オープンバンキング/API勉強会(2019-09-27)いってきたメモ

イベントページ

https://obie.peatix.com/

オープニング（MF瀧さん）

• 協会挨拶をざっくりと
• なにかで喧嘩がおきたとかそういうはなし？もでて一部の笑いを誘う
  • これかな https://www.nikkei.com/article/DGXMZO50182080V20C19A9000000/

OBIのレポートを見ながら話す

• MFの瀧俊雄取締役
• レポートの立て付けから
  • 参考にはするべきだけどコピーして使えるものじゃないよね
  • イギリス 国有化したけどちっとも黒字にならない
  • LIBO操作の件とか（なつかしい）
  • イギリスの銀行の寡占状態
    • 日本と比較してだいぶん競争がないので手数料がすごく高い
  • もっと競争すべきだ、というバイアスが掛かっている点に注意！
• MyDataの話
  • 取引がクリアだと健全だよね
  • 隣の家がいついくらで買われたかがわかる
• PSD2の話
  • でたのは2016年、Activateされたのが2017とか2018
• P.12、13あたりにこれらの施策がWorkしたのかが述べられている
  • レポートではMyDataは上手くいってない、と述べている
    • CSV公開しているだけだから、らしい
      • 毎回ダウンロードして、管理DBとかにアップして・・・・
      • 改ざん可能
    • 2014年ぐらいにODIもそういっている（？）
      • ID/Pass預かってスクレイピングはアレだよね、とか
    • 2014年くらいの当初のAPI化は失敗した話
      • API使うために10画面くらい遷移するとか
      • UX足りなかったよね、という反省
      • OAuth的なもののガイダンスがでたのが2018年
      • P.23にグラフがある
      • MFでも当初60％ぐらい
        • 「合言葉」とかでてくるとすぐドロップｗ
• OBIEってなんだ？
  • ちゃんと銀行が競争しているか
  • 公正取引委員会的なもの
  • メガバンク同士とか、メガバンクと新しい銀行がちゃんと競争しているか
  • レポートのタイトルがすごいｗ（2016年）
    • Making banks work harder for you
    • 銀行に向けた宿題が書いてある
    • CASS（普通預金乗り換えの仕組み）
      • (ケータイのMNPみたい)
    • ここから政治的意志を感じよう
  • では、日本には何が欠けているのか？
  • 資金を出しているのはCMA9（9大銀行）
    • かなり強烈な意識。日本ではできないだろうなー
  • ちゃんと使えるAPIを出しているか、使われているのかをチェックする人達がいる
    • 日本にこれはいない！
• CMS OrderとPSD2との違いと共通点の図解
  • 共通部分は優先度が高いもの
  • PSD2ではスクレイピングは禁止
    • 認証認可をちゃんとやれ、なので実質スクレイピングは不可能
• 結果としてどんなプレイヤーが生まれたか？もレポート
  • Open Banking Standardの成果は
    • ちゃんと更新もされている
  • 日本でも＊＊＊が標準作ったが、送金には触れてなかったり、ざっくりしていて実際は方言があったりしている
    • それにそって実装している訳ではない
    • とはいえ、ベンダーの数ぐらいしかパターンがないので、がんばればいける（さすがMFさん）
• そしてOpen Financeへ
  • 住宅ローン、保険、年金商品
  • 日本でも住宅ローンとか投信はとれないとかある
    • MFでも投信の日々の値動きで一喜一憂したいひとが結構いる（笑い
    • 投資信託は口座じゃないからスクレイピングしていい、とか来年でてくる？らしい
      • 金融庁はそこは触れていないからとかなんとか
  • まだ日本でも文献がない
  • 普通預金だとあまり考えないが（どうせ金利ゼロだし）、住宅ローンとかになってくると気になるオファーが出せるかもしれない
• そしてPremium API
  • ここだけ読んでもいいよ！
  • これまでのAPIは"all stick and no carrot!"
    • 銀行に競争だけ生まれてメリットがない
  • お金の取れるAPIとして1つだけ事例を出していて、KYC。
    • たとえば与信額とか出したらどうか？
    • とはいえセクシーさがキツイ状態
  • 人がいままでしなかったことに価値がある、そこに収益分配の仕組みとしてPremiumAPIを
  • ちゃんとWin-Winのしくみになるように
    • 「MUFGさんが出されているような・・・」（どれだ？？？eKYCかな）
      • https://www.nikkei.com/article/DGXMZO45370150Y9A520C1EE9000/
  • KYC、本人確認もいい
    • 北欧ではBankIDとして既に。
      • (こんな話も。。https://www.miraioffice.com/bankid-fraud)
    • ネットバンクはイギリスでは月に30回もログインしている
• まとめ
  • これまでの制度のなかで、失敗したことは失敗したとして見直しているところがすごい
• QA
  • OBIEの経済効果は？
    • まだそこまでになってない、収益がでてない、これから
    • 基幹系に突っ込んでるお金と同じだよね、という議論も
  • CASSは霞が関どうみてる？
    • まぁ日本では強大な権限によって潰されるでしょうね（笑い
    • 自然発生的にでるかもしれない
    • 遺言とかそっちのがいいんじゃないかな
  • APIになってMFで、ドロップ率あがったとかあります？銀行の画面がイケてないとかそういうのがある
    • あんまり聞いてない。かわらないんじゃ？
  • EUでは難民の口座開設はどうなっている？本人確認とか。
    • 確率論でみているんでは。取引額が小さければザルとか
    • ちょっと高度でお答えできない
  • 課金の話は解決しない。当局が～
    • 当局は関係ないんじゃない？
    • 日経電子版で本日でたAPIの総覧で、データポータビリティが解決するね的なコメントした
    • 電代業はパシリですよ！お金取ってきて親玉がそれを全部取ったら、そりゃないよ！エンドユーザーに課金するの？おかしいよね！
  • CASSが日本に来るのにどれくらいかかる？
    • こないんじゃない？パシリがいればできるし
    • イギリスしかやってないし
    • raisinというのはある https://www.raisin.com/
      • 利率の高いところに自動で預けるよ、ってサービス
      • 預金保険の対象なので利率差でアービトラージできる
    • 資金移動APIとeKYCが軽くなった世界では、実質CASSできるよね

Authlete工藤さん

• 英国オープンバンキング技術仕様の概要
  • スライドは公開します、とのこと（今日はうまくいってないらしい）
    • https://www.slideshare.net/tkudo/uk-open-banking-tech-overview-176632925
• API Onboardingにも仕様・ガイドラインを定めている
  • Dynamic Client Registration
  • Open Banking Directory
• FAPIとCIBAの上に、Read/Write DataのAPIがのっている
• FAPIの話
  • セキュアなOAuth Dance
    • お配りした謎の板ｗｗｗ
  • 登場人物は多いので、いろいろな視点で議論している
    • OpenID作ったひと、銀行、Authleteなどのベンダ
  • Fintech事業者と金融機関はMutual-TLS！
    • A銀行さん固有の暗号アルゴリズムで～というオレオレ実装ではない
• CIBAについて
  • 「CIBA見たことある人？あ、半分ぐらいいますね。じゃ話さなくっていいですかね？」笑い
  • CIBAじゃないやつ＝Redirect Flow
  • Decoupled Flow
    • 「CIBA Pay（ダッサ」のユースケース
• R/W Data APIの話
  • API設計でよくやる話がベースとしてまとまってる仕様
  • 特にsecurity & Access Controlがいい感じ
  • 例えばOAuthでいうScopeで「この取引だけ」にするには？
  • Intentで解決！
    • (QR決済もこれやっている気がする)
      • ワンタイムQR的な。もっと細かいのかなIntentは。
      • 取引内容を送って、それに対するIntentIDが帰ってくる、だった。
        • 「201 Createdで返ってくるのにグッと来るんですけど」ｗ
  • この”Intent”の標準化
    • これがないと、顧客体験がバラバラに
    • Monzoというチャレンジャーバンクはマジックリンクでログインできるらしい「えっ銀行でそれやるの？」ｗ
  • Customer Experience Guideline
  • OpenBankingのカスタマージャーニー＝TPPとASPSPの連携
    • 原則を定めている
    • 例）Browser based redirection - PIS
    • こういう表示をしてくださいね、というガイドを定めている！！
    • 例）App based redirection
• OB DirectoryとDynamic Client Registrationのはなし
  • OB Directoryの概念図。個々にやるとメッシュ構成になるので・・・・
    • （これ、日本にはないのか？？）
  • TPPの登録を手でやるのではなく、自動でやる
• 実装について
  • めんどうくさいところはAuthleteにやらせましょう！（笑い
  • FAPI認定、CIBA認定プログラムを取っている製品を使いましょう
• まとめ
  • R/W Data APIをFAPI/CIBAの上に実装
  • 顧客体験のガイドラインに沿う
• QA
  • FAPIでPublic Clientはなくなってるの？
    • ないよ（的な回答）
    • CIBAはその使用上、Confidential Client
  • FAQ.FAPIのヘッダは何を入れるの？リクエストボディに入れないのはなんで？
    • A.トラッキングに使っている。あとは、ユーザーのIPアドレスを入れていて、サードパーティがこんなIPで来てるけど大丈夫？って銀行に聞くのもある。

Appendix

• レポート本文はこちら https://www.openbanking.org.uk/wp-content/uploads/open-banking-report-150719.pdf
• 2014年のHMTレポートはこちら https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/382273/141202_API_Report_FINAL.PDF
• AISP/PISP の一覧はこちら https://www.openbanking.org.uk/customers/regulated-providers/
• CMAのレポート（の解説ブログ）はこちら https://moneyforward.com/mf_blog/20160812/cma/
• OBIEのカスタマーエクスペリエンスガイドライン https://www.openbanking.org.uk/wp-content/uploads/Customer-Experience-Guidelines.pdf

sli.doの質問アーカイブ

Taka
3:58 PM

0
FYI: x-fapi- で始まる HTTP ヘッダーは、FAPI Part 1 の 6.2.1, 6.2.2 で言及されてますね。6.2.1 clause 12 では、保護リソースエンドポイント（いわゆる API）は、x-fapi-interaction-id をログに書かなければならない、と言っています。
Anonymous
2:23 PM

4
METIのデータポータビリティ検討（2018年） https://www.kantei.go.jp/jp/singi/it2/detakatuyo_wg/dai1/siryou4-2.pdf p.15みると、CASSの話は、将来的に予定しているようにも見えるが、このあたり霞ヶ関はあまり最近は意識していないのでしょうか？
Anonymous
2:21 PM

2
マネフォの話を伺いたいんですが、昔のインバンのID/パスをマネフォアプリで聞く方式からOAuthで銀行サイトに飛ぶようになった時に、登録完了率って落ちましたか？ （銀行サイトだと画面のイケてなさとかあると思うんですが）
Anonymous
2:48 PM

2
API課金の問題は一向に解決しなさそうです。 当局と話している限りだと、どういった方向性に進むのでしょうか？
Anonymous
3:09 PM

2
マネフォ的には、各金融期間の独自OAuthを押し付けられて大変？そんなでもない？
Anonymous
3:16 PM

2
public client向けのFAPI対応がCIBAになりつつあるということでしょうか？(FAPI pt2ではあまりpublic clientの記載が明確に書かれていないようにみえます)
瀧
3:31 PM

2
工藤さんの資料 https://www.slideshare.net/tkudo/uk-open-banking-tech-overview-176632925
T
Taka
3:33 PM

2
CIBA 仕様で定義されているバックチャネル認証エンドポイントにアクセスできるのは confidential client だけなんですよね。そのため、仕様上、public client は CIBA を利用できません。 > Anonymous
K
Ken5
2:27 PM

1
EUにくる難民はオープンバンクのユーザーとしてカウントされてますか？その場合、彼らの口座開設時の本人確認はどのようにされてるのでしょう
Anonymous
2:48 PM

1
日本でCASSと同じことやると、メガ→ネットバンクへの口座流出が進みそうですね笑
Anonymous
9:39 AM

0
レポート本文はこちら https://www.openbanking.org.uk/wp-content/uploads/open-banking-report-150719.pdf
Anonymous
9:52 AM

0
2014年のHMTレポートはこちら https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/382273/141202_API_Report_FINAL.PDF
Anonymous
9:53 AM

0
AISP/PISP の一覧はこちら https://www.openbanking.org.uk/customers/regulated-providers/
Anonymous
10:44 AM

0
CMAのレポート（の解説ブログ）はこちら https://moneyforward.com/mf_blog/20160812/cma/
Anonymous
10:52 AM

0
OBIEのカスタマーエクスペリエンスガイドライン https://www.openbanking.org.uk/wp-content/uploads/Customer-Experience-Guidelines.pdf
Anonymous
2:52 PM

0
CASSについて、権力に潰される、とありましたが、CASSが現実的に日本で検討会のソジョウに乗るのは、どのくらいかかりますかね。そこの部分、どういう状態になったら、FSAや公取は動き始めますかね。銀行への公的資金注入やらFintech企業のサービスが市民権をしたときでしょうか。
Anonymous
2:58 PM

0
電代業者に起因する問題が起きた場合、規制がより厳しくなることはございますでしょうか？
Anonymous
3:37 PM

0
マネフォ的には日本のすでにオープンAPIを公開している各金融機関の認証認可プロセスは同じようなUXになってると感じますか？
Anonymous
3:43 PM

0
Fapiのヘッダーって基本的にどのような用途で使われますか？また、なんで、ポストデータ内に含めないかいいつも気になってます
K
Ken5
3:48 PM

0
今マネフォが欲しいなのは、OAuthなどより銀行側がチェックリストでチェックしたい項目がすでに記載されてるdirectoryだと思うんですよね
Anonymous
3:59 PM

0
FAPI Part 1, 6.2.1. Protected resources provisions https://openid.net/specs/openid-financial-api-part-1-ID2.html#protected-resources-provisions
Anonymous
4:03 PM

0
intent内容を代行が表示して、銀行はあんま出さないというUX標準化って、 intent内容と表示を変えることが代行業は（機能的には）可能だと思っていて、銀行としては本当は代行業を全面的に信頼してはいけないとおもうのですが、 そのあたりの信頼関係ってどうなるんでしょうね？ （いつかTwitterｔかでｗ）