BaaS、ことら、OIDC4IDA等。有識者が語るAPIエコノミーの現在地 〜WFFJ2021 Report2《前編》

イベントレポート

 2021年11月11日 〜12日にかけて開催された、世界最大級のFinTechイベント『World FinTech Festival Japan 2021』(以下、WFFJ2021)。シンガポールで毎年開催されている“Singapore FinTech Festival”を主流とするこちらのイベントでは、日本と世界のフィンテック情報の相互発信というテーマのもとで、様々な関連領域における最先端の情報発信と議論が行われた(開催概要についてはこちら)。

 レポート第2弾となる本記事では、「金融インターオペラビリティとAPIエコノミーの復建」というテーマで設置されたセッションの様子をお伝えする。LoveTech Mediaとして非常に重視しているテーマであるため、前後編に分けて詳細にレポートしていく。

  • 富士榮 尚寛(一般社団法人OpenIDファウンデーション・ジャパン 代表理事)
  • 川越 洋(株式会社ことら 代表取締役社長)
  • 丸山 弘毅(株式会社インフキュリオン 代表取締役社長)
  • 三輪 純平(リクルート プロダクト統括本部 シニアエキスパート)※モデレーター

APIとインターオペラビリティというテーマ

 実は今回の内容は、モデレーターであるリクルートの三輪純平氏が、約1ヶ月前に別カンファレンスのセッションに登壇した際にも言及されたものであった。日本経済新聞社主催『金融DXサミット』(2021年9月29日〜10月1日開催)の「持続可能な社会へ向けて加速するデジタル変革」というテーマで組まれたセッションにおいて、決済のDX(デジタル・トランスフォーメーション)が社会のインフラとなり得るためには、この2つのキーワードについて、より注意深く考える必要があると同氏は提示したのだ。

 当メディアでも上のとおり詳細にレポートしているのだが、ここでも示されているとおり、APIについてはn対nというマルチパーティー間での相互関係というオープンネスの意識付けが、インターオペラビリティについては多集中型メカニズムへのガバナンスのあり方が、それぞれ課題意識として示されている。

 その前提において本セッションでは、具体的に活動する有識者を交えて、APIとインターオペラビリティの議題のこれまでと現在地、そしてこれからのあり方について、それぞれ意見が述べられた。前編では、主にAPIエコノミーの現状について語られた内容をご紹介する。

APIがもたらす認証と決済・サービスのリバンドル

 まずはAPIエコノミーについて。2016年の改正銀行法を皮切りにオープンAPIの議論が本格的に始まって約5年が経過したわけだが、当時と現在を見比べて、どのような景色の違いがあるのだろうか。これについて、まずはFinTech協会の立ち上げを経て理事長を歴任した丸山弘毅氏より説明がなされた。丸山氏は、現在も同協会の主にペイメント領域を担当する常務理事であると同時に、決済領域を起点とするDXを支援するインフキュリオンのCEOでもある。

 実は約3年前、同氏は中長期的なAPIエコノミーのあり方を見据えた社会のあり方を、認証と決済という切り口から提示していた。支払時における「キャッシュレス化」はもとより、事前予約や認証、サブスクリプション、支払いタイミングの指定や変更など、人々の「購入」に付随する一連の行動動線が一気通貫でつながっていくことこそが、APIがもたらすインパクトの真髄であると示したのだ。そのイメージとして、スマホを起点に認証領域と決済領域を自由に組み合わせて選択できる様子を説明した当時の資料が、以下の認証と決済・サービスのre-bundle(リバンドル)を示した図だ。

「認証と資産が一対になっている状態から、一度認証したらあとはスマホから自由に接続先を変えて、例えば支払い方法やタイミングを選択できる。このような時代ができるという話を、当時しました。現在のいわゆるスーパーアプリや、◯◯ペイのようなサービスは、まさにこういう形に近づいてきていると言えるでしょう」(丸山氏)

 また、ここからさらにもう一歩踏み込む形で進化を遂げているのが、いわゆる組込型金融の考え方だ。2021年3月に開催されたカンファレンス「FIN/SUM」において、日本銀行の黒田東彦総裁は以下のように述べており、金融に限らないあらゆるサービスに「金融機能」が埋め込まれることへの期待は日々高まっている。

「最近では、金融機関がこれまで一体提供してきていた金融サービスをアンバンドリングし、日金融企業の事業サービスに組み込めるような形でて今日する動きがあります。「バンキング・アズ・ア・サービス」(Banking as a Service)ないし「組込型金融サービス」(Embedded finance)と呼ばれる動きです。」(日本銀行総裁 黒田東彦氏)

 それ故に、金融機関とサービス提供者である事業会社がより密接に結びつき、より戦略的にAPIを捉えることが重要だと、丸山氏は強調する。

「今の金融機関のAPIが十分にこの環境変化に合っているかというと、実はまだまだこれから進化が必要な部分があると思っています。APIの本質は、活用する側と一緒に、いかに今までできなかったことをできるようにするか、ということにあります。参照系APIは普及が進んでいますが、更新系APIは業界全体でもまだまだ進んでいないかなと思います。また今後、BNPLのようなものも主流になっていく中で“与信”も絡んでくることになるので、口座情報の参照・更新だけではなく、与信システムとのAPI接続も必要となってくるでしょう。今のトレンドとしては、ここの拡張が非常に重要なテーマだと考えています」(丸山氏)

都銀4グループ5行で始まった新決済インフラ「ことら」の構築

「決済は、社会を写す鏡です」

 こうコメントするのは、決済領域において20年近いキャリアをもつ、株式会社ことら 代表の川越洋氏だ。30年を超える銀行でのキャリアの大半で決済業務に従事し、また2011年からは日本スイフトユーザーグループのナショナルメンバーグループ議長も務めている人物である。

 「ことら」とは、多頻度小口決済のための決済インフラであり、2021年7月にみずほ銀行、三菱UFJ銀行、三井住友銀行、りそな銀行、埼玉りそな銀行の5行によって立ち上げられた会社が企画・運営主体となっている。2022年度上期での個人間送金の取扱開始を予定しており、参加金融機関や資金移動業者と連携して、事業開始を目指している。ちなみに会社名およびインフラ名である「ことら」は、「小口トランスファー」が語源だという。

「社会が変われば、必然的に決済も変わらなければなりません。デジタル社会になれば、決済もデジタル化します。そういう流れの中で、“ことら”が必要になってきました。世界では当たり前になりつつある、スマホを活用した個人間送金を実現する。これをオールジャパンで、ユニバーサルかつシームレスに実現することを目指しています」(川越氏)

(画像:令和3年2月16日開催 第9回決済高度化官民推進会議にて提出された資料より)

 

 日本の決済システムの中核といえば「全銀システム」なのだが、こちらはメインフレームベースのものとなっており、8年ごとの更改が必要となるシステムである。つまり全銀システムベースで何かを実現しようとすると、最大で8年の時間を待つ必要があるわけで、世の中のスピードには全くついていけないのが大きな課題として考えられる。だからこそ「ことら」では、あえて都銀4グループ5行という座組みでの新会社設立に至ったと川越氏は強調する。

「“ことら”では、アプリ開発の予定はありません。APIをコンセプトに据えて、ペイメントインフラとしての役割を担うことを想定しています。エンドユーザーとのインターフェースは事業者サイドのアプリにお願いをするとして、ことらはその裏側のネットワーク的な形で機能するということです。

APIを使えば、事業者間でバイラテラルに接続して送金するのは当然可能ですがオールジャパンでn対nを前提にやっていくとなると、それはそれで非効率だと考えています。よって、“ことら”に加盟する事業者のAPIのハブという感じで機能することを想定して準備しています」(川越氏)

API連携時のUXを向上させる認証・認可プロトコル「CIBA」

 あらゆるサービスがAPIを介して繋がる未来においては、当然ながらオンライン上における個人をデジタルで表現し、適切に管理・運営する必要がある。この、いわゆるデジタル・アイデンティティ領域の動向について、今度はOpenIDファウンデーション・ジャパン 代表理事の富士榮尚寛氏より説明がなされた。 

 そもそもだが「OpenID」とは、簡単に表現するとネット上におけるユーザー認証技術のこと(※)で、記事執筆時点ではOpenID Connect 1.0(以下、OIDC)が最新版の規格となっている。このOIDCの標準を策定しているのが米国のOpenID Foundationであり、その日本における公認団体がOpenIDファウンデーション・ジャパンというわけだ。同団体では、OIDCの普及・啓蒙や国際化支援はもちろん、エンタープライズ・フェデレーションやプライバシー保護の推進などに関する啓発活動など、オープンなAPIエコシステムに向けた様々な活動をしている。

※OpenID Connect 1.0の「当人認証」部分についてはFIDOと呼ばれるエンティティー認証技術などが担っているので、OpenID Connectそのものは、正確には「アイデンティティー連携」の標準規格となる(参照情報:書籍『デジタルアイデンティティー 経営者が知らないサイバービジネスの核心』(日経BP)p36)

 米OpenID Foundationでは以下の通り、現在10個のワーキンググループが稼働しているのだが、本セッションにメインで関わってくるのは、赤丸がついた2つだと言える。ちなみに富士榮氏はジャパンの代表を担いつつ、「eKYC & IDA WG(eKYC and Identity Assurance Working Group)」のCo-chairにも従事している。

「まさに丸山さんがおっしゃっていた、認証とアプリケーションの分離に際して使われる仕様が、FAPIの一部として定義されているCIBAです」(富士榮氏)

 FAPI(Financial-grade API、読み方:ファピ)とは、主に高度なセキュリティが求められる分野のオンラインサービスへの適用を想定した、OIDCをよりセキュアにした技術仕様である。このFAPIの一部として定義されるCIBA(Client Initiated Backchannel Authentication、読み方:シーバ)は、スマートフォンを使ったAPI連携時におけるユーザー体験を向上させる新しい認証・認可プロトコルとなる。

(画像:株式会社Authlete

 

 例えばこちらの図の左側のフローを見てみると、人がブラウザ前に行ったり対面認証などができないようなケースにおいて、スマホで認証を取ることで、その後のトランザクションを発行するような流れとなっていることがわかる。

「送金指示が発言されると、そのままスマートスピーカーからバンクAPIを呼び出してスマホに認証要求を投げる。それに対して正常に認証が行われると、送金が実際に行われると。こんなやりとりのプロトコルとして標準化が策定されているのがCIBAとなります。すでに製品に組み込まれて出荷されて、一部使われています」(富士榮氏)

信頼社会に向けて期待される「OpenID Connect for Identity Assurance」

 先ほど丸山氏より与信領域へのAPI連携の話が出てきたわけだが、これに関連する話として富士榮氏からは、すでに精度の高いユーザー情報を持っている事業者から本人確認済み属性情報を提供してもらうことを想定した、「OpenID Connect for Assurance(OIDC4IDA)」という新しいプロファイルについても紹介がなされた。

「認証されたユーザーのID情報を、認証した結果としてアプリケーションもしくはAPIの方に返していくという単純な仕組みだったOpenID Connectですが、これに対してどういうルールに則ったのかや、誰がそのID情報を検証したのか、またはいつ検証したのかといった情報をAPIに渡すということを、“動的”にやれるようするのがOpenID Connect for Assuranceです」(富士榮氏)

 現在のOIDCを使ったフェデレーションは、サービス提供を行う事業主体(専門的にはRelying Partyという)と、アイデンティティ情報をRelying Partyへと提供する主体(専門的にはIdentity Provider、さらにはOIDCにおけるIdPを特にOpenID Providerという)の「信頼関係」に依拠している。つまり、サービス提供主体としては、OpenID Providerが「よろしくやってくれる」ことを前提とする姿勢だったわけだ。

 だが昨今の社会においては、AIの透明性や信頼性のような議論がなされるように、根拠を伴った情報の提示がますます求められるようになっている。つまり、単純な例として名前はこれで合っていますとOpenID Providerが言ったところで、「本当にそうなのか?」という視点で、より付帯する情報を求めるということだ。このような背景から、新たに標準化の策定が進んでいるのがOpenID Connect for Identity Assuranceとなる。

 具体的には「Verified Claims(邦訳:検証済み属性表現)」ということで、富士榮氏がコメントしたような、何をもって確認ないしは検証したのかというメタデータを付与して渡すことで、サービス提供側としては、より信頼しやすくなるということだ。また、一度取得したユーザーに関する情報を再利用することもできるので、毎回ユーザーから必要な情報を取得し直さなくても良いという観点で、よりユーザーフレンドリーなUXを実現できるとも言えるだろう。

「これによって、与信のレベルが上がるにつれて、持ってくる情報も追加していくなどができるようになります。ユーザーからしたら、よりフリクションレスなサービスを作れるんじゃないかと考えています」(富士榮氏)

※2021年11月11日(米国時間)には、OIDC4IDAのImplementers Draft 3が承認されている

※本チャプターの参照記事はこちら

》後編記事につづく

World Fintech Festival Japan 2021レポートシリーズ by LoveTech Media

Report1. Web3.0に向けて、Stake Technologies渡辺氏が”日本人として”目指すこと

Report2-前編. BaaS、ことら、OIDC4IDA等。有識者が語るAPIエコノミーの現在地

Report2-後編. APIエコノミーで問われる「標準」との付き合い方とは

Report3. 金融包摂(Financial Inclusion)の観点で考える、APIの未来

Report4. Trusted Webタスクフォースメンバーが語る、新たな「トラスト」の仕組み

Report5. 急成長する東南アジア市場。現法責任者らが考える地域の魅力談義

Report6. シンガポール政府Chief Fintech Officerと考える、日本の強みと課題

 

長岡武司

LoveTech Media編集長。映像制作会社・国産ERPパッケージのコンサルタント・婚活コンサルタント/澤口珠子のマネジメント責任者を経て、2018年1...

プロフィール

ピックアップ記事

関連記事一覧

LoveTechMedia

テクノロジーに触れないことによる”愛”損失を最小限に留める。
LoveTechMediaとは