ゼロバンクデザインファクトリーの豊島です。
普段は主にバックエンドシステムの実装 & 保守をやっています。
今回、Authlete様にお誘いをいただきアメリカのオープンバンキングを推進するFDX(Financial Data Exchange)のイベントで登壇する機会をいただきました。
半年ぐらい経ってしまっているのですが、色々落ち着いたタイミングで亀投稿です。
FDX とは
FDX(Financial Data Exchange)は、アメリカ・カナダを中心に活動する安全かつ使いやすい消費者と企業の金融データ共有をサポートするための業界の標準を策定する組織です。この標準は、APIを使用して、金融サービスプロバイダとデータ利用者間のデータの共有を容易にすることを目的としています。FDXの目標は、データのプライバシー、セキュリティ、透明性を確保しながら、ユーザーの金融情報へのアクセスを向上させることです。
国際的なオープンバンキングといえば おそらくイギリスのOpen Banking, EU の PSD2 あたりが真っ先に思い浮かぶでしょう。最近ではFAPI2.0にも寄せているブラジル(Brazil FAPI)が進んでいる印象ではあります。アメリカ・カナダでは政府公認の標準は現時点ではないのですが、勢いを増しているのがこの FDX です。
オープンバンキングの一実装者として個人的に FDX 仕様の新しく質も高い印象を持っています。FDX仕様詳細については今回の趣旨とは異なるのでまた別の機会に。
FDX Global Summit 考察
3日間に渡り多くのセッションがありました。エンジニア的な目線だとビジネス寄りな内容が多かった印象です。要点だけ考察します。
- OAuth2 から FAPI への潮流
- API 標準化とインターオペラビリティ
- 金融ソリューション:アカウントアグリゲーション、A2A決済, ローン, etc.
- レギュレーションとの向き合い
OAuth2 から FAPI
スクレイピングの暗黒時代はユーザーは自分のユーザー名とパスワードをアグリゲーターに渡して1ヶ月 $5 を自分が支払っていたという Authlete CTO Joseph氏の英国風?のジョークで会場を沸かした。
真面目な話に戻すと、その後PSD2の台頭により世界が変わった。(After PSD2, the world has changed!)
そして OAuth2 が今の主流。
しかし OAuth2も幅広すぎて古い推奨されない仕様も多く混在しており、正しい選択をしなければセキュアにはならない。
今日では世界の銀行は至る所で FAPI を採用し始めている。
FAPI 1.0 ではセキュリティに重きを置いたが、FAPI 2.0 (現在Draft) ではこれまで観点として欠けていたUX や Developer Experience にも重きを置いているという話もあった。最新の FDX APIスペックでは FAPI 2.0 (Draft)を採用している。
API 標準化とインターオペラビリティ
アメリカは日本とある意味似たような状況で政府公認の標準の金融APIはまだないため、FDXの活動に意義がある。そんな中、FDXは成熟段階に突入してきている。FDX APIのconsumer数は50 million(5000万)を超えたと発表されている。統計の仕方が独特なので単純にユーザー数と同義なのかは分かってないが、かなり普及しているのは事実なのだろう。
金融APIが標準化されて共通のインターフェースが普及することによってインターオペラビリティのエコシステムが拡張すれば様々なビジネス的な可能性が拡がると思う。
FDX Summit では多様な FDX API Gateway的なソリューションの発表があった。中でも興味深かったのはFDX APIをノーコードで構築できるプラットフォーム。オープンバンキングとは本質的には勘定系システムをいかにセキュアにそしてエレガントに公開するかだと思う。APIのインターフェイスの正解が最初から決まっていれば、そういったソリューションの価値は高まる。導入が手っ取り早いのだ。統一化されて繋ぎやすくなるほど SDKや周辺のソリューションも拡充するだろうし、それによって設計や実装負荷も減る分、本来集中すべきビジネスにフォーカスできると思う。
我々みんなの銀行 BaaSの立場でも DX(Developer Experience)を以下に向上させるかはビジネス上の大きな課題だと常に感じる。セキュアであることは前提だが、繋ぎやすくなければAPIによるビジネス協業は簡単には拡がらない。
金融ソリューション
みんなの銀行の Recordという機能でも提供しているが アカウントアグリゲーションが典型的なユースケースだろう。それだけだと馴染みありすぎて面白みがないので、紹介されていた興味深いアグリゲーションのユースケースを紹介する。
"credit invisibles" という言葉がある。 自分の言葉で説明が面倒なのでChatGPTに聞いてみた。
クレジットインビジブルズ(Credit Invisibles)とは、主要な国のクレジット事務所にクレジット履歴がない個人を指します。これにより、彼らは伝統的なクレジットや金融商品を取得するのが難しくなります。これは新しい成人や一部の低所得者など、特定の人々にとって一般的な問題となりえます。クレジット履歴がないため、多くの金融機関はこれらの人々の信用リスクを評価するのが難しいと感じます。
移民の多いアメリカでは credit invisibles は社会的解決課題だそうだ。たとえば、ブラジルから移民してきて一年目はアメリカでのクレジットスコアがないためクレジットカード審査が通らない状況の例。クレジットスコアアグリゲーターが介在することによって出身国でのクレジットスコアをシームレスに金融機関は評価することができる。国同士の金融APIにバラツキがあると、アグリゲーター的にはそう簡単にはいかないものだが、関連する金融機関がFDXに準拠することによってブラジル人だろうとコロンビア人だろうと、そのクレジットスコアグリゲーションアプリを持っていれば正当にスムーズに証明することが可能となる。そういった銀行と個人の強固な体験が長期的なリレーションシップにも繋がると語っていた。
もう一つの代表的なユースケースは A2A決済。みんなの銀行 BaaS APIでも提供しているサービスだ。
個人銀行から事業者の銀行へ直接支払う仕組み。余談だがブラジルではPIXというそうだ。何社かA2A決済の話をされていたので流行っているなという肌感はあった。
A2A決済の実装で、Webhookを活用した Real Time Payment Notificationのシステムデザインのセッションもあったが、みんなの銀行のWebhook は "FDX Event Notification Framework" も参考に実装している。
様々なユースケースや実装の話を聞いて、共感や既視感があり、みんなの銀行 BaaSが歩んでいるレールはズレてないなと感じることもあった。
FDXのレギュレーションとの向き合い
KeyNoteでは Acting Comptroller of the Currency の Michael J. Hsu 氏や、政府系の人々と FDX Managing Director の Don Cardinal氏が対談が繰り広げられた。
Michael J. Hsu氏のスピーチ全文
アメリカ情勢分からないのもあり、このセッションに関しては正直要点がうまく掴めなかった面もあるが、大雑把にいうと、FDXは成熟期突入段階にありレギュレーターと連携を深め、API標準化のポジションを固めにきている段階だという印象を受けた。日本で例えると、FISCか全銀協WGのオープンAPI仕様が金融庁から公認を得るみたいなイメージが分かりやすいかもしれないが、日本には具体的な標準仕様が欠けているのが現状。
以上が FDX Global Summit 感想文です。
ZDFの登壇内容 - Pioneering Approach to Secure Open Banking in Japan -
BaaS APIを一緒に開発している Mixefy社のViktors Garkavijs氏と共登壇しました。
発表内容を一部紹介します。
あえてレイヤー的に表現すると、1.準拠すべきものは従う前提、2. 認証認可基盤はベストプラクティスを追求、3.その上でドメイン系のAPIを繰り出していくというアプローチです。
現在、本番環境でお客様にご利用いただいているAPIは FAPI 1.0 Advanced 準拠の APIです。
公開できるレベルのざっくり構成ですがこんな感じです。
※2023/10/29追記
私たちのBaaS API は OpenID Foundation の FAPI 2.0 Security Profile Second Implementer’s Draft & Message Signing First Implementer’s Draft に認定されました。
FAPI 2 Providers & Profilesのページにも公表されています。
締め
お誘いいただいた Authlete様に感謝です。
FDXは北米の組織ですが、APAC General callも月次で開催されており、アジア圏進出も視野としてはあるようです。日本のオープンバンキングの現状を FDX Managing DirectorのDon Cardinal氏に伝えたところ、会話の流れで FDX JP Research Task Forceを立ち上げることになりました。(この活動についても進展があり次第共有予定です。)
FDXと連携を取りつつ日本のオープンバンキングシーンをどうやって底上げできるかという活動を行なっていきたいと思います。
次回の Global Summit はワシントンD.C.で3月に開催されるそうです。
できたら是非参加したいなと思います。