本記事のポイント
・公的個人認証サービスを利用する「JPKI方式」は、最もセキュリティが高い手法
・「ICチップ読取方式」ではマイナンバーカードや運転免許証など複数の身分証が利用できる
・現時点で最も多く利用されている「ホ方式」は2027年4月の法改正で廃止になる(ただし犯罪収益移転防止法などの業法対応が必要のない事業者にとっては関係ない)
オンラインによる本人確認(eKYC)は、今や業界を問わずさまざまなサービスでの実装が進んでいます。
TRUSTDOCKでも、これまで合計300社以上の事業者様にeKYCサービスを導入いただいており、24時間365日絶え間なく本人確認をご支援しています。
そんな本人確認の専門事業者だからこそ、導入企業による「eKYC活用の傾向」も見えてくるものです。今回は、業界を問わずによく使われているeKYC手法について、3つの手法をご紹介します。
オンライン本人確認の代表的な手法3選
これから紹介する3つの手法は、それぞれ本人確認の仕組みや、確認できる情報の信頼性・強度が異なります。
それらの違いを簡潔に表したのが以下の図です。
必ずしも「確認強度が高いほど万能」というわけではなく、ユーザーの利用環境や導線、サービス特性によっては、別の手法の方が適している場合もあります。
そのため、多くのサービスではこれらの手法を、用途やリスクレベルに応じて使い分けたり、組み合わせて導入したりしています。
次章からは、この3つのeKYC手法について、それぞれの特徴や使われ方を簡単に紹介します。
①JPKI方式(公的個人認証サービスを利用する手法)
最初にご紹介するのは、「公的個人認証サービス(JPKI:Japanese Public Key Infrastructure)」という、マイナンバーカードのICチップに入っている “本人確認用のデジタル証明書” を通じて、オンラインで自分が本物だと証明できる仕組みを使う手法です。
運営するのは、J-LIS(地方公共団体情報システム機構)と呼ばれる、国と地方公共団体が共同で管理している団体です。
インターネットを通じて安全・確実な行政手続きなどを行うために、他人によるなりすまし申請や、電子データが通信途中で改ざんされていないことを確認するための機能を提供しています。
こちらは、金融機関をはじめとする特定事業者に対してマネー・ローンダリング及びテロ資金供与対策のための規制を定めている「犯罪収益移転防止法」にも準拠した手法で、「電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律」の規定に基づき、自ら署名検証者となる特定事業者、または第17条第1項第5号の規定に基づく内閣総理大臣及び総務大臣認定のプラットフォーム事業者のみ利用が可能となっています。(TRUSTDOCKもプラットフォーム事業者としての認定を受けています。詳細はこちら)
使い方は簡単。以下、TRUSTDOCKサービスを使った場合のフロー図にある通り、署名用電子証明書パスワード(※)を入力した後に、マイナンバーカードをスマホでスキャンするだけです。
※署名用パスワード:マイナンバーカードの申請時に住民票のある市区町村へ届け出た6~16桁の英数字
アプリへの組み込みなど利用ハードルが高い要件ではありますが、デジタルIDウォレット「TRUSTDOCKアプリ」のようにスマートフォンでマイナンバーカードが読み取れるアプリがあれば、およそ10秒程度で郵送不要、目視確認不要のeKYCができます。
マイナンバーカードを持っているユーザーにとっては対応完了までのスピードが最も早く、事業者側にとっても確認の工数が低く、かつセキュリティ対策が高い手段となっています。
※JPKI方式は、2025年6月23日以前は長らく犯罪収益移転防止法施行規則第6条1項1号ワ(またはカ)で定義されていたことから、通称「ワ方式」として本コラム群では表現しておりました。これに対して2025年6月24日の改正犯罪収益移転防止法施行規則の施行にともない、直接検証は施行規則第6条1項1号カ、プラットフォーム事業者を利用する場合は同号ヨへと条文番号の細分が変更になったことから、コラムにおける表記を「JPKI方式」へと変更しました。このような背景を踏まえ、コラムの初出時や見出しなどでは「JPKI方式(旧ワ方式)」と表現しております。本法改正の詳細については、以下の記事もあわせてご覧ください。
▶︎【2025年6月施行】&【2027年4月施行】改正犯罪収益移転防止法で変わる!本人確認手法の変更ポイントを解説
また、犯罪収益移転防止法そのものや、公的個人認証サービスについてより詳しく知りたい方は、以下の記事もあわせてご覧ください。
▶︎犯罪収益移転防止法(犯収法)とは?2025年2月発出パブコメなど、最新トレンドや本人確認/eKYC要件等を解説
▶︎公的個人認証サービス(JPKI)とは?ホ方式廃止に向けた、マイナンバーカード×本人確認の新たなトレンドを解説
②ICチップ読取方式(ICチップ情報+セルフィー画像の送信)
続いては「ICチップ読取方式」です。こちらは、顧客から写真付き本人確認書類のICチップ情報と、本人確認時に撮影したセルフィー画像の送信を受ける方法です。
必要となるのは、マイナンバーカードや運転免許証、在留カード、特別永住者証明書などの身分証などに埋め込まれたICチップ情報と、本人の容貌を撮影したセルフィーデータ1点です。
こちらもJPKI方式と同様、「犯罪収益移転防止法」にも準拠した手法になります。
以下は、マイナンバーカードと運転免許証、それぞれを利用した場合のオペレーションの流れです。
例えばマイナンバーカードを使ってICチップ読取方式の本人確認を実施する場合、カードのICチップに格納されている「券面アプリケーション(AP)」から顔画像を、「券面事項入力補助アプリケーション(AP)」から基本4情報(※)をそれぞれ抽出します。前者に関してはICチップ内にある顔画像(白黒)とその場で撮影した本人の顔写真を比較・自動判定し、一致率を返却することでなりすましを防止します。
※基本4情報:個人を特定するための基礎的な情報で、氏名・生年月日・性別・住所の4項目を指す。これらの情報は、行政手続きや金融取引、医療機関の受診など、さまざまな場面で本人確認に利用されている。なお、基本4情報の中でもジェンダーアイデンティティへの配慮として「性別」を除外した「基本3情報」を活用する機運が高まっており、たとえば2024年5月31日に成立された改正マイナンバー法等では、次期マイナンバーカードについて、現状のカードに記載されている性別の表記を削除することが盛り込まれた。
JPKI方式と同じマイナンバーカードも使える手法ではありますが、情報の呼び出し方が異なるため(こちらはJ-LIS運用のシステムを使っているわけではないため)、身元確認保証レベルは下がります。
一方で、先述のとおり、マイナンバーカードの他にも運転免許証や在留カードといった身分証の利用が可能なので、マイナンバーカードを持っていないユーザーでも使える手法となっています。
③ホ方式(写真付き書類の写し1点+セルフィー画像の送信)
最後は、顧客から写真付き本人確認書類の画像1点と、本人のセルフィー画像の送信を受ける手法、通称「ホ方式」です。
なぜ「ホ方式」かというと、こちらも先述の2手法と同様に「犯罪収益移転防止法」に準拠した手法となっており、定義されている施行規則の条文番号が「ホ」だからです。
以下のフロー図にある通り、身分証の券面の撮影とセルフィーの撮影、それぞれに分かれて本人確認を進めていきます。
身分証の券面撮影については、ただ表裏を撮影するのではなく、その身分証が原本であることを示す特徴、例えば運転免許証の場合は厚みを、パスポートの場合はホログラムを含めて写す必要があるとされています。
また、セルフィーの撮影についてもTRUSTDOCKサービスでは、正面からの撮影の他、矢印の方向に首を傾ける画像撮影をランダムに3回実施するなどして、より身元確認保証レベルを高めるようにしています。
先ほどお伝えした通り、現状は犯罪収益移転防止法に準拠した手法ではあるのですが、2027年4月1日に予定されている法改正によって、こちらの手法は廃止になる予定です。つまり、犯罪収益移転防止法で定義されている特定事業者(金融機関など)は、この手法を使えなくなる予定です。
一方、犯罪収益移転防止法などの業法に準拠する必要がない事業者にとっては、一定の身元確認保証レベルが担保されたeKYC手法なので、2027年4月以降も引き続きニーズのあるものと考えております。
どの手法を採用するべきか?
ホ方式が廃止された際に、ユーザーがどの本人確認手法を使うのが良いかを表したフローチャートが以下になります。
ポイントは、マイナンバーカードによるJPKI方式が利用できない場合における、ICチップ読取方式の受け皿としての「弾力性の高さ」にあります。
JPKI方式を利用する場合、ユーザーがマイナンバーカードの署名用電子証明書パスワードを把握している必要があります。
把握していない場合は、代わりにICチップ読取方式としてマイナンバーカードをスマートフォンにかざしてもらうだけの運用が可能ですし、マイナンバーカードそのものを所持していないユーザーについても、免許証の暗証番号や在留カードの券面番号等を入力してICチップを読み取る形での利用が考えられます。
そして、このどれにも該当しない場合は、最終手段として郵送による本人確認を行うという形で、手法としては大きく3パターンに分類されることになるでしょう。
3つの手法の確認項目も比較検討した上で導入を進めましょう
ここまでお伝えした通り、数あるeKYC手法の中でも、圧倒的に多く利用されているのが、JPKI方式、ICチップ読取方式、そしてホ方式です。
それぞれの確認項目に関する違いをまとめたものが以下となります。
こちらを参考に、導入するeKYC手法をご検討いただければと思います。
本人確認のオンライン化、eKYCの導入をご検討の際は、ぜひお気軽にTRUSTDOCKまでお問い合わせください。
※eKYCソリューションの導入を検討されている企業の方々や、実際に導入プロジェクトを担当されている方々のために、TRUSTDOCKではPDF冊子「eKYC導入検討担当者のためのチェックリスト」を提供しております。eKYC導入までの検討フローや、運用設計を行う上で重要な検討項目などを、計10個のポイントにまとめていますので、こちらもぜひご活用ください。
