欧州委員会は、改訂された決済サービス指令（PSD2）に基づいて、強力な顧客認証と共通の安全な通信に関する最終的な規制技術基準（RTS）を公開しました。この最終バージョンでは、委員会はスクリーンスクレイピング ^[1] RTSが発効すると、欧州銀行監督局（EBA）やその他のセキュリティに関する利害関係者からの懸念に留意し、許可されなくなります。ただし、アカウントサービス決済サービスプロバイダー（ASPSP）は、サードパーティプロバイダー（TPP）との通信セッション中に専用インターフェースが利用できない場合やパフォーマンスが低下した場合に備えて、緊急対策を講じる必要があります。

新しい緊急対策

更新された規則の下で、ASPSPは、専用かどうかにかかわらず、すべての通信インターフェースの技術仕様を公開し、RTSの申請日の少なくとも6か月前に、決済サービスプロバイダーを有効にする機能を提供する必要があります。インターフェイスをテストし、適切に機能することを確認します。専用インターフェースの場合、ASPSPは、透過的な主要業績評価指標とサービスレベルの目標も定義する必要があります。これらは、ASPSPの顧客が使用するオンライン決済および銀行プラットフォームに設定されているものと少なくとも同じくらい厳格である必要があります。 National Competent Authority（NCA）は、専用インターフェースのパフォーマンスをストレステストおよび監視します。

上記に加えて、ASPSPは、いわゆるフォールバックメカニズムを導入する必要があります。これは、専用インターフェイスが30秒以上使用できない場合、または設定された一般的な運用要件を満たしていない場合に、TPPが信頼できるメカニズムです。 RTSで。

RTSの以前のドラフトと同様に、このようなフォールバックメカニズムは、支払い開始およびアカウント情報サービスのための安全な通信チャネルとしてASPSPのユーザー向けインターフェイスを開くことで構成されます。ただし、重要なことに、委員会は、フォールバックオプションを使用する場合、TPPはASPSPによって識別できることを確認する必要があることを指定しました。消費者が同意したデータのみにアクセス、保存、または処理するように必要な措置を講じます。アクセスしたデータをログに記録し、要求された場合は関連するNCAが利用できるようにします。要求に応じて、インターフェースの使用をNCAに正当化します。

NCAは、EBAと協議して、専用の通信インターフェイスが技術標準で定義された品質基準を満たしている場合、個々のASPSPがそのようなフォールバックメカニズムを導入することを免除することができます。 EBAは、専用インターフェースの品質の評価が加盟国全体で一貫していることを保証する責任があります。専用の通信インターフェースが2週間以上連続して品質基準を満たさなくなった場合、NCAによって免除が取り消されます。この場合、フォールバックメカニズムは、ASPSPによって、可能な限り最短の時間枠で、2か月以内に導入する必要があります。

セキュリティと競争のバランスをとる

委員会は当初、2月初めに、スクリーンスクレイピングの使用を禁止するというEBAの提案を拒否していました。 FinTechセクターが共有する懸念は、銀行が顧客向けのインターフェースを介して独自の支払いサービスを提供できる一方で、TPPは専用のインターフェースに障害が発生した場合に、TPPが不利になるということでした。専用インターフェースの機能が復元されるまで、そうすることはできません。

一方、緊急対策としてスクリーンスクレイピングを無制限に使用できるようにすると、ASPSPと顧客に重大なセキュリティリスクが発生します。これは、TPPがオンラインバンキングプラットフォームで顧客が利用できるあらゆる情報に、まるでログインしているかのようにアクセスできるため、ASPSPがTPPを識別し、それに沿って許可されるデータにのみアクセスを制限することが非常に困難または不可能になるためです。顧客の同意。

したがって、委員会は、消費者を保護し、決済サービスを安全に保つという、TPPとASPSPの間の公平な競争の場を確保する必要性を調整できる標準を開発するといううらやましい任務を負っていました。最終的なRTSは、本質的に、フォールバックメカニズムとしてスクリーンスクレイピングのより抑制されたバージョンを導入することによってそうしようとします。これは、TPPに責任が課せられ、NCAにPSD2ルールに沿って動作していることを証明できるようにするものです。 、および顧客から得られた同意。

理論と実践

原則として、この妥協はセキュリティと競争の間のより良いバランスを達成しますが、実際には、新しい緊急対策は、企業とNCAの両方に実装するのはやや非現実的であることがわかるかもしれません。また、意図しない結果を招く可能性もあります。

コストの増加、複雑さ、断片化

EBAが以前に観察したように、フォールバックメカニズムを導入すると、複数の接続ソリューションを設計および維持する必要があるため、ASPSPとTPPの両方のコストが増加する可能性があります。特に、TPPは、専用インターフェイスとユーザー向けインターフェイスの両方について、接続するASPSPごとに異なる接続ソリューションを構築および維持する必要があります。また、TPPは自身を識別する責任がありますが、ASPSPは、これを可能にするために、ユーザー向けのインターフェイスをアップグレードする必要があります。 ASPSPは、NCAによる免税が認められるか、または急な通知で取り消されないかを確認できないため、予防策としてフォールバックメカニズムを導入する必要がある場合があります。

これにより、一部のASPSPが専用インターフェイスを開発する意欲を失い、標準化されたアプリケーションプログラミングインターフェイスの開発が遅くなり、市場での相互運用性と競争が低下する可能性があります。このリスクは、技術仕様を公開し、RTSの適用日の少なくとも6か月前にPSPのテスト施設を提供するという要件によってさらに増大する可能性があります。これにより、ASPSPが安全な通信ソリューションを開発する時間を3分の1に短縮できます。

最後に、ストレステスト、免除管理、専用インターフェースのパフォーマンスの監視など、これらの緊急対策を監視および実施することも、NCAおよびEBAに重大な運用上の課題をもたらし、すでに制約されているリソースにさらに負担をかけます。

次のステップ

RTSは、欧州連合官報に掲載されてから18か月後に適用されます。最終テキストを精査するために3か月の猶予がある欧州理事会と議会の合意に従い、RTSは現在2019年9月頃に適用される予定です。

[1]自分を特定せずに、コンピュータープログラムを使用してWebサイトからデータをコピーするアクション。

この投稿は、英国のデロイトのリスクアドバイザリーチームとEMEA規制戦略センターによって作成され、デロイトの金融サービス英国のブログで最初に公開されました。