銀行およびAPI接続先は、オープンAPIの提供にあたり、十分なセキュリティ対策、利用者保護を図る必要があるが、API接続先に銀行と同水準のセキュリティ対策、利用者保護策をいたずらに求めると、利用者がテクノロジーの恩恵を受ける機会を失う可能性がある。このため、銀行は、APIの機能や連携するデータの種類・秘匿性等に応じたリスクベース・アプローチに基づいて、利用者の利便と利用者保護のバランスをふまえた対策を行うべきである。

銀行APIのオープン化については、全国銀行協会の「オープンAPIのあり方に関する検討会報告書」（以下「API検討会報告書」という）が参考になる。ただし、ビジネスモデルやサービスによって異なるリスクと対策のすべてを一般的・網羅的に検討することは困難であり、「API検討会報告書」でも、共通して生じうる主なリスクに対応したセキュリティ対策および利用者保護策が紹介されているにとどまる。リスクの内容等を勘案した結果をふまえ、「API検討会報告書」ではあげていない追加的な対策を講じることもあれば、リスクが小さい場合には、「API検討会報告書」の記載にかかわらず、セキュリティ対策を軽減することも十分に検討すべきである。

オープンAPIのリスクとしては、①情報セキュリティの観点からのリスク（API接続先への外部からの不正アクセスに起因して生じるリスク、銀行への外部からの不正アクセスに起因して生じるリスク、銀行、API接続先、利用者の間の通信に起因して生じるリスク、および内部の役職員の不正により生じるリスク）と、②API接続先のサービスに関連する利用者保護のリスク（API接続先に起因するリスク、インターネットを利用した取引特有のリスク、および銀行またはAPI接続先のシステムに起因するリスク）がある。

銀行には、セキュリティの観点から、①接続先の適格性の確認、②外部からの不正アクセス対策、③内部からの不正アクセス対策、④不正アクセス発生時の対応、⑤セキュリティ対策の継続的な改善・見直し・高度化が求められる。

①については、最初の接続時のみならず、接続後も定期的にまたは必要に応じて行う。他方で、各銀行に共通する審査内容についてのAPI接続先チェックリストや、自行の責任において他行の審査結果の利用も考えられる。

②については、アクセス権限の認可にOAuth2.0、認証プロトコルにOpenID Connect1.0の採用を前提としているが、同等ないしそれ以上の強固なプロトコルの採用は妨げられない。アクセス権限の付与に係る認証、アクセス権限／トークンの管理、個々の取引に係る認証、通信方式、システムの堅牢性、不正検知・監視機能についての態勢整備に留意する。

③については、API接続先の内部不正対策にも留意する。

銀行には、利用者保護の観点から、①API接続先の適格性、②説明・表示、同意取得、③不正アクセスの未然防止、④被害発生・拡大の未然防止、⑤利用者に対する責任・補償が求められる。

②については、銀行およびAPI接続先による重要な情報の表示、同意取得、リスク等に関する表示、利用者の誤認防止等が求められる。

⑤について、銀行とAPI接続先とは、事前に、システム上の不具合などが発生した場合の対応窓口や、利用者に損害が生じた場合の補償・返金方法を取り決める。銀行およびAPI接続先に過失がない場合でも、無過失の個人に被害が生じた場合は、銀行またはAPI接続先から補償を行う。銀行は、利用者保護に欠ける場合に、API接続先に対して態勢の見直し、責任財産の充実、責任保険への加入を求めるほか、実質的な利用者保護ために、API接続先の利用約款における過大な免責条項の是正を求める。