PSD3解説:EU決済とオープンバンキングにおける主な変更点
EUにおける電子決済の総額は年間約240兆ユーロに上る。そして、それらすべてを規制する規則が書き換えられようとしている。
PSD3(第3次決済サービス指令)は、PSD2を完全に置き換えるものです。単に旧規則を更新するだけでなく、PSD2をEU市場全体で一貫性のないものにしていた各国ごとの差異を排除する、直接適用可能な決済サービス規則(PSR)と指令が組み合わされています。不正防止対策の強化、標準化されたオープンバンキングAPI、電子マネートークンと暗号資産決済サービスの明確な規制などが主な変更点です。
2025年11月に暫定的な政治合意が成立した。EU官報への掲載は2026年第2四半期を予定している。本格的な施行は2028年頃となる。これらの日付の間隔が重要となる。PSRは掲載から20日後に適用されるため、加盟国が指令を国内法に移行させるよりもかなり早い。
PSD3とは何ですか?
EUは2007年以来、指令に基づいて決済市場を運営してきた。PSD1は基本枠組みを確立し、2015年にはPSD2がそれに続き、強力な顧客認証とオープンバンキングによる第三者アクセスを追加した。PSD3は第3世代であり、これまでの2つよりも大きな構造的変化をもたらす。
前身の規制とは異なり、PSD3は単独で存在するものではありません。決済サービス規則(PSR)が付属しており、これはEU加盟国すべてに直接適用され、各国での国内法への転換は不要です。PSD2では、ドイツとフランスが同じ指令を異なる方法で実施していました。フィンテック企業はそれぞれの市場を個別に理解する必要がありました。PSRの下では、こうした違いは解消され、行動規範はどこでも同一となります。
構造的に重要な変更点が他に2つあります。
- 電子マネー機関を個別に規制していた電子マネー指令(EMD2)は、PSD3に統合される。電子マネー機関は、単一の枠組みの下で決済機関のサブカテゴリーとなる。
- 電子マネートークン、つまり決済目的で使用される仮想通貨ステーブルコインが、初めてEUの決済サービス規制の対象となる。
PSD3とPSD2の違い:何が変わったのか
PSD2とPSD3の間で、以下の6つの分野で大幅な改訂が行われました。
| エリア | PSD2 | PSD3 |
|---|---|---|
| 法的文書 | 指令(国内法への転換) | 指令+PSR(EU統一規則) |
| EMIフレームワーク | EMD2指令は別途発行される。 | 決済機関の枠組みに統合されました |
| SCAの要件 | 厳密な因子分類 | 独立原則、より柔軟な対応 |
| オープンバンキングAPI | 自主的な形式、一貫性がない | 標準化された仕様、義務的な報告 |
| アプリ詐欺に対する責任 | 顧客が最大のリスクを負う | 重大な過失が証明されない限り、PSPは責任を負う。 |
| 暗号通貨/電子マネートークン | 対象外 | PSRの適用範囲に明確に含まれる |
指令のみから指令と規制を組み合わせた体制への移行は、想像以上に重要な意味を持つ。ドイツ、フランス、オランダで事業を展開するあるフィンテック企業は、以前は同じ法律でも国法が異なる3つのバージョンで運用されていた。PSD3/PSRの下では、行動規範は加盟国すべてで同一となる。
IBAN認証とアプリ詐欺責任
PSD3の商業的に最も重要な条項のうち2つは、詐欺、特に承認済みプッシュ決済(APP)詐欺を対象としており、これは顧客が操作されて自発的に犯罪者の口座に資金を送金してしまう手口である。
IBAN名義照合は最初のメカニズムです。決済サービスプロバイダーは、クレジット送金を実行する前に、受取人名がIBANと一致することを確認する必要があります。この確認は数秒以内に完了し、消費者は無料で利用できます。これは、2020年の導入後、APP詐欺を大幅に削減した英国の受取人確認(CoP)システムを模倣したものです。この要件は、PSD3の発効から24か月後、つまり2028年頃に施行される予定です。
責任の転嫁は2つ目の仕組みです。PSD2では、APP詐欺事件における立証責任は通常、被害者が同意していなかったことを証明する側にありました。PSD3ではこれが逆転します。
- 顧客が不正または詐欺によって誘発された取引を報告する
- PSPは返金請求を処理するのに14営業日かかる。
- PSPは、顧客が不正行為または重大な過失を犯したことを証明できない限り、全額返金しなければならない。
- IBAN確認を含む適切な不正対策を実施しない決済サービスプロバイダーは、損失に対するデフォルト責任を負う。
- 支払者操作事例:PSPが名前/IBANの不一致を通知しなかった場合、他の要因に関係なく損失を負担する。
PSD2における不正行為に対する責任に関する明確な意図を無視してきた金融機関は、今や強制的な金銭的リスクに直面することになる。これは単なるコンプライアンス上のチェック項目ではなく、不正対策インフラへの投資を促す直接的なインセンティブとなる。
オープンバンキングとAPI標準
PSD2のオープンバンキング構想は、実際的な壁にぶつかった。銀行はそれぞれ独自のやり方でAPIを実装したのだ。銀行データに基づいてサービスを提供するサードパーティプロバイダー(TPP)、つまりフィンテック企業は、EU市場全体で互換性のない実装が多数存在するという問題に直面した。例えば、ドイツの銀行データにアクセスするフランスのフィンテック企業は、スペインで使用するインターフェースとは全く異なるインターフェースを使用していた。
PSD3は、強制的な標準化によってこの問題を解決します。
- アカウントサービス決済サービスプロバイダー(ASPSP)は、標準化されたEU仕様を満たす専用インターフェースを提供する必要がある。
- 銀行は、APIの稼働時間、遅延、エラー率に関する四半期ごとのパフォーマンスレポートを公表しなければならない。
- 主要APIがダウンした場合、TPPは銀行の標準顧客インターフェースへのフォールバックアクセスを取得します。
- 顧客同意ダッシュボードが必須となり、ユーザーはどの第三者が自分のアカウントにアクセスできるかを確認し、リアルタイムで許可を取り消すことができるようになる。
- 専用インターフェースは、代替手段としての「スクリーン・スクレイピング」を排除できるほど信頼性が高くなければならない。
銀行にとっては、これまで任意であり、ほとんど無視されてきたAPIの品質に対する真の責任が問われることになる。フィンテック企業にとっては、EU市場全体で一貫性があり、監査可能なアクセスが確保されることを意味する。
PSD3に基づく強力な顧客認証
PSD2の強力な顧客認証(SCA)規則では、少なくとも2つの異なるカテゴリから2つの認証要素を選択することが求められていました。そのカテゴリとは、知っているもの(PIN、パスワード)、持っているもの(デバイス、カード)、または本人であること(生体認証)です。PSD3では、2要素認証の要件は維持されますが、カテゴリによる認証ルールは廃止されます。
新しい基準は「独立性」であり、カテゴリーの分離ではありません。一方の要素が侵害されても、もう一方の要素が自動的に侵害されない限り、2つの要素は準拠しているとみなされます。これは、実際のセキュリティをほとんど向上させないカテゴリールールを満たすために、不便なユーザーエクスペリエンスを強いられてきた決済プロバイダーにとって、まさに設計上の大きなメリットです。
加盟店主導の取引は、最も実質的な変更を受ける。PSD2では、最初のSCA設定後の定期課金はグレーゾーンに位置づけられていた。規則は定期課金向けに設計されていなかったからだ。PSD3はこのグレーゾーンを解消する。委任状作成時のSCAは、継続的な関係をカバーする。その後の自動課金には再認証は不要となる。
トークン化についても明確化されました。SCAは、カード所有者がトークンの設定に積極的に参加した場合にのみトリガーされるようになりました。トークンが作成されると、そのトークンを使用した取引では、請求ごとに新たな認証は不要になります。
動的リンク機能はPSD2から引き継がれており、認証コードは引き続き特定の取引金額と受取人に紐付けられます。また、PSRはSCAの免除に関するより明確なガイダンスを提供しており、指令単独で免除が適用されていた市場ごとのばらつきを軽減するはずです。
PSD3、暗号通貨決済、電子マネートークン
ほとんどのPSD3ガイドではこのセクションを完全に省略しているか、たった一文で済ませています。PSD3と仮想通貨の関係は構造的なものであり、周辺的なものではありません。EUで仮想通貨決済を処理するあらゆるビジネスに影響を与えます。
エントリーポイントは電子マネートークンです。2024年に施行されたEUの暗号資産規制であるMiCAの下では、単一の法定通貨にペッグされたステーブルコインは、決済目的で使用される場合、電子マネートークンとして分類されます。例えば、USDCはユーロ建ての請求書の決済に使用されます。PSD3は、これらのトークンを決済サービスの枠組みに直接組み込むものです。
EUにおける暗号資産決済サービスプロバイダーの規制状況:
| エンティティタイプ | 規制が適用されます |
|---|---|
| 従来の決済機関 | PSD3 + PSR |
| 電子マネー機関 | PSD3(EMD2フレームワークを統合したもの) |
| 電子マネートークンを使用した暗号通貨決済サービスプロバイダー | MiCA + PSD3/PSR(簡易申請) |
| BNPLプロバイダー | PSD3と自己資本比率規制 |
| 暗号通貨ウォレットプロバイダー | PSD3デジタルウォレットフレームワーク |
二重規制の問題は、多くのコンプライアンスチームがその複雑さを過小評価している点です。MiCAの認可を受けた暗号資産サービスプロバイダー(CASP)が電子マネートークンを発行する場合、自動的に別途PSD3の認可を取得する必要はありません。しかし、送金、受取、処理といった決済サービスも提供している場合は、簡素化されたPSD3申請手続きが適用されます。これら2つの規制は、デフォルトでは相互に補完し合うものではありません。
BNPL(後払い決済)は、新たに規制対象となった分野の一つです。EU市場全体で規制のグレーゾーンで事業を展開していたプロバイダーは、正式な決済機関認可要件と自己資本比率規制に直面することになります。この分野におけるコンプライアンスコストは大幅に増加します。
暗号通貨決済インフラを構築する企業にとって、 Plisioは、規制環境に対応できる暗号通貨決済ゲートウェイの一例であり、PSD3およびMiCAの下でEUの決済コンプライアンスフレームワークが進化する中で、加盟店が暗号通貨を受け入れることを可能にする。
PSD3は誰に適用されますか?
PSD3およびPSRは、設立地に関係なく、EU域内で決済サービスを提供するすべての事業体に適用されます。適用範囲:
- 決済サービスを提供する信用機関(銀行)
- 決済機関― フィンテック企業、ネオバンク、送金事業者などの非銀行系決済サービスプロバイダー
- 電子マネー機関― 現在は決済機関の枠組みに統合されている
- BNPLプロバイダー― 新たに対象範囲に追加され、認可および資本要件の対象となります
- 暗号資産サービスプロバイダーによる決済サービス ― MiCAとPSD3の二重規制対象
- 第三者プロバイダー(TPP)—口座情報サービスプロバイダー(AISP)および決済開始サービスプロバイダー(PISP)
プラットフォームとマーケットプレイスは、最も大きな変革に直面している。PSD2の下では、多くの事業者が「商業代理人免除」を利用して決済サービス認可を回避し、決済処理業者ではなく、買い手と売り手の両方の代理人として活動していると主張していた。PSD3はこの免除を大幅に厳格化する。この免除に依存していたほとんどのプラットフォームは、正式なPSP認可、資本要件、継続的な規制監督を必要とする。これは、この免除を前提にシステムを構築してきたマーケットプレイス事業者にとって、大きな運用上の変化となる。
英国に拠点を置く企業:PSD3はEU法のみに適用されます。ブレグジット後、英国は独自のFCA(金融行動監視機構)の枠組みを運用しています。英国のBNPL(後払い決済)規制(FCAにより2026年7月施行)と受取人確認システムは同様の方向性を示していますが、両法域で事業を展開する企業は、それぞれ全く異なるコンプライアンス要件を満たす必要があります。
PSD3の施行時期:いつから施行されるのか?
PSD3は一括導入ではなく、段階的に展開される。
- 2023年6月28日— 欧州委員会がPSD3およびPSRの提案を発表
- 2025年11月27日— 欧州議会と理事会の間で暫定的な政治合意が成立
- 2026年第2四半期(推定) — EU官報に掲載。PSRは20日後に発効。
- 発効から18か月後― 加盟国がPSD3指令を国内法に移行するための期限
- 施行から24ヶ月後— IBAN/受取人名確認要件が義務化される(2028年頃)
- 参入後24~30ヶ月— 既存のPSD2認可は既得権として認められ、30ヶ月まで延長可能
- 2028年第2四半期~第3四半期(推定) — PSD3/PSRの完全施行。PSD2およびEMD2は完全に置き換えられる。
18ヶ月間の移行期間は待機期間ではありません。PSRの行動規範は、公表後20日目からEU全域に適用されます。PSRに対するギャップ分析(SCAの実装、不正対策、APIインフラストラクチャ、MiCA調整規則に基づく暗号資産ライセンスなど)は、今すぐにでも実施すべきです。
