デジタル社会の本人確認に関するアドバイザリーボード
座長 石井 夏生利
庄司 昌彦
宮内 宏
1.はじめに
eKYCサービス事業者は、氏名、住所及び生年月日の基本3情報だけでなく、身分証や顔画像など多くの個人情報を取り扱うことで、本人確認サービスを提供している。
これらの個人情報は、本人確認を行うためには不可欠な情報であり、一部の事業者は、法令に基づき、本人の身分証や顔画像などの情報の提供を求めている。
本人確認について検討を行うに当たっては、事業者のみならず、ユーザーの側の視点を理解することも肝要である。TRUSTDOCKが行った「オンライン本人確認(eKYC)に関する利用動向調査」によると、身分証や顔画像など積極的には提供したくない情報を提供することへユーザーが煩わしさを感じ、事業者側の管理や活用について不安を抱いているとの調査結果が示されている。
こうしたユーザーの思い、また、取り扱っている個人情報の内容を踏まえると、eKYCサービス事業者は、個人情報の取扱いに当たって、法令遵守や技術的な対策に加え、他のサービス事業者以上にユーザーに丁寧な説明を行わなければならない主体であると考える。
サイバー空間での手続や取引、アクティビティが今後更に増加していく中、オンライン上での本人確認が必要なケースは確実に増えていくことが想定される。
しかしながら、本人確認については、行政手続きに関するガイドラインが国から示されているものの、民間事業者向けの標準的な国内ルール、eKYCサービス事業者のあり方を示す指針すら存在しない。
オンラインによる本人確認を信頼されるデジタル社会の基盤としていくためには、まず、核となる個人情報の取扱いについて、eKYCサービス事業者自ら一段高い意識をもって取組を進めていかなければならないと考える。
本人確認情報の取得時だけでなく、取得後の取扱いの透明性を高め、自社の利益のみを目的とするのではなく、新たな社会課題にも積極的に取り組んでいくeKYCサービス事業者を社会が必要としている。
同時に、先進的なeKYCサービス事業者が主導して、官民の多くの関係者と連携しつつ、ルール形成に向けた本格的な議論や検討を行っていかなければらない。
議論や検討を進めるに当たっては、グローバルな観点での規制動向にも着目しながら、新たな認証技術や公的な身分証を取り巻く環境の変化等について検討、推進を行うグループとも連携を図る必要がある。
本アドバイザリーボードの提言が、そうした取組や議論の契機の一つになることを願い、第一次取りまとめとして、個人情報の取扱いについて以下のとおり提言することとしたい。
2.提言事項
(1)プライバシーポリシーにおける個人情報の取扱いの明確化
- 個人情報は、本人確認目的の範囲で取り扱い、最小限の情報のみ授受する
- 本人確認のために取得した個人情報は、保存期間を明確にし、保存期間が経過した場合は、原則として消去す
- 本人確認のために取得した個人情報については、リスクに応じた安全管理措置を講じる
- 本人又は代理人からの開示等の請求等の方法を明確に示し、適正かつ迅速に対応する
- 委託元から本人確認業務を受託して取得した個人情報は、委託契約の範囲内でのみ取り扱う
- 委託により取得した個人情報と本人から直接取得した情報が混在しないよう、分別管理を徹底する
【参考】受託業務におけるTRUSTDOCKの情報取り扱いフロー 
(2) 個人情報の取扱いの透明性及びアカウンタビリティの確保
- ISMSやプライバシーマーク等の認証を維持するとともに、PDCAサイクルや改善にも取り組み、これを積極的に公表する
- ユーザー視点に立ったプライバシーポリシーや利用規約の説明、発信(例えば、ポリシーの内容を動画にして説明する方法等)を行う
- eKYCサービス事業者の知見を活かし、ユーザー視点に立った開示等の請求等を推進する
- ユーザーが情報の取扱いに関する同意事項をコントロールできる環境を整備する
(3) 社会の変化を見据えた新たな課題への積極的な取組み
- ユーザーニーズの多様化に即した新たな本人確認スキームを提案する
- 既存の手法の保証レベルを再構成し、ユーザーの利便性の高い新たな手法を構築する
- データ連携等により、ユーザーに過度の負担をかけずに情報が更新される仕組みを提案する
以上
【関連資料】
・「デジタル社会の本人確認に関するアドバイザリーボード」 第一弾取りまとめ概要
・「デジタル社会の本人確認に関するアドバイザリーボード」の提言を受けて 第一弾取りまとめ本編
・「デジタル社会の本人確認に関するアドバイザリーボード」 第一弾取りまとめ附属資料
アドバイザリーボードへのお問い合わせはこちらのフォームよりお願いいたします。