オーストラリアのスタートアップである Payble が AWS パートナーと連携して CDR コンプライアンスへの道を加速

オーストラリアの議員が 2020 年に (CDR) イニシアティブに署名したことで、全国の金融サービス企業はオープンバンキングを採用できるようになりました。オープンバンキングとは、消費者に対して、自らの銀行データへのアクセスと管理を提供する慣行です。しかし、銀行や他の機関が顧客のオープンバンキングデータを受け取るには、Australian Competition and Consumer Commission (ACCC) によって Accredited Data Recipient (ADR) として認定される必要がありました。そのためには、データの安全な保護と管理を確実に実現するための厳格なプライバシー保護策とルールを実装する必要があります。

CDR 認定への道は複雑で時間がかかり、Payble はその困難をよく知っています。このオーストラリアのフィンテックのミッションは、billxiety (請求や支払いに関する低質なエクスペリエンスによって引き起こされる、無用な苦痛や不安) をなくすことです。同社の革新的な請求アドオンは、企業や地方自治体が便利で柔軟な支払いオプションを顧客に提供するのに役立ちます。

「CDR はオーストラリアでは比較的新しいため、簡単にコピーして実装できるような方法はありません」と Payble の共同創業者兼 Managing Director である Elliott Donazzan 氏は述べています。「特定の要件に加えて、私たちが慣れている一般的な規制には当てはまらない、微妙に異なる側面があります。さらに、すべてをサポートする適切なテクノロジーを構築するには、多くの作業が必要です。CDR は当社のコアビジネスではないため、認定を取得するには適切なパートナーが必要でした」。

Payble は設立当初から Amazon Web Services (AWS) クラウド上で稼働しており、さまざまなサービスを利用してアプリケーション環境をサポートしています。この関係を通じて、Payble は金融テクノロジー業界の CDR 認定とテクノロジーソリューションの加速に強みを持つ AWS パートナーのネットワークの紹介を受けました。このネットワークには、クラウドテクノロジーコンサルティング企業である DNX、CDR とグローバルスタンダードの認定を提供する最新の保証会社である AssuranceLab、オープンバンキングと CDR に強みを持つサイバーセキュリティ企業である Astero、データ受信者のための独自の AWS 構築 CDR プラットフォームである Adatree が含まれます。DNX の CEO である Helder Klemp 氏は、次のように述べています。「Adatree と話し合い、エンジニアリング戦略を共有し始めました。当社が連携できる可能性がある他のパートナーについて AWS と協議した後、企業が認定を受けるのに役立つソリューションを共同で開発することにしました」。

パートナーは、企業が CDR に準拠し、ADR 認定を受けるのをサポートすることに重点を置いたソリューションである「CDR in a Box」を作成しました。このソリューションは、AWS Well-Architected フレームワークに基づくパートナープラットフォームを含んでおり、AWS Security Hub、Amazon GuardDuty、AWS Identity and Access Management (IAM)、AWS Key Management Service (KMS) などのコア AWS セキュリティコンポーネントを特徴としています。

「CDR in a Box」には、Adatree と Astero が共同で開発したテンプレートベースのビジネスソリューションである ADR Accelerator が含まれており、企業が ADR アプリケーションを加速するのに役立つよう設計されています。Adatree は、認定を受けるために必要なビジネスアプリケーションに重点を置いた、ADR 認定の取得に向けた準備のためのテンプレートパックを提供しています。Adatree のプラットフォームも AWS 上に構築されており、さまざまな AWS サービスを利用して実行されます。

Astero は、認定に必要となる技術的なセキュリティドキュメントやコントロール評価サービスを含む「CDR in a Box」をサポートするために、サイバーセキュリティの専門知識を活用しました。「CDR in a Box を利用することで、お客様は、セキュリティとリスクを第一に考えた、コンプライアンスを実現するためのアプローチに確実に従うことができます」と Astero の CEO である Sandeep Kumar 氏は述べています。「これは、お客様が CDR データ環境の境界とデータフローを定義し、脅威評価を実行して、適切なセキュリティコントロールを実装するのをサポートすることから始まります」。

AssuranceLab は、認定に関する専門知識とスキルセットを使用して、CDR 監査に必要となる技術的なセキュリティドキュメントを作成することで、「CDR in a Box」に貢献しました。「グループとして、エキスパートによる 4 つのオファリングを Payble 向けの 1 つのシームレスなソリューションに統合しました」と AssuranceLab の CEO である Paul Wenham 氏は述べています。「お互いのアプローチを理解し、効果的に連携することで、推測やビジネスの混乱がなくなり、Payble は得意分野に注力できるようになりました」。

Payble は、ADR Accelerator を利用して、同社の ADR アプリケーション監査のために、ビジネスの準備状況を示すドキュメントを提供しました。また、DNX は、監査プロセス全体を通じて Payble をサポートし、自動化されたコンプライアンス機能を提供しました。統合パートナーオファリング全体には、Payble のビジネスに合わせてカスタマイズされたガイダンスとサポートが含まれます。

Adatree の Industry Sandbox と AWS パートナーが共同開発した Well-Architected ソリューションを活用することで、Payble はわずか 4 週間で監査に対応した環境を開発できました。「オーストラリアの業界では、コストと時間の制約から CDR 対応は難しすぎるという意見が広まっています。しかし、スタートアップは魅力的な製品を市場に提供するために CDR を必要としています」と Kumar 氏は述べています。「当社は、すべてのコンプライアンス要件を満たしながら CDR へのアクセスを簡素化しようと試みています」。

「スタートアップとして、迅速に行動し、できるだけ早く CDR コンプライアンスのメリットを享受する必要があります」と Donazzan 氏は述べています。「AWS パートナーと連携することで、ADR アプリケーションを予定よりも早く完了でき、CDR に接続するためのプロセスではなく、コアビジネスに注力できました」。 認定に加えて、Payble はビジネスのための堅牢なセキュリティとコンプライアンスの基盤を持つことからも恩恵を受けています。

Payble では、AWS パートナーの統合されたコントロール評価、テクノロジー、ドキュメント、セキュリティサービスにより、専門の内部監査スタッフを雇う必要性が減りました。「当社がコンプライアンスの問題に取り組む担当者として配属するのは 1 名のみです。AWS パートナーソリューションのおかげで、認定プロセスに取り組むためにさらに人を雇う必要がなくなりました」と Donazzan 氏は述べています。

また、このソリューションにより、Payble とコンプライアンス監査人との間の連携が効率化されました。「CDR に準拠することは重要ですが、スタートアップには必ずしもフルタイムのセキュリティコンプライアンス担当者や、高コストのエンジニアを雇うリソースがあるわけではありません」と Kumar 氏は述べています。「当社のソリューションのオートメーション機能を使用することで、Payble は CDR ルールを理解してセキュリティポリシーを作成しようとする際にゼロから始める必要がなくなりました。代わりに、プロセス全体を迅速かつ効果的に進めることができました」。

AWS 上の「CDR in a Box」により、Payable ではプロセス全体を効率化できたほか、高コストの専門スタッフを雇ったり、テクノロジーの構築やドキュメントの準備に時間を費やしたりする必要がなくなりました。「当社は、AWS パートナーが提供するオプションの 2 倍のコストがかかっていたであろうコンプライアンスソリューションを検討していました」と Donazzan 氏は述べています。全体として、Payble がインフラストラクチャ、ドキュメント、監査のコストとして費やしたのは、9 万 USD に満たない額でした。「金融サービス業界では、完全なコンプライアンスソリューションにはそれよりも何倍もコストがかかることがあります」と Kumar 氏は述べています。

2021 年 11 月、Payble は Unrestricted Data Recipient として認定を受けました。数週間後、同社は Adatree のプラットフォームを通じて Active Status を達成しました。これにより、Payble は仲介者を介してこれを達成したオーストラリア初の企業となりました。Kumar 氏は次のように結論付けています。「監査は複雑で面倒な場合がありますが、私たちはプロセスを簡素化するためにチームとして連携しました。Payble との関係は今後もずっと続くでしょう」。

 詳細については、aws.amazon.com/compliance をご覧ください。