この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
3 用語と定義
この文書の目的上、次の用語と定義が適用されます。
ISO と IEC は、標準化に使用する用語データベースを次のアドレスで維持しています。
3.1
俳優
役割を果たす組織または個人
[出典:ISO 23234:2021, 3.4]
3.2
匿名化
個人識別情報 (PII) (3.15) が、 PII 管理者 (3.16) 単独または他の者と協力して、直接的または間接的に PII 本人 (3.17) を識別できなくなるように、不可逆的に変更されるプロセス。パーティー
[出典:ISO/IEC 29100:2024, 3.2]
3.3
アプリケーションプログラミングインターフェース
API
外部のシステムやサービスの機能やデータと連携するソフトウェアを作成するために使用される、さまざまな形式の関数、プロトコル、パラメータ、およびオブジェクトのセット
[出典:ISO/IEC/IEEE 26531:2023, 3.1.1]
3.4
人工知能
AI
人間が実行する際に知性を必要とするタスクを実行するコンピュータ システムの構築に関する分野
[出典:ISO/IEC 39794-16:2021, 3.6]
3.5
自動化された意思決定
人間の介入なしに自動化された手段によって意思決定を行うプロセス
3.6
コントロール
リスクを修正する措置
注記 1: コントロールには、リスクを修正するプロセス、ポリシー、デバイス、実践、またはその他のアクションが含まれます。
注記 2: コントロールが、意図された、または想定された変更効果を常に発揮するとは限らない可能性があります。
[出典:ISO/IEC 27000:2018, 3.14]
3.7
匿名化されたデータセット
匿名化プロセスの適用から得られるデータセット
[出典:ISO/IEC 20889:2018, 3.8]
3.8
フィンテック
金融分野におけるデジタルイノベーションとテクノロジーを活用したビジネスモデルイノベーション
3.9
不正行為検知システム
ユーザー (顧客など)、アカウント、チャネル、製品、その他のエンティティ (キオスクなど) にわたる詐欺やその他の悪用の監視、検出、管理をサポートするアプリケーションとしてのソフトウェア
注記 1:不正検出システムを展開するために、エンタープライズ・アプリケーションは、ユーザーのナビゲーションやアプリケーション・アクセスから、住所変更、機密情報の支払いまたは取得。
[出典:ITU-T X.1157:2015, 3.2.1]
3.10
ガバナンス
指揮、監督、説明責任を含む人間ベースのシステム
[出典:ISO/IEC 38500:2024, 3.3]
3.11
共同 PII コントローラー
1 つ以上の他の PII 管理者と共同で PII (3.15) の処理の目的および手段を決定する 個人識別情報 (PII) 管理者 (3.16)
[出典:ISO/IEC 27701:2019, 3.1]
3.12
顧客を知る
本人確認
金融犯罪、マネーロンダリング、テロ資金供与を防止するために顧客の身元を確認するプロセス
[出典:ISO 12812-1:2017, 3.18]
3.13
機械学習
ml
計算技術を使用してシステムがデータや経験から学習できるようにするプロセス
[出典:ISO/IEC TR 29119-11:2020, 3.1.43]
3.14
マルウェア
悪意のあるソフトウェア
ユーザーおよび/またはユーザーのコンピュータ システムに直接的または間接的に害を及ぼす可能性のある機能を含む、悪意を持って設計されたソフトウェア
例:
ウイルス、ワーム、トロイの木馬。
[出典:ISO/IEC 27032:2023, 3.15]
3.15
個人を特定できる情報
PII
(a) 情報とその情報が関係する自然人との間のリンクを確立するために使用できる情報、または (b) 自然人に直接的または間接的にリンクされている、またはリンクされる可能性がある情報
注記 1:定義における「自然人」とは 、PII 本人 (3.17) です。 PII 本人が特定可能かどうかを判断するには、データを保持するプライバシー利害関係者、またはその他の当事者が PII のセットと自然人との間のリンクを確立するために合理的に使用できるすべての手段を考慮する必要があります。
[出典:ISO/IEC 29100:2024, 3.7]
3.16
PII コントローラー
個人目的でデータを使用する自然人以外の 個人識別情報 (PII) (3.15) を処理する目的と手段を決定するプライバシー利害関係者 (または複数のプライバシー利害関係者)
注記 1: PII 管理者は、処理の責任は PII 管理者にありながら、他の人 (例: PII プロセッサ (3.18)) に、自分に代わって PII を処理するよう指示することがあります。
[出典:ISO/IEC 29100:2024, 3.8]
3.17
PII 本人
データプリンシパル
個人識別情報 (PII) (3.15) に関連する自然人
注記 1:管轄区域および特定のデータ保護法およびプライバシー法によっては、「PII 本人」という用語の代わりに同義語「データ主体」が使用されることもあります。
[出典:ISO/IEC 29100:2024, 3.27]
3.18
PII プロセッサー
PII 管理者 (3.16) に代わって、その指示に従って 個人識別情報 (PII) (3.15) を処理するプライバシー関係者。
[出典:ISO/IEC 29100:2024, 3.10]
3.19
プライバシーデータ共有契約
データ共有契約におけるプライバシー保護条項
注記 1: プライバシーデータ共有契約には、データ転送、データ処理、および 共同 PII 管理者 (3.11 ) 間の個人識別情報 (PII) (3.15) の共有が含まれる場合があります。
[出典:ISO/IEC TS 27570:2021, 3.22]
3.20
再識別
匿名化されたデータセット (3.7) 内のデータを元の データ プリンシパル (3.17) に関連付けるプロセス
注 1: データセット内の特定のデータ主体の存在を確立するプロセスは、この定義に含まれます。
[出典:ISO/IEC 20889:2018, 3.32]
3.21
リスク
不確実性が目標に及ぼす影響
注記 1: 効果とは、期待値からの逸脱 (プラスまたはマイナス) です。
注記 2: 不確実性とは、出来事、その結果、または可能性に関する理解または知識に関する情報が部分的であっても欠如している状態を指します。
注記 3:リスクは、多くの場合、潜在的な「事象」(ISO Guide 73:2009, 3.5.1.3 で定義) および「結果」(ISO Guide 73:2009, 3.6.1.3 で定義) への言及によって特徴付けられます。これらの組み合わせ。
注記 4:リスクは、多くの場合、イベントの結果 (状況の変化を含む) と、それに関連する発生の「可能性」 (ISO Guide 73:2009, 3.6.1.1 で定義) の組み合わせで表現されます。
注記 5:情報セキュリティ管理システムの文脈では、情報セキュリティリスクは、情報セキュリティ目標に対する不確実性の影響として表現される場合がある。
注記 6:情報セキュリティリスクは、脅威が情報資産または情報資産グループの脆弱性を悪用し、それによって組織に損害を与える可能性と関連しています。
[出典:ISO/IEC 27000:2018, 3.61]
3.22
強力な認証
少なくとも 2 つの独立した (セキュリティの観点から) 認証メカニズムを使用し、そのうちの少なくとも 1 つは動的である認証手順
[出典:ISO 12812-1:2017, 3.57]
3.23
ユーザープロファイリング
特定のユーザー/ユーザー グループに固有の、システムによって使用される一連の属性を取得するアクティビティ
参考文献
| 1 | IPQualityScore, データ処理契約、 https://www.ipqualityscore.com/data-processing-agreement |
| 2 | Eurofinas, 詐欺防止とデータ保護 A Eurofinas - 消費者金融における詐欺との戦いに関する ACCIS レポート |
| 3 | ITU-T X.1157, 高保証レベル要件のサービスに対する不正行為の検出と対応の技術的能力 |
| 4 | パク・ソヒ、チャン・ジンヒョク、チェ・デソン(2020)。 Web標準に基づくデバイス指紋を用いたユーザ認証モデルに関する研究韓国情報セキュリティ暗号研究院ジャーナル、30, (4)、631-64 https://www.dbpia.co.kr/journal/articleDetail?nodeId=NODE09858939 で入手できます。 |
| 5 | ISO 12812-1:2017, コアバンキング — モバイル金融サービス — Part 1: 一般的な枠組み |
| 6 | ISO/IEC 20889:2018, プライバシー強化データ匿名化の用語と技術の分類 |
| 7 | ISO/TR 23455:2019, ブロックチェーンおよび分散台帳テクノロジー — ブロックチェーンおよび分散台帳テクノロジー システムにおけるスマート コントラクトの概要と相互作用 |
| 8 | ISO 21586, 金融サービスの参照データ — 銀行商品またはサービス (BPoS) の説明に関する仕様 |
| 9 | ITU-T X.1149, (2020)、 FinTech サービスのためのオープン プラットフォームのセキュリティ フレームワーク |
| 10 | EU, 第 2 回決済サービス指令と GDPR バージョン 1.0 の相互作用に関するガイドライン 06/2020, 2020 年 7 月 17 日に採択 |
| 11 | ISO/IEC/IEEE 26531:2023, システムおよびソフトウェア エンジニアリング - 製品ライフサイクルのコンテンツ管理、ユーザーおよびユーザー向けのサービス管理情報 |
| 12 | ISO/IEC 27000:2018, 情報技術 — セキュリティ技術 — 情報セキュリティ管理システム — 概要と用語 |
| 13 | ISO/IEC 27002:2022, 情報セキュリティ、サイバーセキュリティおよびプライバシー保護 — 情報セキュリティ管理 |
| 14 | ISO/IEC 27018:2019, 情報技術 — セキュリティ技術 — PII プロセッサとして機能するパブリック クラウドにおける個人識別情報 (PII) の保護に関する実践規範 |
| 15 | ISO/IEC 27032:2023, サイバーセキュリティ — インターネット セキュリティのガイドライン |
| 16 | ISO/IEC TS 27560, プライバシー技術 - 同意記録情報構造 |
| 17 | ISO/IEC TS 27570:2021, プライバシー保護 — スマートシティのためのプライバシーガイドライン |
| 18 | ISO/IEC 27551:2021, 情報セキュリティ、サイバーセキュリティ、およびプライバシー保護 — 属性ベースのリンク不可能なエンティティ認証の要件 |
| 19 | ISO/IEC 27701:2019, セキュリティ技術 — プライバシー情報管理のための ISO/IEC 27001 および ISO/IEC 27002 の拡張 — 要件とガイドライン |
| 20 | ISO/IEC 29100:2024, 情報技術 - セキュリティ技術 - プライバシー フレームワーク |
| 21 | ISO/IEC 29115, 情報技術 - セキュリティ技術 - エンティティ認証保証フレームワーク |
| 22 | ISO/IEC 29134:2023, 情報技術 - セキュリティ技術 - プライバシー影響評価のガイドライン |
| 23 | ISO/IEC 29151:2017, 情報技術 — セキュリティ技術 — 個人を特定できる情報の保護に関する実践規範 |
| 24 | ISO/IEC 38500:2024, 情報技術 - 組織の IT ガバナンス |
| 25 | EU のマネーロンダリング防止指令 5 |
| 26 | ISO/IEC 29184:2020, 情報技術 - オンライン プライバシー通知と同意 |
| 27 | オープンバンキングに関する EU の決済サービス指令 2 |
| 28 | 金融活動タスクフォース( https://www.fatf-gafi.org/) |
| 29 | 米国の銀行秘密法 (BSA) |米国愛国者法 |
| 30 | ISO 20022, 金融サービス — 普遍的な金融業界のメッセージスキーム |
| 31 | ISO 23234:2021, 建築および土木工事 — セキュリティ — 建築環境におけるセキュリティ対策の計画 |
| 32 | ISO Guide 73:2009 1 、リスク管理 — 語彙 |
| 33 | ITU FIGI, デジタル金融サービスのセキュリティ保証フレームワーク |
| 34 | ITU ITU-T フォーカス グループ デジタル金融サービス、デジタル金融サービス エコシステム |
| 35 | ITU-T フォーカス グループ デジタル金融サービス、デジタル金融サービス (DFS) のセキュリティ側面 |
| 36 | Marianthi Theoharidou, Nick Papanikolaou, Siani Pearson, Dimitris Gritzalis, 「クラウドにおけるプライバシー リスク、セキュリティ、説明責任」、IEEE Cloudcom-2013, 2013 年。 |
| 37 | OWASP のトップ 10 プライバシー リスク https://owasp.org/www-project-top-10-privacy-risks/ で入手可能 |
| 38 | 個人情報保護委員会(韓国) 「人工知能(AI)個人情報保護セルフチェックリスト」2021年5月31日( https://www.privacy.go.kr/cmm/fms/FileDown.do?atchFileId=FILE_000000000842903&fileSn=0 で閲覧可能) |
| 39 | AI の日常的なフィンテックのユースケース https://fintechcircle.com/insights/fintech-use-cases-for-ai/ |
| 40 | 世界銀行グループ、フィンテックにおける消費者リスク - 消費者リスクの新たな兆候と新たな規制アプローチ、2021 年 4 月。 |
| 41 | Open ID 金融グレード API セキュリティ プロファイル (FAPI) 1.0 – Part 1: ベースライン – セキュリティと相互運用性のための特定の実装ガイドラインを提供することを目的とした安全な OAuth プロファイル、2021 年 3 月 12 日 ( https://openid.net/spec で入手可能) /openid-financial-api-part-1-1_0.html |
| 42 | ファヤ。 FATF 勧告、2023 年 11 月、 https://www.fatf-gafi.org/en/publications/Fatfrecommendations/Fatf-recommendations.html で入手可能 |
| 43 | he の銀行セキュリティ法( BSA) https://www2.occ.gov/ で入手可能 |
| 44 | 米国愛国者法、 https://www.fincen.gov/resources/statutes-regulations/usa-patriot-act で入手可能 |
| 45 | 欧州連合のマネーロンダリング対策指令、 https://www.lseg.com/en/risk-intelligence/financial-crime-risk-management/eu-anti-money-laundering-directive で入手可能 |
| 46 | ISO/IEC 27557:2022, 情報セキュリティ、サイバーセキュリティおよびプライバシー保護 — 組織のプライバシー リスク管理への ISO 31000:2018 の適用 |
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
3.1
actor
organization or individual that fulfils a role
[SOURCE:ISO 23234:2021, 3.4]
3.2
anonymization
process by which personally identifiable information (PII) (3.15) is irreversibly altered in such a way that a PII principal (3.17) can no longer be identified directly or indirectly, either by the PII controller (3.16) alone or in collaboration with any other party
[SOURCE:ISO/IEC 29100:2024, 3.2]
3.3
application programming interface
API
set of functions, protocols, parameters, and objects of different formats, used to create software that interfaces with the features or data of an external system or service
[SOURCE:ISO/IEC/IEEE 26531:2023, 3.1.1]
3.4
artificial intelligence
AI
discipline concerned with the building of computer systems that perform tasks requiring intelligence when performed by humans
[SOURCE:ISO/IEC 39794-16:2021, 3.6]
3.5
automated decision making
process of making a decision by automated means without any human involvement
3.6
control
measure that is modifying risk
Note 1 to entry: Controls include any process, policy, device, practice, or other actions which modify risk.
Note 2 to entry: It is possible that controls do not always exert the intended or assumed modifying effect.
[SOURCE:ISO/IEC 27000:2018, 3.14]
3.7
de-identified dataset
dataset resulting from the application of a de-identification process
[SOURCE:ISO/IEC 20889:2018, 3.8]
3.8
fintech
digital innovations and technology-enabled business model innovations in the financial sector
3.9
fraud detection system
software as an application that supports monitoring, detection, and management of fraud or other misuse across users (e.g. customers), accounts, channels, products and other entities (e.g. kiosks)
Note 1 to entry: To deploy the fraud detection system, enterprise applications can integrate with a fraud detection engine that assesses the fraud risk of a transaction, from user navigation and application access, to any type of activity, such as a change of address, payment or retrieval of sensitive information.
[SOURCE:ITU-T X.1157:2015, 3.2.1]
3.10
governance
human-based system comprising directing, overseeing and accountability
[SOURCE:ISO/IEC 38500:2024, 3.3]
3.11
joint PII controller
personally identifiable information (PII) controller (3.16) that determines the purposes and means of the processing of PII (3.15) jointly with one or more other PII controllers
[SOURCE:ISO/IEC 27701:2019, 3.1]
3.12
know your customer
KYC
process to verify the identity of a customer in order to prevent financial crime, money laundering and terrorism financing
[SOURCE:ISO 12812-1:2017, 3.18]
3.13
machine learning
ml
process using computational techniques to enable systems to learn from data or experience
[SOURCE:ISO/IEC TR 29119-11:2020, 3.1.43]
3.14
malware
malicious software
software designed with malicious intent containing features or capabilities that can potentially cause harm directly or indirectly to the user and/or the user’s computer system
EXAMPLE:
Viruses, worms, trojans.
[SOURCE:ISO/IEC 27032:2023, 3.15]
3.15
personally identifiable information
PII
information that (a) can be used to establish a link between the information and the natural person to whom such information relates, or (b) is or might be directly or indirectly linked to a natural person
Note 1 to entry: The “natural person” in the definition is the PII principal (3.17) . To determine whether a PII principal is identifiable, account should be taken of all the means which can reasonably be used by the privacy stakeholder holding the data, or by any other party, to establish the link between the set of PII and the natural person.
[SOURCE:ISO/IEC 29100:2024, 3.7]
3.16
PII controller
privacy stakeholder (or privacy stakeholders) that determines the purposes and means for processing personally identifiable information (PII) (3.15) other than natural persons who use data for personal purposes
Note 1 to entry: A PII controller sometimes instructs others (e.g. PII processors (3.18)) to process PII on its behalf while the responsibility for the processing remains with the PII controller.
[SOURCE:ISO/IEC 29100:2024, 3.8]
3.17
PII principal
data principal
natural person to whom the personally identifiable information (PII) (3.15) relates
Note 1 to entry: Depending on the jurisdiction and the particular data protection and privacy legislation, the synonym “data subject” can also be used instead of the term “PII principal”.
[SOURCE:ISO/IEC 29100:2024, 3.27]
3.18
PII processor
privacy stakeholder that processes personally identifiable information (PII) (3.15) on behalf of and in accordance with the instructions of a PII controller (3.16)
[SOURCE:ISO/IEC 29100:2024, 3.10]
3.19
privacy data sharing agreement
clauses for privacy protection in a data sharing agreement
Note 1 to entry: A privacy data sharing agreement can involve data transfer, data processing, and sharing of personally identifiable information (PII) (3.15) between joint PII controllers (3.11) .
[SOURCE:ISO/IEC TS 27570:2021, 3.22]
3.20
re-identification
process of associating data in a de-identified dataset (3.7) with the original data principal (3.17)
Note 1 to entry: A process that establishes the presence of a particular data principal in a dataset is included in this definition.
[SOURCE:ISO/IEC 20889:2018, 3.32]
3.21
risk
effect of uncertainty on objectives
Note 1 to entry: An effect is a deviation from the expected — positive or negative.
Note 2 to entry: Uncertainty is the state, even partial, of deficiency of information related to, understanding or knowledge of, an event, its consequence, or likelihood.
Note 3 to entry: Risk is often characterized by reference to potential “events” (as defined in ISO Guide 73:2009, 3.5.1.3) and “consequences” (as defined in ISO Guide 73:2009, 3.6.1.3), or a combination of these.
Note 4 to entry: Risk is often expressed in terms of a combination of the consequences of an event (including changes in circumstances) and the associated “likelihood” (as defined in ISO Guide 73:2009, 3.6.1.1) of occurrence.
Note 5 to entry: In the context of information security management systems, information security risks can be expressed as effect of uncertainty on information security objectives.
Note 6 to entry: Information security risk is associated with the potential that threats will exploit vulnerabilities of an information asset or group of information assets and thereby cause harm to an organization.
[SOURCE:ISO/IEC 27000:2018, 3.61]
3.22
strong authentication
authentication procedure using a minimum of two independent (from the security point of view) authentication mechanisms, with at least one of them being dynamic
[SOURCE:ISO 12812-1:2017, 3.57]
3.23
user profiling
activity to retrieve a set of attributes used by the system that are unique to a specific user/user group
Bibliography
| 1 | IPQualityScore, Data Processing Agreement, https://www.ipqualityscore.com/data-processing-agreement |
| 2 | Eurofinas, FRAUD PREVENTION AND DATA PROTECTION A Eurofinas - ACCIS Report on Fighting Fraud in Consumer Lending |
| 3 | ITU-T X.1157, Technical capabilities of fraud detection and response for services with high assurance level requirements |
| 4 | Sohee Park, Jinhyeok Jang, & Daeseon Choi (2020). A Study on User Authentication Model Using Device Fingerprint Based on Web Standard. Journal of the Korea Institute of Information Security & Cryptology, 30(4), 631-646. Available at https://www.dbpia.co.kr/journal/articleDetail?nodeId=NODE09858939 . |
| 5 | ISO 12812-1:2017, Core banking — Mobile financial services — Part 1: General framework |
| 6 | ISO/IEC 20889:2018, Privacy enhancing data de-identification terminology and classification of techniques |
| 7 | ISO/TR 23455:2019, Blockchain and distributed ledger technologies — Overview of and interactions between smart contracts in blockchain and distributed ledger technology systems |
| 8 | ISO 21586, Reference data for financial services — Specification for the description of banking products or services (BPoS) |
| 9 | ITU-T X.1149(2020), Security framework of an open platform for FinTech services |
| 10 | EU, Guidelines 06/2020 on the interplay of the Second Payment Services Directive and the GDPR Version 1.0, Adopted on 17 July 2020 |
| 11 | ISO/IEC/IEEE 26531:2023, Systems and software engineering — Content management for product life cycle, user and service management information for users |
| 12 | ISO/IEC 27000:2018, Information technology — Security techniques — Information security management systems — Overview and vocabulary |
| 13 | ISO/IEC 27002:2022, Information security, cybersecurity and privacy protection — Information security controls |
| 14 | ISO/IEC 27018:2019, Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors |
| 15 | ISO/IEC 27032:2023, Cybersecurity — Guidelines for Internet security |
| 16 | ISO/IEC/TS 27560, Privacy technologies — Consent record information structure |
| 17 | ISO/IEC/TS 27570:2021, Privacy protection — Privacy guidelines for smart cities |
| 18 | ISO/IEC 27551:2021, Information security, cybersecurity and privacy protection — Requirements for attribute-based unlinkable entity authentication |
| 19 | ISO/IEC 27701:2019, Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines |
| 20 | ISO/IEC 29100:2024, Information technology — Security techniques — Privacy framework |
| 21 | ISO/IEC 29115, Information technology — Security techniques — Entity authentication assurance framework |
| 22 | ISO/IEC 29134:2023, Information technology — Security techniques — Guidelines for privacy impact assessment |
| 23 | ISO/IEC 29151:2017, Information technology — Security techniques — Code of practice for personally identifiable information protection |
| 24 | ISO/IEC 38500:2024, Information technology — Governance of IT for the organization |
| 25 | EU’s Anti Money Laundering Directive 5 |
| 26 | ISO/IEC 29184:2020, Information technology — Online privacy notices and consent |
| 27 | EU’s Payment Services Directive 2 for Open Banking |
| 28 | Financial Action Task Force at https://www.fatf-gafi.org/ |
| 29 | United States’ Bank Secrecy Act (BSA) | USA Patriot Act |
| 30 | ISO 20022, Financial services — Universal financial industry message scheme |
| 31 | ISO 23234:2021, Buildings and civil engineering works — Security — Planning of security measures in the built environment |
| 32 | ISO Guide 73:2009 1 , Risk management — Vocabulary |
| 33 | ITU FIGI, Digital Financial Services security assurance framework |
| 34 | ITU ITU-T Focus Group Digital Financial Services, The Digital Financial Services Ecosystem |
| 35 | ITU-T Focus Group Digital Financial Services, Security Aspects of Digital Financial Services (DFS |
| 36 | Marianthi Theoharidou, Nick Papanikolaou, Siani Pearson and Dimitris Gritzalis, “Privacy risks, security and accountability in the Cloud,” IEEE Cloudcom-2013, 2013. |
| 37 | OWASP Top 10 Privacy Risks available at https://owasp.org/www-project-top-10-privacy-risks/ |
| 38 | Personal Information Protection Commission (Korea). “Artificial Intelligence (AI) Personal Information Protection Self-Checklist”, 31 May, 2021 (available at https://www.privacy.go.kr/cmm/fms/FileDown.do?atchFileId=FILE_000000000842903&fileSn=0 ) |
| 39 | Everyday fintech use cases for A.I. https://fintechcircle.com/insights/fintech-use-cases-for-ai/ |
| 40 | World Bank Group, Consumer Risks in Fintech - New Manifestations of Consumer Risks and Emerging Regulatory Approaches, April 2021. |
| 41 | Open I.D. Financial-grade API Security Profile (FAPI) 1.0 – Part 1: Baseline – A secured OAuth profile that aims to provide specific implementation guidelines for security and interoperability, March 12, 2021 (available at https://openid.net/specs/openid-financial-api-part-1-1_0.html . |
| 42 | FAYA. The FATF Recommendations, November 2023, available at https://www.fatf-gafi.org/en/publications/Fatfrecommendations/Fatf-recommendations.html |
| 43 | The United States’ Bank Secrecy Act (BSA). available at https://www2.occ.gov/ |
| 44 | Patriot U.S.A. Act, available at https://www.fincen.gov/resources/statutes-regulations/usa-patriot-act |
| 45 | European Union, Anti-Money Laundering Directives, available at https://www.lseg.com/en/risk-intelligence/financial-crime-risk-management/eu-anti-money-laundering-directive |
| 46 | ISO/IEC 27557:2022, Information security, cybersecurity and privacy protection — Application of ISO 31000:2018 for organizational privacy risk management |