EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。
API接続のセキュリティに係る合意された手続(AUP)業務
金融機関によるオープンAPIは、電子決済等代行業者と連携した利便性の高い高度な金融サービスの提供を実現可能としました。一方で、金融機関にとって接続先である電子決済等代行業者との間でAPI接続に係るセキュリティをどのように効率的に確認するかが課題となっています。EYでは合意された手続(AUP)業務という調査手法をご提案します。
API接続のセキュリティと「API接続チェックリスト」について
金融機関によるオープンAPIの展開は、電子決済等代行業者(以下「電代業者」)と連携した利便性の高い、高度な金融サービスの提供を実現可能としました。一方で、API接続に当たって安全なデータ連携を行うために、多対多の関係である金融機関と電代業者は、セキュリティに関する確認をどのようにして効率的に行うかが課題となってきました。
API接続が行われる際に、双方がセキュリティの観点から効率的にコミュニケーションを行うためのツールとして、公益財団法人金融情報システムセンターより「API接続チェックリスト」が公開されています。
安全かつ信頼性の高いAPI接続を広く普及していくため、金融機関や電代業者には、このチェックリストに基づく運用および定期的な点検・モニタリングの実施とともに、その対応状況についての第三者調査を通じた信頼性の付与が期待されています。
出典:「金融機関と API 接続先のためのAPI 接続チェックリスト解説書」(<2018年10月版>2019年9月27日一部改訂)、公益財団法人金融情報システムセンター、www.fisc.or.jp/document/fintech/file/20190927_2.pdf (2020年7月31日アクセス)
本業務におけるEYのアプローチ
電代業者のAPI接続に係るセキュリティ対応状況へのアプローチとして、EYでは合意された手続(AUP)業務という調査手法をご提案します。AUPは日本公認会計士協会の専門業務実務指針4400「合意された手続業務に関する実務指針」に基づく業務であり、金融機関が電代業者のAPI接続に係るセキュリティを評価するにあたって利用可能な、信頼性の高い報告書を提供できます。
実施手順
スケジュール(例)
EYが提供する第三者評価・調査サービスの実績
EYでは日本公認会計士協会や米国公認会計士協会の基準に基づく保証業務やAUP業務、また情報セキュリティ監査やISO規格に基づく認証業務など第三者評価・調査の分野における豊富なサービス提供の実績と、EY Globalで培われてきたナレッジに基づき、貴社の信頼性の向上に寄与します。
EYの関連サービス
受託業務に係る内部統制の保証業務(SOCR)
外部への委託業務に係る内部統制の状況を把握し、その有効性の評価に利用する報告書(保証業務実務指針3402/AT-C320に基づく報告書)をはじめ、Trustサービス(情報システムの信頼性や電子商取引の安全性などに係る内部統制についての保証)など、第三者機関としての報告業務(System and Organization Controls Reporting、以下SOCR)を提供します。