メインコンテンツへスキップ
Diditが200万ドルを調達し、Y Combinator (W26)に参加
Didit
ブログ一覧へ
ブログ2026年5月21日

PSD3とPSR:フィンテックとPSPに与える影響を徹底解説 (JA)

EUのPSD3と決済サービス規則(PSR)は、不正行為の責任、SCA、IBAN名義確認、データ共有を大きく見直します。PSD2からの変更点と、それが実務にどう影響するかを解説します。.

By Didit更新日
psd3-payment-services-directive.png

EUの第2次決済サービス指令(PSD2)は、欧州の決済のあり方を大きく変えました。PSD3とその補完規則である決済サービス規則(PSR)は、さらに踏み込み、不正行為の責任を決済サービスプロバイダー(PSP)に明確に転嫁し、強力な顧客認証(SCA)を強化し、IBAN名義確認を義務付け、業界横断的な不正データ共有を正式化します。フィンテック企業、ネオバンク、PSPにとっては、コンプライアンス上の負担であると同時に、競争上の優位性をもたらすものでもあります。

PSD3は指令であり(加盟国が国内法に転置する義務がある)、PSRは規則であり(EU全体に直接適用される)ます。これらは合わせてPSD2を置き換え、より統一された法的基盤を構築します。ほとんどの運用規則はPSRに含まれ、発効後すぐに直接適用されます。一方、PSD3については加盟国に転置期間が与えられます。これらのタイムラインは目安として捉え、公式のEU情報源で追跡してください。

具体的な変更点

1. 不正行為の責任 — APP詐欺と受取人PSP

構造的な大きな変更点として、APP詐欺の場合、受取人PSP(不正な支払いを受け取る機関)にまで責任が拡大されます。PSD2では、ほぼ支払人PSPに焦点が当てられていましたが、新しいフレームワークでは責任共有が導入されます。受取人PSPが、受取口座が詐欺に利用されている兆候に対して行動しなかった場合、損失の一部を負担します。これにより、両側のPSPは、支払人側の認証だけでなく、より優れた不正信号を必要とします。

2. 強力な顧客認証(SCA) — より明確な規則、より厳格な範囲

PSD2のSCA規則は原則としては正しかったものの、実務では煩雑でした。PSD3/PSRは以下を明確化します。

  • 認証の委任: PSPはSCAを第三者に、より明確に委任できるようになります。これは、加盟店に組み込まれたフローやウォレットプロバイダーにとって重要です。
  • 免除の枠組み: 取引リスク分析(TRA)による免除と少額取引の閾値が厳格化されます。免除には文書化されたリスクモデルが必要となり、包括的な摩擦の少ないアプローチは精査されます。
  • 法人アカウント: 専用の決済プロトコルを使用する大企業は、より明確な免除経路を得られます。
  • アカウントアクセスに対するSCA: PSD2のオープンバンキングフローを妨げていた90日間のサイレント再認証要件が合理化されます。

技術的な定義は変更されませんが、SCAが失敗した場合や不適切に免除された場合の責任の所在が変わります。

3. 受取人の確認 — IBAN名義確認の義務化

受取人の確認(VoP)は、支払人PSPに対し、支払指示を実行する前に、支払指示に付随する名義が目的地のIBANに登録されている名義と一致するかどうかを確認することを義務付けています。不一致の場合、PSPは支払人に警告しなければなりません。支払人がそれでも続行する場合、責任は支払人に移ります。PSRはVoPを各国によるオプトインから、標準化されたAPIと応答コードを備えたEU全体での要件に移行させます。これにより、スペインの支払人PSPはポーランドの受取人IBANを確認できるようになります。PSPにとって、これは実行前のリアルタイムでの受取人名義のルックアップを意味します。

4. 不正データの共有 — 相互運用性の義務化

PSD3の下では、PSPは不正情報共有フレームワークへの参加が義務付けられます。自発的な二国間協定は、規制された相互運用性要件に置き換えられます。これにより、機関は他のPSPからの不正信号を受信し、それに基づいて行動できなければなりません。EBAの技術基準が詳細を補完します。

5. オープンバンキングアクセス — TPPの障害を削減

PSD2は、第三者プロバイダー(TPP)がAPIを介して決済口座にアクセスする法的権利を創設しました。PSD3はこれを拡張し、執行を強化します。専用インターフェースは性能基準(稼働時間、遅延、データ完全性)を満たす必要があり、準拠するインターフェースに対するスクリーンスクレイピングのフォールバックは廃止され、TPPはより明確な同意フローを得られます。

PSD3がフィンテック企業とPSPの実務に与える影響

これらの規定は、ライフサイクル全体にわたる具体的な要件に変換されます。オンボーディング時には、不十分な本人確認は受取側PSPの責任を弱めます。堅牢なKYCが最初の防衛線です。認証時には、SMS OTP付きの4桁のPINは準拠していますが、リスクが増大しています。生体認証による顔照合は、より高い信頼性を提供します。支払い実行時には、VoPは送信前に名義照合APIコールを意味し、事後ではなくブロックを伴います。継続的なモニタリングでは、受取人PSPの規定により、アウトバウンドと同様にインバウンドのモニタリングが重要になります。バッチレビューではなく、リアルタイムのパターンマッチングが求められます。

Diditが提供するソリューション

Diditは、認証、検証、モニタリングをカバーする単一のAPIで、本人確認と不正対策のためのインフラストラクチャを提供します。PSD3/PSRの要件に対応するモジュールはすでに稼働しています。

SCAグレードの生体認証

SCAは「固有性」を要素の一つとして要求します。Diditの生体認証モジュール(0.10ドル)は、元のKYC生体認証データとの顔照合による生体検知を提供し、単に顔が自分自身と一致するかどうかだけでなく、より厳密な確認を行います。デバイスバインディングと組み合わせることで、PINベースのSCAでは達成できないレベルの固有性を満たします。同じスタックがアクティブ生体検知(0.15ドル)またはパッシブ生体検知(0.10ドル)として利用可能です。

オンボーディング時の本人確認

KYCのコアフロー(本人確認 + パッシブ生体検知 + 顔照合 + IP/デバイス分析)は、1回のチェックあたり0.33ドルで実行され、220以上の国と地域で14,000種類以上の書類タイプに対応し、2秒未満で完了します。これにより、再認証の基準となる検証済み本人確認と、デューデリジェンスの監査記録が得られます。Diditは、スペインのTesoro、Banco de España (BdE)、SEPBLACといったEU加盟国政府によって、対面での検証よりも安全であると正式に認められた唯一の本人確認プロバイダーです。これは、監督機関へのコンプライアンスを実証する上で重要です。NFC読み取り(0.15ドル)は、NFC対応書類のチップ検証を追加し、最高レベルの信頼性を提供します。

AMLスクリーニング

PSD3は、金融犯罪に関連する顧客や企業をオンボーディングした場合の結果をより厳しくします。DiditのAMLスクリーニング(0.20ドル)は、1,300以上の制裁、PEP(政治的実勢者)、不芳情報リストに対してリアルタイムで実行されます。継続的なAMLモニタリング(0.07ドル/ユーザー/年)は、登録されたユーザーを継続的に再スクリーニングし、オンボーディング後にリスクプロファイルが変更された場合でも、次の取引前に通知します。

取引モニタリング

受取人PSPの規定により、インバウンドフローの継続的なモニタリングは、PSD3の要件とほぼ同義となります。Diditの取引モニタリング(1取引あたり0.02ドル)は、リアルタイムのルールエンジン(速度、異常な金額、地理、行動パターンをカバーする11のシードルールバンドル)を実行し、ケース管理、SARワークフロー、そして手動介入なしに追加の本人確認証拠を要求するAWAITING_USER自動修復ループを備えています。フラグが立てられた取引に対するAMLスクリーニングは、トリガー時に0.20ドルで請求されるため、クリーンなフローの基本コストを低く抑えることができます。

デバイス&IP分析

APP詐欺やアカウント乗っ取りは、偽装されたデバイスコンテキストに依存しています。Diditのデバイス&IP分析(0.03ドル)は、すべての検証セッションで自動的に実行され、デバイスフィンガープリント、重複デバイス信号、VPN/プロキシ/Tor検出、および地理的書類不一致警告を返します。これは、本人確認資格情報のチェックを補完する行動信号です。

ユースケース

ネオバンクのオンボーディング。サインアップ時にKYCコアフロー(書類 + 生体検知 + 顔照合 + デバイス分析)を実行し、口座開設前に検証済み本人確認、生体認証リファレンス、デバイスバインディングを取得します。登録された生体認証データは、その後の認証のためのSCA固有性要素となります。

APP詐欺防止 — 受取人側PSP。閾値を超えるインバウンド支払いに対して取引モニタリングルールバンドルを実行します。短期間に異なる送信者から複数の送金を受け取っている口座はレビュー対象として浮上し、Linked KYBによりビジネス口座の事業体AMLコンテキストが追加されます。

高額支払いに対するSCAステップアップ。TRAがステップアップのために支払いをフラグ付けした場合、SMS OTPの代わりに生体認証チェック(登録された本人確認データとの顔照合)をトリガーし、より高い信頼性と監査ログを提供します。同じフローで、休眠口座の再アクティベーション前に、元のオンボーディング生体認証データと照合して再検証します。

よくある質問

PSD3はいつから適用されますか?

PSD3は指令であり、正式採択後、加盟国は定められた期間内にこれを国内法に転置しなければなりません。PSRは規則であるため、発効後すぐに直接適用されます。このプロセスは、2026年半ば現在もEU機関で進行中です。二次情報源ではなく、欧州委員会およびEBAの公式発表で最新のタイムラインを確認してください。

PSD3とPSRの違いは何ですか?

PSD3は、ライセンス、パスポート、アクセス権といった枠組みを定める指令であり、加盟国に国内法の制定を義務付けています。PSRは、転置なしに直接かつ一律に適用される規則であり、ほとんどの運用規則(SCA、不正行為の責任、VoP、データ共有)を定めています。

PSD3は仮想通貨PSPに適用されますか?

仮想通貨資産を含む決済サービスは、取引に法定通貨への変換や規制対象の決済口座が関与する場合に適用範囲内となります。規制対象の決済口座に触れない純粋な仮想通貨間の送金は、MiCA(仮想通貨市場規則)の対象となります。両方にまたがる事業者は、両方の義務を評価する必要があります。

PSD3におけるSCAとは何を指しますか?

SCAは、異なるカテゴリ(知識(PIN、パスワード)、所有(デバイス、トークン)、固有性(生体認証))から少なくとも2つの独立した要素を要求します。顔スキャンは固有性を確認し、デバイスに紐付けられたトークンは所有を確認します。PINと記憶されたパスワードはどちらも知識であり、これはSCAではありません。

PSD3の発効前に受取人の確認を導入する必要がありますか?

EU即時支払い規則に基づく即時クレジット送金については、PSD3/PSRの全タイムラインに先立ち、IBAN名義確認要件がすでに適用されます。EUの受取人への即時クレジット送金を処理している場合、VoP義務はすでに適用されている可能性があります。各国の管轄当局のガイダンスを確認してください。

さあ、始めましょう!

PSD3コンプライアンスは多層的です。オンボーディング時の本人確認、ステップアップ時の生体認証、承認後のAMLと取引モニタリングが含まれます。Diditは、単一のAPIからスタック全体をカバーし、公開価格設定で最低料金もありません。

本人確認と不正対策のインフラ。

KYC、KYB、取引監視、ウォレットスクリーニングを一つのAPIで。5分で統合できます。

無料で始めるお問い合わせ
AIにこのページの要約を依頼する