紫色の六角形のパターン
詳細を見る

PSD2規制とコンプライアンスについて知っておくべきこと

電子決済市場に関しては、金融機関と決済プロバイダーには多くの共通点があります。 最も注目すべきは、両者がオンライン取引の新たな波を可能にしており、その結果、厳しい規制の対象となっていることです。 これは特に欧州で顕著で、同地域の欧州決済サービス指令は、強力な認証、オープンバンキング、およびコンプライアンスに対する基準を引き上げています。

PSD2準拠の基本、重要な理由、そして将来のために今何ができるかをご確認ください。

PSD2(欧州決済サービス指令)とは

PSD2とは、欧州決済サービス指令の第2版を意味します。 これは欧州連合(EU)に限定して適用されるものですが、銀行、決済処理業者、および同様の企業の世界的な運営方法を変える可能性を秘めた、画期的な決済サービス規制であると広く考えられています。

2007年、欧州委員会は、2つの主な理由から最初の欧州決済サービス指令を制定しました:

  1. より統合された、競争力のある、効率的な欧州決済市場を構築する
  2. デジタル時代の決済をより安全かつ確実にする

言い換えれば、PSD1は、非伝統的な金融機関の参加を促すことで、すべての金融プレーヤーの競争条件を公平にすることを目的としていました。 これにより、フィンテック企業や第三者決済プロバイダーなどの新規企業が、より容易に市場に参入できるようになりました。 また、金融機関を単一の規制枠組のもとに統合し、すべての金融機関に共通のルールを確立しました。

PSD1はまた、手数料や負債、消費者の権利をめぐる情報についても、より透明性を高め、一般に公開しました。 また、新規の決済プロバイダーが市場に参入しやすくなったため、この規制は消費者に選択の自由を与えました。

しかし、時が経つにつれ、EUはPSD1の更新と改訂の必要性を認識するようになりました。 2013年、EUは技術的変化と安全保障上の懸念の高まりを理由に、これを正式に決定しました。 その3年後、EU加盟国はPSD2を可決し、2018年の発効予定としました。 しかし、更新されたPSD2規制の一部の要素は段階的に導入されたため、金融機関は適応するための時間を得ることができました。

PSD2の主な目的は、繰り返しになりますが、欧州の決済業界全体のイノベーション、競争、セキュリティをさらに促進することです。

PSD2コンプライアンスの対象者は

PSD2は、すべてのEU加盟国の消費者を保護することを目的としています。 そのため、ペイメントプロセッサー、銀行、証券会社、フィンテック企業など、EUの金融機関にフォーカスしています。

しかし、欧州域外に本社を置く企業であっても、欧州域内に顧客やユーザーを抱えている場合は、PSD2コンプライアンス要件の対象となる可能性があります。 この場合、企業は、現在EUで事業を展開しているか今後EUで事業を展開する予定であれば、PSD2規制に準拠しなければなりません。

PSD2の要件を満たさない金融機関には、年間収益の最大4%の罰金が課される可能性があります。

PSD2コンプライアンスを理解する

PSD2の要件を満たす前に、まず、PSD2が欧州連合(EU)全体のバンキングをどのように根本的に変えたかを理解する必要があります。最も顕著なのは、「オープンバンキング 」の導入です。

オープン・バンキングとは

オープンバンキングとは、第三者の金融サービスプロバイダーが、アプリケーションプログラミングインターフェース(API)を通じて、銀行や他の金融機関の消費者向けバンキング、取引、その他のデータへのオープンなアクセスを獲得するプロセスのことです。 簡単に言うと、2者間で金融情報を安全に共有することです。 このコンセプトは以前からありましたが、PSD2が欧州全土での導入の先駆けとなりました。

オープンバンキングの導入は、市場における競争、透明性、安全性を高めるというPSD2の目標達成に貢献しました。 その結果、2つの新しいタイプの決済事業者が規制の対象となりました:

  1. 決済指図伝達サービス事業者(PISP)はデジタルバンキングを利用したオンライン決済を可能にします。 つまり、クレジットカードやデビットカードを使って第三者のサービスを通してではなく、銀行口座から直接支払いができるようになります。 「決済指図伝達」という用語は、PISPが取引を促進するインターフェースを通じて2つのアカウントを橋渡しするために使用するプロセスを指します。
  2. アカウント情報サービスプロバイダー(AISP) は顧客の銀行口座から口座情報を集めて、一箇所に保管することを容易にします。 これにより、消費者は自分の財政状況の全容を把握し、出費を簡単に分析することができます。 例えば、予算管理アプリや価格比較ウェブサイトは、これらのデータを一元管理しているため、アカウント情報サービスプロバイダーに該当するかもしれません。

PSD2規制では、これら2者は消費者の同意を求めなければならず、中央銀行によって規制されます。

PSD2は伝統的な金融機関にどのような影響を与えるのか

銀行は現在、顧客の許可がある限り、AISPやPISPといった第三者プロバイダー(TPP)に顧客口座へのアクセスを開放することが義務付けられています。 PSD2コンプライアンスのための主な技術的要件は、TPPが口座情報にアクセスするために必要なオープンAPIを作成することです。

さらに、消費者は決済サービスに関してより多くの選択肢を持つようになりました。 つまり、銀行はより厳しい競争を強いられることになります。

強力な消費者認証とは

改正後の欧州決済サービス指令では、強固な顧客認証(SCA)の概念も導入されています。 SCAの要件によると、消費者はすべての支払いで少なくとも2種類の多要素認証(MFA)を使用しなければなりません。 これらの方法は3つのカテゴリーに分類されます:

  1. ナレッジ: パスワードなど、顧客がすでに知っているもの。
  2. 固有性: 指紋や顔認識など、ユーザーの一部であるもの。
  3. 所有物: ワンタイムコードなど、相手が持っているもの、あるいは送ることができるもの。

SCAの要件は、消費者保護を強化するためのものです。 ユーザーとセンシティブな金融情報との間にさらなるセーフガードを存在させることで、強力な認証は、悪質な行為者による詐欺行為と逃亡をより困難にします。

PSD2はどう変わるのか

欧州委員会は、欧州決済サービス指令の継続的な改善を目指し、2022年に同規制を再評価することを決定しました。 評価では、PSD2がその目的を達成する上で、限定的な成功に終わったと結論づけられました。 強力な消費者認証の導入は不正行為の減少に大きな影響を与えましたが、新たな課題も浮上しています。

欧州委員会が報告した具体的な文言を紹介します:

「PSD2では対応できない新しいタイプの詐欺が出現している。 例えば、PSD3はPSD2を超えて、「なりすまし」(なりすまし詐欺)のような新しいタイプの詐欺に取り組むことになる。この詐欺では、取引を承認するために顧客から与えられた同意、例えば銀行の電話番号や電子メールアドレスを使用するなどの操作技術が詐欺の対象となるため、承認されていない取引と承認された取引の区別があいまいになる。 SCAのような防止メカニズムは、これまでこのような不正を防ぐには不十分だった。」

セキュリティ関連の懸念のほかに、欧州委員会は、決済サービスプロバイダー間の公平な競争条件がまだ存在することも明らかにしました。 そこで欧州委員会は、欧州銀行監督機構からの助言を得て、以下のような改正案を提出することを決定しました:

  • 不正防止戦略の強化
  • ノンバンクの決済サービスプロバイダーがEUのすべての決済システムにアクセスできるようにする
  • オープンバンキングの機能改善
  • 消費者情報と権利のさらなる改善
  • 現金の利用可能性を高める
  • 電子マネーと決済サービスに適用される法的枠組みの統合

PSD3コンプライアンス要件がいつ最終決定されるのか、明確なスケジュールはまだ決まっていません。 ただし、改正規則が2024年後半までに完成するとして、EU加盟国には18カ月の移行期間が設けられます。 これは、PSD3が2026年末までに発効する可能性を示唆しています。

PSD2コンプライアンス要件を満たす方法

どのように変化しようとも、金融機関や決済プロバイダーにとってPSDコンプライアンスは譲れないものであることに変わりはありません。 そのため、特にセキュリティに関しては、組織の将来を見据え、PSD3による変化に先んじるために必要な措置を講じることが重要です。

良いニュースは? SCAの要件を超え、消費者に可能な限り高いレベルの保証を提供するために、多くのソリューションが利用可能です。 例えば、Entrustのようなパートナーがいれば、以下のような機能を活用することができます:

  1. フィッシング耐性のあるMFA: リスクベース認証、証明書ベース認証、ステップアップ適応認証など、強固な認証戦略を展開します。 シングルサインオン(SSO)と組み合わせることで、ユーザーはシームレスかつ安全に決済サービスにアクセスできます。 さらに、SSOはパスワード疲れと再利用を防ぐので、あなた(とあなたの消費者)は守られ続けます。
  2. デジタル証明書Qualified Website Authentication Certificate(QWAC)は、PSD2に準拠して、機密データを暗号化し、決済サービスプロバイダーと金融機関を識別します。 EntrustのQWACは、無制限の再発行とサーバライセンスを特徴としており、追加費用なしで証明書の再発行とインストールが可能です。
  3. トランザクションリスク分析: トランザクション監視とリスク分析では、物理的なカードを使わないトランザクションについて、デバイスレピュテーション、適応型認証、3DSコンプライアンスが考慮されます。
  4. 身元証明: 本人確認を瞬時に行い、顧客体験を向上させ、離脱率を下げます。 EntrustのID確認ソリューションは、何千もの政府発行文書と多層のステップアップセキュリティをサポートしています。
  5. ハードウェアセキュリティモジュール(HSM)Entrust nShield® HSM は、署名鍵と暗号鍵を生成および保存し、認証された安全なデバイスからの暗号オペレーションを容易にします。これにより、強力な信頼の基点で保護されていることを認識しながら、証明書を発行し、データを暗号化することができます。

Entrustで取引を安全に

PSD2規制は、導入が困難であるのと同様に重要です。 しかし、EntrustのPSD2およびオープンバンキングソリューションなら、コンプライアンスを容易にし、規模に応じた要件を満たすことができます。

MFAやIDプルーフからデジタル証明書やHSMまで、当社はお客様に究極の保証を提供するお手伝いをいたします。

詳細については、PSD2に関する最新のホワイトペーパーをご確認いただき、当社のソリューションがコンプライアンスの簡素化にどのように役立つかをご覧ください。

ダウンロード