2018 年 7 月 24 日（火）、東京金融ビレッジにおいて『Financial APIs Workshop』が開催される。これは、二日間にわたって開催される『Japan/UK Open Banking and APIs Summit 2018』の一日目にあたり、エンジニア向けのイベントである。

1. 英国オープンバンキングの仕様スタック

近年、金融業界では『銀行 API』の実装が進められている。そのセキュリティーのため、OAuth（オーオース）という技術に注目が集まっている。銀行のシステムが OAuth をサポートしていれば、サードパーティー製アプリケーションが銀行システムと連携する際、ユーザーは、（１）自分の銀行アカウントの ID とパスワードをアプリケーションに渡すことなく、（２）必要最小限の権限のみを（３）限られた期間だけアプリケーションに与える、という承認処理を、自らの判断でおこなえるようになる。一度与えた承認を後から取り消すこともできる。OAuth のこれらの特徴により、万が一当該アプリケーションが悪意のあるアプリケーションであったとしても、被害を最小限におさえることができる。（参考：『一番分かりやすい OAuth の説明』）

銀行 API については、英国金融業界が世界の最先端を走っている。英国では、政府主導のもと、英国上位９行を中心とする Open Banking Implementation Entity（OBIE）という団体が設立された。当団体は銀行 API 共通化の議論をおこない、OAuth 2.0 の採用を決定した。

さらに OBIE は、より高いセキュリティーを求め、OAuth 2.0 に加えて、Financial-grade API、通称 FAPI（ファピ）、の採用も決定した。FAPI は、OpenID Foundation の FAPI ワーキンググループが策定作業を進めている仕様で、OAuth 2.0 / OpenID Connect という基盤の上に、金融業界による使用にも耐えうる高いセキュリティー要求事項を定義している。

そして、OBIE は、OAuth 2.0、OpenID Connect、FAPI という仕様スタックの上に、英国オープンバンキングの独自仕様である Open Banking Profile（OBP）を策定した。

ここまでに登場した組織名と仕様名の関係を下図にまとめる。

2. FAPI の汎用性と名称変更

当初、金融業界への適用を想定して仕様策定作業が進められていた FAPI であるが、5 つのパートで構成される仕様のうち、高度なセキュリティー要件を定める Part 1 と Part 2 は、業界を問わず利用可能であることに皆が気付き始めた。実際に金融業界以外からの問い合わせも増えてきたことから、仕様の名称を変更することになった。

幾つかの案が提示されたが、最終的には、Financial API（旧名称）から Financial-grade API（新名称）への変更に落ち着いた。工藤達雄氏による『Financial-grade Access Protection Interoperability』という案が元になっている。（参考：Renaming FAPI）

3. FAPI & OBP コンフォーマンステストスイート

共通仕様を策定しても、解釈ミスや実装ミスにより互換性が損なわれていては意味がない。OBIE は、FAPI および OBP のコンフォーマンステストスイートを必要としていた。

当初、ある企業がコンフォーマンステストスイートを受託開発していた。しかし、諸般の事情で当企業は開発を完了させることができず、開発中断を OBIE に申し出ることとなった。この事態に対処するため、新たに設立された会社が FinTechLabs.io 社（企業番号：10907533、代表：アリ・アドナン）である。

この FinTechLabs 社が、今回のイベント『Japan/UK Open Banking and APIs Summit 2018』の主催者である。

FAPI & OBP コンフォーマンステストスイートを開発するにあたり、既存の OpenID Certification テストのソースコードをベースにするべきだと、業界関係者の一部から強い意見が出された。しかし、既存コードのアーキテクチャーは良くなく、基盤とするには適さなかったため、丁寧な説得により合意を得た上で、コンフォーマンステストはゼロから実装されることになった。

この再設計が功を奏し、現在では、当該テストは、米国 ONC（Office of the National Coordinator for Health Information Technology）の支援を受け、HEART プロファイル用のテストも組み込まれるに至っている。 

将来的には、既存の OpenID Certification テストは、FAPI & OBP コンフォーマンステストスイートによって置き換えられることになるだろう。なお、関連するアナウンス『OpenID Certification Expanding to FAPI Specs』が、2018 年 6 月 27 日に OpenID Foundation から出されている。 

Financial APIs Workshop では、FAPI & OBP コンフォーマンステストスイート開発プロジェクトをリードしたジョセフ・ヒーナン氏（FinTechLabs 社 CTO）の講演のほか、FAPI 対応した Authlete 2.0 を用いたコンフォーマンステストスイートの実演も予定されている。

4. 全ての立場から

今回の Financial APIs Workshop が特別な理由は、FAPI に関して、仕様策定者、公式テスト開発者、サーバー実装者、クライアント実装者、制度構築・運用者が一堂に会するからだ。

（敬称略）

仕様策定者

• 崎村 夏彦 ─ OpenID Foundation 議長兼 FAPI WG 議長
• ジョセフ・ヒーナン ─ FinTechLabs, CTO / Authlete, Senior Architect
• デイブ・トング ─ Moneyhub, CTO

公式テスト開発者

• ジョセフ・ヒーナン ─ FinTechLabs, CTO / Authlete, Senior Architect
• ジャスティン・リッチャー ─ Authlete, Principal Architect / Bespoke Engineering, Founder

サーバー実装者

• ジャスティン・リッチャー ─ Authlete, Principal Architect / Bespoke Engineering, Founder
• 池田 英貴 ─ Authlete, Co-Founder
• 川崎 貴彦 ─ Authlete, Co-Founder

クライアント実装者

• デイブ・トング ─ Moneyhub, CTO

制度構築・運用者

• ラルフ・ブラッグ ─ OBIE, Identity and Ecosystem Architect
• マーク・ハイネ ─ OBIE, Identity Product Owner 

上記の登壇者のうち、崎村夏彦氏、ジョセフ・ヒーナン氏、ジャスティン・リッチャー氏、ラルフ・ブラッグ氏は、２０１８年６月末に米国ボストンで開催された Identiverse のスピーカーでもある。同イベントの参加費が $1695（18 万円以上）であることを考えれば、彼らの話を日本国内で聴くことができる機会は、かなり貴重であると言える。（英語→日本語への同時通訳あり）

FAPI に関してはどんなに深い話でも対応できる専門家が揃っているので、質疑応答時間やネットワーキングタイムを活用して突っ込んだ話を彼らにぶつけることも可能だ。特に、エンジニアであれば、OAuth や OpenID Connect を中心に様々な標準仕様の策定に携わり、『OAuth 2 in Action』の著者として、また、『MITREid Connect』の実装者としても知られる著名エンジニアのジャスティン・リッチャー氏に注目したい。

5. 注目の Fintech スタートアップ企業によるトークセッション

イベントの後半には、500 Startups Japan ファミリーである Fintech 企業 3 社によるトークセッションも行われる。

• justInCase ━ スマホ保険（少額短期保険業）
• hokan ━ 保険業界特化型 SaaS
• Credit Engine ━ オンライン融資プラットフォーム LENDY

保険業界や融資業界の API 対応はまだまだこれからであるが、ちょうど数年前の銀行 API 議論開始時と状況が似ており、API 化の波は避けることはできないだろう。これらの業界にも、API を起爆剤とする大きな変化が起こるものと期待される。勝負をかける新進気鋭のスタートアップ 3 社が、500 Startups Japan のマネージングパートナー澤山陽平氏をモデレーターとするトークセッションを行う。今後の業界の行く末を占うトークに注目したい。

6. 後援

今回のイベントは、幾つかの団体から後援を得ている。特徴的なのは、駐日英国大使館と東京都からの後援だ。

昨年の 2017 年 12 月、東京都と City of London は金融分野で連携をおこなうことについて覚書を交わした（『City of London との MoU 署名式』）。この覚書の交換は、『国際金融都市・東京』構想の取組の一環としておこなわれたものである。そして東京都は、今回の Japan/UK Open Banking and APIs Summit も、同構想の一環と位置付け、後援に名を連ねている。

一方の駐日英国大使館だが、その役割の一つに、日本企業の英国への進出・英国企業の日本への進出の支援がある。英国の Open Banking の取組を日本と共有することは、両国共通のエコシステム構築に資するものであり、双方の産業界にとって有益であることから、駐日英国大使館も後援に名を連ねている。

そのほか、Fintech 協会、電子決済等代行事業者協会、500 Startups Japan、Level 39、OpenID Foundation、Open Identity Exchange からも後援をいただいている。

7. 協賛

国内外から専門家を招いて二日間にわたっておこなわれる本イベントは、スポンサー企業の皆様の協賛によって支えられている。感謝申し上げたい。 

プラチナスポンサー

• 凸版印刷

ゴールドスポンサー

• みずほフィナンシャルグループ

シルバースポンサー

• NEC
• エムティーアイ

ブロンズスポンサー

• iSiD
• アクセンチュア
• NTT DoCoMo Ventures
• オージス総研
• Authlete
• 三菱地所

まとめ

国内外の専門家を招き、2018 年 7 月 24 日と 25 日の二日間にわたって開催される『Japan/UK OpenBanking and APIs Summit 2018』。その一日目がエンジニアを対象とした『Financial APIs Workshop』である。銀行 API の世界最新事例や Financial-grade API（FAPI）の詳細を知りたいエンジニアの方々は、同イベントに是非注目していただきたい。

2018 年 7 月 17 日

株式会社 Authlete 代表 川崎 貴彦