概要

  • Crosskey Banking Solutions Ab Ltd は、単に名の知れたコアバンキング製品を販売しているのではない。顧客が購入するのは、継続的な処理関係である。すなわち、口座・顧客記録、決済、融資ワークフロー、カード・資産管理モジュール、オープンバンキングインターフェース、ファイル交換、リリース更新、規制変更対応、インシデント処理、そして、本来であれば銀行内部で資金調達・管理しなければならない運用サポートである。
  • 公開情報はアウトソーシングの仮説を裏付けるが、限界もある。Crosskey はマリエハムンを拠点とする Bank of Aland の完全子会社であり、親会社の報告によれば 2025 年の外部 IT 収入は 3,380 万ユーロ、Crosskey のフルタイム換算従業員数は 379 名、Crosskey のプラットフォームはフィンランド人の 5 人に 1 人の日常的なバンキングを支えており、指名顧客や契約には S-Pankki、POP Bank、Aktia、Handelsbanken、Lansforsakringar Bank が含まれる。同じ公開記録は、プロジェクトの周期性、高い固定人件費、最近の IT セグメントの薄い利益率も示している。
  • 商業的な緊張は、小規模銀行が外部の処理業者にファイルを送れるかどうかではない。問題は、アウトソースされたプラットフォームが、システム、規制、決済スキームが変更された際に、監査が難しく、移行が難しく、ローカライズが難しく、説明が難しい依存関係を生み出すことなく、総コストとコンプライアンス負担を低減するかどうかである。

Crosskey を検討する地域銀行は、一見小さな運用上の疑問からスタートする。法人顧客が支払ファイルをアップロードする。支店の担当者が顧客記録を開く。モバイルアプリが残高を問い合わせる。支払エンジンは、口座が存在するか、顧客が送金を開始する権限があるか、データの形式が正しいか、応答が約束された時間枠内に返せるかを確認する。画面の上では、これは普通のバンキングに見える。しかし、バックオフィスでは、台帳、証明書、ファイル参照、顧客識別子、口座管理、支払メッセージ、制裁・不正チェック、スキームルール、監査証跡、調整、インシデント対応という連鎖が動いている。

本稿で取り上げる経済単位は、コアバンキング処理ファイルである。この表現は「バンキングプラットフォーム」よりも意図的に狭く、一つの技術ファイルよりも広い。それは、小規模または地域銀行が、日常的なバンキングを可能にする記録やメッセージの処理、検証、ルーティング、保存、更新、サポートを専門家に任せると決めたときに購入する、継続的な運用単位を意味する。目に見える成果物は、口座明細ファイル、顧客支払指示、残高ダウンロード、API コール、与信ライフサイクルイベント、カード認証、PSD2 要求、ローン・ポートフォリオ記録などである。購入の対象は、それらの成果物を取り巻く規律、すなわち、正確性、コンプライアンス、可用性、アップグレード可能性を維持することである。

その単位は、買い手がすべてのコストを数え始めるとすぐに高価なものになる。銀行は、開発者を雇い、インフラを購入し、データベースを保守し、決済ネットワークに接続し、ファイル転送サービスを運用し、セキュリティを監視し、PSD2 や即時支払のルールを更新し、監査証拠を実行し、災害復旧をテストし、顧客・口座データモデルを維持し、インシデントに回答し、証明書を更新し、サプライヤーを管理し、規制当局、スキーム、顧客、取締役会が何が起こったかを尋ねたときに専門家を確保しておくことができる。また、ガバナンスと顧客アウトカムの責任を維持しつつ、その負担の大部分をアウトソースすることもできる。アウトソーシングの選択は無料ではない。社内の複雑性を、ベンダーへの集中、契約監視、データ保護責任、移行リスク、そしてブラックボックスに異議を唱えるのに十分な理解を必要とするものに変換する。

公開情報は、小規模または地域銀行が、自ら構築するよりも購入する方が安全だと判断した場合に Crosskey が報酬を得る、という論文と整合的である。Crosskey は自らを、銀行や金融機関向けに SaaS としてモジュラー型バンキングプラットフォームを提供する北欧のバンキングテクノロジー企業と説明している。同社のホームページによれば、ソリューションは日常・取引バンキング、決済、カード管理、ネットバンク、資産管理、オープンバンキングをカバーし、アーキテクチャは API ファーストである。Bank of Aland の 2025 年年次報告書によれば、Crosskey のソリューションはフィンランドの人口の 6 分の 1、スウェーデンでも増加する割合で利用されており、Crosskey 自身の最新ウェブサイトでは、フィンランド人の 5 人に 1 人の日常的なバンキングを支えているとしている。これらの主張は、あらゆる顧客成果を証明するものではないが、Crosskey が評価されたいと望む規模を示している。

問題は、公開記録がその単位に支払う価値があることを証明するかどうかである。それはいくつかの重要な部分を証明している。組織としてのアイデンティティ、所有権、製品カバレッジ、指名顧客の採用、規模の主張、財務規模、規制圧力、専門プラットフォーム事業のコスト基盤である。また、その単位が魔法のようなマージンマシンではないことも証明している。2025 年、Bank of Aland の IT セグメント(Crosskey Banking Solutions Ab Ltd と S-Crosskey Ab を含む)は、総セグメント収入 5,500 万ユーロ、消去後の外部 IT 収入 3,380 万ユーロ、総費用 5,680 万ユーロ、純営業損失 180 万ユーロ、費用対収入比率 1.03 を報告した。2024 年の同じセグメントは、70 万ユーロのわずかな純営業利益を上げていた。これは些細なソフトウェアライセンスのプロファイルではない。人員集約的で、プロジェクト集約的で、規制されたオペレーション事業であり、プロジェクト収入が減少しても投資を続けなければならないサプライヤーである。

同様に重要なのは、欠けている情報である。公開情報は、Crosskey の顧客別収入、総保持率、更新価格、サービスレベルペナルティ履歴、停止頻度、インシデント根本原因、ワークロード別の正確なデータ所在、クラウドプロバイダー集中度、移行テスト結果、全顧客にわたる顧客満足度、個別プラットフォームモジュールの収益性を開示していない。証拠は慎重なアウトソーシングの仮説を支持する。すべての顧客が内製よりも低い総所有コストを得ていることを証明するものではなく、依存リスクが中和されたことを証明するものでもない。

ファイルは、より深い取引の目に見える端緒である

経済単位を理解する上で最も有用な公開技術文書は、光沢のあるマーケティングページではない。それは、POP Bank がホストする Crosskey の「PKI File Transfer Technical Description for software supplier」文書である。この文書は、UploadFile、DownloadFileList、DownloadFile、GetUserInfo などのサービスを説明している。証明書の登録、更新期間、本番環境要件、大容量コンテンツの圧縮、レスポンスコード、口座明細ファイル、残高ファイル、取引ファイル、電子請求書資料、権限要求、Alandsbanken および S-Pankki 向けの本番サービス URL についても記述している。さらに、リアルタイム残高や取引は、最初にファイルリストを要求せずに直接呼び出しでダウンロードできる一方、50 口座を超えるリクエストには制限があると明記している。

これは、POP Bank の最終的なコアリプレースメントがその特定の古いファイル転送インターフェースから構築されるという証拠ではない。それは、銀行のアウトソーシングを具体的にするような運用面の証拠である。銀行のビジネスは、支払指示、明細配信、残高取得、カード情報、電子請求書交換、証明書検証、例外処理など、機械可読な素材の何千もの小さな転送に依存している。各ファイルタイプは、故障するまでは退屈である。故障すれば、給与計算が遅れ、会計システムが調整できず、法人顧客が残高を見られず、口座名義人が誤ったステータスを受け取り、銀行は、期待値があったのにバックエンドクエリが何も返さなかった理由を説明しなければならなくなる。

だからこそ、「処理ファイル」が Crosskey を理解するための適切なレンズなのである。顧客はコア台帳だけを購入しているのではない。台帳を周辺システムに接続し続けるルーチンを購入しているのだ。Crosskey のトランザクションバンキングページには、同社のプラットフォームは決済、融資、預金、顧客管理をカバーし、リアルタイム処理、規制遵守、長期信頼性のために構築されていると書かれている。オンボーディング、顧客データ、口座管理、決済、クレジット組成、ローンサービスが接続されたワークフローとして挙げられている。顧客・預金機能ページには、顧客登録、AML・KYC 基準、預金・口座商品、口座管理、与信承認が記載されている。決済ページには、SEPA インスタントクレジット転送、通常の SEPA 転送、RIX-ISO、RIX-Inst、Autogiro、Swish などのスウェーデンの決済ネットワーク、国際送金、自動コンプライアンスチェック、照合、24 時間 365 日の監視が追加されている。

このバンドルが重要なのは、銀行が日常業務の中で「コア」と「隣接」の明確な境界を引けないからである。支払ファイルは口座の状態に依存する。口座の状態は顧客 ID、商品設定、利用可能資金に依存する。与信判断は顧客データ、スコアリングルール、監査証跡、ローンサービスに依存する。PSD2 要求は同意、強力な顧客認証、サードパーティプロバイダー検証、トレーサビリティに依存する。カード承認はスキーム接続性、口座リンク、トークン化、不正防止、決済に依存する。一つの部分を構築しようとする小さな銀行は、やがてチェーン全体を管理しなければならないことに気づく。

Crosskey の商業的主張は、同社のチェーンが北欧の規制現実に対して既に構築されているということである。ホームページには、Crosskey は実績のあるバンキングテクノロジーとモジュラーデザインを組み合わせ、顧客と共にソリューションを実装・運用し、深い北欧の専門知識を有するとある。会社概要ページには、銀行はデジタル化、規制強化、顧客期待、新たな競合、サイバーセキュリティ脅威によってコストが上昇しているとし、Crosskey の回答は長期的な協業を通じて構築された API ファースト、モジュラー、AI 対応のプラットフォームであると述べている。これらはマーケティング言語だが、コストの論理は深刻である。銀行がプラットフォームコストを一つの組織だけに分散させるなら、すべての規制更新やインシデント訓練がその銀行の固定費となる。専門家が同じ更新を複数の組織に分散させれば、サプライヤーが十分な規律と顧客固有の理解を維持する限り、経済性は改善しうる。

アイデンティティ、管轄、所有権が Crosskey を単なるベンダー名以上のものにする

Crosskey Banking Solutions Ab Ltd は、匿名のソフトウェアブランドではない。crosskey.fi のフィンランドの公開 WHOIS データには、保有者として Crosskey Banking Solutions Ab Ltd、ビジネス ID 1906672-0、住所 Elverksgatan 10, 22100 Mariehamn, Finland と記載されている。Bank of Aland の 2025 年年次報告書には、Crosskey Banking Solutions Ab Ltd は 100%子会社であり、登録事務所をマリエハムンに置き、事業分野は「IT」と記載されている。同報告書には、S-Crosskey Ab はマリエハムンに拠点を置く 60%所有の IT 子会社とある。NordLEI の記録には、Crosskey の LEI は 74370083CQBNQ6Y15227、ステータスはアクティブ、フィンランドのビジネス情報システムを通じて PRH に登録されているとある。

所有権の文脈は重要である。Crosskey はベンチャーキャピタルが支援するインフラスタートアップではなく、銀行が所有している。Bank of Aland の年次報告書は、グループをファンドマネジメント会社と IT 会社を持つ銀行と説明している。グループは Crosskey を通じて中小銀行向けの近代的なバンキングコンピューターシステムのサプライヤーであるとしている。CEO のレターでは、Crosskey の収入はプロジェクト収入の減少により若干減少したが、戦略的に重要であり、長期的な成長の中核をなすと述べている。これにより、Crosskey は子会社事業であると同時に、親銀行のオペレーティングモデルの一部でもある。また、顧客にとっては、評価すべき特定のカウンターパーティが存在することになる。すなわち、マリエハムンに拠点を置くフィンランドのグループ、上場親会社の開示、銀行所有、北欧金融サービスにおける長い実績である。

Crosskey の物理的な足跡は地域密着の仮説を支持する。コンタクトページにはマリエハムン、ストックホルム、ヘルシンキ、トゥルクのロケーションが記載されている。年次報告書には、マリエハムン本社(Elverksgatan 10)、ヘルシンキオフィス(Unioninkatu 13)、トゥルクオフィス(Lemminkaisenkatu 32)、ストックホルムオフィス(Hollandargatan 13)が記載されている。Crosskey は 410 人以上の人員でバンキングソリューションを支えていると述べており、Bank of Aland の従業員注記では、2025 年の Crosskey Banking Solutions Ab Ltd のフルタイム換算ポジションは 379 と報告されており、2024 年の 368 から増加している。これは、販売ウェブサイトに紐づいた小さなプロジェクトショップではない。コストベースの大部分が人材、デリバリー、サポート、プラットフォーム保守である、数百人規模の専門家集団である。

組織形態は Crosskey に信頼性を与えるが、同時にガバナンスの問題を先鋭化させる。銀行が所有するサプライヤーは内部からバンキングを理解できるが、顧客はサプライヤーの優先順位が自社のプロダクトロードマップ、価格ニーズ、規制リスク、移行オプションと整合しているかどうかを評価しなければならない。銀行がグローバルなコアプロバイダーにアウトソースする場合、小さすぎて相手にされないのではないかと心配するかもしれない。北欧の専門家にアウトソースする場合、よりドメインフィットは高いかもしれないが、サプライヤー市場は狭くなる。銀行が所有する専門家にアウトソースする場合、銀行の DNA と長期的な方向性を得られるかもしれないが、サービスの質を測定可能にする契約は依然として必要である。

公開財務は実体のあるビジネスだが、最近のセグメント利益は薄い

Crosskey の経済性は、Bank of Aland のセグメント開示を通じて最も見えやすい。グループの 2025 年末報告書によれば、プロジェクト収入が減少したため、IT 収入は 130 万ユーロ(4%)減少し、3,380 万ユーロとなった。セグメント表はより詳細を示している。2025 年、IT セグメントは消去前 IT 収入 5,490 万ユーロ、コーポレートその他で IT 収入 220 万ユーロを生み出し、2,330 万ユーロが消去され、グループ IT 収入 3,380 万ユーロが残った。IT セグメントの総収入は 5,500 万ユーロだった。人件費は 3,250 万ユーロ、その他費用 2,030 万ユーロ、減価償却費 400 万ユーロで、総費用 5,680 万ユーロ、純営業損失 180 万ユーロとなった。

これらの数字は、プラットフォームのコスト構造を明らかにするため有用である。最大の単一項目は人件費である。これは規制対象の金融ソフトウェアおよびオペレーションサプライヤーに期待されるものだ。開発者、アプリケーションマネージャー、プロダクトマネージャー、インフラ・運用スタッフ、セキュリティスペシャリスト、プロジェクトマネージャー、アカウントチーム、コンプライアンスを理解するエンジニア、サポート役である。その他費用も大きく、これはインフラ、ライセンス、オフィス、サプライヤー、運営コストと整合的だ。減価償却費は資本化または取得したテクノロジー、オフィス機器、その他資産を反映している。コアバンキング処理業者は、純粋な消費者向けアプリのようにはスケールしない。収入が入る前に人材と統制を維持しなければならない。

前年比較も重要である。2024 年、IT セグメントの総収入は 5,430 万ユーロ、費用は 5,370 万ユーロ、純営業利益は 70 万ユーロだった。2025 年、総収入はわずかに増加したが、費用の伸びがそれを上回った。親会社は外部 IT 収入の減少をプロジェクト収入の減少に帰した。これがビジネスモデルの脆弱な点である。大規模な実装、移行、規制対応プロジェクトが一時期の収入を押し上げる一方、プロジェクトの流れが細ると、プラットフォームを準備状態に保つための継続的なコストが露出する。顧客にとって、これは良い面と悪い面がある。良い面は、多くの顧客と継続的なオペレーションを持つサプライヤーが専門家を雇用し続け、利用可能にできること。悪い面は、利益率の薄いサプライヤーが、将来の値上げ、より多くのプロジェクト、コスト規律、またはより広範な顧客獲得を通じて、同じサービス野心を賄う必要があるかもしれないことだ。

Crosskey 自身の 2025 年 12 月の Tivi250 発表では、2024 年の売上高が 5,400 万ユーロに達し、フィンランドのリストが売上高に基づいて 250 の最大 IT・テクノロジー企業をランク付けしていると述べている。Asiakastieto のフィンランド企業情報ページによれば、Crosskey Banking Solutions Ab Ltd の 2025 年の収入は 5,550 万ユーロ、1.5%増加、従業員数 390 名、営業損失 190 万ユーロ。これらは本稿の観点からは非監査の公開ディレクトリシグナルだが、親会社のセグメント数字と整合的である。すなわち、5000 万ユーロ台半ばの活動、数百人のスタッフ、損益分岐点付近または赤字の最近の営業プロファイルである。

価格設定の論理は部分的にしか公開されていない。Crosskey の受取人確認(Verification of Payee)ページは異例なほど具体的で、サービスはプラットフォームアクセス、運用、サポートのための固定基本料金と、実際の利用量を反映する変動要素からなる SaaS ベースの価格設定を使用していると述べている。Swift サービスビューローページは、共有インフラを通じた予測可能な価格設定と所有コストの低減を強調している。カードページには、フルマネージド SaaS モデルがコスト共有の可能性を生み出すとある。トランザクションバンキングページには、パートナーシップモデルに総所有コスト削減に寄与するコスト共有の機会が含まれているとある。これらの主張はセグメント経済性と整合的である。顧客は運用能力の基盤に対して支払い、さらに利用量、モジュール、実装、変更作業、サポートに対して支払う。正確な価格は公開されていない。

したがって、顧客の経済的な問いは「Crosskey はゼロより安いか」ではない。Crosskey の固定費、利用料、実装費、ガバナンス作業、統合作業、スイッチング摩擦が、同等の能力を内製で維持する総コストよりも低いかどうかである。小規模または地域銀行にとって、その総コストには給与やサーバーだけでなく、採用リスク、監査証拠、インシデント対応、規制解釈、スキーム接続、ベンダー管理、設備投資、リリーステスト、そして希少なエンジニアに顧客差別化を構築する代わりに汎用的なバンキングの配管を保守させる機会費用が含まれる。

顧客の証拠は採用を示すが、完全な証明ではない

最も強力な公開顧客証拠は S-Pankki である。Crosskey の S-Pankki ケーススタディによれば、Crosskey は 99.9%の可用性、eBanking チャネルを通じた 24 時間 365 日のカスタマーサービス、年間 1 億件以上の取引を提供した。S グループが銀行を立ち上げたいと考え、銀行の立ち上げにはバンキングシステムの統合と調整、大規模なデータ移行が必要であり、Crosskey のコアバンキング製品とオンラインバンクが顧客管理、預金、ローン、決済、ビジネス商品をサポートしたとケースは述べている。S Bank は 2006 年のフィンランドでのバンキング事業開始以来、Crosskey と協業してきたとある。

本稿にとって、S-Pankki の事例は、すべてのサービスレベルの独立した証明ではないために重要なのである。これは企業が作成した顧客証拠である。しかし、Crosskey が実世界で何を販売しているかを示すには十分具体的である。それは銀行ビジネスの基盤であり、周辺的なプラグインではない。S-Pankki は単にレポートジェネレーターを購入したのではない。立ち上げと成長のストーリーの一部として、コアバンキングとオンラインバンキングの機能を購入したのである。S-Bank の年次報告書の注記も S-Crosskey の説明に役立つ。S-Bank Plc が 40%、Crosskey が 60%を所有する S-Crosskey Ab は、銀行および関連活動向けのバンキング情報システムを販売し、コンサルティングサービスを提供する IT サービス会社であり、主に S-Bank Plc にサービスを提供している。この構造は、関係を単なるソフトウェアライセンスよりも深く埋め込まれたものにしている。

POP Bank は次の主要なコアバンキングシグナルである。2022 年 1 月の Crosskey のプレスリリースによれば、POP Bank はコアバンキングシステムの刷新に関して Crosskey と協力協定を締結し、当初は 2025 年を予定していた。POP Bank グループには 21 の POP Banks、デジタル運営の損害保険会社 P&C Insurance Ltd、Bonum Bank Plc、POP Bank Centre coop が含まれると説明されている。リリースは、POP がパーソナルサービスとデジタルサービス、高い顧客満足度、迅速な意思決定を組み合わせることを望んだとし、Crosskey のマネージングディレクターは POP Pankki 向けの将来性のあるコアバンク、ネットバンク、キャピタルマーケット、API プラットフォームについて説明した。Bank of Aland の 2025 年年次報告書は後に、Crosskey が POP Banks 実装プロジェクトに集中的に取り組み続け、2026 年の本番稼働を見込んでいると述べている。

この流れは重要である。コアリプレースメントはプレスリリースのイベントではなく、複数年にわたる移行である。2022 年の発表、2025 年の年次報告書の実装注記、2026 年の本番稼働予定の表現は、販売の背後にあるコストとリスクを示している。銀行がコアシステムを変更するとき、それは単に機能リストを選んでいるのではない。データを移行し、スタッフを教育し、チャネルを接続し、商品をテストし、顧客サービスを維持し、規制当局を管理し、下にある機械を交換しながら通常のバンキングを壊さないようにしなければならない。公開記録はまだ POP の最終的な本番成果を証明していないが、Crosskey が大規模な進行中の実装を持っていたことは証明している。

Handelsbanken は異なるシグナルを追加する。2026 年 4 月の Crosskey のプレスリリースは、特定のユーロ建てローン・ポートフォリオを管理する SaaS サービスについて Handelsbanken と長期契約を締結したと発表し、Bank of Aland の 2026 年第 1 四半期中間報告書は、Crosskey が Handelsbanken のフィンランドにおける残りの業務について Samlink から IT 責任を引き継ぐ契約を締結したと述べている。これは銀行全体のコアリプレースメントと同じではない。それでもなお、連続性、移行能力、コスト効率が中心となる定義されたローン管理業務のために大手北欧銀行が Crosskey を選択したことを示すものであり、関連性がある。

Aktia はオープンバンキングのシグナルを提供する。2025 年 6 月の Crosskey のリリースは、フィンランドの資産運用会社、銀行、生命保険会社である Aktia が、Crosskey の C Open PSD2 Dedicated Interface as a Service を利用する契約を締結したと述べている。クラウドベースのオープンバンキングサービスは、サードパーティプロバイダーや顧客との統合を簡素化するとしている。Crosskey のオープンバンキング製品ページには、プラットフォームは PSD2 をサポートし、PSD3 および PSR 向けに設計されており、同意管理とデータ保護を提供し、監査証跡、証明書検証、トラフィック制御、監視、スロットリング、ライフサイクル管理を提供するとある。ここでも、公開証明は採用と製品設計であり、顧客レベルの成果指標ではない。

Lansforsakringar Bank は資産管理の代替エッジを示す。2020 年の Crosskey のリリースは、Lansforsakringar Bank が注文管理と執行、顧客ポートフォリオ管理、証券および投資信託の清算・決済をカバーする SaaS ベースの証券取引ソリューションを選択したと述べている。同社はこの受注を、2019 年の Crosskey による Model IT 買収後の Crosskey と Model IT に結びつけた。Bank of Aland が開示したこの買収は、Crosskey が資産運用顧客向けの OneFactor と保険セクター顧客向けの cFrame を持つヘルシンキのソフトウェア企業を買収し、銀行、資産運用会社、ファンド会社、保険会社向けの提供を強化したと述べている。したがって、Crosskey は単に預金と決済の処理業者ではない。その経済的射程は資本市場、資産管理、カストディにまで及ぶ。

これらの顧客記録は仮説を支持するが、過大評価すべきではない。指名顧客は、北欧の金融機関が意味のあるワークロードのために Crosskey を購入していることを示している。更新率、顧客収益性、サービスインシデント、実装の遅延、契約上のペナルティ、競合サプライヤーとの比較価格を開示するものではない。真剣な判断は、採用を市場適合の証拠として扱い、優位性の保証とは扱わない。

地域銀行が構築を避けるために対価を支払うかもしれない理由

Crosskey を購入する議論が最も強力なのは、買い手が狭い商品を持つ小さなフィンテックでも、巨大な内部技術リソースを持つ大手ユニバーサルバンクでもない場合である。小規模または地域銀行は、近代的なチャネル、決済準備、コンプライアンス更新、口座・顧客記録の整合性、商品の柔軟性、顧客期待を維持するのに十分な規模を望む。また、地元のブランドと支店またはリレーションシップモデルを維持したいと考えるかもしれない。緊張は、顧客は一つの銀行を見ているのに、銀行は国家インフラ事業のように見えるテクノロジー資産に資金を提供しなければならない点にある。

コアバンキング処理ファイルが高価になるのは、ストレス下でも退屈であることを約束するからである。支払ファイルは受け入れられなければならない。残高は最新でなければならない。証明書は有効でなければならない。応答はスキームルールに適合しなければならない。口座明細は調整されなければならない。AML・KYC 統制は組み込まれていなければならない。移行中に顧客がサービスを失ってはならない。銀行は監査証拠を示すことができなければならない。新しい支払いルール、オープンバンキングの変更、即時支払いの期待、データ保護の解釈、オペレーショナルレジリエンス要件のそれぞれが作業となる。銀行がスタックを所有していれば、すべての作業を所有する。Crosskey がプラットフォームを所有していれば、銀行はその作業の一部を購入するが、アウトソースする決定と監督する義務は依然として銀行が負う。

第一の利点は専門知識の共有である。Crosskey の会社概要ページは、その価値を、規制された現実を理解する北欧のバンキング専門家の周りに位置づけている。これは重要である。なぜなら、バンキングルールは一般的なエンタープライズソフトウェア要件ではないからだ。決済、カードスキーム、顧客デューデリジェンス、強力な認証、プライバシー、オペレーショナルレジリエンス、会計、融資ワークフロー、投資家保護、地域市場の慣行がソフトウェア設計を形作る。汎用インテグレーターはコードを書くことができる。金融プラットフォームサプライヤーは、どの統制を即興で行ってはいけないかを知っているべきである。

第二の利点はリリース規律である。Crosskey の製品ページは、モジュラーアーキテクチャ、API 駆動の統合、規制対応、監視、パートナーシップを繰り返し強調している。プラットフォームを購入する銀行は、初期実装だけでなく、長期にわたるアップデートを購入しているのである。これは経済学の中心である。銀行システムの最初のバージョンは高価だが、恒久的なコストは変更である。新しい EU ルール、決済スキームの期限、証明書の更新、新しいウォレット統合、セキュリティ要件、顧客チャネルの期待、より迅速な商品投入を求める取締役会の要求などである。複数の銀行を抱えるサプライヤーは、繰り返される規制変更を共有のロードマップに変えることができる。

第三の利点は継続性である。Crosskey の S-Pankki ケーススタディは、コア製品が数百万の顧客と取引を高いアクセシビリティで処理していると述べている。その年次報告書の議論は安定性とセキュリティを強調している。Crosskey は、その顧客には毎日安定した安全なシステムを信頼する多くのエンドカスタマーがいると述べている。ホームページや会社概要ページは規模の主張を提供している。フィンランド人の 5 人に 1 人、月間 10 億の API コール、年間 19 億の取引、月間 5000 万以上の C ID ログイン。これらの数字は企業の主張だが、具体的である。プラットフォームがロードマップのスライドだけでなく、実際の運用ボリュームで販売されていることを示唆している。

第四の利点は購買の集中である。地域銀行は、配管を構築する代わりに、希少な経営陣の注意を、与信、顧客関係、地元の預金、アドバイザリーサービス、商品設計、リスク選択に注ぐことができる。これは、対面サービスと近代的なデジタルチャネルを組み合わせたい銀行にとって特に関連が深い。POP Bank の発表はまさにその表現を使っている。パーソナルサービスとデジタルサービス、顧客満足、迅速な意思決定を組み合わせること。商業的な論理は、地元銀行は重い規制機械の一部をアウトソースしながら、提案においてローカルであり続けることができるということである。

第五の利点はオプショナリティである。Crosskey は一つのモノリスだけを販売しているのではない。トランザクションバンキング、カード、資産管理、Swift 接続、オープンバンキング、受取人確認、決済、融資、顧客・預金サービス、ポートフォリオ・カストディサービス、資産運用、ファンド管理、統合を提供している。顧客は、フルバンキングコア、PSD2 インターフェース、ローンポートフォリオサービス、証券取引サービス、Swift ビューローを選ぶことができる。これにより、Crosskey はコアプラットフォームとしても、モジュールサプライヤーとしても競争できる。また、銀行は最初により狭いサービスを購入することでスコープリスクを低減できる。

最も強力な反論は、オプショナリティを買うことが長期的な依存を生み出す可能性があることだ。データ、ワークフロー、スタッフの習慣、顧客チャネル、商品定義、証明書、インターフェース、監査ルーチンがサプライヤーに結びついてしまえば、銀行は容易に切り替えられない。アウトソーシングは構築コストを削減するが、移行コストを排除するわけではない。コアバンキングの文脈では、移行コストは抽象的な調達上の懸念ではない。将来の取締役会、規制当局、合併パートナーが移動を望んでも、移行のコスト、時間、運用上の危険が非常に高いため、銀行は既存のサプライヤーのロードマップと価格を受け入れざるを得なくなるリスクである。

規制はアウトソーシングを必要とし、かつ困難にする

銀行のアウトソーシングは、監督者から隠された私的な都合ではない。欧州銀行監督機構(EBA)のアウトソーシングガイドラインは、アウトソースされた活動、サービス、プロセス、機能を定義し、評価する。これには、それらが重要またはクリティカルかどうかも含まれる。EBA は、このガイドラインが、信用機関、投資会社、決済機関、電子マネー機関を含む金融機関のアウトソーシングガバナンスを調和させることを目的としていると述べている。2019 年の最終報告書は、クラウドアウトソーシングに関する以前の勧告を統合した。平たく言えば、銀行はコアをアウトソースした後でリスクの理解を止めることはできない。

DORA は圧力を高める。欧州銀行監督機構の DORA ページは、デジタルオペレーショナルレジリエンス法が、ICT の混乱に対して金融セクターを安全かつレジリエントに保つため、重要な ICT 第三者プロバイダーに対する EU 全体の監視枠組みを創設すると述べている。DORA の EUR-Lex テキストは、金融機関に対し、第三者プロバイダーからの ICT サービスの契約取決めに関する情報の登録簿を維持・更新し、要請に応じて管轄当局に利用可能にすることを義務付けている。これは Crosskey の買い手に直接関係する。重要な処理に Crosskey を使用する銀行は、文書化、監督、証拠を必要とする。

Crosskey の公開資料は明らかにこの環境向けに書かれている。セキュリティ機能ページは、セキュリティはソリューションの設計、提供、運用に不可欠であると述べている。リスクの予測、防止、検出、対応、テクノロジー、運用、サプライヤー、ビジネスプロセスを対象としたリスク評価、安全なアーキテクチャ、安全なソフトウェア開発ライフサイクル、継続的監視、エスカレーションパス、インシデント対応、Swift、GDPR、NIS2、AML、KYC、DORA、PSD2/PSD3、オープンバンキングの規制期待との整合について説明している。2025 年の Bank of Aland の年次報告書は、Crosskey はセキュリティソリューションとプロセスへの投資を継続し、DORA や NIS2 などの法的要件が業界をより強力なセキュリティ重視へと向かわせており、Crosskey は 13 年連続で PCI-DSS 認証を完了したと述べている。

これは重要な証拠だが、最終的な証明ではない。サプライヤーのセキュリティページは、意図する運用モデルを示している。PCI-DSS 認証は長期にわたるカードデータ管理の規律を示している。年次報告書の DORA、NIS2、サイバーセキュリティへの言及は経営陣の注意を示している。公開されていないのは、詳細な監査結果、インシデント履歴、レジリエンステストの範囲、復旧時間のパフォーマンス、サプライヤー登録簿、下請け業者マップ、顧客固有の統制証拠である。Crosskey を購入する銀行は、公開情報以上のものを見るだろう。本稿は、それらの非公開文書が強力であると仮定することはできない。

規制は Crosskey の製品に対する需要も生み出す。PSD2 は、銀行に対し、規制されたアクセスを通じて口座情報と支払指示を公開することを強制した。Crosskey は PSD2 専用インターフェースをサービスとして、およびプレミアム API 管理を販売している。インスタントペイメント規則と受取人確認要件は、新たなタイミング、スキーム、検証の負担を生み出す。Crosskey の VOP ページは、同社が規制対応、技術更新、レジストリの複雑性、時間制限保証、IBAN-to-BIC マッピングを管理し、基本料金と変動利用料を設定していると述べている。Swift サービスビューローページは、このサービスが金融機関が社内で Swift インフラを運用するコストと複雑さを回避しつつ、SCT Inst、TIPS、RIX-INST などのインスタントペイメントスキームに備えるのを支援すると述べている。したがって、規制は負担であると同時に販売エンジンでもある。

パラドックスは、アウトソーシングが規制に対応する合理的な方法でありながら、銀行を一つの外部企業の規制能力により依存させることにもなりうる点である。Crosskey が正しく更新すれば、顧客は重複した作業を回避できる。Crosskey の対応が遅れたり、誤っていたり、あるいは汎用的すぎたりすれば、複数の顧客が同じ弱点を共有することになる。DORA が重要な ICT 第三者リスクに焦点を当てているのは、この集中が仮説ではないからである。それは現代の金融インフラの特徴である。

データ所在地は注視点であり、結論ではない

本課題の管理対象トピックには、クラウドサービス依存とデータ主権が含まれる。Crosskey の公開証拠はこの両方を関連性のあるものにするが、慎重な結論は限定的である。Crosskey のホームページと製品ページは繰り返し SaaS という言葉を用いている。Crosskey の SaaS ページは、クラウドベースとオンプレミスの展開を組み合わせた、銀行やフィンテック向けのモダンなハイブリッド SaaS プラットフォームを提供すると述べている。オープンバンキングページは、PSD2 およびオープンファイナンス向けのクラウドベースのプラットフォームについて説明している。Aktia のリリースは、C Open をスムーズで将来性のあるクラウドベースのソリューションと呼んでいる。会社概要ページは、API ファースト、AI 対応のプラットフォームについて説明している。これは、クラウドと SaaS が公開提案の一部であることを証明する。

しかし、規制対象の本番ワークロードや個人データが顧客ごとにどこにあるかを証明するものではない。Crosskey の公開ウェブサイト自体は銀行処理システムではない。2026-07-05 に観測された DNS は、crosskey.fi が Amazon Route 53 のネームサーバー、Microsoft がホストするメール交換、いくつかのサービスの TXT レコードを使用していることを示した。公開ウェブサイトは Webflow と Cloudflare を通じて解決され、レスポンスヘッダーは Webflow のリージョンが us-east-1 であることを示した。Open Banking Market のドメインである crosskey.io は、Amazon Web Services のアドレスに解決され、Amazon のインバウンドメールを使用していた。これらの記録は、公開マーケティングおよび開発者ポータルのサーフェイス依存を示している。内部のバンキングアーキテクチャ、口座データの所在地、サービス品質、顧客データ処理場所を証明することはできない。

この境界が重要なのは、データ主権リスクが公開 DNS から過大評価されることが多いからである。米国にホストされたエッジにある銀行のウェブサイトが、顧客のコアデータがそこに保管されていることを意味しない。AWS を使用するマーケティングドメインが、規制対象の本番台帳が AWS 上で動いていることを意味しない。逆に、マリエハムンのローカルオフィスは、すべてのデータがフィンランドまたはオーランド諸島に留まっていることを証明しない。公開記録は、より狭い主張のみを支持する。Crosskey は規制されたバンキングに SaaS とクラウド対応サービスを販売しているため、顧客は契約レベルで展開、下請け業者、データ所在地、アクセス権、暗号化、監査権、継続性、移行計画を理解しなければならない。

オーランドのアイデンティティには依然として商業的価値がある。Crosskey の登録事務所、フィンランドとスウェーデンのオフィス、北欧の顧客基盤、銀行所有は、同社が地元のバンキング、言語、決済ネットワーク、規制期待を理解していると主張するのに役立つ。フィンランドやスウェーデンの銀行にとって、これは最も近い製品チームが遠くにあるグローバルなコアプロバイダーよりも説得力があるかもしれない。しかし、データ主権はスローガンではない。それは契約上および技術上の事実のセットである。本番データがどこに保管され、誰がアクセスでき、どのような下請け業者が存在し、バックアップがどのように処理され、インシデント通知がどのように機能し、規制当局のアクセスがどのようにサポートされ、移行データがどのように提供され、銀行がそれらの約束をどのように検証するかである。

サプライヤー依存は、より低い総コストの本当の代償である

Crosskey のコスト共有提案は経済的に説得力がある。小規模銀行は、すべての Swift アップデート、即時支払ネットワーク、オープンバンキングインターフェース、カードスキーム要件、セキュリティプラットフォームに単独で支払うことを望まない。ロードマップを専門家に任せたいと考える。しかし、すべてのコスト共有モデルはガバナンスの疑問を生む。誰がロードマップの優先順位を選ぶのか?顧客固有の変更はどのように価格設定されるのか?一つの大口顧客がデリバリー能力を消費する移行を必要としたらどうなるのか?サプライヤーは S-Pankki、POP Bank、Handelsbanken、Aktia、Aland 自身の銀行、証券顧客、新規見込み客の間でどのようにバランスを取るのか?

親会社の財務がこれを可視化している。Crosskey の IT セグメントは、意味のある収入にもかかわらず 2025 年に損失を出した。理由は需要の崩壊ではない。親会社は特にプロジェクト収入の減少と費用の増加を挙げている。これは、プロジェクト収入が変動しても長期的なプラットフォーム義務とスタッフコストが持続するビジネスを示唆している。顧客はサプライヤーがプラットフォームを存続させることを意味するため、これを好むかもしれない。投資家は、価格設定がデリバリーの全コストを捉えているかどうかを問うかもしれない。買い手は、薄いマージンが将来の価格圧力や裁量的な開発の遅れにつながるかどうかを問うべきである。

顧客集中度はもう一つの未知数である。公開記録はいくつかの顧客を挙げているが、収入集中度は開示されていない。関係が長期的で契約が永続的であれば、サプライヤーは集中した顧客基盤で強固でありうる。一つの大規模な実装が終了したり、一つの大口顧客が内製化したり、競合が更新を勝ち取ったりすれば、脆弱にもなりうる。Crosskey の複数顧客の証拠は懸念を軽減するが、取り除くわけではない。親会社が経常的な IT 収入とプロジェクト IT 収入、顧客集中度帯、契約済みバックログ、更新率を開示していれば、公開記録はより強力だっただろう。

スイッチングコストは、顧客にとっての集中度のバージョンである。S-Pankki は 2006 年から Crosskey と協業している。POP Bank のプロジェクトは数年にわたる。Handelsbanken のローンポートフォリオサービスは Samlink の責任からの移行を含む。Lansforsakringar の証券取引プロジェクトは、既存システムを置き換え、注文管理、執行、ポートフォリオ管理、清算・決済をカバーした。これらは粘着性の高いワークロードである。粘着性の高いワークロードはサプライヤーを価値あるものにするが、同時に買い手の移行計画をより重要なものにする。

ファイル転送の証拠はその理由を示している。企業向けソフトウェア、証明書、ファイルタイプコード、サービス URL、顧客記録、口座ワークフローが処理業者に結びついてしまえば、移動は契約署名ではなく実践的なプログラムである。データを抽出し、検証し、マッピングし、テストし、調整しなければならない。顧客はサービスを失うことなく移動させなければならない。スタッフは新しいプロセスを学ばなければならない。規制当局や監査人は満足させなければならない。失敗した移行は、高価な更新よりも損害が大きい可能性がある。これにより、たとえ全員が誠実に行動しても、既存事業者にレバレッジが生じる。

最善の防御は、ロックインが存在しないふりをすることではない。ロックインを管理可能にすることだ。明確なサービスレベル、インシデント報告、監査権、データエクスポート義務、関連する場合のエスクローまたは継続性の取り決め、下請け業者の透明性、介入または解決計画、価格変更ルール、リリースガバナンス機関、顧客協議会、信頼できる移行テストなどである。公開証拠は、Crosskey の契約がこれらの項目をどのように扱っているかを示していない。規制と製品の重要性がそれらを不可避にしていることを示している。

競合と代替品が信頼の価格を設定する

Crosskey はいくつかの種類の代替品と競合する。第一は内製である。十分な規模の銀行は、コアバンキング、データプラットフォーム、決済統合、顧客チャネル、コンプライアンスツールを内部に保持できる。これはコントロールとカスタムフィットを提供するが、恒久的なテクノロジーの深さを必要とする。小規模銀行にとって、内製管理は、主要な開発者が去ったり、大きな規制期限が到来したり、古いテクノロジーがすべての変更を遅くしたりした場合に脆弱性となりうる。

第二の代替案はグローバルなコアプロバイダーである。Temenos は、同社のコアバンキングプラットフォームが 950 以上の銀行にサービスを提供し、エンドツーエンドの機能、柔軟な展開、Temenos が運用、アップデート、アップグレード、サポート、リスク、ガバナンス、セキュリティを処理する SaaS を提供すると述べている。FIS、Oracle、TCS BaNCS などのグローバルプラットフォームも、より広範なコアバンキングで競合する。グローバルプロバイダーは、製品の幅広さと大規模な導入基盤を提供できる。トレードオフは、適合性、実装の複雑さ、価格設定、そして小規模な北欧の金融機関がロードマップや地域の決済ネットワークに影響力を持てるかどうかである。

第三の代替案は他の北欧の専門家である。Tietoevry Banking は、北欧およびそれ以外の地域における金融 SaaS ソリューションの市場リーダー的プロバイダーを自認し、数千人の専門家と 60 か国の顧客を持ち、決済、カード、不正防止、融資、資産管理、Banking-as-a-Platform を提供している。Samlink は現在 Kyndryl の所有下で、安全な近代化、コアバンキング、デジタルチャネル、コンプライアンス継続性のためのバンキングパートナーとして自らを位置づけている。Evitec は、特に銀行および住宅ローン銀行業務において、金融セクター向けのソフトウェアとコンサルティングを提供している。これらの代替案は、Crosskey が地域バンキングインフラを販売する上で唯一ではないことを示している。

第四の代替案は、より狭いモジュール戦略である。銀行は、異なるコアを維持しながら、PSD2、Swift、VOP、カード、ローンサービスのために Crosskey を選択するかもしれない。これは一つのサプライヤーへの依存を減らすが、統合の複雑さを増す可能性がある。また、全面的なプラットフォーム移行を回避することで交渉力を維持することもできる。Crosskey 自身の製品戦略はこの現実を認めている。同社はプラットフォームとスタンドアロンサービスの両方を提供している。モジュールを獲得できるサプライヤーにはより多くのエントリポイントがあるが、モジュールを組み立てる銀行はより多くのアーキテクチャ能力を維持しなければならない。

第五の代替案は戦略的簡素化である。小規模銀行は、すべての商品、すべてのチャネル、すべての市場機能を提供することを避けることができる。住宅ローンの提携、複雑なカードの回避、サードパーティの資産管理ソリューションの利用、より狭いバランスシートの維持などが可能だ。これによりコアの複雑さは軽減されるが、顧客提案が弱まる可能性がある。銀行がデジタル期待、即時支払い、オープンバンキング、モバイルサービスに追いつくことを余儀なくされるほど、Crosskey やライバルのような処理業者を必要とするようになる。

したがって、競争は Crosskey の価値を否定するものではない。それはテストを設定する。Crosskey の北欧重視、銀行所有、実証済みの顧客、モジュール型 SaaS が実装リスクと総コストを低減するのであれば、地域銀行のショートリストに載るに値する。買い手がグローバルな規模、より標準化されたコア、より強力な公開財務透明性、異なるクラウド戦略を必要とするなら、ライバルの方が信頼できるかもしれない。公開証拠は、Crosskey が避けられない勝者としてではなく、真剣な地域専門家として支持する。

非公式シグナルは有用だが二次的である

Crosskey の 2025 年 12 月の Tivi250 リリースは、同社をフィンランドの IT セクター売上高ランキングに位置づけ、2024 年の売上高を 5,400 万ユーロと主張しているため、市場シグナルである。Asiakastieto の公開サマリーは、2025 年の収入を 5,550 万ユーロ、従業員数 390 名、収入増加率 1.5%、営業損失 190 万ユーロ、自己資本比率 37%と報告している。Revelio Labs は労働力データを用いてより高いグローバル従業員数を推定している。LinkedIn は Crosskey の従業員数を 201~500 名とし、Alandsbanken、S-Pankki、DNB、Marginalen Bank などの顧客を挙げている。

これらの情報源は規模を三角測量するのに役立つが、主要な判断を担うべきではない。監査済みの親会社年次報告書は、セグメント経済性と所有権についてより強力である。Crosskey 自身の製品ページは、同社が何を販売しているかについてより強力である。顧客リリースは、指名された採用についてより強力である。非公式のディレクトリや労働力推定は、より強力な証拠と整合的であるか、またはより良い公開情報源が存在しない場合にのみ有用である。このケースでは、中規模の専門家プロファイルを補強するが、仮説を変えるものではない。

公開技術記録も同様である。これらは、Crosskey がそのドメインを管理し、DNSSEC を使用し、パブリッククラウドと SaaS ベンダーを公開サーフェイスに使用し、可視的なメール認証記録を維持していることを示している。内部セキュリティ、データ所在地、顧客アップタイム、アーキテクチャ、管理品質を示すものではない。有用な市場シグナルは、Crosskey の公開サーフェイスが主流のインフラと認証管理を使用する現代的な SaaS 企業と整合的であることだ。支持されない飛躍は、銀行データがどこにあるか、またはコア処理のレジリエンスがどの程度かを推測することだろう。本稿はその飛躍を行わない。

公開証拠

判断を変えるであろう事実

証拠は、Crosskey が単なるソフトウェアアクセスではなく、コアバンキング処理の規律に対して報酬を得ているという主張を支持する。公開記録は、指名顧客、意味のある取引規模の主張、数百人の従業員、複数年にわたる実装の証拠、規制セキュリティの位置づけ、監査済みの親会社セグメント開示を持つ銀行所有の北欧サプライヤーを示している。また、サプライヤーが価値ある理由も示している。小規模銀行は、共有アップデート、継続性、統合経験、コンプライアンス能力を、すべてを内部で重複させる代わりに購入できる。

Crosskey またはその親会社が、経常的な IT 収入とプロジェクト IT 収入、顧客集中度、更新率、契約済みバックログ、顧客レベルのサービスレベルパフォーマンス、インシデント頻度、平均復旧時間、実装予算の結果、独立した顧客満足度、移行テスト結果、サービス別のデータ所在地管理を開示すれば、判断はより強固になるだろう。また、POP Bank の実装が本番稼働、安定した移行、顧客影響メトリクス、稼働後のサービスパフォーマンスを公に確認すれば、より強固になるだろう。

Crosskey の IT セグメントがプロジェクト収入の減少の中で損失を続けたり、大規模顧客が移行を遅らせたり中止したり、規制当局の指摘が脆弱な運用管理を露呈したり、度重なるインシデントが顧客銀行に影響を与えたり、顧客が困難な移行を報告したり、競合がより強力な公開サービスメトリクスとともに低い総コストを証明したり、クラウドや下請け業者の開示が顧客が管理できない集中リスクを示したりすれば、判断は弱まるだろう。

公開記録は、Crosskey の商業的価値は現実的だが条件的であることを示唆している。それは、北欧の金融インフラの深さ、近代化へのモジュール型ルート、顧客チームと並走することを厭わないサプライヤーを必要とする銀行にとって最も説得力がある。経常収入の質、サービス可用性、インシデント履歴、データ所在管理、実装成果、移行ポータビリティに関するより良いメトリクスがなければ、仮説は証明されないままである。処理ファイルはアウトソーシングを合理的にする可能性があるが、依存性が最初に可視化される場所にもなりうる。