フォレンジックガイド
CFPB Section 1033:米国オープンバンキングの遵守スケジュール
Turing Verify チーム · 2026年5月更新
Dodd-Frank法のSection 1033は、消費者が自らの金融データにアクセスし、第三者に代理アクセスを許可する権利を定めています。CFPBは2024年10月に実施規則(Personal Financial Data Rights)を最終化しました。対象金融機関は、消費者が許可したデータを適格標準に準拠したAPIで開放しなければならず、適用は資産規模に応じて2030年まで段階的に進みます。米国版オープンバンキングが、運用上の義務になったということです。
段階的な遵守スケジュール
- 2026年4月:総資産2,500億米ドル以上の預金取扱機関、および規則の対象となる非預金機関。
- 2027年4月:総資産100億〜2,500億米ドル。
- 2028年4月:総資産30億〜100億米ドル。
- 2029年4月:総資産15億〜30億米ドル。
- 2030年4月:総資産8億5,000万〜15億米ドル。
- 8億5,000万米ドル未満:現時点ではAPI要件の適用対象外。
上記の期日は2024年10月の最終規則に基づきます。その後の規則制定、訴訟、議会の動きで調整される可能性があるため、最新の状況はconsumerfinance.govで確認してください。
開放が義務づけられる6種類のデータ
- 取引情報:対象口座ごとに24か月分の取引履歴。
- 口座残高:現在残高と利用可能残高。
- 契約条件:口座約款、手数料表、金利表。
- 今後の支払情報:予定された支払、支払先、定期的な支払義務。
- 口座確認情報:口座番号、ルーティング番号など口座を確認できる識別情報。
- 支払開始のための基本確認情報:その口座から支払を開始するのに必要な情報。
規則は、消費者と認可された第三者に対するアクセス手数料の徴収を禁じ、適格標準に準拠した機械可読フォーマットでの提供を義務づけています。FDX 6.0以降が事実上の標準であり、規則は基準を満たす代替標準も認めています。
アグリゲーターへの影響(Plaid、Yodlee、Akoya、MX)
長年、アグリゲーターは銀行との二者間契約、契約がない場合は認証情報を預かるスクリーンスクレイピングでアプリと銀行口座をつないできました。Section 1033はこのアクセスを規制された枠組みに変えます。アグリゲーターは規則上の「認可された第三者」となり、データ・目的・期間を明示した消費者同意の取得、利用目的の制限(ターゲティング広告、クロスセル、第三者への販売には追加同意が必要)、いつでも可能な同意撤回、紛争解決の提供が明文の義務になります。2030年までに米国の消費者許可データの大半はAPI経由となり、スクレイピングの時代は終わりに向かいます。
フィンテックが2026年に進めるべきこと
- データアクセスの依存関係を棚卸しし、接続先の銀行が2026年4月、2027年4月以降のどのティアに属するかを把握する。
- 同意フローを規則の明示性要件に合わせ、同意撤回を実運用で機能させる。
- 統合仕様としてFDX 6.0以降を実装する。
- データ利用制限を文書化し、CFPBの検査に備える(大手アグリゲーターは直接の監督対象になります)。
オンボーディングには依然として書類検証が必要です
Section 1033が規律するのはデータの流れであって、書類の真正性ではありません。認可された第三者となるフィンテックの口座開設では、本人確認書類のフォレンジック検証が引き続き必要です。 無料の検証を試す。
よくある質問
Section 1033はPSD2と同じものですか?
概念は近いものの、運用は異なります。どちらも消費者の許可に基づくオープンバンキングを制度化しますが、PSD2はEUで規制技術標準による銀行APIの開放を義務づけ、Section 1033は米国で同等のアクセスをFDXを事実上の標準として義務づけます。データの範囲や消費者保護の詳細は異なります。
規則は訴訟に耐えられますか?
2024年10月以降、複数の訴訟が提起され、一部は係属中です。CFPBの資金調達の仕組み自体はCFPB v. CFSA(2024年)で連邦最高裁の審査を通過しており、1033規則への異議は憲法問題ではなく個別条項に向けられています。最も可能性が高いのは全面無効ではなく部分的な調整です。
対象外となる金融機関はありますか?
総資産8億5,000万米ドル未満の預金取扱機関は、現時点でAPI要件の適用対象外です。今後の規則制定により、対象データはBNPL、給与、保険といった他の金融サービス領域へ拡大していく方向です。