FISC、API接続チェックリストの試行版を公表

金融情報システムセンター（FISC）は6月29日、今年2月から開催していた「API接続先チェックリストWG」にて作成した「API接続チェックリスト（試行版）」を公表した。

このチェックリストは、FinTech企業等のAPI接続先が銀行と効率的に協業するためのツールとして、主に安全対策に関して共通的に確認する項目を定義したもの。

チェックリストの中身としては、API接続先の「情報・セキュリティ管理態勢」や「外部委託先管理態勢」、「APIセキュリティ機能」など9つの区分に分けて、全部で60項目が定義された。FISCの安対基準と比べて軽量化された内容になっている。

例えば「APIセキュリティ機能」のチェック項目として、OAuth認証などを用いて認証に関わる機密情報の漏洩対策を行うことなどが示されている。

FISCでは、チェックリストを使用するか否かは、FinTech企業等の任意であるとしている。また、記載されている項目や手法例はあくまで例示であり、業務特性やリスク等を勘案し各銀行にて取捨選択する必要があるとする。

チェックリストはコミュニケーション・ツールとして活用することを想定しており、API接続先と十分に会話することが主目的だからだ。

しかしながら、銀行がFinTech企業とのAPI接続を検討する際、今回のチェックリストを用いて適格性審査を行うことで、双方の対応負担が軽減されるのは間違いない。

今回のチェックリストにより、銀行とFinTech企業のAPI連携がさらに進むことが期待される。