2023年には2,662億件のリアルタイム決済が行われ、安全な取引に対する需要がかつてないほど高まっていることが示されました。よりオープンな銀行システムに移行する中、利便性と効率性を提供する新たな決済ソリューションが数多く登場していますが、同時に新たなリスクも存在しています。

決済サービス指令2（PSD2）は、こうした懸念に対処するために制定された数多くの規制のひとつです。PSD2は欧州連合（EU）の事業イニシアティブであり、円滑な決済体験を提供する一方で、顧客がオンライン上の脅威から安心して利用できるようにすることを目的としています。

この投稿では、PSD2の内容、オンライン決済のセキュリティの向上方法、そしてMatomoが銀行や金融機関のPSD2対応をどのようにサポートしているかについてご紹介します。

PSD2とは？

PSD2は、EU全域における電子決済のセキュリティ向上を目的としたEU指令です。強力な顧客認証を実施し、明示的な同意があれば第三者による消費者口座へのアクセスを許可します。

主な目的は以下の通り：

• デジタル決済に関するセキュリティおよびデータプライバシー対策の強化。
• 第三者が銀行データにアクセスできるようにすることで、イノベーションを促進する。
• ペイメントサービスに関連する手数料、利用条件に関する明確なコミュニケーションによる透明性の向上。
• PSD2 オープン・バンキングのための API を通じて顧客データを安全に共有するための枠組みを確立する。

PSD2の背景

PSD2の主な目的は、オンライン取引の安全性を損なうことなく、より統合された効率的な欧州決済市場を構築することです。

当初の指令は、EU加盟国間の決済サービスの標準化を目的としていましたが、テクノロジーの進化に伴い、更新版が必要となりました。

PSD2は、以下のような欧州経済領域（EEA）内の様々な事業体に義務付けられています：

• 銀行および信用機関
• 電子マネー機関またはRevolutのようなデジタルバンク
• カード発行・取得機関
• フィンテック企業
• EU域内で活動する多国籍組織

PSD2の実施スケジュール

いくつかの重要なマイルストーンにより、PSD2は欧州における決済サービスのあり方を大きく変えました。ここでは、PSD2導入の道を開いた重要な出来事を詳しく見ていきましょう。

• 2002: 銀行業界は欧州決済理事会（EC）を設立し、欧州全域に現金以外の決済手段を含める単一ユーロ決済圏（SEPA）構想を推進。
• 2007: PSD1発効。
• 2013: EC、今後の決済サービスのプロトコルを含むPSD2を提案。
• 2015: EU理事会、PSD2を可決し、加盟国に2年間の猶予を与える。
• 2018: PSD2発効。
• 2019: EU域内の全企業がPSD2の規制と強力な顧客認証のルールに準拠する最終期限。

PSD2: 主要コンポーネント

PSD2では、いくつかの主要な構成要素が導入されます。それぞれについて見てみましょう。

強固な顧客認証（SCA）
PSD2の規制技術基準（RTS）は、SCAに関する具体的な要件を概説しています。

SCAでは、オンライン取引における多要素認証が要求されます。顧客がオンライン決済を行う際には、以下の3つの要素のうち少なくとも2つを用いて本人確認を行う必要があります：

• 知識：顧客が知っているもの（パスワード、コード、秘密の答えなど）。
• 所持：持っているもの（携帯電話やカードなど）
• 内在：指紋や顔の特徴といった生体認証のようなもの）。

SCA以前は、銀行はパスワードのみで本人確認を行っていました。この二重の認証により、承認されたユーザーのみが取引を完了することができます。SCA の導入により、不正行為が減少し、電子決済の安全性が高まります。

SCAの導入は決済方法によって異なります。デビットカードやクレジットカードは3Dセキュア（3DS）プロトコルを使用しています。電子財布やその他のローカルな決済手段には、SCAに準拠した独自のステップが用意されていることが多いです。

3DS は、顧客の身元を認証するための追加ステップです。欧州のほとんどのデビットカードやクレジットカード会社が導入しています。また、不正なチャージバックが発生した場合、事業者ではなく発行銀行が3DSによって責任を負うことになります。

ただし、SCAでは一部の取引が免除されています：

• 低リスク取引：発行者またはアクワイアラーによる取引で、その不正レベルが特定の閾値以下であるもの。アクワイアラーが低リスクと判断した場合、SCAをスキップすることができる。
• 低額取引：30ユーロ未満の取引。
• 信頼できる受益者：信頼できる加盟店：顧客がセーフリストを選択した加盟店。
• 定期的な支払い：定期的な決済：一定額の定期的な決済は、初回決済以降SCAの対象外となる。

第三者決済サービスプロバイダー（TPP）の枠組み
TPP は、顧客のバンキング・データにアクセスし、支払いを開始する権限を持つ事業体です。TPPには3種類あります：

口座情報サービス・プロバイダー（AISPs）
AISPは、顧客の口座詳細を閲覧できるサービスですが、顧客の許可がある場合に限られます。例えば、予算管理アプリはAISPサービスを利用してユーザーの銀行口座から取引データを収集し、出費の監視や財務管理に役立てることができます。

支払開始サービス・プロバイダー（PISP）
PISPは、顧客が銀行口座から直接支払いを開始できるようにし、デビットカードやクレジットカードのような従来の支払いオプションを不要にします。顧客が支払いを行った後、PISPは直ちに加盟店に連絡し、ユーザーが購入したオンラインサービスや商品にアクセスできるようにします。

カードベースの決済手段（CBPII）
CBPIIとは、顧客の口座にリンクした決済カードを発行するサービスを指します。

TPPの要件
PSD2の下で効果的に運営するために、TPPはいくつかの要件を満たす必要があります：

消費者の同意：顧客はTPPが金融データを取得することを明示的に承認しなければなりません。こうすることで、ユーザーは自分の情報を誰がどのような目的で閲覧できるかをコントロールできます。

セキュリティの遵守：TPPは詐欺や不正アクセスからユーザーを守るため、SCAとセキュアコミュニケーションのガイドラインに従わなければなりません。

APIの可用性：銀行はアプリケーション・プログラミング・インターフェース（API）にアクセスできるようにし、TPPが銀行のシステムに安全に接続できるようにしなければなりません。この可用性は統合を容易にし、TPPが重要なデータにアクセスできるようにします。

消費者保護手法
PSD2では、消費者と金融機関の信頼と透明性を高めるため、様々な消費者保護措置が導入されています。ここでは、その中から主なものを紹介します：

• 不当な手数料の禁止：PSD2は、銀行に対し、国際送金や口座維持にかかる追加料金や手数料を明確に伝えることを求めている。これにより、消費者は実際のコストや手数料を十分に認識することができる。
• 迅速な苦情解決 PSD2 では、ペイメント・サービス・プロバイダー（PSP）に対し、分かりやすい苦情処理手続を義務付けています。顧客が何らかの問題に直面した場合、プロバイダーは15営業日以内に対応しなければならない。この要件は、消費者が金融サービスをより安心して利用できるよう促すものである。
• 不正支払い時の返金：顧客の同意なく行われた支払いについては、全額払い戻しを受ける権利がある。
• サーチャージの禁止：追加手数料の禁止：クレジットカードやデビットカードでの支払いに追加手数料を課すことはできない。企業はこれらの支払い方法に追加手数料を課すことができないため、顧客の購買力が高まる。

PSD2のメリット

特に銀行、フィンテック、金融サービスなどの企業は、いくつかの点でPSD2の恩恵を受けることができます。

顧客データへのアクセス
顧客の同意があれば、銀行は支出パターンを分析し、パーソナライズされた普通預金口座から、より適切なローンの提供まで、顧客のニーズに合った金融商品を開発することができます。

イノベーションとコストメリット
PSD2は、決済処理をより多くの市場競争に開放しました。新たな決済会社が銀行サービスに新たなアプローチを導入することで、日常的な取引がより効率的になると同時に、部門全体の処理手数料が引き下げられます。

また、銀行は現在、決済テクノロジー・プロバイダーと連携し、それぞれの強みを組み合わせてより良いサービスを生み出しています。このような連携により、企業にはより迅速な決済オプションがもたらされ、業務コストを削減しながら競争力を維持するのに役立っています。

顧客の信頼とエクスペリエンスの向上
PSD2ガイドラインにより、最新のシステムは決済データの安全性を損なうことなく取引を迅速に処理し、デジタルバンキングへのバランスの取れたアプローチを実現しています。

バンキングの顧客は、金融情報をより自由に管理できるようになりました。明確なプロセスにより、消費者は必要に応じて金融情報を閲覧し、調整することができます。

強力なセキュリティ基準が、こうした新しい決済システムの基盤を形成しています。ペイメント・プロバイダーのプラットフォームは厳格な規制を遵守し、追加的な保護対策を実施しなければなりません。

PSD2対応における課題

PSD2への対応に関して、銀行や金融機関はどのような課題に直面する可能性があるのでしょうか？
それらを検証してみましょう。

リソース要件
多くの企業にとって、新たな要件には高額な費用が伴います。PSD2では、銀行やフィンテックは、他のプロバイダーが顧客データに安全にアクセスできるようにシステムを構築し、更新する必要があります。 例えば、TPPが顧客データを取得できるようにAPIを開発しなければなりません。

多くの銀行はいまだにPSD2の追加要件を満たせない古いシステムを使用しています。アップグレードのコストに加え、PSD2に対応するためには、銀行はスタッフのトレーニングやコンプライアンスの監視にリソースを割く必要があります。

レガシー・システムやITインフラを更新しながらサービスを継続するためには、多大なコストが必要となり、依然として困難な状況が続いています。

リスクと罰則
PSD2規制を遵守できない組織は、多額の罰則を受ける可能性があります。

さらに、PSD2と一般データ保護規則（GDPR）など他の規制の要件が重複しているため、混乱が生じる可能性があります。

銀行はTPPとの間で、問題が発生した場合の責任者について明確な取り決めをする必要があります。これには、データ漏洩への対応、データの悪用防止、顧客情報の保護などが含まれます。

競争の激化
AISPやPISPのような金融エコシステムに新たなプレーヤーが加わることで、競争が生まれます。銀行はコンプライアンス・コストを管理しながら、競争力を維持するためにサービスを適応させなければならない。

PSD2は顧客保護を目的としていますが、認証要件が強化されることで銀行の利便性が低下する可能性があります。銀行はセキュリティとユーザー・エクスペリエンスのバランスを取る必要があります。企業がコンプライアンスに準拠し、競争力を維持するためには、集中的な時間と労力、継続的なモニタリングが必要です。

Matomoがお手伝いできること

Matomoは、プライバシーに重点を置いたウェブ解析を通じて、銀行や金融機関がデータを完全にコントロールできるようにします。

高度なセキュリティ設定には、アクセス制御、監査ログ、SSL暗号化、シングルサインオン、二要素認証が含まれます。これにより、機密データにアクセスできるのは権限のあるスタッフのみという安全な環境が構築されます。

プライバシーを最優先する一方で、Matomoはセッション記録、ヒートマップ、A/Bテストなど、ユーザーフローや顧客セグメントを理解するためのツールを提供しています。

特に金融機関は、いくつかの主要な機能から恩恵を受けることができます：

• このDo Not Track設定のように、個人データを処理する前に明示的な同意を得るためのツール。
• 金融機関がどのようにTPPを統合しているか（APIの使用状況、ユーザーエンゲージメント、潜在的な認証停止ポイントを含む）を把握する。
• ログイン失敗や異常なアクセスパターンの追跡
• トラフィックパターンを分析し、潜在的な詐欺を検出するためのIP匿名化

PSD3：次のステップ

近年、革新的な決済企業が台頭し、詐欺の手口も巧妙化しています。このため、規制当局は決済ルールの更新を提案しています。

PSD3の範囲は、進化するデジタルトランスフォーメーションに適応し、これらの詐欺リスクにうまく対処することです。提案されている対策:

• PSPに詐欺関連情報の共有を促す。
• 顧客に詐欺の種類を認識させる。
• 顧客認証基準を強化する。
• ノンバンクの PSP に対し、EU の決済システムへのアクセスを制限する。
• 決済ルールを直接適用可能な規制として制定し、指令の調和と執行を図る。

ユーザーのプライバシーを尊重するウェブ分析

PSD2への準拠を達成することは、企業によっては長い道のりかもしれません。Matomoを利用することで、企業は自社のデータ運用が法的要件に合致しているという安心感を得ることができます。

PSD2 のような規制への準拠を心配する必要はありません。Matomoの21日間無料トライアルを開始してください。