ブレット・マクダウェル(Brett McDowell)氏、FIDOアライアンス事務局長
スクリーンスクレイピングは、フォールバックオプションとしても、決済サービス指令2(PSD2)の下で許可されるべきですか?
? FIDOアライアンスは、欧州委員会(EC)と欧州銀行監督局(EBA)の間で、このテーマに関する議論を注視しています。 強力な顧客認証(SCA)に関する規制技術基準(RTS) PSD2の下。 私は先週、欧州委員会と欧州議会に宛てた書簡で、この質問に対するFIDOアライアンスの回答を詳述したが、その要点を以下に要約する(書簡の全文は以下で読むことができる)。
ここ
)。
「スクリーンスクレイピング」とは、サードパーティの決済開始サービスプロバイダー(PISP)とアカウント情報サービスプロバイダー(AISP)が、クライアントに代わって顧客のユーザー名とパスワードの資格情報を使用して銀行口座にアクセスする慣行です。 この行為は、EBAの最終草案RTSで禁止されていた。 しかし、いくつかのフィンテック企業が名乗り出て、銀行が委任アクセス制御のより新しく安全な方法を実装する準備ができていないと報告しています。 その結果、 ECは現在、EBAに対し、アプリケーション・プログラミング・インターフェース(API)など、より安全な方法への 「フォールバック・オプション」としてスクリーン・スクレイピングを企業が使用できるようにするよう求め
ています。
FIDOアライアンスは、顧客パスワードの共有と使用を伴うため、スクリーンスクレイピングの推奨には主に3つの問題があると考えています。
- PSD2で求められているセキュリティ要件を満たしていません。
- 消費者をリスクにさらすことになります。
- サードパーティが「消費者であるかのようにログイン」できるアプローチは、すべての関係者を危険にさらすことになります。
ECが要求するスクリーンスクレイピングアプローチを、PSD2で求められるセキュリティ強化のレベルまで実装する方法は見当たりません。 消費者が自分の銀行口座へのアクセスを委任するには、強力な顧客認証資格情報で保護されたAPIを使用する、はるかに安全な方法があります。 これらのAPIソリューションは、OAuth 2.0やOpenID Connect(OIDC)などの実績のあるグローバル標準に基づいており、セキュリティだけでなくプライバシーも向上するという利点もあります。 これにより、消費者は自分の銀行口座へのアクセスを許可し、一部の詳細を共有できますが、他の詳細情報は共有できません。 APIベースのソリューションは、強力な認証のためにFIDO標準と組み合わせることで、フォームにコードを入力するよりも安全で使いやすいデバイスベースの多要素認証のメリットを得ることができます。
銀行がPSD2の対応を進めるまでの間、スクリーンスクレイピングなどの「フォールバックオプション」をサポートする必要があるとECが考えている限り、RTS自体ではなく、RTSに対するポリシーの適用除外を通じて対処した方がよいと示唆しています。 RTSは、その性質上、今後何年にもわたって市場を導く重要な技術標準です。 そのため、RTSは、PSD2の下でSCAと共通かつ安全な通信に高い評価を与えることに重点を置くべきであり、消費者保護政策におけるこの歴史的な進歩の下で、利害関係者が責任を回避する方法を明確に示すべきではありません。 RTS自体に「フォールバックオプション」を含めると、そのメッセージが希薄になり、PSD2の意図とSCAの要件が損なわれ、消費者のリスクが高まります。
欧州委員会と欧州議会に宛てたブレット氏の書簡全文を読むには、
こちらをクリックしてください
。
