5 分 2019.02.13
ヨットの帆を上げるEYの男性

銀行がGDPRとPSD2のバランスを取るには

執筆者

Jeroen van der Kroft

Ernst & Young - The Netherlands Financial Services Advisory Associate Partner

Transformation leader helping clients transform and sustain improved business performance.

Pieter Kuijsten

Ernst & Young – The Netherlands Financial Services Advisory Manager

Passionate about innovative technologies. Eager to take others along on the journey to disruption in the financial services industry.

5 分 2019.02.13

リソースを表示

第2次決済サービス指令(PSD2)が開いたイノベーションの道を一般データ保護規則(GDPR)によって閉ざされないようにするために、金融機関にとって重要な行動とは何か。

本記事は、 ニュースレター「#payments」第22号に掲載されています。

欧州のPSD2が銀行セクターを大きく変えています。同時に、GDPRが企業によるデータ保護に大きな影響を及ぼしています。金融機関はこの両方の規制を順守しようとする際に、イノベーションと保護のバランスをどのように取ればいいでしょうか。

アプローチは相反するか

PSD2とGDPRはともに、消費者データに焦点を当てた包括的な法令として2018年に導入されました。ただし、そのような類似点こそあれ、この二つの法令はまったく異なる視点で作られました。

PSD2は個人データへのアクセスを可能にすることを目的としています。口座へのアクセスについて規定することで、消費者、つまりは決済サービスユーザー(PSU)の金融データへのアクセスが可能になり、第三者が決済市場に参入して新しい口座情報サービスや決済指図伝達サービスを提供できるようになりました。こういったサービスは、それぞれ口座情報サービス提供者(AISP)や決済指図伝達サービス提供者(PISP)によって提供されます。

一方で、GDPRは個人データの保護を目的とし、自分のデータがどこで利用されているかを消費者が知り、その利用について異議を申し立てることを容易にしています。

PSD2は銀行市場を開放し、さまざまな商品やサービスにおける競争やイノベーションを推進するものである一方、こういった新商品やサービスにおいて個人データにアクセスするにはGDPRを順守しなければなりません。違反行為には多額の罰金が科せられ、風評被害が生じます。今のところ従来の銀行の多くは、大規模なイノベーション計画よりも消費者データの保護に優先的に取り組んでいます。しかし、開かれた市場に新しいプレーヤーが参入し始めるにつれ、単なる法令順守にとどまるのか、それともPSD2によって与えられた競争優位性獲得の機会を活用するのかの選択を迫られています。

processing of PSUs data transfer requests

すべては同意に至る

目的は異なるものの、PSD2とGDPRはともに同意するかどうかにかかっている。

GDPRでは、金融機関は消費者データを同意なしで処理できないというルールがあり、その同意は特定の条件の下でしか得られません。PSD2でも消費者へのサービス提供には「明示的な同意」が必要であると定められていますが、その概念は定義されておらず、GDPRと同じ意味を持つとは記載されていません。この同意に関する明確さの欠如が、決済サービス提供者が両法令の矛盾をうまく調整して導入しようとする際の課題になっています。以下の表は主要な違いを要約したものです。

psd2 vs. gdpr the consent element

同意を要する主な項目

データ・ポータビリティとAPI

GDPRでは消費者にデータ・ポータビリティ権が与えられ、銀行に提供したデータを、構造化データ、一般利用、機械読み取りの形式でAISPやPISPに移すことができるようにしています。

PSD2では特定のテクノロジーを優位に扱っているわけではありませんが、その規制技術基準では、AISPやPISPとのデータの共有にアプリケーション・プログラミング・インタフェース(API)の利用を推奨しています。APIを使えば、既存の銀行とAISPやPISPとの間のやり取りが標準化されますが、欧州でそれが導入されるかどうかはその基準で合意されるかどうかにかかっています。

それに代わるものとして、スクリーン・スクレイピングを用いれば、AISPやPISPは自身の認証情報を用いてPSUの銀行口座にアクセスでき、口座にアクセスしているのがPSUなのか第三者なのかを銀行が特定することはできなくなります。しかし、この方法はAPIよりもアクセス制限が少なく、セキュリティ上の懸念が生じるため、銀行にとってはAPIのほうが将来のアプローチとしては望ましいものになっています。

サイレント・パーティー・データ

金融機関が共有する消費者の取引データには、第三者との共有に明示的に同意していないPSUの情報が含まれる場合もあります。これが「サイレント・パーティー・データ」と呼ばれるものです。

それはどう働くのか考えてみましょう。

psd2 payment processing scenario

主なアクションポイント

金融機関はPSD2が開いたイノベーションの道をGDPRによって閉ざすことがないようにしなければなりません。むしろ、両法令を確実に順守した新サービスや新商品を導入すべきです。主なアクションポイントには以下のようなものがあります。

  • 自動意思決定に注意する:GDPRではプロファイリング、つまり、消費者データを自動処理して、個人の特性を特定し評価することを禁じています。銀行は、クレジットスコア(信用度採点)や支出評価などの付加価値サービスを提供するため、オートメーションの利用を高めています。しかし、融資を断る場合など、より重大な判断については、その判断が明示的な同意や、契約ないし法的義務の順守などの合法的な理由に基づいている場合のみ、個人データの自動処理をベースにすることができます。さらにGDPRでは、金融機関は消費者が求めれば、あらゆる自動意思決定を正当化することが可能になるに違いありません。
  • データ保護の影響評価を実施する:AISPやPISPであるためには本質的に大量の個人データの処理が必要になるため、データ保護の影響評価が必要になる可能性が非常に高くなります。評価は金融データを処理する前に実施すべきであり、データ処理に伴うリスクのマッピングやリスクの軽減措置の明確化に役立つものでなければなりません。
  • 新サービスにデータ保護を組み込む:AISPおよびPISPは、設計および初期の原則の両方においてデータ保護に取り組まなければなりません。これらの原則により、自社のサービスがデータ保護に与える影響を事前に把握した上で、GDPRを順守し、データ処理を最小限にするため、適切な措置を講じなければなりません。
  • データの利用に関する情報の消費者への提供に備える:データ主体には、自分の情報が処理されているかどうかを知り、処理されている場合にはそのコピーを入手する権利があります。サービス提供者はサービスの設計段階においてこれらの権利を念頭に置き、要請に応じて適切な情報を提供できるようにする必要があります。PSUからの要請に正当な理由がなかったり、過剰だったりした場合は、AISPやPISPは合理的な料金を請求することができます。
  • 要請に応じてすべての消費者データを削除できることを確認する:消費者には、サービス提供者が保有するすべての個人情報の適時の削除を要請する権利があります。AISPやPISPにとっては、個人データ処理の根拠となっている明示的な合意をPSUが取り下げた場合にとりわけ重要になるポイントです。サービス提供者はサービスの設計段階においてこれらの権利を念頭に置き、要請に応じて個人データを削除できるようにする必要があります。

義務から機会へ

PSD2は、銀行に対して決済セクターにおけるかつてない機会を提供します。それは主として口座ルールへのアクセスを理由にしています。新商品開発や商品内容の変更時にはプライバシーに関するGDPR規則を考慮する必要がありますが、これはしっかりとしたプランニングと十分な専門性があれば切り抜けることができます。PSD2とGDPRのバランスを取りつつ適切に導入すれば、銀行は消費者保護や消費者向けサービスを向上させ、コンプライアンスの枠を超えて新しい成長機会をつかむことができるのです。

本記事は、ニュースレター「#payments」第22号に掲載されています。共同執筆者は、EY Global Data Protection & Privacy Solution OwnerのTony de Bos、およびEY Financial Services AdvisoryのFriso Dikkersです。 

 

サマリー

PSD2は個人データへのアクセスを可能にすることを目的としているのに対し、GDPRは個人データの保護を目的としています。PSD2とGDPRのバランスを取りつつ適切に導入すれば、銀行は消費者保護や消費者向けサービスを向上させコンプライアンスの枠を超えて新しい成長機会をつかむことができるのです。

この記事について

執筆者

Jeroen van der Kroft

Ernst & Young - The Netherlands Financial Services Advisory Associate Partner

Transformation leader helping clients transform and sustain improved business performance.

Pieter Kuijsten

Ernst & Young – The Netherlands Financial Services Advisory Manager

Passionate about innovative technologies. Eager to take others along on the journey to disruption in the financial services industry.