Fintech協会がセキュリティ分科会設立に向けて行った準備会合の様子。「セキュリティ向上には、不正事案に関する詳しい情報の共有が重要」などの意見交換が行われた

 さまざまな種類の金融サービスが登場し、普及していく一方で、そのセキュリティに関する関心が利用者の間で高まっている。NTTドコモのキャッシュレス決済サービス「ドコモ口座」、ゆうちょ銀行のデビットカード「mijica」などで起こった不正利用が、それに拍車をかけた。

 そうしたなか、スタートアップ企業を中心としてフィンテック分野のさまざまな活動を行っているFintech協会は、セキュリティに関して議論する「セキュリティ分科会」を2021年1月に発足した。その分科会発足の中心的メンバーである、Fintech協会の木村康宏代表理事副会長(freee執行役員)と、肥後彰秀理事(TRUSTDOCK取締役)に、分科会発足の意図と、今後の活動計画について聞いた。(以下、敬称略)

――セキュリティに特化した分科会を立ち上げたそうですね。

木村 Fintech協会は2016年にAPI・セキュリティ分科会を立ち上げ、フィンテック企業向けのガイドラインを作成するなど、早くからセキュリティ分野に関する活動をしてきました。改正銀行法の関係で分科会での議論の中心がデータ流通やAPIのセキュリティにシフトしていくなかでも一定の成果をあげてきています。

写真1 Fintech協会の木村康宏代表理事副会長(freee執行役員)

 たとえば、APIでシステムへの接続を希望するフィンテック企業のセキュリティ対策を、金融機関がチェックする「API接続チェックリスト(試行版)」や、APIの利用にあたり金融機関とフィンテック企業が締結する契約のひな形となる「銀行法に基づくAPI利用契約の条文例(初版)」の作成に貢献してきました。

関連記事
動き出した「銀行API開放」何が変わるのか
(https://jbpress.ismedia.jp/articles/-/61043)

 また、金融サービスのセキュリティ対策に新たな考え方を取り入れる「リスクベースアプローチ」の議論に貢献できたことも、分科会活動の大きな成果のひとつです。セキュリティのリスクを効果的に抑制するには、画一的な対策ではなく、リスクに応じて適切な手段を講じる必要があります。FISC(金融情報システムセンター)が作成している「金融機関等コンピュータシステムの安全対策基準」に、リスクベースアプローチを取り入れようという議論があったのですが、その議論にフィンテック企業の立場から参加し、スタートアップとのオープンイノベーションなどの観点から有意義な発信ができたと思います。