プロマネブログ

とあるSIerでプロマネやっているオッサンです。主にシステム開発ネタや仕事ネタ、気になった三面記事ネタの解説なんかしてたりします。

家計簿アプリ業界について思うこと

ここしばらく仕事にやる気が出ず、シロギス釣りばっかりやっていたら、ブログ更新もすっかり滞ってしまってました。

久しぶりの更新です。

 

 

いやー、家計簿アプリ業界、そのうち絶対にヒドい事件がおきると予想します - ツイナビ | ツイッター(Twitter)ガイド

個人で作っているサービスで仕方なくスクレイピングしているならともかく、法人として運営しているサービスなんだしきちんと金融機関に仁義通して金払って企業間連携用のapi利用すりゃいいのに。

2015/07/02 08:58

 

う~ん、家計簿アプリのチョンボなわけなんですけど、ブコメでは銀行側がミョーなとばっちりを受けておりますね。。。

なんていうか。。。微妙。

 

「金融機関側がAPIを用意」しても解決しない

金融機関がAPIを用意しないせいで家計簿アプリ側が「乱数表」情報を入力せざるを得ないって意見を結構な数見かけます。

でも、実際金融機関側でWEB-API用意したところで、認証のための情報は必要になります。

APIだからといって、認証を無くすわけには行きません。セキュリティホール作らないためにも、同レベルの認証が必要です。

 

となれば、ログインIDやパスワードなど、認証するために必要な情報を家計簿サービス側はもたざるを得ないわけで、結局のところいまのと同じ入力が求められるわけで。

 

スクレイピングでもAPIでも、情報加工のしやすさの違いはあれど、セキュリティ的にリスクになることについては大差がない。

 

本格的な問題解消にはならないかなと。

 

金融機関APIは実は存在する

と、色々書きましたが、実は金融機関はお客さんの資金情報や取引履歴などの情報を提供するためのAPIを用意していたりもします。

 

例えば、大和証券では、大和ネクスト銀行の預金情報を証券口座から参照したり、取引のための資金に使えたりします。

ダイワのツインアカウント | ダイワのサービス | 大和証券 というサービスです。

 

大和証券大和ネクスト銀行は同一グループではありますが、別会社別システムで構築されております。ファイアウォール規制のためです。

このため、上記のサービスを実現するためには、システム間をAPIでつなぐことが必要となります。

大和証券は「銀行代理業」を取得しており、大和ネクスト銀行と契約を結び、企業間ネットワークを通じて情報連携しているわけです。

 

まあ、こういった代理店向けのAPIをそこそこ金融機関は用意しています。

つまり、「金融機関はAPIを用意してない」ってのは正確ではなく、「誰かれ構わず利用できるAPIはないが、信用できる代理店と情報連携するためのAPIを用意している」というわけ。

 

 

家計簿アプリの問題

セキュリティの話から始まりましたが、ここまで書いた上で家計簿アプリの問題を考えてみたく。

 

なんで「ログインID」や「パスワード」等の機密情報が家計簿アプリでは必要なのかっていうと、「金融機関が提供する情報連携APIを使いたくなく、スクレイピングで対応したいから」

 

もうちょい言うと、情報取得の正規ルートであるAPIを使うためには銀行代理業や証券代行業務等の資格を取得するのが大変なので、ログインIDやパスワードを取得し、利用者個人になりすましてネットからスクレイピングで取得しようってわけですよね。

 

身も蓋もない言い方すると。

 

こう書くと銀行代理業とかの認可に敷居が高いせいじゃないか、なんて考える人もいるかもしれません。

でも、銀行代理業者の名簿を見ればわかりますが、個人や不動産屋などもいたりするようなものだったりします。

 

業者一覧 : http://www.fsa.go.jp/menkyo/menkyoj/dairi_a.pdf

 

銀行代理業者自体は敷居は個人でもとれるようなものですが、代理業者が顧客に損害を与えたら補填する責任が生じたりもする重いものです。

 

 

家計簿アプリなんていいつつも、実際には銀行口座の資金内容を見たり、取引を参照できたりするわけで実質的には代理店業務を行っているようなもの。

にも関わらず、金融代理店資格を取らず、金融機関のAPIではなくスクレイピングで対応するのは、万一の時の責任を負いたくないからって責任逃れと捉えられてもしかたがない。

 

 

ついでに言うと、ログインIDやパスワードを家計簿アプリにわたしてしまうと、預金保険制度(ペイオフ)の対象にならない可能性も出てきます。

ログインIDやパスワードを他者に知らせた場合、認証方法を適切に管理していないとみなされてしまうからです。

 

ネットバンキング「不正引き出し」2億円超 「消えたお金」を取り戻せるか? - ライブドアニュース

 

結局のところ、家計簿アプリ提供会社が、サービス提供する上で必要となる金融代理店となるためのコストを、利用者のセキュリティ上のリスクや、ペイオフ対象外になるなどの見えない利用者利益の削除などに転嫁していることになるわけで。

 

家計簿アプリがきちんとID管理できる人だけが利用するならまあいいか、といえるかもしれないですけど、テレビCMバンバンうっているわけで。。。

そういったカジュアルユーザーに、メリット以上のデメリットを負わせかねないってのはいかがなものかなあ。

 

まとめ

 

さて、色々書きましたが。

 

オッサンが思うに、スクレイピングで口座情報を取得、なんていうのは、利用者個人の裁量で行うべきで、法人化された家計簿アプリ提供会社は卒業しても良い頃でしょう。

 

そもそも、オンラインバンキング等へのアクセスは利用者本人がアクセスすることを前提に作られております。

三菱東京UFJダイレクト利用規定:三菱東京UFJ銀行

銀行のインターネットバンキングの利用規定を見てみれば、【本サービスの利用に際して使用できる機器は、当行所定のものに限ります】【本サービスのご契約をいただいた個人のお客さまに限ります。】なんて書いてあったりも。

 

個人の範囲を超えて、法人が自己のサービスとして利用するべき情報ではないわけです。セキュリティなど今後も問題が広がることは想像に難くない。

 

 

家計簿アプリ提供会社は、金融機関の顧客向けサービスに約款違反でフリーライドするといったグレーゾーンで活動するのではなく、代理店として責任を負い、正規のルートから情報を取得するようにし、正々堂々とサービスを提供するようにするべきじゃあないかな。

 

個人のサービスではなく、法人が提供するサービスとして。

 

きちんと金融機関と家計簿アプリ会社双方の利益になるようなスキーマを作るべきかなと。

 

以上