【 金融とITセキュリティーVol.1 】キャッシュレス決済を取り巻く最新テクノロジーと課題

記事をシェアする:

“IBM DASH DE NIGHT” でIBM技術理事の早川と大西が対談

 
――本日は、金融とITセキュリティーというテーマで、2人の技術理事、早川さんと大西さんに登壇いただいています。まずは自己紹介をお願いします。

早川：IBMの早川です。私自身は2003年から金融機関のお客様を担当しており、現在は大手金融機関向けサービスの統括責任者として活動する一方で、IBM DEとして、FintechとBlockchain、マイクロサービス、Cloudといった最新技術を利用したお客様のトランスフォーメーションについてご支援しています。

大西：IBMの大西です。セキュリティーを担当しています。もともとは入社して30年くらい、UNIX系のエンジニアとして大学や研究機関を担当していました。2005年に個人情報保護法が施行され、金融のお客様をセキュリティーを中心にご支援していました。近年は自動車関係のお客様で、IoTなど新しいエリアのセキュリティーを担当しています。金融機関でもレガシーな金融サービスからの変革の流れがあるので、セキュリティーは、再び注目されるエリアとして、金融に関するプロジェクトにも関わっています。
 
――早速ですが、早川さん「最近の金融システム事情」について教えてください。

早川：まず、新しい金融サービスの技術的トレンドを簡単に整理したいと思います。
私の個人的な見解を含めてですが、金融庁が2017年にオープンAPI導入に関わる努力義務を課したことから、オープンAPIが普及しています。オープンAPIという形態だけでなく、そもそも外部に情報だったりサービスを積極的に提供していこう、という傾向が近年強くなってきているように捉えています。それに伴い金融機関以外のサービスを提供する企業が、金融機関と密な連携をして提供している外部サービス、もしくは金融機関自身が実施しているサービスが増えてきています。

下記の表「フィンテック／金融サービスエコシステムの動向」を見ますと、上が金融機関と密な連携をしてエコシステムを結成するような陣営、下が独自のサービスを提供している陣営、左上下が金融機関とは間接的に連携している陣営になります。パブリックな仮想通貨は左上に位置づけられると捉えており、最近ではエンタープラスの観点から右上下の金融機関と直接連携したサービスが注目されていると理解しています。

表：フィンテック／金融サービスエコシステムの動向

大西：新しいサービスでいうと、Fintechのサービスに注目しています。銀行の観点から言うと、Fintechのサービスと繋げるために、今までできるだけ固く閉じていた門を開かないといけなくなります。

さらに、今まであまりリレーションのなかった「Fintechベンチャーから繋がせてください」と言われても、銀行の観点から言うと「チャネルも増えるし」「ユーザーも増えるし」「利用形態も変わるし」「APIを共通化しても口は開けないといけない」今まで自分たちの中でガバナンス、コントロールできていたセキュリティーレベル、情報の管理のレベルとかを、いろんな接続先が増えることで、レベルを下げなければならない事態が起こりかねない。

またキャッシュレスや仮想通貨など、いわゆる今までの紙の紙幣だけではない通貨や決済方法が流通して、特に若い方を中心に普通に使うようになってきているので、今までの金融機関には新しい挑戦かな？と思っています。
 
――最近私も○○○Payを入れて、スマホ決済をしているのですが、このあたりのテクノロジー動向を、早川さんお願いします。

早川：最近よく「○○○Pay」ということで、みなさんもお使いいただいているケースが多いと思います。こちらを技術的な側面からお話しします。

よく報道で言われているのは「○○%還元」というキャッシュバックのキャンペーン時に加入して、冷蔵庫を買ったりテレビを買ったりとかしてそれ以降使わない、というケースも多いと聞いています。首都圏では、だいたいの方がSuicaなどをお持ちでしょうし「インセンティブがないと使わない」といったケースも多いと思います。

私が地方に出張に行った時に見かけた光景ですが、タクシーに乗って会計する時に「すみません、Suica使えないんですよ、でも○○○Payは使えます」と言われたことがあります。中国で設備が普及していないところこそQR決済が普及したという話がありますので、今までSuicaやPASMOが普及していないところは、普及していく可能性が非常に高いことを実感しました。

みなさんがお使いいただいている○○○Payは、チャージができて、かつユーザー同士が送金できて、現金化出来るものとできないものがあるかと思います。中にはチャージもせずにそのままクレジット決済できるものもあります。

「送金できる」の大半は、Suicaと同じような前払い式の支払手段発行業と、Fintechが出来て改定された資金移動業を併用することによって、法的な対応をしていると理解しています。

現在Paymentのサービスでブロックチェーンを利用しているものはほとんどありません。みなさんQR決済をお使いいただいていたらお分かりだと思うのですが、CPMとMPMがありまして、自分のQRコードを店舗の端末にかざして決済する方法と、店舗側にQRがあってかざして送金する方法と2つあります。中国に行くと屋台などでQRのポスターが貼ってあって、それで決済するようになっている光景もよく目にします。

現在送金ができるような形態のものは、金融犯罪防止の観点から、上限金額の制限により本人確認のみを実施するなど、強度な認証や厳密なKYC/AMLを実施しないことを許容されているように思えます。しかし、今後の金融犯罪の発生により、これらの規制が強化されていく可能性があります。このような規制に対してPayment会社がどのように対応していくのか注視していく必要があると考えています。

大西：例えば、仮想通貨に関しても、アンチマネーロンダリング（AML）対策が必須です。本人確認も重要で、どうやってその本人を確認するかというと、いま早川さんが言われたようなKYC対応やAMLのSaaSサービスみたいなものを使って、初期登録する時にその人が、いわゆる闇の社会の人じゃないかとか、犯罪系の過去の実績がないかどうかを確認した上で、ユーザー登録をしています。新しいキャッシュレスは、本人確認の技術がこれから非常に重要になってくると思います。
 
――本人確認というと、騒ぎが記憶に新しいと思うのですが。

大西：少し前に起こったセキュリティ事故で、「ユーザーのパスワードリセットのところで二要素認証をしなかった」ことがバッシングされていますね。ただこれについては、批判している方が「セキュリティー」と「利便性」のバランスを考えて、万人が簡単に使える認証技術はどうあるべきか？を考えた上で発言しているのかどうか、気になります。

例えば、みなさんはメトロやJRを乗る時に、ICカードを利用して改札でピッとやって入りますよね。ピッとやった時に4桁の暗証番号なんて、そこで絶対に聞かれないじゃないですか。それに対して疑問を感じたことはありませんか？これは、もしかしたら「自分が落としたICカードを他人が使っているかもしれない」ということでもあり、本人確認機能を設定しないということは、そのリスクを甘受してサービスというを受けるという意味です。

一方で、インターネットバンキングで100円を送金しようとしても、ワンタイムパスワードや昔で言えばマトリックスカードなどが必要となる。という「ICカードの利用とインターネットバンキングの利用の違い」このあたりも理解した上で、適切なセキュリティー対策を考えないといけないのです。利用者が幅広い層になると、どちらかというと利便性を重視しますね。

特に、多くの利用者が存在するB2C的なサービスでは、あまりにも強い認証を入れると「あそこのシステムは使いにくい」と言われてしまいます。そういった意見が多いのは、利用者が「利便性」を求めている場合です。セキュリティー強度を上げる時に、一番の反対勢力は「利便性の確保」と言えます。

掲載準備中「金融とITセキュリティーVol.2」につづく

【12月4日開催、参加者募集！】 第2回 IBM DASH DE NIGHTのテーマは「Enterprise AI & Data Privacy – 企業のビジネスにおけるデータの活用と保護」

今やニワカやモドキも含めてAI（人工知能）が氾濫する中「データにまつわるセキュリティー、プライバシー、コンプライアンスの重要性」は幾何級数的に高まっています。そこで「具体的な対策はどうすればいいのか？」「データ活用のための準備は？」など、なかなか聞けない聞いても実はよくわからない、という皆さまのお悩みや疑問に、IBMのDE（技術理事）がディスカッションで全力でお応えします！ぜひご参加ください。