オープンAPIとは?銀行で重要な理由やメリットを分かりやすく解説
Webサービスとソフトウェア・プログラムをつなぐ役割を果たす「API」は、提供方法によってオープンAPIとクローズドAPIの2種類に大きく分けられます。簡潔に説明すると、オープンAPIは公開APIであり、クローズドAPIは非公開APIのことです。
銀行をはじめとした金融機関では近年、オープンAPIが重要視されています。しかし、APIやオープンAPIについて知識のない方にとって、銀行がオープンAPIを取り入れるメリットや注意点は気になるポイントとなるのではないでしょうか。
そこで今回は、オープンAPIの概要や金融機関で重要視される理由から、金融機関がオープンAPIを取り入れるメリット、API導入時の注意点まで詳しく説明します。
目次
1-1. 銀行などの金融機関でオープンAPIが重要視される理由
3. 【注意点】API導入時には専用のセキュリティ対策が必要
1. オープンAPIとは
そもそもAPIとは、「Application Programming Interface(アプリケーション・プログラミング・インターフェース)」の頭文字をとった略称であり、アプリケーションやソフトウェアとプログラムをつなぐインターフェースのことです。
APIの理解度を高めるには、インターフェースについての理解が欠かせません。インターフェースとは、何らかの接点を指すものであり、パソコンと人間をつなぐキーボードやマウスも1つのインターフェースとなります。APIは、アプリケーションやソフトウェアの機能を外部サービス・プログラムから利用できるよう設計されたインターフェースと考えると分かりやすいでしょう。
そしてオープンAPIとは、API提供側によって外部へ公開されたAPIを指します。オープンAPIを導入すれば、アプリケーションと外部システムを連携させられるため、機能性の拡張・利便性の向上が期待でき、より質の高いサービスを展開・推進できるようになります。
1-1. 銀行などの金融機関でオープンAPIが重要視される理由
オープンAPIは、銀行をはじめとした金融機関にとって重要なインターフェースとされています。金融機関でオープンAPIが重要視される背景には、新たな法制度である「銀行法等の一部を改正する法律」が大きく関係します。
2016年11月、金融サービスの高度化や利便性の向上を実現するために、全国銀行協会・銀行・FinTech事業者をはじめとした有識者によって「オープンAPIのあり方に関する検討会」が設置されました。金融分野におけるオープンAPIのあり方に関して、官民連携にて検討が行われた結果、2017年5月に改正銀行法が成立します。当法律は、2018年6月に施行されました。
この法改正によって、従来のスクレイピング方式からAPI方式への体制整備が求められるようになりました。API方式では、顧客がFinTeck企業にパスワードを提供する必要がなく、FinTeck企業と契約を締結する金融機関は安全なサービス提供が可能となります。
金融機関とFinTeck事業者の連携における効率性を向上させるため、そしてオープンイノベーションを促進させるためにも、オープンAPIが重要視されています。
出典:一般社団法人 全国銀行協会「オープンAPIに対する銀行界の取組み」
1-2. スクレイピングとオープンAPIの違い
ここでは、法改正前の従来の方式であるスクレイピングと、現行の方式であるオープンAPIの違いについて、より詳しく説明します。
スクレイピングとは、金融機関と契約を締結するFinTeck企業が、顧客のID・パスワードを用いてネットバンキングサイトやアプリケーションにアクセスし、必要な情報を抽出するという方式です。情報提供の範囲が限定されず、金融機関との締結がないケースもあったことから、利用者保護・情報セキュリティ・オープンイノベーションの観点において課題やリスクがあったことも実情です。
しかし、新たなAPI方式ではスクレイピング方式と違って、FinTeck企業に顧客のID・パスワードを提供することはありません。また、APIによって情報提供の範囲も限定されるうえ、金融機関とFinTeck企業は必ずAPI契約を締結することとなるため、安全なシステム接続が可能となります。
出典:一般社団法人 全国銀行協会「オープンAPIに対する銀行界の取組み」
2. オープンAPIを銀行が取り入れるメリット
オープンAPI活用によって、銀行をはじめとした金融機関は多くのメリットを得られます。主なメリットは、下記の通りです。
ここからは、3つのメリットについて、それぞれより詳しく説明します。
2-1. 利用者の安全性を高められる
従来のスクレイピング方式でも、外部の個人資産管理サービス・システムと銀行データを連携する仕組みは存在していました。しかし、連携するにはインターネットバンキングのID
パスワードを外部サービスに預ける必要があり、セキュリティ面に少なからずリスクがありました。
オープンAPIを導入すれば銀行システムを通したデータ連携が可能です。これにより、顧客パスワード情報を外部の事業者に預ける必要がなくなり、セキュリティ面のリスクを最大限抑えられるようになりました。
セキュリティ対策が肝心となる金融機関にとって、利用者が安心して正確なデータを連携させられるという点は、大きなメリットとなるでしょう。
2-2. 顧客情報をリアルタイムに入手できる
銀行向けのオープンAPIを導入すれば、連携しているほかの銀行のデータや、ユーザーの帳簿資料をリアルタイムで入手できるため、顧客の財務情報の透明性が向上します。
一人ひとりの顧客ニーズをより深く理解できるだけでなく、顧客ニーズに適した新たな金融サービスの展開・コンサルティングの水準向上にもつながるでしょう。
2-3. 高度なサービスを提供できる
オープンAPIの導入により、あらゆるサービスと連携することで、より高度な銀行サービスを提供できるようになります。代表的なサービス例としては、下記のようなものが挙げられます。
これらのサービスを連携させることで、顧客の満足度や使いやすさはより向上し、銀行の長期利用も大いに期待できるでしょう。
3. 【注意点】API導入時には専用のセキュリティ対策が必要
オープンAPI方式は従来のスクレイピング方式よりも全体的なセキュリティリスクを低減させられる一方で、API導入ならではのセキュリティリスクが生じる可能性もあります。
API導入により起こり得るリスクには、「なりすましAPIによるデータの改ざん」「APIの認証情報の悪用・情報漏洩」などが挙げられます。
顧客の信頼度を損ねてしまうトラブルの発生を防ぐためにも、専用のセキュリティ対策は必須と言えるでしょう。最後に、API導入時におすすめのセキュリティを2つ紹介します。
3-1. OAuth2.0
OAuth2.0(オーオース2.0)とは、連携先の外部サイト・システムに顧客のログイン情報を伝えることなく、外部サイト・システムを利用できるプロトコルです。ユーザー権限の認可によって、異なる2つのサービス間でログイン情報を安全に共有できるようになります。
OAuth2.0の代表的な例としては、「Googleアカウントを使用した外部サイトのサインイン・ログイン」が挙げられます。
3-2. OpenID Connect
OpenID Connectとは、ユーザーの同意に基づき、サービス間でログイン情報を流通させるプロトコルです。OpenIDプロバイダーに登録したログイン情報を用いれば、その他OpenID対応サイトにログインでき、サイトごとに登録していたID情報を一元管理することが可能です。
また、OpenID ConnectはOAuthの拡張仕様であり、フローもよく似ています。しかし、OpenID Connectはユーザー認証として活用するために標準化されており、アクセストークンに加えてIDトークンも発行できるため、よりセキュリティ性が高いことも特徴です。
まとめ
API(Application Programming Interface)は、アプリケーションやソフトウェアとプログラムをつなぐインターフェースのことです。そして、オープンAPIはAPI提供側によって外部へ公開されたAPIのことで、近年では銀行をはじめとした金融機関から重要視されています。
オープンAPIでは、外部システムとの連携による機能性の拡張や利便性・生産性向上、さらに展開サービスの水準向上が期待できます。しかし、API導入ならではのセキュリティにもしっかり対策しておかなければならないことを覚えておきましょう。
「CTC」では、APIのセキュリティを大幅に強化するAPI連携ソリューション「C-FAPI」を提供しています。C-FAPIを導入すれば、独自開発の必要なく高セキュリティな金融APIの公開が可能となります。APIのセキュリティ対策を行いたい金融機関の情報システム担当者様は、ぜひお気軽にお問い合わせください。
CTCのC-FAPIについて詳しくはこちら