欧州委員会は11月27日、決済サービスの安全性向上を目的とする新たな規制の枠組み「決済サービス指令(PSD 2)」の運用ルールを定めた「規制技術基準(RTS)」を発表した。決済業務を担うすべての事業者に共通ルールを適用してサービスの安全性を高め、消費者がより利便性の高い革新的サービスを利用できるようにする。欧州議会と閣僚理事会で欧州委の提案について検証し、3カ月以内に反対意見が出なければ新ルールが導入される。
EUは情報通信技術(ICT)を利用した決済サービスを提供する事業者の参入に対応するため、2015年に現行の決済サービス指令に代わる新指令(PSD 2)を採択した。電子データをやり取りして代金などを支払う電子決済の安全性を高めると共に、フィンテック企業を含めた競争上の公平性を確保して消費者の選択肢を広げるのが狙いで、ネットショッピングのサイトと支払人のオンライン銀行口座をつなぐ「決済開始サービス(PIS)」と、利用者のオンライン銀行口座にアクセスして情報を収集する「口座情報サービス(AIS)」が新たに規制の対象となる。
新指令は決済業務を担うすべての事業者に「確実な本人認証(SCA=Strong Customer Authentication)」の確立を求めており、欧州委がそのための具体策としてRTSをまとめた。
それによると、事業者はオンラインまたは実店舗での支払いに際し、クレジットカードや携帯電話などの物質的な決済手段と、パスワードやPINコード(個人識別番号)、指紋や虹彩などの生体認証のうち、少なくとも2つ以上の条件が揃わないと決済できない仕組みを構築する必要がある。欧州委はこうした手段を講じることで、単にパスワードだけでカード決済が可能な現状と比べて大幅に安全性が高まり、悪質なオンライン詐欺などの防止につながると説明している。
新指令は18年1月13日付で施行されるが、RTSに盛り込まれたセキュリティ要件については19年9月が導入期限となる。