Fintech対応、“スクリーンスクレイピング”にひそむ潜在リスク
Fintech事業者が存在感を増している。彼らは、金融サービスの提供に関与するものの自らは金融業を営まない電子決済等代行業者(いわゆる中間的業者)だ。金融情報を素材として、それを新しい視点でビジネスやサービスに仕立て、エンドユーザーに提供する。たとえば、エンドユーザーからオンラインバンキングのログインIDやログインパスワードを預かってサイトにアクセス、口座情報などを収集してエンドユーザーに提供する。エンドユーザーにとっては、一つのアプリの中で複数の口座情報が一元的に見られて便利というわけだ。
技術的には、このような形式の情報取得は“スクリーンスクレイピング”と呼ばれている。Fintechを進めるのに必要な技術として半ば既成事実化されているが、これは幅広いユースケースに耐えうる仕様ではなく利用には限界がある、と、NRIセキュアテクノロジーズ株式会社 サイバーコンサルティング部 上級セキュリティコンサルタント石井晋也氏は語る。
「まず、この電子決済等代行業者(中間的業者)がエンドユーザーのログイン情報を預かることに不透明性があります。中には不正を働く事業者が出てこないとも限りません。逆に、誠実な事業者であればログイン情報の管理に大きな労力を割くことになるでしょう。
一方、アクセスされる側である金融機関にとっても、スクリーンスクレイピングは中間的業者からのアクセスが正規なものか不正なものかが見極めにくく、エンドユーザーの把握・保護の観点で疑問視されています。
さらに、このようなセキュリティー課題が根底にあるため、サービスをスケールさせられません。口座情報を取得して見せるといった無難な参照系サービス程度しか提供しづらく、Fintechの発展を考える上でも適切な技術とはいえないのです」
Fintech対応は時代の趨勢だが、スクリーンスクレイピングはセキュリティーリスクが高すぎる。まさに金融機関にとっては板挟み状態だが、解決策はすでに存在する。その鍵となるデータのAPI公開とは?