トラストサービスフォーラムinベルリン Day2 その2 前半

Day2の2コマ目のセッションです。

最初は、Michael Taborさんの「PSD2は、eIDAS適格証明書を金融サービスに導入する」(PSD2 introduces eIDAS qualified certificates to financial services)というプレゼンです。スライドは、こちら

決済サービス指令2は、このフォーラムのメモでも度々出てきています(Day1 その1、Day2 その1後半)。委任規則も、Day2のその1後半でふれました。

アカウント情報サービス(定義は、指令4条(16))が提供されると、本人は、一回の登録だけで、あとは、各金融機関に本人の情報が安全に提供されることになって、このように変わっていくということがポイントになります。まさに、eKYC(電子的「顧客確認」)が実現するのです。 (KYCについては、「フィンテックで進むか、 本人確認(KYC)のイノベーション」のリンクを張っておきます)

また、決済開始サービスプロバイダ(PISP)という概念が準備されています。この概念は、他の決済サービスプロバイダにおいて保有されている決済に関するサービスの利用者の求めに応じて、決済命令を開始するサービスを行うものです(同(15)。これが実現すると

のような図になっていきます。

決済サービス指令2のもとにおいては、技術標準119 495において、「電子署名基盤;部門要件;決済サービス指令(2015/2366 EU)における適格証明書プロファイルおよびタイムスタンプポリシ要件」が定められています。

この標準においては、5が、証明書プロファイル要件で、6が ポリシ要件になります。

附属文書Aが、ASN.1 宣言で、Bが、決済サービス指令2を満たす証明書とは、どういうものかということについての解説です。

これらの証明書については、決済開始サービスとアカウント情報サービスが、利用を義務づけられており、銀行におけるアカウントサービスにおいては、利用が強く推奨されています。

決済サービスプロバイダは、その本人性/インテグリティ確認のために、適格電子シールと適格ウエブサイト証明書を利用することになります。

委任規則34条は、各プロバイダの登録番号等の記載とその役割、監督機関の名称が証明書に記載されなければならないことを定めています。

Nick Pope ( Security & Standards Associates)「オープンバンキングにおける適格証明書において呈示された問題点」 ( Open Issues on Use of eIDAS Qualified Certificates in Open Banking)です。

スライドは、一般公開されていません。なので、要点のみをまとめることにします。

要は、適格証明書に関して、PSD2証明書プロバイダーとはどういうことか、証明書を信じることとは、どういうことか、責任とはどういうことか、などの問題が提起されているということだそうです。

とりあえずは、ホームページへのリンクを張っておきましょう。

 

It's only fair to share...Share on LinkedInTweet about this on TwitterShare on Facebook