2023年3月20日、一般社団法人OpenIDファウンデーション・ジャパン(以下、OIDF-J)より「民間事業者向けデジタル本人確認ガイドライン」(以下、民間ガイドライン)が公表されました。
こちらは、自社サービスの特徴に応じた本人確認手法を選択するためのガイドブックとしての活用を想定して作成されたもので、本人確認の導入・選択に必要な基礎知識のまとめや、本人確認手法の特徴の整理、さらにはマイナンバーカードや本人確認を巡る最新動向等をはじめとした内容が盛り込まれており、全部で240頁以上にものぼる大作となっています。
「量が多くてどこから読み進めればいいのかわからない」
「最低限知っておくべきポイントを知りたい」
そんなお悩みを抱える事業担当者に向けて、本ガイドラインの取りまとめを進めたタスクフォース(OIDF-J内に設置)のリーダーであるTRUSTDOCKでは、複数回に亘ってイントロダクションのためのセミナーを実施しております。
今回は、2023年3月20日に開催された解説ウェビナーと、同月30日に開催された金融庁と日経新聞社共催の「FIN/SUM 2023」での単独セッションの内容を組み合わせて、「なぜガイドラインが必要なのか」「これだけは押さえておくべきポイント」「民間ガイドラインの利用の仕方」についてご紹介します。解説担当は、TRUSTDOCKのPublic Affairs室 室長として民間ガイドラインの策定を主導した神谷 英亮です。
関連リンク:【OIDF-J】民間事業者向けの業界横断的なデジタル本人確認のガイドライン
2023年3月20日実施のFIN/SUM 2023単独セッションにて(写真:神谷 英亮[Public Affairs室 室長])
※本記事ではガイドラインの中でも以下のオレンジ色注記で示している通り、身元確認と当人認証の考え方と、中間的な手法について、それぞれ「これだけは押さえておくべきポイント」として解説します。
※本記事内では民間ガイドラインのスライドを引用・転載しております。気になる箇所はリンクよりガイドラインへと変遷いただき、該当ページにて詳細をご確認ください
民間事業者向けデジタル本人確認ガイドライン策定のこれまでの経緯
民間事業者向けデジタル本人確認ガイドライン p17
まずは民間ガイドラインの策定の経緯についてですが、元々は2020年に経済産業省が取りまとめを行なった「オンラインサービスにおける身元確認に関する研究会」にて議論されていました。そこから、同省の政策実施機関であるIPA(独立行政法人 情報処理推進機構)傘下の組織・DADC(デジタルアーキテクチャ・デザインセンター)でのインキュベーションラボを経て、今回のOIDF-Jからの発表となりました。つまり、ガイドラインの発表自体はOIDF-Jという民間団体からの発表となりましたが、取り組み自体は官民連携で進めていったものとなります。
民間事業者向けデジタル本人確認ガイドライン p7
「OIDF-J内に設置されたタスクフォースは、リーダーである弊社を含む10社の事業者さんを中心に構成されています。これに加えて、デジタル庁にも毎週の会議にご出席いただき、議論を重ねて参りました。私たちのようなスタートアップが、官民が連携したガイドライン作成をリードさせていただいたというのも、非常に珍しい取組みと評価をいただいております」(神谷)
なぜ民間ガイドラインが必要なのか
民間事業者向けデジタル本人確認ガイドライン p22
本ガイドラインのメインテーマである「本人確認」は、なりすましや偽造などの不正の防止が主な実施の目的であり、これまでは特定の法令等に基づいて対象事業者が対応していました。しかし近年では、オンラインサービスやシェアリングエコノミー等の普及に伴い、安心・安全なサービス提供のために、本人確認を自主的に導入する事業者が増えています。また、特に担い手不足が課題となる業界では、eKYCをはじめとするデジタル本人確認の導入によって、人手による負担の解消を目指す動きも広がってきています。
「例えば家事代行サービスを考えてみると、家事代行を依頼するエンドユーザーにとっては家事代行スタッフが本人確認をしていることで安心しますし、逆に家事代行スタッフにとっても、訪問するユーザーの本人確認が完了していることが安心・安全につながります。このようなプラットフォームにおける本人確認のニーズが高まっている状況であり、法令等に基づく要請があるわけではないものの、ユーザーの方々のニーズを受けて自主的に本人確認を導入している事業者が広がっています」(神谷)
民間事業者向けデジタル本人確認ガイドライン p13
以上のような本人確認利用の拡大を示した図がこちらです。先述した「本人確認における特定の法令等」が存在する業界としては、図中の左の濃い楕円図にある通り、金融機関や携帯電話事業者、古物商などが挙げられます。一方で、すでに自主的に本人確認を導入しているサービス事業者もあれば、これからの導入を検討しているサービス事業者もいるのが現状であり、サービス事業者数としてはこちらの方が圧倒的に多くなります。
一方で、法令等で本人確認の定めがないサービスを提供する事業者は、現状においては対応すべき本人確認手法が明確に存在しないことから、不必要に厳格な本人確認手法を選択する等の過剰対応や、本人確認の導入そのものを断念するケースが見受けられます。特に後者の場合は不正リスクの増大が懸念されるなど、全体として改善すべきサイクルができていたことから、法令等で本人確認の定めがないサービスにおいても横断的な指針となるようなガイドラインが求められていたというわけです。
民間事業者向けデジタル本人確認ガイドライン p15
このような背景から、法令等で本人確認の定めがないサービスを提供する事業者を対象に策定されたのが、今回の民間ガイドラインというわけです。
「ガイドラインと銘打ってございますが、何らかの規制を設けるものではありません。また、ガイドラインと言いながらも、事業者の方々に気軽にご利用いただける『ガイドブック』的な役割を果たしたい、と考えています」(神谷)
ポイント①:身元確認と当人認証
民間事業者向けデジタル本人確認ガイドライン p23
民間ガイドラインを活用する上でのポイント、1つ目は、本人確認における「身元確認」と「当人認証」という2つの概念を理解することです。
身元確認とは、本人確認書類等を使って個人を特定する属性情報を確認する作業のことで、本人の実在性を確認することを目的に行われます。マイナンバーカードや運転免許証などの公的身分証のチェックはもとより、住民票や公的料金の支払領収書といった書類の活用、さらには第三者が身元確認をして契約した契約者情報に依拠する形での確認など、身元確認と言っても様々な手法が存在します。
一方で当人認証とは、その時その場所にいて作業をしているのが本人であることを確認する作業です。パスワードや生体情報などを使い、あらかじめ登録されている情報と照合することで、同一人物か否かを確認します。当人認証にも様々な手法が存在しますが、最も分かりやすく一般的になされているものは「知識認証」と呼ばれる手法でしょう。例えば、Webサイトのマイページへのログインの際に求められるパスワードや、パスワードを忘れた場合の「秘密の質問」などがこれに該当します。
民間事業者向けデジタル本人確認ガイドライン p24
「こちらはアメリカのNIST(米国立標準技術研究所)が出している絵です。たとえば銀行の口座開設の際に身分証を持っていくと思います。それがいわゆる身元確認に該当します(画像左サイド)。一方で開設された銀行口座を利用する際に、その人が口座所有者本人かどうかを確認する作業、これが当人認証になります(画像右サイド)。これは米国に限らず国際的にもそのような整理がなされており、我が国の行政・自治体等で活用されている『行政手続におけるオンラインによる本人確認の手法に関するガイドライン』でも、同じ整理がなされています」(神谷)
NISTでは、この身元確認と当人認証の「保証レベル」も定義されています。具体的には、NISTが定めているデジタルアイデンティティに関するガイドライン(NIST SP 800-63)の考え方に則って、身元確認に対しては「IAL(Identity Assurance Level:身元確認保証レベル)」が、当人認証に対しては「AAL(Authentecator Assurance Level:当人認証保証レベル)」が、それぞれ定義されています。
例えば当人認証を考えてみると、Webサイトにおけるパスワードを求める「知識認証」や、一意の携帯電話番号に対するSMS認証のような「所有物認証」、さらには指紋や顔画像、虹彩といった個人の生体情報を使って認証を進める「生体認証」などの手法があり、これらのいずれか1つで認証をすることを「単要素認証」、2つ以上の組み合わせで認証することを「多要素認証」と表現します。こうした要素の組み合わせや、デバイスの耐タンパ性(外部からの改ざん等に対する強度)などを加味して、AAL(当人認証保証レベル)の強度が決まります。
「たとえばマイナンバーカードによる利用者証明用電子証明書で当人認証を行う場合を考えてみると、マイナンバーカードという耐タンパ性のある物理デバイスによる所有物認証と、暗証番号による知識認証の2要素認証となっていることから、非常に強度の強いものとしてAAL3という整理になっています。。このように保証レベルというものも、身元確認および当人認証を理解する上で非常に重要で、『どの本人確認手法を選択しようか』というときに、非常に重要な要素になります」(神谷)
民間事業者向けデジタル本人確認ガイドライン p26
ここでは当人認証の保証レベル(AAL)についてご紹介しましたが、本人確認全体の強度は上図の通り、身元確認の保証レベル(IAL)とAALの組み合わせによって決まります。よって、両方の保証レベルについて考えることが、本人確認の強度を設計する上で大切になります。
ポイント②:中間的な手法
民間事業者向けデジタル本人確認ガイドライン p81
ここまでの保証レベルの話を前提に、民間ガイドラインで重要なトピックとなるのが「中間的な手法」です。中間的な手法とは、「簡便さ」と「安全」のバランスを取った本人確認手法のことを指します。
たとえば上図の左側に示されている本人確認手法は、免許証等の本人確認書類の画像をアップロードするというものです。こちらはユーザーとしては非常に簡便に実施できる手法ではありますが、一方で画像の加工が容易であることから、安全性および信頼性の観点ではあまり高くない手法とも言えます。
一方で上図の右側に示されている本人確認手法は、犯罪収益移転防止法施行規則6条1項1号「ホ」で定義されている手法(以下、ホ方式)に準拠したものです。こちらは免許証等の本人確認書類の表・裏の画像のみならず、カメラの前で書類を傾けるなどして厚み等を確認するなど、保証レベルこそ高いものの、一方でユーザーによる撮影および事業者による確認・審査の負担が大きくなる手法と言えます。
「そうした負担を軽減したいという意味で、私たちは中間的な手法というものが非常に役に立つと考えています。既に弊社も含めて複数社でサービスを導入・実装しています。一つは、AI技術を活用した自動化で、具体的にはホ方式における目視による審査を省略する手法です。もう一つは情報連携技術ということで、OpenID Connectと呼ばれる技術等を活用して、本人確認書類そのものの提示だったり撮影を省略するという手法が挙げられます」(神谷)
民間事業者向けデジタル本人確認ガイドライン p86
ホ方式の自動化手法は、「目視作業を自動化することで本人確認手続を迅速化したい」というニーズに対応するものです。先述のとおり、ホ方式における目視では、「厚みその他の特徴」の確認や、顔写真付きの本人確認書類の写真と容貌写真の照合作業等を行っています。これらをAI技術によって判定を代替することで、審査時間を大幅に短縮し、最大10分の1程度にまで工数を削減することができるというわけです。一点、こちらはあくまで「中間的な手法」であって、犯罪収益移転防止法のホ方式の要件を満たすものではないので注意が必要です。
民間事業者向けデジタル本人確認ガイドライン p90
もう一方のOpenID Connect等を活用する手法は、「携帯電話事業者や銀行等の身元確認済みのユーザー情報を活用して、本人確認を省略したい」というニーズに対応するものです。要するに、携帯電話事業者や銀行等が過去に実施した身元確認の情報に「依拠」する形で、ユーザー同意に基づいて身元確認を実施するという手法となります。ちなみに、このような身元確認結果を活用する「依拠」の考え方については、我が国の犯罪収益移転防止法のベースとなるFATF(Financial Action Task Force:AML/CFTの国際基準を策定するタスクフォースによる勧告の考え方が一つの参考になります。
民間事業者向けデジタル本人確認ガイドライン p92
「TRUSTDOCKでは、デジタル身分証というプロダクトを提供しており、OpenID Connectを使っています。今までは各サービスごとに何度も同じ本人確認作業を実施する必要があったわけですが、依拠の仕組みを取り入れたデジタル身分証等を活用することで、各サービスで毎回本人確認書類の提示が不要になります。さらに、デジタル身分証等では、必要最小限な情報(例えば、お酒やたばこを購入する際の年齢確認においては年齢情報のみ)の送信が可能であり、個人情報の取り扱いの観点でも、これからの社会にフィットする仕組みなのではないかと私たちは考えています」(神谷)
民間事業者向けデジタル本人確認ガイドライン p33
「以上の内容を踏まえると、中間的な手法というのは、自主的に本人確認を導入、あるいは検討されている会社にとって、簡易で信頼性のある手法だと言えます。もちろん、法令に本人確認の定めのある事業者であっても、法令の対象となる取引や手続き以外であれば、この中間的な手法を導入することが可能です」(神谷)
民間ガイドラインの主な利用シーン
民間ガイドラインは、主に2つのケースでの活用が想定されています。一つは、個々の事業者が自社で本人確認を導入する際に、具体的な本人確認の手法や特徴等を直接参照するケース。その際には、例えば以下のようなフレームワークを参考にしながら、手法の選定を進めていくことになるでしょう。
民間事業者向けデジタル本人確認ガイドライン p109
もう一つは、事業者団体等が本人確認に関わる規程等を整備する際に、保証レベルの考え方や手法例等を参考にするケースです。例えば一般社団法人日本フランチャイズチェーン協会(JFA)では、コンビニエンスストアの酒・たばこの販売時におけるデジタル年齢確認を進めるために、今回の民間ガイドラインを参考にした上で、2023年1月に「デジタル技術を活用した酒類・たばこ年齢確認ガイドライン」を公表しています。
民間事業者向けデジタル本人確認ガイドライン p126
「他の事業者団体におかれましても、本人確認に関する規程等の整備をお考えでしたら、ぜひ本ガイドラインを参照いただくとともに、お声がけいただければ規程の策定をサポート致します。240頁を超えるボリュームがあるガイドラインですが、必要な情報を網羅的にまとめている一方で、必要な情報だけを読むこともできるつくりにしているので、皆様にとって必要な部分だけでも読んでいただければ、大変ありがたいです」(神谷)
▶︎2023年3月23日開催
緊急開催「民間事業者向けデジタル本人確認ガイドライン」本人確認の専門会社による解説ウェビナー
解説者プロフィール
神谷 英亮
株式会社TRUSTDOCK
Public Affairs室 室長
新卒で新聞社(販売局)に勤務後、2006年4月法務省に入省。再犯防止施策を中心とする政策の企画立案のほか、大臣官房において省内の提出法案の審査や閣議案件の取りまとめなどを担当。
20年12月TRUSTDOCKに入社しPublic Affairsチームを旗揚げ。アドバイザリーボードの設置、運営に加え、TRUSTDOCKの重点計画策定やプライバシーポリシーの改訂なども担当しながら、チームビルディングを進めた。22年5月、OpenIDファウンデーション・ジャパンにガイドラインタスクフォースの設置を提案。ガイドラインの取りまとめに至るまでタスクフォース全体の運営をリードした。21年9月から、千代田区の保護司を務める。
---
TRUSTDOCKでは、“本人確認のプロ”として企業のKYC関連業務をワンストップで支援するAPIソリューションを提供し、またデジタル身分証のプラットフォーマーとして様々な事業者と連携しております。府省庁においては、金融庁には具体的な業務内容の確認を行い、総務省のIoTサービス創出支援事業では本人確認業務の委託先として採択されました。また、警察庁には犯罪収益移転防止法準拠のeKYCの照会等を行い、経済産業省とはマイナンバーカードを活用した実証実験や省内開催の研究会等でご一緒しています。
マイナンバーカード等を活用した本人確認業務のオンライン化を進める際は、ぜひお気軽にお問い合わせください。
また、eKYCソリューションの導入を検討されている企業の方々や、実際に導入プロジェクトを担当されている方々に向けてはPDF冊子「eKYC導入検討担当者のためのチェックリスト」を提供しており、eKYC導入までの検討フローや運用設計を行う上で重要な検討項目等を計12個のポイントにまとめていますので、こちらもぜひご活用ください。
なお、以下の記事でeKYCおよびKYCについても詳細に解説していますので、こちらも併せてご覧ください。
▶︎eKYCとは?オンライン本人確認を徹底解説!メリット、事例、選定ポイント、最新トレンド等
▶︎KYCとは?あらゆる業界に求められる「本人確認手続き」の最新情報を徹底解説
(文・長岡武司)