ymzkmctのブログ

マネジメント業をやっています

資金移動業におけるKyashの取り組みをちょっと紹介する

こんにちは Kyashの @ymzkmct です。これは Kyash Advent Calendar 2021 24日目のエントリーです。

今回はKyashで行っている資金移動業における開発チームの取り組みや、システム以外の要件で開発が必要なポイントについて書きたいと思います

はじめに

プリペイドカード発行会社としての側面を持っているKyashですが、今年はカード発行業界にとってとても印象的な1年となったのではないかと考えています。freeeカード Unlimited, BASE Card, マネーフォワード ビジネスカードなど、メイン事業と相乗効果がありつつユニークな機能を持つプリペイドカードが多く登場しました。カード発行のシステムにはPCI DSSというセキュリティ監査基準が要求され、この存在が決済カードビジネスの参入障壁になっていたのではないかと思いますが、インフキュリオン社のXardなど、監査対象のシステムをプラットフォームとして提供するプレイヤーが登場したことでこの課題が解決されています。

決済系のFintechサービスはお客様の資産保全や社会的なインフラも担っており、事業形態や提供する機能によって様々なライセンスやガイドラインが存在します。KyashではPCI DSSの他にも、前払式支払手段発行業資金移動業の登録を受けておりますので、今回は資金移動業の要件に対して開発が関連するものやKyashでの取り組みの一部を書いてみたいと思います。

資金移動業者とはなにか

資金移動業者とは銀行以外のものが為替取引を行う事業者を指します。資金移動業は第一種から第三種までありそれぞれ制約が異なるのですが、Kyashでは第二種資金移動業の登録を受けており100万円以下の為替取引を行うことができます。一般社団法人日本資金決済業協会にも様々な例が記載されておりますが、Kyashは「インターネット・モバイル型」に該当し、銀行口座を紐付けて入金できる機能や入金された残高を銀行口座に出金する機能、入金された残高をATMで引き出す機能はこのライセンスの元で提供されています。

資金移動業登録を受ければ銀行口座から入金や出金の機能の開発ができる!というとそういうわけではなく、資金移動業者ガイドラインによって定められている体制構築や開発の対策が必要になるわけです。

資金移動者 ガイドライン

資金移動者ガイドライン金融庁のHPで公開されており、誰でも確認することができます。

ここからはガイドラインの中でも開発が必要とされる可能性があるものをピックアップして説明してみたいと思います。なおシステム要件以外の説明は実際にKyashの取り組み内容とは異なりますので予めご了承ください。一方、システム要件についてはKyashが実際に取り組んでいる内容の一部を公開しています。

Ⅱ-2-1-2 取引時確認等の措置

Ⅱ-2-1-2-1(3) ① 資金移動業者の行っている業務内容・業容に応じて、システム、マニュアル等により、疑わしい利用者や取引等を検出・監視・分析する態勢を構築すること。 

Ⅱ-2-1-2-1(3) ② 取引モニタリングにおいて、各顧客のリスク評価も踏まえ、適切に敷居値が設定されているか。また、ビジネスモデルを踏まえ、疑わしい取引を検知するためのシナリオが適切に設定されているか。届出をした疑わしい取引事例や届出に至らなかった事例を分析し、届出に至る調査が適切か、定期的にシナリオ、敷居値の見直し作業を適切に行っているか

犯罪収益移転防止法(犯収法)に基づき組織犯罪による金融サービスの利用を防止し、国内の金融事情に対する信頼を確保するための対策です。

要件では利用者の属性や取引の傾向などを元に疑わしい取引や利用者を分析することが求められています。 システム、マニュアル等により という記載がありますので開発が必須ではありませんが、業務を効率化することに対してエンジニアリングで貢献できそうです。

Ⅱ-2-2-2 帳簿書類

Ⅱ-2-2-2-1 ② 帳簿書類のデータファイルのバックアップ等、帳簿書類が毀損された場合には速やかに利用者ごとの未達債務の額を把握・復元できるよう態勢を整備しているか

Ⅱ-2-2-2-1 ③ 帳簿書類の記載内容の正確性について、内部監査部門等、帳簿書類作成部署以外の部門において検証を行っているか。

資金移動業者は、入金されてから送金(決済)されるまでの資金(わかりやすく言うと残高)の100%以上の額を履行保証金として保全する必要があります。少し話が逸れますが、この要件によって資金移動業者が債務不履行となった場合でも、利用者の残高は完全に保証されるのです。話を戻しますが、履行保証金の対象となる残高を未達債務と呼び、この金額の算出が必要になります。

未達債務の正確性の担保だけではなく、バックアップなどの体制も要求されています。システムで算出するだけでなく、その正確性を他チームと連携して検証する体制を作ることが必要です。また、システムによる自動化だけではなく算出データの復元も踏まえてシステムの要件を固める必要があります。

Kyashでは未達債務の算出や帳簿の作成をやる専門チームを作っています。チームミッションや具体的にやっていることは@aofox5152のエントリーを見ていただけると嬉しいです!

https://foxtoy.hateblo.jp/entry/2021/07/19/100223

Ⅱ-2-2-3 利用者に関する情報管理態勢

Ⅱ-2-2-3-1(2) ③ 

ロ.業務上必要とする場合を除き、クレジットカード情報等をコンピューター画面に

表示する際には、カード番号を全て表示させない等の適切な措置を講じているか。

利用者の個人情報を保護するためのガイドラインの中にクレジットカード情報についての取り扱いが言及されています。

カード情報を取り扱うシステムを開発している企業ならPCI DSS Version 3.2における要件3.3にも同様のものがあるので大きな負荷にはならないでしょう。ちなみにPCI DSSでは表示するカード番号は上6桁または下4桁のみ表示がルールになっています。

Ⅱ-2-3-1 システムリスク管理

Ⅱ-2-3-1-1(3) ② システムリスク管理部門は、例えば1日当たりの取引可能件数などのシステムの制限値を把握・管理し、制限値を超えた場合のシステム面・事務面の対応策を検討しているか

この要件はキャパシティプランニングを行っているかどうかです。

制限値を越えてからだと遅いので、Kyashでは定期的に制限値をチェックしボトルネックを調べています。Kyashで利用しているツールやインフラの構成などの取り組み内容は @uncle__ko が記事にしてくれています。

https://unless.hatenablog.jp/entry/2020/12/21/093659

さらに今年はより体系立てて且つ定期的に負荷テストを実施する方針も決めました。その点についても @uncle__ko が記事にしてくれていますのでぜひ御覧ください。

https://unless.hatenablog.jp/entry/2021/12/22/080000

Ⅱ-2-3-1-1(4) ③ コンピュータシステムの不正使用防止対策、不正アクセス防止対策、コンピュータウィルス等の不正プログラムの侵入防止対策等を実施しているか

この対策を上げるときりがないのですが、コーポレートエンジニアリングをやっている @rela1470 が取り組みの一部を記事にしてくれています。

https://rela1470.hatenablog.jp/entry/2021/12/13/000000

https://rela1470.hatenablog.jp/entry/2020/12/23/000000

また、サービス面の取り組みの一部では @yuu26AWS SSMの導入などを記事にしてくれています

https://speakerdeck.com/yuu26/aws-systems-manager-deshi-xian-suru-ssh-resudesekiyuanakuraudoyun-yong

Ⅱ-2-3-1-1(5) ⑤ システムの脆弱性について、OS の最新化やセキュリティパッチの適用など必要な対策を適時に講じているか

上記の要件に対してKyashではtenableというサービスを利用してOSの脆弱性を検知しています(実際には脆弱性検知用のagentを導入します)。このサービスはPCI DSSのASVスキャンレポートという脆弱性がないことの証明書の作成にも対応しており、とても重宝しています。PCI DSSと資金移動業者の両ライセンスを保有している事業者にはオススメです!

さいごに

いかがでしたでしょうか。システム対応についてのKyashの取り組みの全貌はなかなかお話しづらい点もあるのですが、今回ピックアップして記載してみました。

システムのリスク対策やセキュリティ対策以外にも、取引確認や帳簿書類の作成などでエンジニアリングが必要になってきそうな雰囲気がお伝えできたと思います。小規模のチームですとこれらの対応負荷はそれなりに大きいですが、資金移動ガイドラインや法令の中でお客様に価値提供すべく取り組んでいます!!

採用ページで公開されていないポジションもありますが、全方位的に採用を行っていますのでこれらの取り組みに興味がありましたらお気軽にお話しましょう

Kyashではこれからもお客様に価値を届けながらも安心安全なサービスの提供を心がけて参ります!