消費者保護に立脚した米国のオープンバンキング制度

　以前に当研究所のnoteでもご紹介をしていた米国でのオープンバンキング制度の導入について、昨年10月に米国の消費者金融保護局（CFPB: Consumer Financial Protection Bureau、以下「同局」）が制度案（以下「本制度案」）の詳細を公表しました。全体としては「他国のオープンバンキング制度の状況に良く学んだ」と同局が公表しているとおり、現在のオープンバンキングの実相を適切に把握していると感じられる内容となっています。今回は、本制度案の内容を紹介します。

オープンバンキングの制度そのものについては前述のnoteの冒頭で簡単に触れていますので、そちらもご覧ください。

これまでの背景

　米国ではオープンバンキングの枠組自体は、リーマンショック後の2010年に施行されたドッド・フランク法によって規定されていました。ただし、同法の該当部分は40行ほどの文章しかなく、法執行に必要な規則類も整備されないままで、事実上休眠状態となっていました。今回は改めて規則類を定め、法令の実効性を担保する形となっています。
　公表された文書のタイトルは「Required Rulemaking on Personal Financial Data Rights（個人金融データ権利に関する要求された規則策定）」となっています。個人の金融データに関する「権利」という表現をタイトルにも使っていますが、文中では権利の哲学的内容にはあまり言及せず、ステークホルダーが対応すべき実践的な内容を中心に記述されています。　

注目すべき点

　米国のオープンバンキング制度は、他国の同種の政策の導入状況を踏まえており、それらに類似する点も多くありますが、異なっている点も幾つかあります。以下、各項目に沿って解説します。

１．参照系に特化、消費者保護に力点
２．参照情報の標準化
３．アグリゲーター、その他の規定
４．今後の予定

１．参照系に特化、消費者保護に力点

　新規則案ではいわゆる参照系（入出金情報などを金融機関から取得・再編し、ユーザーに再提示する業務等）のみが対象となっていて、更新系（振込や送金等）は対象となっておらず、EUや英国とは異なっています。また、他国の制度と同様に、競争政策やデータ保護といった政策目的も意図されていますが、想定されるユーザーは自然人としての消費者であり法人は対象となっていないなど、全体としては消費者保護的な意図を強く感じる内容となっています。

関連するステークホルダーの模式図。参照系を対象とした制度案となっています。
（各種資料より当社作成）

規制対象となる機関・データ

　データのオープン化の対象となるのは、以下の三つの事業体です。
　①金融機関
　②クレジットカードの発行者
　③デジタルウォレットの発行者
　①はいわゆる預金を預かる機関で、銀行や信用組合となります。米国ではRegulation Eというカテゴリーに分類されています。
　②は日本で言うところのクレジットカードのイシュアーとなります。米国ではRegulation Zというカテゴリーに分類されます。
　③は具体的にはアップルウォレットやグーグルウォレットといった、いわゆるプラットフォーマー等が提供するウォレットサービスが対象になると考えられています。同局は本制度案の発表の少し後に、上記のプラットフォーマーや大手決済アプリ事業者（PayPal等が対象になると目されています）への規制強化も発表しています。左記の発表に先立って公表された同局のChopra局長の発言要旨を拝見すると、オープンバンキング政策とも連動した一連の消費者保護政策として打ち出されていることが分かります。

　オープン化の対象となるデータは、金融機関の口座、クレジットカードサービスに関連して、上記①②③の事業者が保有している情報となります。なお、金融機関の「口座」には定義上プリペイド口座も含まれるため、プリペイドサービス（電子マネー等）もオープン化の対象となっています。
　具体的には
　　・取引情報（過去24か月分）
　　・口座残高
　　・支払開始に必要な情報（口座番号等）
　　・今後の請求情報
などがオープン化の対象として指定されています。
　上記のとおり銀行とクレジットカードへの金融規制は、日本と同様に米国でもRegulationのEとZに分かれていますが、デジタルウォレットと併せてこれらは日常的に決済に利用される手段と認識されたことから、制度案では三者は同列に扱われています。

　また、消費者やサードパーティ（日本でいう電子決済等代行業者に相当）がデータにアクセスする際の、データ提供事業者（金融機関等）による課金は明示的に禁止されています。制度趣旨の背景として、データへのアクセス権の確保が課金によって妨げられてはならないという補足説明が制度案ではなされています。

データ提供事業者の概要。「§」は本制度案の該当条文の番号
（各種資料より当社作成）

２．参照情報の標準化

　二点目の特徴は参照する情報に関する標準化規制の強化です。
　サードパーティは消費者の同意の下、データ提供事業者のデータにアクセスをしますが、その際にスクレイピングと呼ばれるIDやパスワードを預かってのアクセスは禁止され、いわゆるAPI（Application Programming Interface）の利用が義務付けられます。データ提供事業者には、技術的に標準化されたAPIの採択も義務付けられています。

　なお、APIの標準化を行う主体は、民間の団体を国が認定する形式を取っています。この点について同局のチョプラ局長は「豪州は国が細かすぎる標準を決めた（のでやや硬直化してしまった）」「欧州は標準を強制しなかったので、仕様が分裂して相互接続が困難になった」といった趣旨の発言をしており、民間による柔軟な対応と、国による強制を上手く組み合わせたいという意図が伺えます。類似する制度としては、EUで現在提案されている「金融データ共有スキーム（Financial Data Sharing Scheme）」があります（上記のnote参照）。
　標準化団体を認定する手順についても既に公開されていて、米国で活動する民間標準化団体であるFDX（Financial Data Exchange）は認定を目指すと公表しています。

　また、細かいところではAPIの性能（可用性や応答時間など）も、具体的に遵守すべき値が数字で規定されています。可用性の遵守数値については、英国や豪州の数値も参考にして決められています。

３．アグリゲーター、その他の規定

　三点目の特徴は「アグリゲーター」を規定しているところです。サードパーティは別にこの団体は定義されていて、米国ではPlaid社などが相当すると目されています。金融機関に接続をして情報を集積しつつ、その情報を更にサードパーティに提供することが想定されていますが、この様な団体を法令上定義したのは、世界の中で米国が初めてだと思われます。
　なお、制度案を見る限りではアグリゲーターに対する規制の内容は、消費者にその名称やサービス内容、アクセス時の各種条件を正確に伝達することなどに留まっていて、本格的な事業者規制までは踏み込んでいない印象を受けます。
　ただし、アグリゲーターが市場支配力を有して競争排除に動くようになることには、当局も一定の警戒感を有していると考えられ、本制度案に記載された趣旨からは、競争政策上必要があれば、アグリゲーターに対しても更なる規制強化などに動く可能性はあると考えられます。ちなみに同局は、オープンバンキングのエコシステム内で各企業・団体の役割が固定化しないこと（例えば金融機関によるサードパーティ業への参入・サードパーティによるアグリゲーター業参入などの相互参入など）も重要視しています。

　その他の注目点としては、中小の事業者への配慮があります。金融機関（Regulation Eに分類される預金を預かる機関）については、段階的にAPI導入を進める手順を想定していて、中小の金融機関ほど遅い対応が許される、いわゆる激変緩和措置の一種が導入されています。豪州でもオープンバンキング制度の導入時に同様の段階的導入を行っていますが、ステークホルダーの負担緩和措置として注目されます。

４．今後の予定

　本制度案の施行は、本年の米国大統領選（2024年11月）より少し前になるものと推測しています。なお、標準化団体の認定に向けては、前倒しで申請・審査を行う必要があるため、上記のとおり施行前に手順等が同局から公表されています。
　米国が更に、欧州や英国の様なオープンファイナンス（オープン化対象を銀行関係だけでなく、広く金融情報一般に広げること）や、更新系までを政策対象に広げていくかどうかは現時点では見通せませんが、同局は住宅・自動車・学生ローンなどに対象を広げることに興味があるとも報道されており、大統領選の行方も含めて今後の政策動向が引き続き注目されます。