Infcurion Insight

決済業界・Fintechの最先端情報を届けるニュースメディア

銀行の「更新系API」がもたらす新たな可能性

TarikVision/Bigstock.com

FinTechの盛り上がりとともに、よく聞かれるようになった「銀行API」。日本での議論は主に「参照系API」に関するものでしたが、2016年9月には遂に日本の銀行として初めての「更新系API」が登場し、それを用いた新しいFinTechサービスがスタートしました。

しかし、APIの「参照系」や「更新系」という区分にどういう意味があるのか?と思われる読者も多いと思います。今回はそのあたりを解説しようと思います。

そもそも「API」とは?

APIとは「アプリケーション・プログラミング・インターフェイス(Application Programming Interface)」の略で、複数のプログラムが一体的に動作する際の、データのやりとりの方法を取り決めたものです。

身近な例でたとえるため、「住民票の写しの請求」を考えてみましょう。あなたの住民票は、あなたが居住している自治体の役所が保有していますね。その写しを手に入れるためには、役所に「住民票の写しをください」と申請することが必要です。

申請するときに、単に口頭でペラペラしゃべってお願いするわけではなく、決められた申請書に記入して提出します。申請書の書式や記載事項は全て役所が決めたものです。申請者はその書式に従って必要情報を役所に提出し、役所はその内容に従ってレスポンスを返します。例えば、あなたの申請書の内容に問題が無ければ、あなたに住民票の写しを交付します。

これをプログラムとAPIの世界で説明してみます。ます、「あなたアプリ」と「役所アプリ」があり、住民票データは「役所アプリ」が持っています。「あなたアプリ」が住民票データを入手したいときは、「役所アプリ」が公開しているAPI(申請書)を使って申請します。すると、「役所アプリ」からのレスポンスがすぐに返ってくる、ということです。(なお、必ず住民票が返ってくるわけではなく、「書類不備NG」や「開示NG」などのレスポンスも当然ありえますが、何等かのレスポンスが返ってくるのが普通です。)

フィンテックにおけるAPIの基礎知識については下記の記事も参照ください:

「参照系API」と「更新系API」とは?

実は上記に出てきたAPIは「参照系API」です。役所が保有するデータを「見るだけ」で、内容を変えることはできないからです。住民票の写しを貰うだけでは、住民票の内容が変化することはありませんからね。

なお、「更新系API」というのは、API経由でアクセスしたデータを変化させるやりとりに使われるもの。役所の例でいくと、「住所変更」や「婚姻届」などが更新系の申請、つまり役所の「更新系API」となります。これらの申請が実行されると、役所が保有するあなたに関するデータの内容が変化するからです。

理解するためのポイントは、APIを介してアクセスする対象のデータの所在をしっかり把握すること。住民票の写しの交付を申請するときでも、住民票の記載事項の変更を申請するときでも、住民票データ自体は役所にあります。(実際は役所の情報システムにあります。)それを外部に提供するための受口がAPIですが、どのようなAPIを提供するのかは、データ保有者の裁量に任されています。

まとめると、

  • あるプログラムが保有するデータにアクセスする方法の一つがAPI。
  • そのデータを参照するだけで、そのデータ自体に変化をもたらさないAPIが「参照系」。
  • そのデータの内容を書き換えるためのAPIが「更新系」

ということです。

「参照系API」とPFM

国内フィンテックの代表格として取り上げられることの多いPFM。複数の口座情報を集約して一括で管理できる点が受けて拡大しています。国内の銀行APIの議論では、PFMによる「参照系API」の活用がよく論じられています。

ここで、口座データの保有者は銀行。そしてそこに外からアクセスしたいのはPFMです。PFMは口座の取引明細や残高を見たいだけなので、「参照系API」の話になるというわけです。

「参照系API」で口座データへアクセスしても、口座残高が勝手に変化することはありません。APIとしては、悪用リスクが小さい、より安全な種類と言えます。反面、口座の資金を活用するサービスを実現することはできないので、制約の多いAPIとも言えます。

「更新系API」と自動貯金サービス

顧客の大事なお金を預かっている銀行。その口座のデータを書き換えることは、すなわち口座の預金を動かすことですので、口座データに対する「更新系API」まで踏み出す銀行は最近までありませんでした。

それを変えたのが、2016年9月に発表された自動貯金サービス「finbee」。住信SBIネット銀行が提供する日本発の「更新系API」を使って、普通預金口座から貯金用口座(普通預金口座とは異なる「目的別口座」という住信SBIネット銀行のサービス)への「貯金」を行います。

「finbee」については以下を参照ください:

なお、「finbee」を運営する株式会社ネストエッグは、当ブログを運営する株式会社インフキュリオンと同じくインフキュリオン・グループのメンバー企業です。

「更新系API」の画期的な点は、顧客による口座活用の新しいチャネルを創ったこと。今までもモバイルアプリ経由での口座操作は可能でしたが、それは銀行が提供するチャネルでした。「finbee」は、銀行ではない第三者が提供するアプリでありながら、銀行口座の資金を操作することができます。

口座データを書き換えることができる「更新系API」には、「参照系API」には無かった、不正利用時の資金流出リスクがあります。このリスクをどのようにして抑えるかが技術的な腕の見せ所となります。

なお、「参照系API」には情報漏洩リスクがあります。世の中に、リスクゼロなどありえないのです。

住信SBIネット銀行のケースでは、ユーザ認証は銀行の認証基盤を用いる方式となっており、「finbee」を運営するネストエッグ社がユーザの認証情報を保有することはありません。ユーザと銀行の間での認証が完了したのちに貯金サービスを利用するという仕組みでセキュリティを高めています。さらに、貯金用口座には住信SBIネット銀行の「目的別口座」というサービスを用いており、実際には資金が移動しないようサービス設計しています。このように、多段階の対応策によって、不正な資金流出リスクを抑えながら利便性の高いサービスを実現しています。

欧米金融機関と比べると大幅に遅れていた国内金融機関のAPI化。PFMの登場で「参照系API」の実現が進む中、ついに「更新系API」による画期的な口座活用が始まりました。API化による口座利便性の向上が、金融サービス利用の裾野を広げ、日本の金融業界の活性化に繋がると期待します。