100 年前、銀行が保有していた最も貴重なものは金庫の中のお金でした。しかし今日、銀行は現金と同じくらい貴重なもの、すなわちデータを持っています。
考えてみてください。人々の資産運用の管理者である銀行は、その人の収入や支出など、おそらく友人よりも多くの個人情報を知っているはずです。そして現代のテクノロジーのおかげで、銀行はそのデータを使って、個人の特定のニーズに合わせた、より良い金融商品やサービスを提供することができるのです。
しかし、大量のデータには重大な責任が伴います。そのため、金融サービス業界におけるデータ保護は、これまでになく重要なテーマとなっています。
特に、モバイル・バンキングが普及した今、この傾向は顕著です。デジタル金融サービスが普及しているため、銀行の顧客はオンライン上で取引や金融商品の購入を行うことに、これまで以上に慣れ親しんでいます。その代わり、ユーザーはより速く、より簡単で、よりパーソナライズされた金融サービスを求めています。
そのため、オンライン・バンキングのセキュリティーはますます重要になっています。テクノロジーと経営のコンサルタント会社 Capco 社の最近の調査結果を見てみましょう。同社の調査によると、 18 歳から 65 歳までの米国の保険契約者の 89% は、自分の生活環境や価値観に合った保険を利用できるのであれば、さらに個人データを共有しても構わないと考えているようです。 2021 年には、4 分の 3 近くの消費者が、保険料を安くするために何らかの形で個人データを共有すると回答しています。
銀行をはじめとする金融サービス提供者は、慎重に一線を引かなければならないのは言うまでもありません: 消費者のデータを利用してデジタル商品やサービスを拡大・強化する一方で、同じデータを保護しなければなりません。
エンベデッド・ファイナンス : 銀行の未来がここにある
消費者や企業がより良い銀行サービスを受けるために個人情報を共有することに積極的なのは、エンベデッドファイナンスが普及しつつある今だからであるかもしれません。
「エンベディッドファイナンス」とは、金融サービス機関以外が提供する既存のカスタマージャーニーに、金融商品やサービスを組み込むことを意味します。一般的な例としては、ベッドやコンピューター、新しい家電製品など、高額商品をオンラインで購入する際に、低金利または無金利で柔軟な融資を提供する販売店などがあげられます。従来は、大きな買い物をする場合、消費者は金融業者に出向き、ローンや融資枠を確保しなければならなかった。しかし、エンベディッドファイナンスの世界では、小売業者は銀行やその他の金融サービス会社と提携し、購入時に消費者に直接融資を提供します。
「エンベデッド・ファイナンスという言葉は最近になって私たちの辞書に加わったかもしれませんが、目新しいものではありません。 IBM ビジネス・バリュー研究所(IBM IBV)は、 2023 年版の報告書「Embedded finance: The voice of the makers 」の中で、「何十年もの間、銀行の顧客は銀行以外のチャネルや銀行以外のパートナーと金融商品を利用することができた」と記しています。「新しいことは、顧客が必要な時に必要な場所で銀行や保険サービスを利用する方法に根本的な変化が起きていることです」
テクノロジーにより、データのスムーズな共有が促進され、顧客が期待するようになったフリクションレスで極めてパーソナライズされたエンド・ツー・エンドのサービスが可能になります。銀行と金融サービス・プロバイダーは、銀行の厳格なデータ保護を規定するオンライン・バンキングのセキュリティとプライバシー法の制約の中で、こうした期待に応えなければならなりません。
プライバシーへの懸念による制約
Nutanix のグローバル金融サービス・ソリューション責任者である Sean O'Dowd 氏によると、エンベデッドファイナンスは、消費者にフリクションレスな機能を提供する一方で、データ保護に関する重要性を高めています。攻撃対象が拡大し、保護すべき領域が増えるため、データの共有はサイバーセキュリティのリスクにもなると同氏は指摘します。
「銀行は、これまでは必要なかった情報共有を余儀なくされている」と O'Dowd 氏は The Forecast に語っています。
同氏によれば、これは欧州連合(EU)の決済サービス指令2(PSD2)によるオープンバンキング規制によるもので、組み込み型バンキングやバンキング・アズ・ア・サービスのようなものを促進するきっかけとなっています。
「このすべてを極めて容易なものにする主要な技術基盤は API です......しかし、そこでデータ保護の課題が発生します」と同氏は述べています。
テクノロジーによって情報共有は容易になりましたが、銀行の IT セキュリティ強化を目的としたコンプライアンス義務によって、情報共有は複雑になっています。 Red Hat 社の組み込み金融を含むリテールバンキング戦略をグローバルにリードし、前述の IBM Institute for Business Value の調査著者の一人である Hector Arias 氏は、次のように述べています。
「お金に関することはすべて極秘事項なので、銀行はデータを保護し、銀行のバリューチェーンに誰が参加しているかに関係なく、コンプライアンスを遵守する必要があります」と Arias 氏は言います。
欧州の一般データ保護規則(GDPR)は、金融機関が保有するデータに適用され、消費者を保護するため、世界の銀行セクターに影響を与える最も包括的なプライバシー法です。
「金融機関にサービスを提供するすべてのベンダーと情報処理業者にも、そのデータを保護する義務があります」と Arias 氏は続けた。
2018 年に GDPR が施行されて以来、誤ったデータ漏洩に対する罰金が 8 桁や 9 桁という高額に上っています。最高額の罰金を支払っているのは、銀行ではなくハイテク大手である傾向がありますが、金融機関は、より充実したサービスを提供するために顧客データを利用する際に、データセキュリティ、銀行取引関係、ブランドエクイティを危険にさらすことに注意しなければなりません。
商業活動の過程で個人情報を取得、使用、または開示するカナダの民間組織に適用されるカナダの個人情報保護および電子文書法( PIPEDA )も注目すべき規制です。カナダのいくつかの州には、 PIPEDA と同様の独自の法律があります。一方、米国では、 2018 年にカリフォルニア州がプライバシーの権利と消費者保護を強化するための独自の法律、カリフォルニア州消費者プライバシー法( CCPA )を導入しました。
GDPR 、 PIPEDA 、 CCPA のような規制を必要とする潜在的な危険や罠があるにもかかわらず、消費者はオンライン・バンキングやモバイル・バンキングを好み、金融機関はそれらを提供し続ける義務があります。その結果、プライバシー保護を危うくすることなく最高の商品とサービスを提供するための「競争が始まっている」と O'Dowd 氏は述べています。
データ統合にはフレームワークが不可欠
デジタル・バンキングの技術は以前から存在していましたが、 AI や機械学習のような新しい技術は、金融サービス・プロバイダーが差別化を図る機会を生み出していると O'Dowd 氏は指摘します。例えば、適切なデータにアクセスすることで、 AI はチャットボットによる顧客サービスの向上を促進することができます。一方、機械学習によって、モバイル・バンキング・アプリケーションは、顧客の好みに適応し、さらには顧客の行動を予測することで、時間の経過とともにパフォーマンスを向上させることが可能になります。
「 AI によってデジタル・チャンネルが改善されるという話は実に興味深い」と O'Dowd 氏は言います。
興味深い会話を素晴らしい現実に変えるために、銀行とノンバンクのパートナーは、サイロ化したデータを効率的かつ安全に統合する方法を見つけなければなりません。
O'Dowd 氏は、「銀行は、これらの新しいテクノロジーを、断片的で限定的な方法で活用しています」と述べ、データレイクを活用し、顧客情報のより包括的な情報を提供することで、データ統合を支援する生成 AI の可能性を指摘しました。
それでも、データガバナンスとデータ品質管理は、コンプライアンス義務を果たし、顧客情報を保護するために不可欠です。エンベデッドファイナンスが推進する複雑な関係を考えると、どちらも容易ではありません。
Arias 氏によると、金融サービス企業は、より多くの商品やサービスを外部の IT エコシステムに組み込む中で、こうした関係をうまく機能させるために、サービス提供をサポートする規制のないテクノロジー・インフラに頼ることが多いといいます。すべての関係者間の新しいビジネス活動をサポートするためには、新しいテクノロジーもレガシーテクノロジーも同様に、プライバシーとセキュリティをめぐるベストプラクティスを厳守する必要がある、と同氏は述べました。
「そのような企業のためのフレームワークが必要です」と Arias 氏は付け加えました。「銀行は、流通モデルを安全にオープン化するためにリスク管理の枠組みを進化させ、こうしたオープンなビジネスモデルのために基盤となる技術プラットフォームを準備する必要があります。この取り組みは、この先の大きな可能性をもたらすでしょう」
このフレームワークは、すべての関係者が規制上の義務を確実に果たしながら、データを確実に共有できるよう、技術統合をカバーするものでなければなりません。そうすることで、銀行とノンバンクのパートナーは、金融データ・セキュリティを共通の責任として捉えることができるようになります。銀行とノンバンクは、顧客データをどのように処理するかを明確に把握する必要がある、と Arias 氏は述べました。
クラウドは信頼に値する
共有、分散された IT インフラに頼る傾向が強まったことで、欧州ではさらに多くの規制が導入されることになりました。例えば、デジタルオペレーショナルレジリエンス法( DORA )は 2023 年初頭に施行され、2025 年 1 月 17 日から適用されます。この規制は、銀行が、規制当局が「集中リスク」と呼ぶものを生み出しかねないテクノロジーや、金融サービスを提供するテクノロジー企業への依存度を高めていることを認識しています。
「 DORA のような規制が始まりつつあるとはいえ、バンキングは非常に厳しく規制されており、テクノロジーはまだ規制されていない」と Arias 氏は語っています。
エンベデッドファイナンスがデータ・プライバシーにもたらすリスクは極めて大きい事は明らかです。しかし、金融の自由と柔軟性を求める消費者にもたらされる可能性も大きい。脅威を機会に置き換える特効薬はありませんが、クラウド・コンピューティングの助けを借りて、銀行が両者の間に接点を見出すことは容易になってきています。
例えば、地政学的リスクについて考えてみましょう。今日の世界の不安定な状況を考えると、金融機関はテクノロジー・プロバイダーを変える必要に迫られた場合の対処法を持っていなければなりません。マルチクラウドの採用は、リスクの高いベンダーの囲い込みを回避しつつ、規制を遵守するのに役立ちます。
「現在、ほとんどの規制当局がクラウドの利用を認めており、クラウド上で稼働している銀行が、従来のデータセンターで稼働している銀行よりも信頼性が高い事例を目の当たりにしています」と、イギリスの銀行 Starling Bank が所有するクラウドネイティブな SaaS バンキング・プラットフォームである Engine by Starling のCEO、 Sam Everington 氏は IBM IBV に語りました。「クラウド・プロバイダー間の移動が適切なレベルで行われ、適切な方法で管理されるのであれば、ほとんどの市場でクラウド・インフラストラクチャは選択肢となります」
実際、クラウドベースのインフラ上に構築されたエンベデッドファイナンスは、消費者の信頼を損なうどころか、むしろ高めていると、日本のみずほ銀行のアジア・オセアニア担当 CIO 、Andy Nam 氏は指摘します。「顧客は、信頼と信用に基づいて確立された関係の価値を認識しています。しかし、顧客は利便性を求めて他を探すようになったため、この信頼は当然視されるものではありません」と、Nam 氏は IBM IBV に語った。「これが、既存の金融機関が立ち止まることなく、他の金融機関やノンバンクのパートナーと協力する方法を学ばなければならない理由です」
編集部注:Nutanix Cloud Platform 、FinServ 向けソリューション、および単一のインフラストラクチャプロバイダに縛られないデータ中心の PaaS レベルのサービスを提供する Nutanix のビジョンである Project Beacon の詳細については、こちらをご覧ください。
Gary Hilson 氏は、B2B エンタープライズ・テクノロジーと IT 意思決定者に影響を与える問題について 20 年以上の執筆経験があります。EE Times、Embedded.com、Network Computing、EBN Online、Computing Canada、Channel Daily News、Course Compare など多くの業界誌に寄稿しています。 彼の情報は X でご覧ください。
© 2024 Nutanix, Inc. 無断複写・転載を禁じます。その他の法的情報については、こちらをご覧ください。
