同意を要する主な項目
データ・ポータビリティとAPI
GDPRでは消費者にデータ・ポータビリティ権が与えられ、銀行に提供したデータを、構造化データ、一般利用、機械読み取りの形式でAISPやPISPに移すことができるようにしています。
PSD2では特定のテクノロジーを優位に扱っているわけではありませんが、その規制技術基準では、AISPやPISPとのデータの共有にアプリケーション・プログラミング・インタフェース(API)の利用を推奨しています。APIを使えば、既存の銀行とAISPやPISPとの間のやり取りが標準化されますが、欧州でそれが導入されるかどうかはその基準で合意されるかどうかにかかっています。
それに代わるものとして、スクリーン・スクレイピングを用いれば、AISPやPISPは自身の認証情報を用いてPSUの銀行口座にアクセスでき、口座にアクセスしているのがPSUなのか第三者なのかを銀行が特定することはできなくなります。しかし、この方法はAPIよりもアクセス制限が少なく、セキュリティ上の懸念が生じるため、銀行にとってはAPIのほうが将来のアプローチとしては望ましいものになっています。
サイレント・パーティー・データ
金融機関が共有する消費者の取引データには、第三者との共有に明示的に同意していないPSUの情報が含まれる場合もあります。これが「サイレント・パーティー・データ」と呼ばれるものです。
それはどう働くのか考えてみましょう。

主なアクションポイント
金融機関はPSD2が開いたイノベーションの道をGDPRによって閉ざすことがないようにしなければなりません。むしろ、両法令を確実に順守した新サービスや新商品を導入すべきです。主なアクションポイントには以下のようなものがあります。
- 自動意思決定に注意する:GDPRではプロファイリング、つまり、消費者データを自動処理して、個人の特性を特定し評価することを禁じています。銀行は、クレジットスコア(信用度採点)や支出評価などの付加価値サービスを提供するため、オートメーションの利用を高めています。しかし、融資を断る場合など、より重大な判断については、その判断が明示的な同意や、契約ないし法的義務の順守などの合法的な理由に基づいている場合のみ、個人データの自動処理をベースにすることができます。さらにGDPRでは、金融機関は消費者が求めれば、あらゆる自動意思決定を正当化することが可能になるに違いありません。
- データ保護の影響評価を実施する:AISPやPISPであるためには本質的に大量の個人データの処理が必要になるため、データ保護の影響評価が必要になる可能性が非常に高くなります。評価は金融データを処理する前に実施すべきであり、データ処理に伴うリスクのマッピングやリスクの軽減措置の明確化に役立つものでなければなりません。
- 新サービスにデータ保護を組み込む:AISPおよびPISPは、設計および初期の原則の両方においてデータ保護に取り組まなければなりません。これらの原則により、自社のサービスがデータ保護に与える影響を事前に把握した上で、GDPRを順守し、データ処理を最小限にするため、適切な措置を講じなければなりません。
- データの利用に関する情報の消費者への提供に備える:データ主体には、自分の情報が処理されているかどうかを知り、処理されている場合にはそのコピーを入手する権利があります。サービス提供者はサービスの設計段階においてこれらの権利を念頭に置き、要請に応じて適切な情報を提供できるようにする必要があります。PSUからの要請に正当な理由がなかったり、過剰だったりした場合は、AISPやPISPは合理的な料金を請求することができます。
- 要請に応じてすべての消費者データを削除できることを確認する:消費者には、サービス提供者が保有するすべての個人情報の適時の削除を要請する権利があります。AISPやPISPにとっては、個人データ処理の根拠となっている明示的な合意をPSUが取り下げた場合にとりわけ重要になるポイントです。サービス提供者はサービスの設計段階においてこれらの権利を念頭に置き、要請に応じて個人データを削除できるようにする必要があります。
義務から機会へ
PSD2は、銀行に対して決済セクターにおけるかつてない機会を提供します。それは主として口座ルールへのアクセスを理由にしています。新商品開発や商品内容の変更時にはプライバシーに関するGDPR規則を考慮する必要がありますが、これはしっかりとしたプランニングと十分な専門性があれば切り抜けることができます。PSD2とGDPRのバランスを取りつつ適切に導入すれば、銀行は消費者保護や消費者向けサービスを向上させ、コンプライアンスの枠を超えて新しい成長機会をつかむことができるのです。
本記事は、ニュースレター「#payments」第22号に掲載されています。共同執筆者は、EY Global Data Protection & Privacy Solution OwnerのTony de Bos、およびEY Financial Services AdvisoryのFriso Dikkersです。
サマリー
PSD2は個人データへのアクセスを可能にすることを目的としているのに対し、GDPRは個人データの保護を目的としています。PSD2とGDPRのバランスを取りつつ適切に導入すれば、銀行は消費者保護や消費者向けサービスを向上させ、コンプライアンスの枠を超えて新しい成長機会をつかむことができるのです。