述)。
図表1にPSD3関連法令を概念図で示した。日本での「参照系」「更新系」に照らした場合、①②は両者を備え、③は参照系のみと理解できる。
各金融資産情報へのアクセスを規制対象に
今回のPSD3関連法令案で大きく変化したのが、オープンファイナンスを志向するFIDAの導入である。FIDAでは、次の金融資産情報へのアクセスが規制対象となる予定である。
貯蓄/金融商品への投資/保険ベースの投資商品/暗号資産/不動産と関連金融資産/上記から派生する経済的利益/住宅ローン/年金(受給権)/損害保険商品/企業の信用力評価の一部を形成するデータ等
(詳細についてはまだ決まっていない模様)。
図表2に示すとおり、FIDAでは従来のPSD2に類似した事業者の構成を想定し、
「データ利用事業者」(Data User)
「データ保有事業者」(Data Holder)
「金融情報サービス提供者」(FISP=Financial Information Service Provider)
といった事業者カテゴリーを新たに導入している。
なお、FIDAはPSD2の枠組みに類似しているが、異なる点もある。データ保有事業者には、FIDAにより銀行、電子マネー事業者、決済事業者等多様な事業者が指定されることとなるが、これらの事業者は同時にデータ利用事業者にもなり得る「相互乗り入れ」が可能な制度となっている。ただし、口座情報サービス提供者と金融情報サービス提供者はデータ保有事業者とはならず、情報開放の義務付け対象外とされている。
銀行APIの重要課題を民間同士で調整
FIDAの中で最も斬新な取り組みが、「金融データ共有スキーム」(Financial Data Sharing Scheme)である。同スキームは日本国内でも課題となっている金融機関API(Application Programming Interface)の
①アクセス料金
②取得可能なデータやインターフェースの多様化・フラグメント化
が、欧州でも同様に課題と見なされており、それらへの解決策として提示された制度である。
FIDAでは、同スキームの場にデータ保有事業者とデータ利用事業者が参画し(注2)、①について「補償の上限額」を、②について「データ」と「技術的インターフェース」の「標準」を定めるというアプローチを取っている(図表3)。
①の「補償の上限額」は、データ利用事業者がデータ保有事業者に支払うアクセス料金に相当するものであるが、FIDAでは「データ利用に直接関連する費用であり、その要求に帰属する合理的な補償(FIDA案10条1.(h))」とされている。「補償」(Compensation)という名称からも、データ保有事業者側の設備投資コストなどは含めない考え方だと思われる。
なお、前記①②について、スキームの内部調整で解決に至らない場合には、当局による仲裁が想定されている(同案11条)。民間企業間の調整に最初は委ねることで、②については、公的機関による強制的な仕様統一化でイノベーションを阻害する可能性を避けたいという意思が感じられる。①についても変化の激しい事業領域で、公的機関による適切な価格設定は困難という背景がある。
実際のスキームの導入は、FIDAの発効後18カ月後とされている。事業者間の調整が首尾よく進むのか、不調に終わり当局が仲裁に入るのか、仲裁時に当局が具体的にどのような手法で紛争解決に臨むのかなど、現時点では予測が困難である。
決済サービスで四つの変更案
PSD3では、決済サービスについてもいくつかの変更が行われている。大きな変更として次の四つが挙げられる。
①開示情報の利用者向け一覧表示(ダッシュボード)の義務付け
PSR案では、決済口座サービス提供者に対して「TPPに対する許可状況」の利用者向け一覧表示の義務付けが行われる予定である。具体的には、「アクセスを許可したTPPの名称」「アクセスが許可された口座の情報」「許可の目的」「許可の有効期間」「TPPに共有される情報のカテゴリー」となっている(PSR案43条2.(a))(図表4)。
なお、この一覧表示はFIDAにより、データ保有事業者に対しても義務化される予定であり、義務化対象情報も、決済口座サービス提供者とほぼ同様である(FIDA案8条2.(a))。
②不正情報共有の枠組み設置
任意ベースであるが、不正送金に関連する情報を関係する事業者(TPPと決済口座サービス提供者)間で共有可能とする条項も整備された(PSR案83条)。情報共有の識別子として、受取人のIBANコード(注3)を使うことが想定されている(PSR案前文104条)。なお、異なる2人の利用者からの不正の報告があれば、不正送金と見なして送金受取人の識別子を他社と共有することが許容されるとしている(PSR案83条3.)。
③専用アクセスインターフェース(いわゆるAPI)提供義務
PSD2では、いわゆるAPIの構築は完全に義務化されておらず、ユーザー向けインターフェース(いわゆるインターネットバンキングのユーザー向け画面等)をTPPからのアクセスに流用することも認められていた。だが、今回のPSD3により、少なくとも一つの専用インターフェース(API)の提供が義務付けられ、TPPも同インターフェースを介してのアクセスしか基本的には認められなくなる予定である(PSR案35条。緊急時は例外)。
なお、専用インターフェースについては「可用性、性能情報の公表義務」(PSR案35条5.)や、決済開始サービス提供者に対する最低限提供義務のある機能として「予約支払い」「複数受取人への支払い」「決済必要額が口座に存在することの確認応答」などが定められる予定である(PSR案36条4.5.)。ちなみにFIDAでは、これらの内容は前述した金融データ共有スキームで決められる予定である。
④認証手段の一部簡略化
PSD2では、不正防止のため認証手段については強力な顧客認証(注4)の利用が義務付けられていたが、サービス利用時のUX(ユーザー体験)向上を考慮し、一部のユースケースにおいて、規制技術標準(注5)の中で簡略化が認められていた。
今回のPSRには、更なる簡略化措置が一部盛り込まれるとともに、現行の規制技術標準で認められた簡略化も維持される見 込みが高く、UXも重視した規制体系とする意思が感じられる(図表5)。
PSD3は、更新系に関しては域内統一的でかつ、きめ細かい再調整がなされ、参照系では民間が主体で官は支援する形態を採る、オープンファイナンスへの大胆な移行があり、両方の意思が含まれた法令案となっている。
巨大な欧州経済圏において、統一化を目指す取り組みと、多様性や民間調整を内包した取り組みの組み合せが、エコシステム形成にどのように作用するのか極めて興味深い。わが国への関連施策への示唆も含めて注目される。
(注)
1 決済口座サービス提供者には、銀行、電子マネー事業者に加えて、オンラインでアクセス可能な決済用口座を所持している決済事業者(いわゆるフィンテック企業等)も含まれる。
2 このスキームには消費者団体の参画も求められている(FIDA案10条)。
3 IBAN=International Bank Account Number、欧州で主流の銀行口座を一意に特定可能なコード。
4 SCA=Strong Customer Authentication、二要素認証などを主軸とした強制適用される認証方式。
5 RTS=Regulatory Technical Standard、欧州議会が規定する規制技術標準。ここで、強力な顧客認証(SCA)の適用除外が規定される。
(本稿は「週間金融財政事情」2023年9月19日号、「きんざいOnline」 https://kinzai-online.jp/node/10746 に掲載された原稿を、一部加筆・修正して掲載しています)
この記事が気に入ったらサポートをしてみませんか?