決済サービス指令2（PSD2）の概要

決済サービス指令2（PSD2）は、欧州連合（EU）によって制定された法律で、企業と消費者が国境を越えて支払いを管理する方法を変革しました。これは、EU全体でより安全で、費用対効果が高く、革新的な支払いサービスを創出することを目指した欧州委員会のデジタル単一市場のビジョンの重要な成果です。

PSD2、または第2次決済サービス指令は、従来の銀行がユーザーデータに対して持っていた独占を根本的に解体します。これは、企業や個人消費者を含む銀行の顧客が、第三者プロバイダーのサービスを利用して財務を管理できるようにすることで実現されます。この画期的な規制は、これらの第三者プロバイダーの運営を管理するための強固な法的枠組みを提供します。この構造の下で、第三者プロバイダーは、対応するユーザーがこのアクセスに明示的な同意を与えた場合に限り、銀行から直接ユーザーの財務データにアクセスすることが許可されます。

PSD2の重要性は、単にユーザーにデータの管理権を与えるだけにとどまりません。それはまた、新しい革新的な支払いおよびアカウントサービスの出現と普及の基盤を築きます。金融技術の進歩を通じて、この指令は急速に進化するデジタル支払いの環境における消費者保護の大幅な向上を目指しています。

全体として、PSD2は金融データの民主化、金融技術産業における競争と革新の促進、デジタル領域における消費者の権利と保護の強化を目指しています。

この記事では、PSD2の主要な要素、コンプライアンス要件、PCI DSSとの比較と対比などについて詳しく探ります。

PSD2の起源

PSD2は、2007年に制定された元の決済サービス指令（PSD）のアップグレード版です。初期の指令は、EU国内での「国内」支払いと同様に、国境を越えた支払いを簡単で効率的かつ安全にするための一連のルールと規制を確立しました。しかし、デジタル支払いの性質が絶えず進化し、新しい支払いサービスプロバイダー（PSP）が出現する中で、アップデートが必要とされ、2018年1月にPSD2が導入されました。

PSD2は、その発足以来、デジタル支払いの変化する状況に対応するためにさまざまな改訂を受けてきました。重要なマイルストーンは、2019年に採用された規制技術基準（RTS）であり、強力な顧客認証（SCA）と安全な通信のための具体的な要件を概説しました。この指令は、技術の進歩、フィンテック企業の台頭、顧客行動の変化に対応するために進化し続けています。

PSD2とPCI DSS：類似点と相違点

決済サービス指令2（PSD2）と決済カード業界データセキュリティ基準（PCI DSS）は、金融サービス業界における2つの重要な規制基準です。PSD2は、欧州連合によって導入された指令で、非銀行を含む支払い業界へのパンヨーロッパの競争と参加を増やし、消費者保護と支払いプロバイダーおよびユーザーの権利と義務を調和させることで、公平な競争の場を作り出すことを目的としています。対照的に、PCI DSSは、カード会員データに関する制御を強化することでクレジットカード詐欺を減少させることを目的とした、決済カード業界セキュリティ基準評議会によって管理される独自の情報セキュリティ基準です。

PSD2とPCI DSSの両方は、機密支払い情報の保護に焦点を当てています。PSD2は、電子支払いの開始と財務データの保護に関する厳格なセキュリティ要件を導入することで、電子取引の詐欺リスクを軽減し、消費者データの保護を強化します。同様に、PCI DSSの要件は、クレジットカード情報を処理、保存、または送信するすべての企業が安全な環境を維持することを保証し、カード会員データのための堅牢なセキュリティを提供します。

しかし、これらの共通の目標にもかかわらず、2つの規制には重要な違いがあります。PSD2は、銀行に対して支払いインフラストラクチャと顧客データを第三者に開放することを義務付け、新しいビジネスチャンスと競争を促進します。対照的に、PCI DSSはデータ共有を要求せず、詐欺やデータ侵害を防ぐためにカード会員データのセキュリティにのみ焦点を当てています。

規制コンプライアンスに関しては、支払い取引を扱う企業は、その性質や量に関係なく、PCI DSSに準拠する必要があります。これには、商人、金融機関、販売時点管理ベンダー、および支払い処理に関与するハードウェアおよびソフトウェア開発者が含まれます。一方、PSD2は、銀行、建物協会、電子マネー機関、およびアカウント情報サービスプロバイダーや支払い開始プロバイダーなどの第三者サービスプロバイダーを含む、欧州経済領域内で運営する支払いサービスプロバイダーに特に適用されます。

PCI DSSは多くの点でPSD2を補完しています。PSD2が支払い市場での競争と革新を奨励する一方で、PCI DSSはこれらの新しい支払いサービスがカード会員データを保護するための最高レベルのセキュリティを維持することを保証します。したがって、これらの支払いサービスを使用する企業は、消費者がデータのセキュリティを優先するサービスを信頼し、利用する可能性が高いため、競争上の優位性を得ることができます。

最終的に、PSD2とPCI DSSの両方は、金融業界において安全で革新的な支払い環境を促進する上で重要な役割を果たしています。彼らは異なる範囲を持ち、異なるエンティティに適用されますが、彼らの最終的な目標は消費者保護です。これらの基準に準拠することで、企業は法的要件を遵守するだけでなく、顧客の信頼を得ることができ、これは彼らの運営の持続可能性と成長にとって不可欠です。

PSD2の構造

改訂された決済サービス指令（PSD2）は、支払いサービスのためのオープンでより競争力のある市場環境を築くために設計された重要な立法文書であり、いくつかの重要な要素を含んでいます。これには、革新的なタイプの支払いサービスプロバイダーの導入、強力な顧客認証（SCA）の義務化、消費者権利の強化された保護、および銀行が第三者プロバイダーに顧客のアカウント情報へのアクセスを提供する義務が含まれます。

これらの側面を詳しく説明すると、支払い開始サービスプロバイダー（PISP）とアカウント情報サービスプロバイダー（AISP）の2つの新しいタイプの支払いサービスプロバイダーの導入は、市場を大きく開放し、健全な競争を促進しました。PISPは、ユーザーの銀行口座から直接オンライン支払いを促進するエンティティであり、従来の支払いゲートウェイの必要性を排除します。これにより、顧客はより多くの自律性を得て、オンライン取引の速度と効率が向上します。

一方、AISPはアカウント集約などのサービスを提供し、顧客が複数のアカウントにわたって財務状況を包括的に把握できるようにします。このようなサービスは、消費者が財務活動をよりよく管理および監視し、財務の健康と意識を向上させることを可能にします。

しかし、これらの新しいサービスのすべては、強力な顧客認証（SCA）原則によって支えられています。SCAは、顧客が知っているもの（パスワードやPIN）、顧客が持っているもの（カードやモバイルデバイス）、または顧客自身（指紋や音声認識などの生体認証）など、2つ以上の独立した検証ソースを使用することを要求します。この原則は、オンライン取引を行う際に高いセキュリティレベルを確保し、消費者を潜在的な詐欺やサイバー脅威から保護します。

PSD2が企業に与える影響

PSD2の出現は、特にフィンテックセクターで活動する企業にとって、多くの機会をもたらします。この新しい指令は、伝統的な銀行機関に対する革新と健全な競争を奨励することを目的としています。

PSD2の主な利点は、企業が顧客アカウントデータにアクセスできるようにすることです。企業はこのアクセスを活用して、顧客に焦点を当てた新しい金融商品やサービスを開発し、提供することができます。この革新の可能性は、単なる製品設計を超えて、支払い手続きの簡素化や取引コストの削減を含み、顧客体験と満足度を向上させることができます。

革新と競争の利点に加えて、PSD2は企業に厳格なセキュリティ対策を講じることを義務付けています。これにより、企業が安全な取引と顧客データ保護に取り組んでいることを示すことで、顧客の信頼が高まります。

これらのセキュリティ対策の重要な部分は、強力な顧客認証の必要性です。これにより、詐欺の発生率が大幅に減少し、顧客の信頼がさらに高まります。企業が詐欺の発生率とそれに関連するコストを低減し始めると、顧客の忠誠心と維持率の向上も期待できます。データと取引が安全であると感じる消費者は、これらの企業に忠実であり続ける可能性が高く、長期的なビジネスの成長と持続可能性を支援します。

要約すると、PSD2を通じて、特にフィンテック企業は、従来の銀行が支配していた領域で強力な競争相手として浮上する機会を得ました。彼らは、PSD2によって付与された顧客アカウントアクセスを利用して、個別化された金融商品を提供し、支払いプロセスを合理化することでこれを達成できます。指令によって強化されたセキュリティ対策は、顧客だけでなく、企業にとっても、顧客の信頼を得ること、詐欺を減らすこと、顧客の維持を強化することにおいて利益をもたらします。

PSD2が消費者に与える影響

PSD2は、消費者にとって利便性と個人の財務管理において大きな利点を提供します。この規制変更によって与えられた自由により、消費者は自分の銀行が提供するものを超えたさまざまな支払いサービスを探索することができます。これにより、消費者は個人の財務データとその管理方法に対するより大きな制御を得ることができます。

さらに、この革新的な指令は、さまざまな支払いサービスプロバイダー間の競争環境を促進します。その結果、消費者はこれらのサービスのコストが低下する可能性があり、企業は市場で目立ち、リードを取るために、より手頃で魅力的なオプションを提供しようと努力します。

その多くの利点にもかかわらず、PSD2はデータのプライバシーとセキュリティに関する特定の懸念ももたらします。この指令は、消費者の機密財務情報を転送および保存する際に保護するために、厳格なセキュリティ規制を課しています。しかし、第三者サービスプロバイダーとそのような機密データを共有する行為には、固有のリスクが伴います。

したがって、消費者がそのようなデータ共有に同意することの意味を完全に理解することが最も重要です。彼らは、誰とデータを共有しているのか、それがどのように使用されるのか、そしてそれを保護するためにどのような対策が講じられているのかを認識し、個人の財務データに関する情報に基づいた決定を下す必要があります。

コンプライアンス要件とリスク

PSD2のコンプライアンス要件は広範であり、技術革新によって促進された金融サービスセクターの変化を反映しています。

この欧州連合の指令の下で、企業はフレームワークに定められたルールに準拠するためにいくつかの義務を果たす必要があります。まず、企業はPSD2の枠組み内で運営することを許可するために必要なライセンスを取得する必要があります。これらのライセンスは、指令のすべての規定を遵守していることを保証し、彼らのサービスに欧州法の下での正当性を与えます。このプロセスには、企業が規定された基準に沿ったサービスを提供できることを確認するための厳格なチェックと評価が含まれる場合があります。

次に、企業はPSD2コンプライアンスの重要な側面として、強力な顧客認証方法を実施する必要があります。これは、顧客の身元を確認するプロセスを強化することを意味します。これは、デジタル金融エコシステムにおける詐欺を防ぎ、信頼を築くための重要な要件です。企業は、ユーザーの身元を確認するために、PIN、トークン、モバイルアプリ、生体データなどの要素を含む多要素認証を採用する必要があります。

さらに、顧客、銀行、第三者プロバイダーを含むすべての関係者間の通信チャネルのセキュリティを確保することが不可欠です。この指令は、これらのチャネルが暗号化され、高いデータセキュリティ基準に従うことを規定しており、侵害を防ぎます。

加えて、PSD2に準拠するためには、企業は厳格なデータプライバシーのルールと規制を尊重する必要があります。顧客の個人データは厳重に保護されなければなりません。これには、データを共有する前に明示的な顧客の同意を得ることや、必要に応じてデータを匿名化するための対策を採用することなど、厳格な措置が含まれます。

これらのコンプライアンス要件を遵守しない場合、重大な結果を招く可能性があります。非準拠は、数百万ユーロに達する可能性のある多額の財務的罰則をもたらし、企業の財務的健康に大きな影響を与える可能性があります。さらに、訴訟や規制当局による重い罰金など、法的な結果が生じる可能性があります。

さらに、非準拠は、特にデジタル時代のデータプライバシーとセキュリティにスポットライトが当たっていることを考慮すると、企業の評判にダメージを与える可能性があります。評判が傷つくと、顧客や潜在的なビジネスパートナーを遠ざけ、企業の市場価値の低下につながる可能性があります。

PSD2の実施と適応の課題

PSD2の導入は、多くの機会と利益をもたらしますが、同時にいくつかの重要な課題も伴います。企業が直面する最大の障害は、PSD2の技術的実施に関するものであり、これは複雑で専門知識を必要とする場合があります。

指令に準拠するためには、インフラストラクチャとシステムレベルの両方で変更を行う必要があり、技術的な複雑さが増します。これらの変更には、安全な通信チャネルの確立と、消費者データが堅牢に保護されることを保証するための強力な顧客認証メカニズムの実装が含まれます。これは、コンプライアンスを達成するために必要な多額の投資のために、中小企業やスタートアップに財政的な負担をかける可能性があります。これにより、財政的な圧迫と運営コストの増加が生じ、これらの企業の競争力に影響を与える可能性があります。

さらに、PSD2がもたらすもう一つの大きな課題は、サイバー犯罪のリスクの増加です。銀行は顧客データを共有するために第三者プロバイダーにシステムを開放する必要があるため、サイバー攻撃のリスクが潜在的に増加します。これにより、サイバーセキュリティ対策とインフラストラクチャへのさらなる投資が必要になります。

この追加の複雑さは、企業に対する財政的な負担を直接増加させ、企業は今や、潜在的なサイバー脅威や攻撃に耐える能力と回復力を持つシステムを確保するために、サイバーセキュリティ戦略により多くの投資を行わなければなりません。この新しいオープンバンキング時代において、企業は顧客の機密データを保護する責任を重く負っています。

PSD2の未来とその適切性

技術の急速な発展に伴い、PSD2は関連性を保つために進化する必要があります。暗号通貨、デジタルウォレット、ブロックチェーン技術の台頭は、指令に新たな課題と機会をもたらし、適応と法改正が必要です。規制当局と企業は、技術の進歩のペースに追いつき、指令がその目的を達成し続けることを保証することが不可欠です。

PSD2が焦点を当てるべき重要な領域の一つは、データプライバシーです。消費者データの誤用に関する懸念が高まる中、指令はデータ保護措置を強化する必要があります。強化されたデータ暗号化、より厳格な同意メカニズム、より優れたデータ匿名化技術は、PSD2の将来のバージョンで焦点を当てる可能性のある領域です。実際、PSD2の長期的な成功は、革新の促進とセキュリティとプライバシーの保証をバランスよく保つ能力に依存しています。

KiteworksがEUでのPSD2コンプライアンスを支援

PSD2は、欧州連合内の支払いサービスの風景を確かに革命的に変えました。銀行のユーザーデータに対する独占を打破することで、支払い市場における競争と革新を促進しました。特にフィンテック企業は、顧客データを活用して、より個別化され、顧客中心の金融商品を作成する機会を得ています。一方、消費者は、金融データに対する制御が強化され、選択肢が広がる支払いサービスを享受しています。

しかし、この指令は、特に技術的実施とサイバーセキュリティの面で課題も提示します。

さらに、技術の進歩のペースが速いため、PSD2が効果的で関連性を保つためには、継続的に進化することが重要です。これには、暗号通貨やブロックチェーンなどの技術がもたらす新たな課題に対処することや、データプライバシーを優先することが含まれます。これらの課題にもかかわらず、PSD2がEUにおけるより安全で効率的で革新的な支払い環境を創出する上で重要な一歩であることは明らかです。

Kiteworksのプライベートコンテンツネットワーク、FIPS 140-2レベルで検証されたセキュアなファイル共有およびファイル転送プラットフォームは、メール、ファイル共有、ウェブフォーム、SFTP、およびマネージドファイル転送を統合し、組織がファイルの入出を制御、保護、および追跡できるようにします。

Kiteworksは、組織が機密情報にアクセスできる人、共有できる相手、第三者が受け取った機密コンテンツとどのように（およびどのくらいの期間）やり取りできるかを制御することを可能にします。これらの高度なDRM機能を組み合わせることで、不正アクセスやデータ侵害のリスクを軽減します。

これらのアクセス制御とKiteworksのエンタープライズグレードのセキュアな伝送暗号化機能により、組織は厳格なデータ主権要件を遵守することができます。

Kiteworksの展開オプションには、オンプレミス、ホスティング、プライベート、ハイブリッド、およびFedRAMP仮想プライベートクラウドが含まれます。Kiteworksを使用すると、機密コンテンツへのアクセスを制御し、外部に共有される際に自動エンドツーエンド暗号化、多要素認証、およびセキュリティインフラストラクチャの統合を使用して保護し、誰が何を誰に、いつ、どのように送信するかを確認、追跡、報告できます。最後に、GDPR、ANSSI、HIPAA、CMMC、Cyber Essentials Plus、IRAP、DPAなどの規制や基準に準拠していることを証明します。

Kiteworksについて詳しく知りたい方は、カスタムデモをスケジュールしてください。

 

リスクとコンプライアンス用語集に戻る