ISO 20022とは、金融サービス(資金決済取引、証券決済取引、デリバティブ取引等)で利用される通信メッセージに関する電文フォーマットのルールや手続きを規定した国際規格であり、欧州・日本等の主要決済インフラにおいて検討・導入が進んでいる。
本記事では、ISO 20022に関する基礎事項や金融分野での動向、さらに事業者がISO 20022に準拠した金融システムを実装・導入する上で気をつけるべきセキュリティ上の留意事項をご紹介する。
あるデータを2つの情報システム間で送受信することを考える。その際、事前に送受信に関するルールや手続きを定めておかなければ、データを送受信することができない、送受信したデータの情報が欠落している等、様々な問題が生じることになる。これらの問題を回避するためにも情報システム間でやり取りを行う際にルールや手続きを定めることは必要不可欠である。
特に、金融サービス分野の金融取引では、資金や証券等のやり取りに関する情報を正確に伝達することが要求されている。その中で、ISO 20022は利用者同士が円滑にデータをやりとりするためのフォーマットとして、共通言語的な役割を担っている。
ISO 20022は、証券分野の中で利用されていた通信メッセージ規格のISO 15022の後継規格として開発が進められていた。その中で、多種多様な通信メッセージが利用される状況を打開すべく、金融分野において横断的に適用可能な通信メッセージ規格として2004年に制定された(図1)。
図1:金融分野における様々なメッセージフォーマットの変遷
①柔軟性・拡張性の高い電文フォーマットである。
ISO 20022フォーマットでは、汎用的なデータ記述用言語(XML[1]またはASN.1[2])によって記述されている。具体的には、伝送する情報(宛先、送金額、送金日時等)に対し、「タグ」と呼ばれるメタデータ[3]を付与し、データ項目を定義する。したがって、伝送したい情報に応じてその都度タグを設定すればよいので、データ項目を柔軟に定義することが可能である。
ISO 20022以前のフォーマット、例えば現在SWIFT[4]で利用されている既存フォーマットはMTフォーマットと呼ばれるが、各データ項目の桁数が固定長のため、記述可能な文字数に上限がある。このことはやり取りを行う情報量に制限があることを意味している。
一方で、ISO20022に準拠したSWIFTの新フォーマット(MXフォーマット)は固定長ではなく、XML形式で記述されるため(図2)、電文の中により多くの情報を含めることができる。
図2:MTフォーマットとMXフォーマットの記述方法の違い
②電文フォーマットそのものだけでなく、前提となる業務の流れや、各データ項目の種類・定義・条件等も標準化対象となっている。
ISO 20022以前の電文フォーマットの標準規格でも、その電文フォーマットを利用する上で前提となる業務の流れやデータ項目に関する条件は文章の形式で規格書内に記載されていた。
一方で、ISO 20022ではそれらは「ビジネスモデル」や「メッセージモデル」として定式化され、「ビジネスモデル」と「メッセージモデル」から「フォーマット」を自動的に生成する仕組みとなっている(図3)。
③標準化された内容は「レポジトリ」と呼ばれるデータベースに登録され、ISO 20022のウェブサイト上で公開されている。
「レポジトリ」に格納されたビジネスモデル・メッセージモデル・フォーマットは改訂を担当する関係者の中で共有しながら更新可能となっている。また、それらの情報は誰でもアクセス可能であり、常に最新情報を入手することができる。
ISO 20022が普及する、つまり金融取引時の電文フォーマットが国際的に標準化されるメリットは主に下記の3点が挙げられる。
①電文フォーマット変更時の対応負荷軽減
各国の決済制度について、独自の電文フォーマット(例えば日本では全国銀行協会規定フォーマット)が存在しているため、もし何らか変更が生じた場合、各金融機関や関連企業はその都度対応を行う必要がある。しかし、もし電文フォーマットが標準化されれば、フォーマット変更による各金融機関や関連企業の対応負荷の軽減が期待される。加えて、STP[5]化拡大による処理スピードの向上やコスト・事務リスクの低減といった効果が見込まれる。
②電文フォーマットの情報量増加によるデータの利活用
これまでの電文フォーマットでは、各データ項目が固定長であったために文字数に制約が生じ、金融取引に関する詳細な情報を記述することができなかった。しかし、ISO 20022に対応した電文フォーマットであれば記述可能な情報量が増加するため、企業にとっては電文に含まれる豊富な送金情報を利用したリコンサイル[6]が可能となり、さらにはデータの利活用(送金情報を分析し、何らかの傾向を見出す等)の面でも期待できる。
③電文フォーマットの構造化による可読性の向上
これまでの電文フォーマットでは、送金人あるいは受取人情報が同じ箇所に記述され、異なる属性情報が混在していた(名前と住所の国名等が混在して表記される)。ISO 20022では各データ項目がタグ付けされているため、どこにどのようなデータが記述されているかを判別しやすい。
つまり、送金人・受取人情報が構造化され、氏名・国名・都市名も明確に区切られることから、金融機関にとってはマネーロンダリング対策としてのサンクションスクリーニング[7]の正確性や効率性の向上が期待される。
SWIFTや主要な決済制度のISO 20022移行スケジュールは公開されているが、現時点でまだ詳細情報が明らかになっていないものも多い。また、各国の決済制度ごとに電文フォーマットが異なる状況が継続するため、国際取引が可能な金融機関や関連企業は既存フォーマットとISO 20022電文フォーマット双方に対応しながら順次移行する必要があり、その過程では主に2つの課題が生じる。
①既存電文フォーマットとISO 20022電文フォーマット変換の必要性
ある企業がISO 20022電文フォーマットで作成された送金データを受信した際に、もしその企業のシステムがISO 20022電文フォーマットに対応していない場合、ISO 20022電文フォーマットから既存の電文フォーマットへの変換(図4)が必要となる(逆も同様)。つまり、フォーマット変換対応に向けてのシステム改修や顧客への説明といった負荷増大に繋がる。
図4:電文フォーマット変換システムの概略図
②フォーマット変換によるデータ欠落リスク
先述の内容の通り、ISO 20022電文フォーマットの方が既存の電文フォーマットよりも多くの情報を保有することができる。そのため、ISO 20022電文フォーマットから既存の電文フォーマットにフォーマット変換を実施した際に、すべての送金情報を格納できない可能性がある。これは、サンクションスクリーニングに関する大きなリスクが生じることを意味している。
そのようなリスクを回避するために、結果的にフォーマット変換が実施される前の全送金情報を改めて確認することとなり、対応コストが増大する。
SWIFTはSWIFTNet[8]で利用される既存フォーマット(MTフォーマット)からISO 20022に準拠した新フォーマット(MXフォーマット)への移行を2022年11月より開始し、2025年の11月にはMXフォーマットに完全移行する計画であることを公表した。尚、2022年11月から2025年11月までの間はMTフォーマットとMXフォーマットの併存期間となっている。
2018年12月に ZEDI(全銀EDI システム)[9]が稼働し、国内総合振込について ISO 20022に対応した電文フォーマットと従来の全銀EDIのフォーマットどちらの形式でも振込ができるようになっている。なお金融庁が公表している資料[10]によると、2021年2月時点で国内における1000以上の金融機関において取り扱いがあるものの、企業側のシステム改修等による対応負荷が大きいことが要因でほとんど利用されておらず、従来の全銀フォーマットによる振込が大半を占めている。
クレジットカード決済の分野では、これまでISO 8583に準拠した電文フォーマットが利用されることが主流であったが、近年ISO 20022に準拠した電文フォーマットの開発・導入が進められている。具体的には、クレジットカード用のISO 20022電文フォーマットであるATICA(Acquirer to Issuer Card Messages)Version 2 が2020 年6月に公開され、国際ブランドのVisaがATICAへ対応することを公表[11]している。
ISO 20022に準拠する電文フォーマットは先述したように、柔軟性や拡張性が高いことに起因して、従来の電文フォーマットよりも多くの情報を記述できるという特徴がある。したがって、セキュリティの観点から考えると、より一層、電文に含まれるそれらの情報の「機密性」「完全性」や電文をやり取りするシステムの「可用性」に留意しなければならない。それらの観点を踏まえながら、どのように事業者が対応していくべきかについて筆者の考えを述べる。
金融機関と事業者間でやりとりされる電文が悪意のある第三者(攻撃者)から盗聴されないように、セキュアなネットワークの構築・電文の暗号化の実施といったこれまでと同様の考慮が必要である。
金融機関と事業者間でやりとりされる電文の内容が悪意のある第三者(攻撃者)によって改ざんされないように、セキュアなネットワークの構築・電文の暗号化の実施に加えて、万が一電文の内容が改ざんされた場合でも、送信側の電文と受信側の電文を比較して改ざんを検知できる仕組みの導入といったこれまでと同様の考慮が必要である。
電文の授受を行うシステムが稼働し続けられるように、強固なインフラ(サーバ、ネットワーク等)の具備といったこれまでと同様の考慮が必要である。
本記事ではISO 20022に関する基礎事項や金融分野での動向、さらに事業者がISO 20022に準拠した金融システムを実装・導入する上で気をつけるべきセキュリティ上の留意事項をご紹介した。
現在は、既存の規格からISO 20022へ移行する過渡期といえるだろう。先述したようにISO 20022は金融分野において横断的に適用可能な通信メッセージ規格として期待されているものの、既存の規格からの移行に際して、事業者や金融機関側にとっての負担は少なからず発生する。
本記事で述べた点も含め、事業者や金融機関側にとっての負荷を適切に軽減または除去していくことができるのであれば、ISO 20022準拠に向けたシステム対応がより一層加速し、金融分野における通信メッセージ規格のデファクトスタンダードになりうると考える。さらに、ISO 20022のフォーマットはその柔軟性・拡張性の高さから金融分野だけでなく、他分野においても、広く適用されることを筆者としては期待する。
新たな規格への移行対応を実施する場合、セキュリティリスクの洗い出しや評価が必要となる。弊社では金融決済に関わる様々なセキュリティリスク評価全般のコンサルティング支援を提供しているため、不安や課題を感じていらっしゃる場合は、お気軽にぜひご相談いただきたい。