TRUSTDOCKでは2021年7月より、「デジタル社会の本人確認に関するアドバイザリーボード」を設置しました。本格的なデジタル社会における本人確認・認証・デジタルIDはどうあるべきか。自社のみならず、社会全体のグランドデザインも含め、検討・判断・発信等を行うべく、デジタル社会に不可欠なインフラのあり方についての議論をスタートしたのです。
それから約4ヵ月後の12月14日。「デジタル社会の本人確認に関するアドバイザリーボード」の提言を受けての第一弾取りまとめを発表し、メディア向け勉強会にてその成果物をご報告しました。
本記事では、当日の様子を含め、第一弾取りまとめのポイントについてお伝えします。
なぜ、TRUSTDOCKは「デジタル社会の本人確認に関するアドバイザリーボード」を設置したのか
そもそも、なぜTRUSTDOCKは有識者によるアドバイザリーボードを設置したのか。そこに込められた想いについて、まずは冒頭にTRUSTDOCK CEOの千葉 孝浩より説明がなされました。
「僕らは個人情報の主権者は個人であると考えています。それに対して弊社は100社以上導入いただいておりますが、その企業様から委託でお預かりしている顧客たる生活者の個人情報を慎重に取り扱っています。
法規制に準拠するのはもちろんなのですが、仮に法規制との関係で問題がないとしても、生活者の感情に配慮することなく個人情報を取り扱うのであれば、十分な取組ではないと考えています。
技術でできる/できないではなく、できるけどやらない、何をやって何をやらないかを、丁寧に扱おうと考えています」(千葉)
そのために、eKYC事業者では唯一、経済産業省の「オンラインサービスにおける身元確認に関する研究会」に参加し、また生活者向けのeKYC大規模調査を実施して、国民の不安をヒアリングしています。
海外では個人情報や顔データの取り扱いが年々厳しくなっており、相次いで見直しが行われている状況です。また日本においても、2020年、2021年と個人情報保護法が改正されており、世界の潮流に合わせた調整が行われています。
このような状況の中、eKYC事業者は果たしてどうあるべきなのか。このことを突き詰めて考えながら、社内や企業の論理だけでなく、広く知見を集めて、 よりよいデジタル社会にしていきたい。このような考えのもとで、「デジタル社会の本人確認に関するアドバイザリーボード」を設置したと、千葉は強調しました。
「アドバイザリーボードでは、個人情報保護法等に詳しい石井 夏生利氏(中央大学教授)を座長とし、パーソナルデータ利活用等に詳しい庄司 昌彦氏(武蔵大学教授) と電子署名法等に詳しい宮内 宏氏(宮内・水町IT法律事所 弁護士)の3名に参画いただき、多面的な視点で毎月の検討会で議論を交わさせていただいております。本日はその結果をご報告したいと思います」(千葉)
アドバイザリーボード設置から第一弾取りまとめを発表までの計5回の主なアジェンダ
大規模調査から明らかになった、eKYCに対する国民の声
まずはこれまでの議論の概要について。ここからは、TRUSTDOCKでPublic Affairs担当となる神谷英亮より説明がなされました。
これからのデジタル社会におけるインフラとしてeKYC等の本人確認を機能させるためには、そのエンドユーザーとなる国民の声を的確に理解する必要があります。それに向けた取り組みとして、先述したとおり、TRUSTDOCKではMMD研究所と共同で、計2回にわたる「オンライン本人確認(eKYC)に関する利用動向調査」(※)を実施しました。
※1回目となる予備調査ではスマートフォンを所有している18~69歳の男女10,000人に10問、2回目となる本調査ではこのうち「オンライン本人確認」の利用経験者500人に15問、それぞれ設問に回答してもらいました(期間:2021年7月21日〜7月26日、方法:オンラインによるアンケート調査)
様々な調査結果が出てきたわけですが、その中でも一番のポイントは、多くの国民がeKYCに対して「不安」を感じている、ということでしょう。例えばeKYCに対する懸念としては、「写真などのデータの保管や活用が不安・心配」「顔写真を送りたくない」等、顔写真データを含む個人情報の取扱いに対する不安が多くを占めました。
画像:TRUSTDOCK, MMD研究所 (2021) 「オンライン本人確認(eKYC)に関する利用動向調査」より
一方で、eKYCを一度以上活用した利用者500名に「eKYCを次回以降も利用したいか」と質問したところ、以下のような集計結果となりました。「その都度判断する」が約6割を占めており、eKYCを次回利用するにあたっては、 eKYCの利便性と懸念を都度判断していることが考えられます。
画像:TRUSTDOCK, MMD研究所 (2021) 「オンライン本人確認(eKYC)に関する利用動向調査」より
次回以降もeKYCを利用したいと思う理由としては、「ネット上で完結」が約7割を占めたほか、「便利「時短」など、利便性向上に関わる項目が上位を占めていました。一方で、eKYCを利用したくない理由としては、「データの保管が不安」「情報漏洩のニュースなどを見て怖い」「法整備やガイドラインが整っていない」等、個人情報の取扱いに不安を感じている方が多い実態が浮き彫りになりました。
画像:TRUSTDOCK, MMD研究所 (2021) 「オンライン本人確認(eKYC)に関する利用動向調査」より
以上の結果から、信頼されるeKYCサービス事業者としては、以下の3点が重要だとTRUSTDOCKでは考えていると、神谷はコメントしました。
- 個人情報の取扱いの明確化・透明化
- 事業者の信頼性確保
- 法やガイドラインの整備
「ユーザー調査はユーザーの方々からのお手紙、叱咤激励だと捉えているので、それを踏まえた施策を講じるべきだと捉えています」(神谷)
eKYCサービス事業者における個人情報の取扱いに係る論点整理
それでは、eKYCサービス事業者における個人情報の取扱いについては、具体的にどのような論点があるのでしょうか。まずはeKYCサービス事業者として留意すべき点として、アドバイザリーボードでは、「透明性」と「説明責任」についての論点が示されました。
特に後者の説明責任については、分かりやすいプライバシーポリシーを定めて示すことはもちろん、文字ベースの情報を映像ベースで案内する、実際のサービスを体験いただいた上でフィードバックループで改善していく等、ユーザーとの「コミュニケーション戦略」の策定が大事であると神谷は強調しました。
また、冒頭で千葉からも説明があった「委託業務における情報の取扱い」については特に活発な議論が行われたほか、「取得データの最新性」と「データ取得の最小化」が課題とされました。取得データの最新性とは、業界的には「継続的顧客管理」に係るテーマのことであり、昨今のFATF第4次対日相互審査報告書でも指摘がなされた部分となります。
このように見ると、eKYCサービス事業者における個人情報の取扱い論点のポイントは、欧州のGDPRにおける原則と多くが重なることがわかります。例えばデータの最小化についてはGDPRでも利用目的に対する必要十分な範囲に限定されると明記されており、また正確性についても、必要な場合の最新性が“維持”されることが求められています。
出所:小向太郎, 石井夏生利(2019)「概説GDPR ―世界を揺るがす個人情報保護制度」, NTT出版. よりTRUSTDOCKが作成
以上のような多様な論点がある中において、TRUSTDOCKとしては、まずは①透明性・説明責任への積極対応、②社会情勢変化の情報収集・対応の2点について、重点的に取り組みたいと考えています。
eKYCサービス事業者としての個人情報の取扱い等に係るTRUSTDOCKの方針
重点的な2領域だ示されたところで、次に具体的なTRUSTDOCKの方針についての説明がなされました。
透明性および説明責任への積極対応について
たとえばSNS「Facebook」を運営する米Meta社(旧Facebook社)は、先日Facebook上での顔認識システムを停止し、10億人以上のデータを削除することを発表しました。このように、プライバシーへの配慮が必要な情報を取り扱う事業者の動きが、米国のみならず世界中で広がりつつあります。第一弾取りまとめの冒頭にも記載したこととして、このような「データプライバシー」への配慮は、ESG投資を行う際の指標の一つにされており、国内外の企業の間で今後一層重要性が増していくことが想定されます。
TRUSTDOCKではこの透明性・説明責任への対応の一環として、適正に扱っている個人情報の取扱い等についてをプライバシーポリシーで明示的に公表しています。必要事項が網羅してあることを前提に、より分かりやすい記載や表現が必要で、かつ先述したとおり文書以外での情報伝達方法も検討が必要だと認識しています。
一方で、プライバシーポリシーをしっかりと読むユーザーは少ないことも想定され、ユーザーに個人情報の取扱いについて正しく理解してもらう不断の努力が必要だとも考えています。
特にユーザー理解を促進したい部分は、冒頭でも千葉から説明がなされた「生活者の感情的な側面に配慮しない取り組みは行いたくない」という部分です。TRUSTDOCK eKYCサービスは「委託契約」であり、利用企業様からユーザーの個人情報の提供を受けて、本人確認業務後にも情報を適切に保持・廃棄しております。
GDPRでも、個人情報を取扱う際の説明責任が基本原則として掲げられており、 正当化根拠が示されていない個人情報の取扱いは違法とされています。また、正当化根拠の中に「本人の同意」がありますが、これも十分な説明を受けた本人が、自由な意思に基づいて、明確に示したものでなければなりません。
TRUSTDOCKもこの思想に深く共感し、委託された本人確認業務において取得した個人データについては、法令に基づく例外的な場合を除き、第三者へ提供する運用は行っていません。法律を遵守することは言うまでもなく重要な観点ですが、法律上問題がないとしても、ユーザーが「不安」を感じる情報の取り扱いには、慎重に対応しなければならないと考えております。
「TRUSTDOCKは大切な個人情報を取り扱う事業者として、今後も、ユーザー視点を欠かさないこと、それから透明性を確保することに一番の力点を置き、こだわり続けて参ります」(神谷)
なお、個人情報の第三者提供については、以下の記事で詳細に説明しておりますので、こちらも併せてご確認ください。
第三者提供について要チェック!eKYCにおけるユーザー情報の取り扱いが問われる理由を解説
性別情報の取扱いなど社会情勢変化の情報収集・対応について
社会の変化を見据えたeKYCのあり方への対応も、また重要な視点です。一つの例として神谷から挙げられたのが「性別」に関するトレンドです。個人情報関連ではよく「基本4情報」として氏名、住所、生年月日、性別が挙げられるのですが、この中の「性別」については、本人確認においては必ずしも必要では無く、機微な情報という側面があります。例えば、犯罪収益移転防止法や古物営業法等における本人確認では性別の確認は求められていませんし、携帯電話不正利用防止法においても、氏名、住居及び生年月日のみの確認が求められています。
先述した「取得情報の最小化」の視点から、TRUSTDOCKではこの性別に着目して、行政手続きにおいて性別が求められているケースや性別情報の取得見直しの事例等について、簡易調査を実施しました。
例えば法令調査としては、183の法令で記載事項や申請等で「性別」が求められており、個々の条文では「性別」を求めるもの・求めないものが混在している事が分かりました。また具体的な事例調査としては、例えばLGBT法連合会により公表された、性的指向や性自認等による差別や偏見による困難を整理した「困難リスト」のチェックや、性別欄の削除を実行済み又は検討している自治体のリストアップ等を行っています。
このようにTRUSTDOCKでは、情報の最小化という一つの観点においても、細かくステークホルダーを取り巻くトレンドをリサーチしております。今後も、国際的な視点でニーズや社会の変化をいち早く捉え、社会インフラづくりを牽引していく予定です。
今後のアドバイザリーボードにおける展望
最後に、今後のアドバイザリーボードの活動については、上表の「検討」「発信」「その他」それぞれの観点と併せて、千葉より中長期的な展望が述べられました。
「“名乗る側”である個人と“確かめる側”である企業はコインの裏表の関係だと考えており、これまで我々は確かめる側をメインでご支援してまいりましたが、これからは個人側にも個人情報を管理できるツールを提供して参りたいと考えております」(千葉)
ここでいう個人情報を管理できるツールとは、具体的には「デジタル身分証アプリ」のことを示します。すでに先立って、いくつかの自治体等で実証実験等を行っており、「個人が正しく名乗る」ための仕組みの構築を進めています。
「アドバイザリーボードでは、このデジタル身分証という存在についても、どうあるべきかということを、eKYCとはまた別の文脈で議論を進める予定で、2022年中に取りまとめたいと考えております」(千葉)
SDGs16-9でも「万人に法的な身元証明を提供」 とあり、またCOVID−19でワクチンパスポートの検討も盛んになっていることから、「デジタル上の身元証明」はグローバルな検討事項であると言えます。現にEUでは、公共・民間サービスで利用できるデジタルID規則案が発表されており、また別の文脈でも、2021年秋に配信される「iOS 15」からウォレットアプリが進化して、デジタル身分証明書をiPhoneに保存できるようになります。
「本アドバイザリーボード含め、TRUSTDOCKでは安全・安心な日本ならではのKYCのインフラ整備に向けて、引き続き尽力してまいりたいと思います」(千葉)
<関連リンク>
「デジタル社会の本人確認に関するアドバイザリーボード」
アドバイザリーボードからの提言(個人情報の取扱いについて)
<関連資料>
「デジタル社会の本人確認に関するアドバイザリーボード」 第一弾取りまとめ概要
「デジタル社会の本人確認に関するアドバイザリーボード」の提言を受けて 第一弾取りまとめ本編
---
TRUSTDOCKでは、eKYCソリューションの導入を検討されている企業の方々や、実際に導入プロジェクトを担当されている方々のために、PDF冊子「eKYC導入検討担当者のためのチェックリスト」を提供しております。eKYC導入までの検討フローや、運用設計を行う上で重要な検討項目等を、計12個のポイントにまとめていますので、eKYCの導入を検討される際はぜひご活用ください。
また、以下の記事でKYCおよびeKYCについても詳細に解説していますので、こちらも併せてご覧ください。
KYCとは?あらゆる業界に求められる「本人確認手続き」の最新情報を徹底解説
(文・長岡武司)
