2018.4.13

経産省、クレジットカードデータ利用のAPIガイドラインを策定

  • このエントリーをはてなブックマークに追加

経済産業省はこのほど、「キャッシュレス・ビジョン」と「クレジットカードデータ利用に係るAPIガイドライン」を策定した。

 

経産省「キャッシュレス・ビジョン」から。

 

API仕様・API連携する事業者のセキュリティ・利用者保護の原則などをまとめる

 同省では昨年3月、クレジットカード会社のAPI連携促進に向けた具体策などを検討する「クレジットカードデータ利用に係るAPI連携に関する検討会」を創設。11月から近年の支払い手段の多様化を踏まえて検討対象を拡大し、キャッシュレス推進のための課題と今後の方向性について議論してきた。同ガイドラインはその内容をまとめたもの。

 

 「キャッシュレス・ビジョン」では、世界のキャッシュレス動向、日本のキャッシュレスの現状などに触れた上で、日本の現状を踏まえた対応の方向性や具体的な方策(案)を示している。「クレジットカードデータ利用に係るAPIガイドライン」では、API仕様の標準化、セキュリティ対策と利用者保護対策、関係法規制などについて説明している。

 

 日本では、盗難の少なさや治安の良さ、現金に対する高い信頼、ATMの利便性などを背景に、海外に比べてキャッシュレス化が遅れている。また、実店舗などでもキャッシュレス支払いにかかるコストが店舗側に掛かることなどから、キャッシュレス化に踏み切れない現状がある。そこで、同検討会ではキャッシュレス支払導入の障害となっている“ボトルネック”について解消策を提案。低額支払い、小規模店舗での新しい手数料モデルの整備などを具体案として挙げた。

 

 他にも、消費者に対する利便性向上の拡大(消費者の抱く不安感の除去・キャッシュレス支払の優遇措置ほか)、支払サービス事業者のビジネスモデル変革を後押しする環境整備(支払手数料のあり方の検討、本人確認/認証に関する仕組みの整備ほか)、新産業の創造(データ利活用によるビジネスモデルの促進ほか)などを提示している。

 

 クレジットカードデータ利用については、APIによるクレジットカード会社とFinTech企業などとの連携が重要な鍵を握っているとして、API連携で推奨されるAPI仕様や、API連携を行う当事者が守るべきセキュリティ、利用者保護の原則などをガイドラインとして取りまとめた。

 

 このうち、APIの開発原則については、(1)API接続先目線を意識した分かりやすくシンプルな設計・記述とすること、(2)APIの種類に応じた適切なセキュリティレベルを確保すること、(3)デファクトスタンダードや諸外国のAPI標準・国際標準規格との整合性を意識すること、などを挙げている。

 

 また、セキュリティ対策としては、API接続先に対して(1)ウィルス対策ソフトの導入、(2)機密性の高い情報(API接続先のID/PW・クライアント証明書・トークンなど)の暗号化、(3)ファイアーウォールなどのサイバー攻撃に対する多層防御の導入、(4)サーバ変更監視(改ざん検知)、(5)ネットワーク監視、(6)公開サーバ脆弱性対策、(6)API実行ログ(ユーザー・操作・結果など)取得・保管、(7)情報喪失等に備えたバックアップ、などを求めている。

 

キャッシュレス・ビジョン

 

クレジットカードデータ利用に係るガイドライン

 

関連記事