あらゆる生活シーンがデジタル化されるDX時代において、商品・サービスのユーザーが「本人であること」をデジタル上でしっかりと確認するためのオンライン本人確認、すなわち「eKYC」は、あらゆるサービス提供者にとっての必須のリテラシーだと言えます。
本人確認の未実施や設計の不備は、さまざまなセキュリティインシデントに発展するリスクがありますし、中長期的な企業レピュテーションの低下を招く可能性もあります。
このような背景から、昨今で急速に注目度が高まっているeKYCについて、その特徴や留意点、現時点での技術的なレベルなどを具体的に理解することが重要だと言えます。本記事では、このeKYCを、どこよりも詳しく解説していきます。
本人確認の定義を理解する
eKYCとは?
KYCとは “Know Your Customer” の略で、日本語訳では「顧客を知る」を意味します。その意味するところは人によって変わりうるのが実態で、例えば古くからKYCを行ってきた金融業界では、「マネー・ローンダリングなどを防止するために口座開設時に行う本人確認業務」のことを示す場合もあれば、「反社チェックなどのバックグラウンドチェック」や「継続的な顧客管理」などを含めてKYCと表現する場合もあります。
このように「KYC」という言葉は、人や立場、もしくは業界によって“意味のゆらぎ”がある概念だと言えます。そう考えると、「相手方が本人であることを確認する」手段である本人確認は、数あるKYCの方策の一つであると捉えるのが、現実に沿った考え方だと言えます。
eKYCを使った身元確認(後述)の流れの一例
その前提で、ここではeKYC(electronic Know Your Customer)とは、スマートフォンをはじめとするデジタルデバイスを使って、オンラインでKYCを行うことと定義します。
- KYCとは:サービス提供にあたってサービス事業者が顧客の身元や経歴を確認すること。
- eKYCとは:オンライン(対面や郵送ではない方法)でKYCをすること。「オンライン本人確認」と表現されることもある。
- 本人確認とは:数あるKYCの方策の一つで、相手方が本人であることを確認する手段のこと。
- デジタル本人確認とは:対面か非対面かにかかわらず、デジタル技術を用いて行う本人確認のこと。
eKYCが使われているシーンと、今後利用が期待されるシーン
eKYCを利用したことがある場面(「オンライン本人確認eKYC調査レポート2023」より)。「銀行・証券口座」が最も多く、「クレジットカードや電子マネーの登録」、「QRコード決済の登録」と続いた
eKYCは私たちのあらゆる生活シーンに浸透してきています。eKYCソリューションを提供するTRUSTDOCKとMMD研究所が2023年10月に発表した調査結果によると、上グラフのとおり、銀行・証券口座からオンラインチケット購入、eSIMなど通信サービスの契約、EC、マッチングアプリ、シェアリング・レンタルサービス、不動産取引など、さまざまな場面でeKYCが活躍していることが分かります。
eKYCと聞くと、何やらビジネス領域に限定したトピックのように感じられるかもしれませんが、私たちの日常生活での活用が大いに期待されているテーマであるとお分かりいただけるでしょう。
ちなみに、2023年版の調査において「eKYCの手続きについて懸念や不便なイメージの有無」について確認したところ、「特にない」が最多という結果になりました。それ以外の意見では、身分証の取り扱い、顔写真の撮影に関する懸念点などが上がっています。
eKYCの手続きに対する懸念や不便なイメージの有無(「オンライン本人確認eKYC調査レポート2023」より)
本人確認の対象(個人と法人)
提供サービスの種類によっては、事業者に本人確認が法令で義務付けられています。たとえば、銀行・証券会社・保険会社・暗号資産交換業者といった顧客資産を扱う金融関連業者では、「犯罪による収益の移転防止に関する法律」(以下、犯罪収益移転防止法)に基づく厳格な本人確認要項が定められています。
この犯罪収益移転防止法によると、本人確認には「自然人」と「法人」という2つの対象があります。自然人(以下、個人)とは私たち人間のことで、そうでない事業体が法人・人格のない社団又は財団(以下、法人)です。
個人と法人という分け方は、もともとは政府間タスクフォースである金融活動作業部会、通称「FATF(読み方:ファトフ)」による勧告で定義されたものです。その流れから、我が国の犯罪収益移転防止法でも使用されている定義なのですが、同法の規制対象業種だけでなく、eKYCではあらゆる業界で個人と法人という分け方が一般的になっています。本記事では、個人の本人確認を「本人確認」と表記し、法人の本人確認を「法人確認」と表記します。
この個人と法人で分けられる本人確認の構成要素は、以下のようなツリー構造で表現することができます。
冒頭で「KYCには意味のゆらぎがある」とお伝えしましたが、このように構成要素が多いからこそ、その一部をKYCと呼んだり、全体をKYCと呼んだりするなどといった“ゆらぎ”が発生していると言えます。
本人確認のポイント
まずは個人への本人確認について見ていきましょう。
本人確認には大きく分けて、「身元確認(Identity Proofing & Verification)」と「当人認証(Authentication)」という2つの概念が含まれています。以下、大事な概念なので詳しく見ていきましょう。
身元確認とは
身元確認(Identity Proofing & Verification)とは、申請者を一意に識別し、かつその実在性を確認することを指します。具体的には、属性情報を収集して申請者を一意に識別するとともに、収集した情報が真正かつ申請者自身のものであることを、本人確認書類により検証することで、申請者が実在しており生存する人物であることを確認します。
身元確認にはさまざまな手法が存在します。基本4情報(氏名・生年月日・性別・住所)(※)などの個人を特定するための基礎的な情報を取得するため、マイナンバーカードや運転免許証などの公的身分証は、身元確認チェック書類として非常に一般的に使われているものです。また、住民票や公的料金の支払領収書といった書類や、第三者が身元確認をして契約した契約者情報に依拠する形での身元確認チェックという手法も存在します。
※基本4情報の中でもジェンダーアイデンティティへの配慮として「性別」を除外した「基本3情報」を活用する機運が高まっており、たとえば2024年5月27日に施行された改正マイナンバー法では、新しいマイナンバーカードについて、現状のカードに記載されている性別の表記を削除することが盛り込まれました。
さらに、身元確認には、AML(アンチ・マネーローンダリング)対応やPEPs(政府などの要人やその家族)対応、CFT(テロ資金供与)対応といった、リスク確認業務も含まれます。反社チェックも、このリスク確認業務、ひいては身元確認業務の一環になります。
なお、犯罪収益移転防止法に沿って考えると、大きく対面/非対面の手法が存在し、昨今増えている非対面手法は「郵送なしの手法(eKYC)」「郵送ありの手法」「公的個人認証」の3つが挙げられます。
いずれにおいても、公的身分証明書などの書類(ICチップに格納されている情報などを含む)を使って、本人を特定できる情報(基本4情報など)をチェックしていきます。
「ホ」や「ヘ」などと書かれているのは、犯罪収益移転防止法施行規則6条1項1号に記載されている手法の表記記号です。全体としては以下の表に記載した手法が存在し、その中で特に多く利用されているものを上図に列挙しています。
|
イ |
対面にて写真付き本人確認書類1点の提示 |
|
ロ |
対面にて写真なし本人確認書類1点の提示 |
|
ハ |
対面にて写真なし本人確認書類2点の提示 |
|
ニ |
対面にて写真なし本人確認書類1点の提示 |
|
ホ |
専用ソフトウェアにて、写真付き書類の写し1点(厚みその他の特徴&本人確認時に撮影されたもの)の送信 |
|
へ |
専用ソフトウェアにて、写真付き・ICチップ付き本人確認書類のIC情報の送信 |
|
ト |
専用ソフトウェアにて、写真付き書類の写し1点(厚みその他の特徴&本人確認時に撮影されたもの)の送信 or 写真付き・ICチップ付き本人確認書類のIC情報の送信 |
|
チ |
本人確認書類の原本1点の送付 or 写真付き・ICチップ付き本人確認書類のIC情報の送信 or 専用ソフトウェアにて写真付き書類の写し1点(厚みその他の特徴&本人確認時に撮影されたもの)の送信 |
|
リ |
本人確認書類2点の送付 or 本人確認書類の写し1点+補完書類1点の送付 |
|
ヌ |
※給与振込用口座の開設、または有価証券取引でマイナンバー取得済みの場合が該当 本人確認書類の写し1点の送付 |
|
ル |
本人限定郵便(受取時の確認書類は、写真付き本人確認書類である必要ありのもの) |
|
ヲ |
電子証明書+電子署名 |
|
ワ |
公的個人認証(電子署名) |
|
カ |
特定認証業務の電子証明書+電子署名 |
以前ははがきなどの郵送による手法が多く採用されていましたが、2018年11月の改正犯罪収益移転防止法の施行で、郵送処理が不要になる新プロセスが定義されました。これにより少しずつではありますが、身元確認における郵送対応は減ってきています。
当人認証とは
当人認証(Authentication)とは、オンラインサービスや金融取引などで不正アクセスやなりすましを防ぐために、サービス利用者が間違いなく「あらかじめ登録された本人である」ことを確認するプロセスを指します。
当人認証についても、さまざまな手法が存在します。最も分かりやすく一般的になされているものは、「知識認証」と呼ばれる手法でしょう。例えばWebサイトのマイページへのログインの際に求められるID/パスワードや、パスワードを忘れた場合の「秘密の質問」などがこれに該当します。
この他にも、一意の携帯電話番号に対するSMS認証や、クレジットカードのような物理的なカード番号を入力させる「所有物認証」や、指紋や顔画像、虹彩といった個人の生体情報を使って認証を進める「生体認証」があります。
この「知識認証」「所有物認証」「生体認証」のうち、1つだけで認証することを「単要素認証」と表現します。一方で、例えばID/パスワードを入力した後にスマートフォンを使ってSMS認証を行うなど、2つの要素を組み合わせて認証することを「2要素認証」と表現します(2つ以上の組み合わせを総称して「多要素認証」と表現します)。
昨今では、オンラインにおける情報セキュリティリスクが高まっているからこそ、あらゆるサービスで多要素認証を推奨する流れがあります。ちなみに、近年ではデバイスでの生体認証などと公開鍵暗号を組み合わせ、パスワードレスで安全かつ簡単に認証を行う「パスキー」も注目を集めています。
それぞれの強度を示す「IAL」と「AAL」
ここまでご紹介した「身元確認」と「当人認証」ですが、いずれにも不正を防ぐ強度を示す「アシュアランスレベル(保証レベル)」が定義されています。
上図は、NIST(アメリカ国立標準技術研究所)によって定義されているデジタルアイデンティティフレームワーク(NIST SP 800-63)の考え方をまとめたものです。
身元確認に対しては「IAL(Identity Assurance Level:身元確認保証レベル)」が、当人認証に対しては「AAL(Authentecation Assurance Level:当人認証保証レベル)」がそれぞれ定義されており、それぞれ3段階のレベル分けがなされています。本人確認全体の強度は、このIALとAALの組み合わせで変わるというわけです。
提供サービスへ本人確認を導入する際には、IALとAALそれぞれのアシュアランスレベルを理解し、レベルに応じた具体的な手法を意識することが肝要です。アシュアランスレベルは単純に「高くすればいい」というものでもなく、例えば高いIALで設計しても、サービス利用時のAALが不十分だと、結局はなりすましのリスクを高めてしまうでしょう。
このように、サービス/取引などの目的に応じて身元確認および当人認証のアシュアランスレベルをアセスメントすることで、認証強度の強弱に関する「ものさし」として機能することになります。
こちらについては、政府が政府機関向けの基準として発行している「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」でも示されています。
画像出典:各府省情報化統括責任者(CIO)連絡会議決定「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」より
※2025年4月末現在で正式発行されているのは第3版(NIST SP 800-63-3)ですが、現在改訂作業が進んでいる第4版(NIST SP 800-63-4)が正式発行されると、IAL/AALなどの概念含め、複数箇所の内容がアップデートされる予定です。
法人確認とは
ここまでは個人に対する本人確認の概要をお伝えしましたが、法人を対象とする本人確認、いわゆる法人確認も、事業を営む上で非常に重要な取り組みになります。
法人確認とは、企業や団体が実際に存在し、取引先として適格かどうかを確認するプロセスを指します。主に金融機関やビジネスパートナー間で行われ、取引リスクを軽減する目的があります。
確認内容としては、法人登記簿謄本や商業登記情報による法人格の存在確認、代表者の権限確認、取引目的の妥当性評価などに加え、財務状況や信用力、電子的な真正性、業種ごとの法令遵守状況など多角的に実施することが多く、また業種特有のものや法令対応によるものも含まれます。
法令対応の一例として、例えば犯罪収益移転防止法に則った確認業務を考えると、以下のような内容が挙げられます。
TRUSTDOCKでは、これら法人確認業務の中でも、特にニーズの高い以下の業務内容について、それぞれAPI経由でのソリューションを提供しています。いずれも24時間365日の稼働で運用しております。
- 存在確認:法人番号による法人確認API、法人確認業務API、個人身元確認業務API、補助書類確認業務API(委任状)
- リスクチェック:DB検索サービス(記事DB/人物DB)
- 住所確認:郵送業務API(ハガキ)
法人確認と、それに対応する具体的なチェック手法などについては、以下の記事で詳しく解説しているので併せてご覧ください。
▶︎あらゆる企業・業界で必要となる「法人確認」とは?3つのチェックポイントについて解説
eKYCが注目される2大背景
ここまでお伝えしてきた本人確認を、オンラインで完結するeKYCへの注目度が、各業界で高まっています。ここではその理由について、大きく2つのポイントに絞ってお伝えします。
法改正による取引のオンライン化の解禁トレンド
まず、各法改正による取引のオンライン化の解禁が、eKYCの社会実装を促進していると言えます。
例として、現在複数のサービスが立ち上がっている不動産クラウドファンディング業界を考えてみましょう。実はこの業態が普及するきっかけとなったのは、2017年の法改正です。同年3月に「不動産特定事業法の一部を改正する法律案」が閣議決定され、12月1日に施行されました。2019年4月には、政府による「未来投資戦略2018」を踏まえた不動産クラウドファンディングを促進するための改正が実施されたことで、数万円の自己資金からのオンライン不動産投資を始めることが可能となったのです。
このように、取引のオンライン化に対する規制緩和が各業界で次々となされていったことで、本人確認のオンライン化も必然的に増えていきました。
一方で、それと同時に進んでいったのが、本人確認手法の厳格化です。その象徴的なニュースが、先ほどもお伝えした2018年11月の犯罪収益移転防止法の改正だと言えます。改正内容の中には「本人確認における新プロセスの定義」が明記され、郵送確認というこれまで一般的だったプロセスが必須ではなくなり、新たに提出者の容貌確認(セルフィーで撮影した利用者の顔写真)などの当人確認要件が追加されることになりました。
画像:金融庁「オンラインで完結する自然人の本人特定事項の確認方法の追加」
このように、取引のオンライン化とともに、本人確認のオンライン化と厳格化が同時進行している点が、eKYCが注目されている背景の1つと言えます。
非対面・非接触・省人化のトレンド
もう1つの要因としては、2020年に発生した新型コロナウイルス感染症のパンデミックをきっかけとする社会の「非対面設計」トレンドが挙げられます。これまで対面が前提だった社会生活は、政府による「新しい生活様式の実践」(ニューノーマル対応)の推進も相まって、次々と非対面に再設計されていきました。
当然ながら企業活動においても、従業員に対するリモートワーク環境の提供からサービスのオンライン化や非接触・省人化まで、さまざまなな対応がなされていきました。それにともない、本人確認業務についても必然的にオンライン化のニーズが高まっていったのです。
このように、規制サイドによる規制緩和と、サービス事業者サイドからのニーズの高まりが並行して進んでいったことで、eKYCの注目度が飛躍的に高まってきたと言えます。
eKYC導入のメリット
eKYCを導入すると、さまざまなメリットがあります。ここでは、生活者と事業者、それぞれの視点で見ていきます。
生活者にとってのメリット
生活者のメリットとしては下記の2点が挙げられます。
- 物理的な場所や時間の制約がなくなる
- サービス利用開始までの時間が短縮する
まずは、本人確認を進めるための物理的な場所の制約がなくなり、手間がかからなくなることが挙げられます。
例えば郵送で本人確認を実施するには、本人確認書類のコピーを用意し、ポストに投函した上で数日、長い場合は一週間以上待たなければなりません。また店舗などに出向いての対面による本人確認でも、すぐにサービスを利用したい顧客にとっては開店時間に行かなければならないなど大きな手間となるでしょう。
eKYCを導入すると、このような手間がかからず、早ければ即時にオンラインで本人確認が完了するため、顧客の負担を大きく軽減できます。
また、サービスをすぐに利用できるようになる点も大きなメリットと言えます。
本人確認が必要なサービスを利用する場合、顧客は本人確認の手続きが終わるまではサービスを利用できません。eKYCが導入されたサービスであれば本人確認がすぐに終わるので、顧客はサービスを利用したいタイミングですぐに利用を開始できます。
次回以降もeKYCを利用したいと思う理由(「オンライン本人確認(eKYC)に関する利用実態調査」より)
現に、先ほどご紹介した調査結果においても、次回以降もeKYCを利用したいと思う理由として挙げられた要因の上位に、「ネット上で完結できたから」「便利だったから」「時短になったから」などが挙がっています。
事業者にとってのメリット
次にサービス提供事業者のメリットです。下記の3点が挙げられます。
- 申込の離脱防止につながる
- 本人確認にまつわるオペレーションの効率化とコストの削減
- 本人確認にまつわるセキュリティレベルの向上
eKYC導入のメリットとして、まずはじめにお伝えしたいことは、申込の離脱防止につながることです。
生活者のメリットで解説したとおり、これまでの本人確認はサービスをすぐに使えない、面倒な郵送の手間がかかるなど、顧客にとってストレスの多いものでした。ストレスがかかると一部の顧客は離脱してしまいます。eKYCを導入すると、これらの顧客にとってのペインを解消できる上に申込をスムーズに行うことができるので、顧客の離脱率低減に貢献します。
またeKYCを導入すると、本人確認書類の郵送やその確認など、本人確認に要していた煩雑な業務・オペレーションを大幅に減らすことができるので、ペーパーレス化や本人確認にまつわる業務効率化につながります。
自社内で本人確認業務を行う場合、そこに対する適切な人員配置が必要となります。書類の扱いに関するオペレーション教育はもとより、ユーザー登録者数の増減に合わせたシフト管理などが必要となるため、それらの工数も含めた人員および管理コストの削減が見込めます。また郵送費用の削減にも貢献するでしょう。
さらにeKYCは、本人確認にまつわるセキュリティレベルの向上に寄与することも期待されます。
例えば保険契約における契約者変更の手続きについて考えた場合、複数項目の本人情報の確認を行うために「電話での対応」も受け付けているサービスは多くあります。しかし電話だと本人のみ知り得る情報の確認を行うのが難しいことから、本来的に“なりすまし”のリスクがあり、本人確認の認証強度としては改善の余地がありました。このようなケースの場合、eKYC導入によって手続きを適切な強度でオンライン化することで、より認証強度の高い本人確認を実施することが可能となります。
eKYCサービス選定のポイント3点
世の中にはさまざまなeKYCサービスがあり、どのようにサービス選定を進めればよいのか悩んでいる方も多いのではないでしょうか。ここでは、eKYCサービスを選ぶときのポイントを3つご紹介します。
カスタマイズ性
eKYCサービスに求める要件は、会社によって異なります。例えば、導入前の相談要件として下表にあるような項目が挙げられることが多く、これらに対する適切な選択肢、すなわちカスタマイズの余地があるか否かが、eKYCサービスを選ぶ際の重要なポイントとなります。
| 法規制への対応状況 |
業種・業態によっては厳格な本人確認の実施が求められるからこそ、該当の法規制に準拠したeKYC手法を提供しているか否か、該当の業種・業態への導入実績があるか否かが、非常に大切な観点となります。 また、現段階で該当する法規制のない業種・業態においては、自社事業に合った本人確認の要件を策定し、その要件を満たす形で実装ないしは相談ができそうかなども重要な視点となります。 |
| ブラウザ型/アプリ型/ICチップ型 |
PC/スマホなどデバイスを問わず、ブラウザでアクセスして本人確認を行うタイプがブラウザ型eKYCで、スマートフォンのアプリに遷移して本人確認を行うタイプがアプリ型eKYCです。 また、公的個人認証サービスをはじめ、書類に埋め込まれたICチップの電子証明書等を読み込んで本人確認を行うタイプがICチップ型です。 |
| 自社運用/アウトソース |
本人確認業務を自社で行うか、それともeKYC事業者にアウトソースするかは、運用設計の根幹に関わる重要なポイントです。 自社内の人的リソース状況や予算配分、法律の改正やガイドラインの制定などに伴うシステム改修コスト、その他業務改善やオペレーションマニュアル改定、オペレーター再教育、書類保管に付随するセキュリティ対策…検討するべきコストはさまざまです。これらを考慮して柔軟に検討する必要があるからこそ、どちらの運用体制での利用が可能かのチェックは不可欠です。 |
| UI/UX設計 | ユーザーにやさしい書類提出フローになっているか、自社ブランドのレギュレーションに準拠した画面構築が可能か、本人確認完了までスピードはユーザー離脱を抑えるものになっているかなど、UI/UX設計の柔軟性は顧客満足度に直結する大事なポイントとなります。 |
費用対効果
eKYCサービスに限らず、あらゆるソリューションの導入には適切な費用対効果が求められるでしょう。eKYC導入においては、以下の観点が費用対効果のテーマとして挙げられます。自社課題に沿って確認していきましょう。
| 本人確認コストの最適化 |
現在オフライン手法(対面・郵送)で本人確認を行っている場合、オンライン化することで、サービス利用料金以上のメリットを享受できるかを確認しましょう(郵送費用の削減、24時間365日の運用体制構築の内製化と比較した際のコスト削減など)。 また、現在本人確認処理を行っていない場合(新規で本人確認フローを取り入れる場合)は、eKYCを導入することによる費用対効果を十分にシミュレーションしましょう(本人確認を内製化した場合との比較、本人確認がオンラインでスピーディーに実施できる場合/できない場合のユーザー離脱率と売り上げへの影響など) |
| 法改正などに対応した機能のアップデート | 不定期で実施される法改正や新しいガイドライン対応など、変化する規制内容への対応を都度実施するか、それとも導入サービスの自動アップデートなどで吸収してもらうか。継続的な機能改修・拡張による間接的な費用対効果も確認しましょう。 |
| 運用ナレッジの活用 |
自社で本人確認業務を内製化する場合、業務の運用設計や真贋の判断基準などをゼロから構築し、ナレッジを自分たちで蓄積して運用へとフィードバックしていく必要があります。 一方で、豊富な実績やノウハウを持つeKYC事業者のサービスを活用すれば、それらの知見を反映した機能・運用サポートを享受することができます。 このようなナレッジの活用有無による費用対効果も、中長期的な目線で捉える必要があるでしょう。 (例えばTRUSTDOCKの場合、200社以上の本人確認業務のノウハウ・実績・経験・知識があり、それらを日々改善する形で、運用/判断基準設計や真贋判断などに反映してソリューション提供しています) |
収集された個人情報の管理ポリシー
もう一つ、非常に大切な観点として、eKYC事業者が収集した個人情報をどのように扱っているかのチェックも挙げられます。
私たちは日々、氏名やメールアドレス、住所、それらを含めた身分証など、個人に関わる情報を提供することで、さまざまなネットサービスを利用しています。その提供した情報が、私たちの理解が不十分なまま行われる同意に基づいて第三者に渡っているとしたら、どうでしょうか? なんとも不快な気分になるのはもちろん、どんな用途で利用されているのか、不安だと思います。現に、冒頭付近でご紹介した調査結果でも、個人情報の取り扱いに不安がある声が寄せられていました。
eKYCの手続きに対する懸念や不便なイメージの有無(「オンライン本人確認eKYC調査レポート2023」より)
eKYC導入を検討する企業は、eKYCにて集められた情報がユーザーの十分な理解のないまま第三者に共有されることを防ぐために、以下の項目のチェックを行うことを推奨します。(いずれも、取引先から委託された本人確認業務における個人情報の取扱いについて)
- eKYC事業者による利用目的は明確か。
- eKYC事業者による第三者提供が行われているか。
- 第三者提供を行っている場合、その利用目的は明確か。
- 委託先の了解なくeKYC事業者において対象個人データを保有していないか。
- 対象個人データの保有期間を契約に基づき定め、ユーザーの求めなど理由がある場合にはデータを消去する運用を行っているか。
上記のうち、どれか一つでも不明瞭なもの、もしくは該当するものがあった場合は、個別に詳細を確認した上で、該当事業者のサービス利用を判断するべきでしょう。
なお、この個人情報の取り扱いと第三者提供の詳細については、以下の記事で詳しく解説しているので、あわせてご覧ください。
▶︎第三者提供について要チェック!eKYCにおけるユーザー情報の取り扱いが問われる理由を解説
法令等で本人確認の定めがある事業者のeKYC手法3
次に、eKYCの具体的な手法について見ていきます。
まずは法律に準拠すべき業態におけるeKYCについて、ここでは犯罪収益移転防止法 施行規則六条1項1号に準拠した手法である「ワ方式」、「へ方式」、それから今後廃止予定となる(後述)「ホ方式」について、それぞれご紹介します。
ワ方式(公的個人認証サービス:JPKI)
ワ方式とは、顧客のマイナンバーカードにあるICチップをスマートフォンで読み取り、J-LISが提供する公的個人認証サービス(JPKI:Japanese Public Key Infrastructure)を用いることで本人確認を完了する方法です。
J-LISとは「地方公共団体情報システム機構」のことで、同機構が提供する公的個人認証サービスは、インターネットを通じて安全・確実な行政手続きなどを行うために、他人によるなりすまし申請や電子データが通信途中で改ざんされていないことを確認するための機能を提供するものです。
これは、電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律第17条第1項第6号の規定に基づき、総務大臣認定事業者のみ利用が可能となっています。
ワ方式の要件で公的個人認証サービスを利用する場合には、ICカードの読み取りデバイス(スマホ含む)を通じて、マイナンバーカードの署名用電子証明書を用いて、特定取引に関する情報(口座開設申込書など)に電子署名〜署名検証〜証明書の失効確認を行い、オンライン本人確認を完了させる流れになります。
アプリへの組み込みなど利用ハードルが高い要件ではありますが、TRUSTDOCKによるデジタルIDウォレットのようにスマホでマイナンバーカードが読み取れるアプリがあれば、およそ10秒程度で郵送不要、目視確認不要のeKYCができます。マイナンバーカードを持っているユーザーにとっては対応完了までのスピードが最も早く、事業者側にとっても確認の工数が低く、かつセキュリティ対策が高い手段となっています。
公的個人認証については以下の記事で詳細に解説しているので、こちらもあわせてご確認ください。
▶︎公的個人認証サービスとは?「ICチップ読み取り型eKYC」が主流になるミライに向けたトレンドを解説
なお、昨今ではこちらのワ方式を採用する企業が多くなり、行政での採用も増えています。例えば農林水産省では、「eMAFF(読み方:イーマフ)」と呼ばれるオンラインポータルサービスを運営しており、同省が所管する法令に基づく申請や補助⾦・交付⾦の申請を、オンラインで⾏うことができるようになっています。このeMAFFを活用する際の本人確認フローに乗せる形で、TRUSTDOCKのデジタルIDウォレットが活用されています。
こちらの事例の詳細については以下の記事でも紹介しているので、ぜひご覧ください。
▶︎農林水産省がTRUSTDOCKのデジタル身分証アプリを導入した理由 〜金融DXサミットレポート前編
ホ方式(写真付き書類の写し1点+容貌)
ホ方式では、顧客から写真付き本人確認書類画像と、本人の容貌画像の送信を受ける方法が定められています。必要となるのは、写真付き本人確認書類の写し画像1点と、本人の容貌を撮影した画像データ1点です。
いずれの場合も、身分証など本人確認書類の“原本”を直接撮影したものを、原則として“撮影後ただちに送信”させる必要があります。よって、例えばあらかじめスマホのカメラロールなどに入っている運転免許証画像をアップロードするのはNGですし、運転免許証をコピーした紙を撮影するのもNGです。
また身分証については、ただ表裏を撮影するのではなく、その身分証が原本であることを示す特徴、例えば運転免許証の場合は厚みを、パスポートの場合はホログラムを含めて写す必要があるとされています。
ちなみに、静止画の撮影以外にも動画やオンラインビデオ通話機能を利用する方法も可能とされているので、例えばeKYCソリューションを提供するTRUSTDOCKでは、本人確認書類の表・裏の画像のみならず、カメラの前で書類を傾けるなどして厚み等を確認するなどの確認フローをソリューションとして設計しています。
なお、昨今ではAIをはじめとする技術の進歩が著しいですが、“機械のみ”で本人確認書類が真正なものであることを100%担保するのは、まだ不可能な状況です。よって、目視による確認は引き続き有効であると言えます。
2027年4月1日にホ方式は廃止予定
従来のeKYC導入においては、身分証の撮影画像+目視確認のホ方式が主流でしたが、前述した偽造身分証による犯罪に巻き込まれるリスク防止の観点から、マイナンバーカードのICチップ読取型であるワ方式への移行が進んでいます。
デジタル庁から発表されている方針としても、非対面の方式においては、今後はマイナンバーカードを利用した公的個人認証サービス(現在のワ方式)に一本化し、運転免許証などの画像送信や、顔写真のない本人確認書類を用いる方式は廃止される方針で進んでいます。
それらを反映した改正犯罪収益移転防止法施行規則は、2027年4月1日の施行を予定しており、それに先駆けて2025年2月28日には警察庁からも「犯罪による収益の移転防止に関する法律施行規則の一部を改正する命令案」に対する意見の募集についてが発出されています。改正の概要としては、以下となります。
- 自然人の本人特定事項の確認方法につき、本人確認書類の画像情報の送信を受ける方法、本人確認書類の写しの送付を受ける方法を原則廃止(※1)し、マイナンバーカードの公的個人認証に原則一本化(※2)する。
※1:一部法人の被用者の給与等の振込口座の開設等、なりすまし等のリスクが低い類型を除く。
※2: ICチップ付きの本人確認書類(運転免許証等)のICチップ情報の送信を受ける方法等、なりすまし等のリスクが低いものは存置する。
- 法人の本人特定事項の確認方法につき、本人確認書類の原本又は写しの送付を受ける方法について、写しの利用を不可とし、原本に限定する。
- ICチップ付きの本人確認書類を保有しない者等への対応として、偽造を防止するための措置が講じられた一定の本人確認書類(住民票の写し等)の原本の送付を受け、かつ、取引関係文書を転送不要郵便物等として送付する方法を存置するなど、必要な補完措置を整備する。
現在の犯罪収益移転防止法施行規則に沿って、運転免許証などの画像送信や顔写真のない本人確認書類を用いる方式を採用している事業者は、今後、ICチップを用いる方式へと移行する必要があると言えます。以下は、現状で最も多く選択されている手法のホ方式とワ方式の比較表です。
|
ワ方式 |
ホ方式 | |
| 手法の概要 | ICチップの電子証明書を利用 | 身分証と容貌の撮影 |
|
対応する |
マイナンバーカードのみ |
写真付き身分証明証:7点 |
| 顧客の所要時間 | 約20秒 | 約60秒 |
| 審査時間 | 即時 |
数時間〜数日 |
ちなみに利用者からの反応を見てみても、今後のeKYC実施時において最も利用したい手法としてワ方式が過半数を超える結果となりました。
今後のeKYC実施時において最も利用したい手法(「オンライン本人確認eKYC調査レポート2023」より)
理由としては以下のような内容が集計されたことから、使いやすさや実施スピードなどの観点で人気が高まっていることが伺えます。
- マイナンバーカードの用意のみでできる
- 顔写真の撮影が不要
- 本人確認完了までのスピードが速い
- 身分証の撮影が不要
- 氏名などの入力の手間が省ける
- 手順がわかりやすい
- セキュリティの信頼度が高い
へ方式(ICチップ情報の送信+容貌)
マイナンバーカードを使ったヘ方式での遷移例
へ方式とは、顧客から写真付き本人確認書類のICチップ情報と、本人の容貌画像の送信を受ける方法です。必要となるのは、身分証などに埋め込まれたICチップ情報と、本人の容貌を撮影した画像データ1点です。
例えばマイナンバーカードを使ってへ方式の本人確認を実施する場合、カードのICチップに格納されている「券面AP」から顔画像を、「券面事項入力補助AP」から基本4情報をそれぞれ抽出します。前者に関してはICチップ内にある顔画像(白黒)とその場で撮影した本人の顔写真を比較・自動判定し、一致率を返却することでなりすましを防止します。
ワ方式(公的個人認証サービス利用の手法)に対して、身元確認保証のレベルは下がりますが、ICチップ読み取りによる確認手法であり、またマイナンバーカードカードの他にも運転免許証や在留カードといった身分証の利用が可能です。
ワ方式(公的個人認証サービス)とへ方式、どちらを採用するべきか?
廃止予定のホ方式とワ方式、それからへ方式の確認項目に関する違いをまとめたものが以下となります。
また、ホ方式が廃止された際に、ユーザーがどの本人確認手法を使うのが良いかを表したフローチャートが以下になります。ポイントは、マイナカードによるワ方式が利用できない場合における、へ方式の受け皿としての弾力性の高さにあります。
ワ方式を利用する場合、ユーザーがマイナカードの署名用電子証明書パスワードを把握している必要があります。
把握していない場合は、代わりにへ方式としてマイナカードをスマホにかざしてもらうだけの運用が可能ですし、マイナカードそのものを所持していないユーザーについても、免許証や在留カードをスマホにかざしてPINを入力する形でのへ方式の利用が考えられます。
そして、このどれにも該当しない場合は、最終手段として郵送による本人確認を行うという形で、手法としては大きく3パターンに分類されることになるでしょう。
該当する業種例
これら厳格なeKYCが求められる事業者としては、主に犯罪収益移転防止法と古物営業法、そして携帯電話不正利用防止法の規制対象事業者が挙げられます。
例えば犯罪収益移転防止法の規制対象事業者は「特定事業者」と呼ばれており、通常の特定取引およびハイリスク取引を行う際に、「取引時確認」と呼ばれる手続きを法的義務として負うことが定義されています。
以下が、具体的な特定事業者です。
- 金融機関等(銀行、証券会社、保険会社など)
- ファイナンスリース事業者
- クレジットカード事業者
- カジノ事業者
- 宅地建物取引業者
- 宝石・貴金属等取扱事業者
- 郵便物受取サービス事業者(いわゆる私設私書箱)
- 電話受付代行者(いわゆる電話秘書)
- 電話転送サービス事業者
- 司法書士又は司法書士法人
- 行政書士又は行政書士法人
- 公認会計士又は監査法人
- 税理士又は税理士法人
- 弁護士又は弁護士法人
また、取引時確認については、通常の取引かハイリスク取引かによって以下の違いがあります。
《顧客に対する通常の特定取引》
- 本人特定事項
- 取引を行う目的
- 職業(自然人)または事業の内容(法人・人格のない社団又は財団)
- 実質的支配者(法人)
《顧客に対するハイリスク取引》
- 本人特定事項
- 取引を行う目的
- 職業(自然人)または事業の内容(法人・人格のない社団又は財団)
- 実質的支配者(法人)
- 資産および収入の状況(該当取引が200万円を超える財産の移転を伴う場合)
※本人特定事項および実質的支配者については、通常の特定取引よりも厳格な方法で確認することとされています
ここでは代表的なユースケースとして、金融機関と古物商、通信事業者について、それぞれご紹介します。
②金融機関(銀行・証券・保険など)
金融機関には、銀行業をはじめ、証券業や貸金業、決済・送金事業者、それから暗号資産取引事業者などが挙げられます。犯罪収益移転防止法によって本人確認要件が明確に決まっているので、どの対象事業者でも対面と非対面のいずれかのKYCが行われていることになります。
先ほどお見せした調査結果にも示されているとおり、金融関連はeKYCの導入が最も早く進んでいる業態となります。
こちらについては以下の導入事例があるので、ぜひご確認ください。
▶︎実装に限らず、法律の解釈含めて何でも相談できる。業登録完了に併せてeKYCを導入したSiiibo(シーボ)の事例
また、対象業務や本人確認事項、犯罪収益移転防止法については以下の記事で詳細に解説しているので、こちらもあわせてご確認ください。
▶︎犯収法(犯罪収益移転防止法)とは?各専門用語の意味や注意点から、定義されているeKYC手法まで詳しく解説
②古物商(リユース・中古)
質屋や古物買取事業者、いわゆる古物商は、古物営業法と犯罪収益移転防止法を根拠法として顧客の本人確認をすることが義務付けられています。古物営業法とは、盗品などの売買の防止や速やかな発見などを図るために制定された法律です。マネー・ローンダリングの防止や企業の不正対策などを目的に、相手方の真偽を確認するべく、事業者による以下の本人確認業務の実施が明記されています
[対象業務]
・古物の買取業務(一万円以上)
[確認項目]
・申請時:対象者の住所、氏名、職業および年齢
・確認時:対象者の住所、氏名、年齢
こちらについては以下の導入事例があるので、ぜひご確認ください。
▶︎これからは、本人確認が全てのハブになる。業務オペレーションの完全自動化を進めるソフマップの買取アプリ「ラクウル」の事例
また、古物商のeKYCと古物営業法の詳細については以下の記事で解説しているので、こちらもあわせてご確認ください。
▶︎古物商が気をつけるべき「本人確認業務」とは。古物営業法と犯収法に準じてそれぞれ解説
③通信事業者
いわゆる通信キャリアと呼ばれるMNO(移動体通信事業者)をはじめ、MVNO(仮想移動体通信事業者)や契約代理業者などの電気通信事業者は、「携帯電話不正利用防止法」を根拠法として顧客の本人確認をすることが義務付けられています。
携帯電話不正利用防止法とは、携帯音声通信事業者による契約者の管理体制の整備と促進、および携帯音声通信役務の不正な利用の防止を目的に制定された法律で、正式名称は「携帯音声通信事業者による契約者等の本人確認等及び携帯音声通信役務の不正な利用の防止に関する法律」です。
電話を使った振り込め詐欺や架空請求、国際ロマンス詐欺などの被害があとを絶たないことから、通話機能利用者のトレーサビリティなどを担保するべく、事業者による本人確認業務の実施が明記されています。
[対象業務]
・音声通信役務
・携帯通信役務
[確認項目]
・本人確認書類の確認(氏名、生年月日、現住所は記載されており、すべて有効期限内のもの)
・現住所がない本人確認書類の場合、あらかじめ印字されているか、ボールペンなど消せないもので記入されているものに限る
・住所の確認
・新規契約の顧客に親展(転送不要)にて「ご契約内容確認のお願い」の郵送
携帯電話不正利用防止法については以下の記事で詳細に解説しているので、こちらもあわせてご確認ください。
▶︎携帯電話不正利用防止法とは?2025年1月発出パブコメや2024年4月法改正など、最新トレンド、本人確認要件、eKYC手法などを解説
また、通信事業者のeKYCの詳細については以下の記事で解説しているので、こちらもあわせてご確認ください。
▶︎通信事業者で求められる本人確認要件とは?MNO・MVNO・契約代理業者などのeKYC活用方法を解説
法令等で本人確認の定めのない事業者の代表的な手法
ここまで、法規制により本人確認の方法含めた定義がなされている業種について見てきました。それに対して、確認方法が定められていない法律の規制を受ける事業者や、業界団体および自社による自主確認としての本人確認を実施している事業者のようなケースも多く存在します。
このような事業者では、より認証強度を低くした“簡便な”eKYC手法がよく使われます。具体的には、マイナンバーカードや運転免許証、パスポートなど身分証の画像だけを提出するというものです。
TRUSTDOCKでは、あらゆる本人確認書類のリアルタイム撮影及びアップロード機能が実装できる専用JavaScript「TRUSTDOCKアップローダー」を提供しており、本人確認書類の1点確認はもとより、2点確認やマイナンバー取得、顔写真の撮影・確認まで、TRUSTDOCKが提供するAPIを自由に組み合わせてユーザーに各種書類を提出していただくことが可能となっています。
本人確認書類の1点確認の場合の実装&オペレーションフロー。モーダルウィンドウ内で一連の提出プロセスを完了することで、書類ごとのアップロード画面などのUI構築を大幅に削減。早期に必要な書類提出をWebサイトに実装できる
本人確認書類1点+個人番号取得+顔写真の3点確認の場合の実装&オペレーションフロー
該当する業種例
法令で本人確認の定めのない事業者は多岐にわたります。ここではその一例として、婚活・恋活マッチングアプリ、カーシェア・ライドシェア、そして人材業界について、それぞれご紹介します。
①婚活・恋活マッチングアプリ
出会いの選択肢として、ここ数年での普及が急加速しているマッチングアプリ。これを運営するインターネット異性紹介事業者には、ユーザーの年齢確認の実施(18歳以上か否か)が義務化されています。
これは、出会い系サイト規制法(正式名称:インターネット異性紹介事業を利用して児童を誘引する行為の規制等に関する法律)に準拠したもので、具体的には、以下2点いずれかの手法をもっての確認が義務化されています。
- インターネット異性紹介事業を利用するユーザーの運転免許証、国民健康保険被保険者証、その他の年齢または生年月日を証する公的書類のうち、「年齢または生年月日」「書面の名称」「書面の発行・発給者の名称」にかかる部分を提示し、その写しの送付または画像の送信を受けること
- クレジットカードでの支払いなど、児童が通常利用できない方法によって料金を支払う旨の同意を得ること
こちらについては以下の導入事例があるので、ぜひご確認ください。
▶︎ユーザーの安全・安心が最重要。新マッチングアプリのローンチに併せてeKYCを導入したオミカレの事例
また、マッチングアプリ事業者のeKYCと出会い系サイト規制法の詳細については以下の記事で解説しているので、こちらもあわせてご確認ください。
▶︎出会い系サイト規制法とは。マッチングアプリや婚活サイト事業者に必要な本人確認の要件を解説
②カーシェア・ライドシェア
カーシェアやライドシェア、さらにはシェアサイクルや電動キックボードシェアなどのモビリティシェアリングサービスには、運転免許証の所持が必要なサービスとそうでないサービスがあります。前者は主に道路交通法・道路運送車両法における自動車・原動機付自転車が対象となり、後者はモペットを除く自転車(軽車両)などが対象となります。
運転免許証が必要なサービスでは、eKYCサービスを活用することで、スマホなどのデバイスを使ってオンライン上で運転免許資格をチェックしています。
また、いずれの種類のサービスであっても、昨今ではCtoCのマッチングや取引を行うシェアリングサービスにおいて、利用者による不正やトラブルを防ぐための安全・安心に向けた本人確認実施の必要性が高まっています。eKYCサービスを活用することで、各サービスにフィットした本人確認強度をもって「どこのどなたがサービスを使ったか」という情報を把握し、有事の際にも迅速に対応することができるようになります。
こちらについては以下の導入事例があるので、ぜひご確認ください。
▶︎eKYCで免許証確認をスムーズに:OpenStreet様事例
また、カーシェア・ライドシェア事業者のeKYCについては以下の記事で解説しているので、こちらもあわせてご確認ください。
▶︎カーシェア・ライドシェアで求められる本人確認要件とは?各業態に沿ったeKYC活用方法を解説
③人材業界
ギグ・エコノミーな人材マッチングプレイスやスポットバイトサービス、オンラインでの人材紹介・派遣サービスなど、近年さまざまなオンラインサービスが提供されている人材業界。こちらでは、労働基準法や児童福祉法、風営法に準拠した年齢基準を満たすための年齢チェックと、働き手の身元を明確にするという2つの目的で、eKYCが積極的に活用されています。
特に後者については、外国人労働者への在留資格チェックなどでも活用されています。外国人労働者数の増加が著しい昨今ですが、新型コロナの影響で求人や面接などにおける本人確認が非対面化・オンライン化している傾向があり、不法就労のリスクが高まっています。だからこそ、外国人労働者の雇用時のeKYCは、ますます重要性が増していくことが予想されます。
人材業界については以下の導入事例があるので、ぜひご確認ください。
▶︎個人情報を持たなくて良いのが最大のメリット。事業のスケールに向けてeKYCを導入したタイミーの事例
また、人材業界のeKYCについては以下の記事で解説しているので、こちらもあわせてご確認ください。
▶︎人材業界で必要な「本人確認」と、高まる「eKYC」ニーズ。労働派遣法や労働基準法等からそれぞれ解説
eKYCのよくある誤解や懸念点
次に、日々膨大なeKYCによる本人確認を実施しているTRUSTDOCKだからこそ感じる、eKYCのよくある誤解や懸念点についてご紹介します。
eKYCは「全自動」ではない
よく「eKYCを導入するとAIが判断してくれるので、本人確認業務は全自動になるんですよね?」と聞かれます。もちろん、業務を限りなく自動化することは可能ですが、そもそも技術的に機械が100%の精度で本人確認書類の真贋を見極めることは現時点では不可能です。よって、100%機械任せの自動化も現時点ではあり得ません。
2018年11月30日の犯罪収益移転防止法改正の施行に先立って募集されたパブリックコメントでは、以下の通り、技術を使う場合であっても目視確認の必要性が言及されています。
改正規則6条1項1号ホ、へ及びトについては、本人確認書類が真正なものであることの確認は、目視によるものに限らず、専ら機械(十分な性能を有しているものに限ります。) を利用して行うことも許容されます。ただし、規則6条1項1号ホ及びトについては、現在の技術ではそのような性能を満たさないことから、現在の技術を前提とすれば目視による確認が必要と考えられます。
機械のみで本人確認書類が真正なものであることを100%担保できない状況下だからこそ、人による「目視確認」は引き続き有効であると言えます。もちろん、この部分を企業に代わって実施しているのが、TRUSTDOCKです。
TRUSTDOCKでは、「機械+目視」により、本来OKな書類をNG判定するのを極力回避し、逆に偽造カードなどによるなりすましを防ぐため、合計200以上の項目をチェックするオペレーションでeKYCを提供しています。(ex. 厚みなどの特徴確認、その場で撮影した証明の確認、ライブネス確認など)
「eKYC=顔認証」ではない
eKYCと聞くと「顔認証」のことと考える方も多いのですが、本記事をご覧いただいている読者の方ならお分かりのとおり、顔認証は当人認証の中の「生体認証」の一つとなります。
つまり、eKYCには顔認証という手法も含まれることにはなりますが、顔の認証だけではその人の身元を確認することができないため、イコールで結ばれるものではありません。特に海外では、個人情報や顔データの取り扱いが年々厳しくなってきており、相次いで見直しが行われていることから、「eKYC=顔認証」という認識は、中長期的な視点を踏まえても正しくないと言えるでしょう。
本人確認の強度は高ければ高いほど良い、というわけではない
eKYCを導入するときに「本人確認強度(AALとIAL)は高ければ高いほど良いんですよね?」と聞かれることがありますが、必ずしもそうとは限りません。本来的には、もたらされるリスクに見合ったものである必要があります。
本来的にもたらされるリスクよりもレベルが高すぎる保証の場合は、情報を持ちすぎてしまうことになるので、プライバシー保護の観点や、欧州のGDPR(General Data Protection Regulation:一般データ保護規則)の文脈における最低限の情報のみ保持する原則を脅かす可能性があります。一方で、本来的にもたらされるリスクよりも低いレベルの保証だった場合は、セキュリティなど事故のリスクが高まることになります。
つまり、情報リスクの適切な理解と、それに合わせた適切な強度(AALとIAL)の設定が重要となります。
eKYCトレンド①:民間事業者向けデジタル本人確認ガイドライン
画像出典:OIDF-J「民間事業者向けデジタル本人確認ガイドライン」
ここからは、最近のeKYCトレンドについてお伝えします。
eKYCを含むデジタル本人確認の社会実装を大きく前進させるニュースとして、2023年3月20日、一般社団法人OpenIDファウンデーション・ジャパン(以下、OIDF-J)より「民間事業者向けデジタル本人確認ガイドライン」(以下、民間ガイドライン)が公表されました。
こちらは、自社サービスの特徴に応じた本人確認手法を選択するためのガイドブックとしての活用を想定して作成されたもので、本人確認の導入・選択に必要な基礎知識のまとめや、本人確認手法の特徴の整理、さらにはマイナンバーカードや本人確認を巡る最新動向をはじめとする内容が盛り込まれたホワイトペーパーとなっています。
全部で240ページ以上にものぼる大作なのですが、その中でも特に重要な箇所が以下のスライドと言えます。
画像出典:OIDF-J「民間事業者向けデジタル本人確認ガイドライン」p13
図中の左の濃い楕円図にある通り、本人確認における特定の法令等が存在する業界としては、金融機関や携帯電話事業者、古物商などが挙げられます。
一方で図の中央にあるように、すでに自主的に本人確認を導入しているサービス事業者もあれば、図の右側矢印部分にあるように、これからの導入を検討しているサービス事業者もいるのが現状です。サービス事業者数としては、後者2属性の方が圧倒的に多くなります。
これに対して、法令等で本人確認の定めがないサービスを提供する事業者は、現状においては対応すべき本人確認手法が明確に存在しないことから、不必要に厳格な本人確認手法を選択するなどの過剰対応や、本人確認の導入そのものを断念するケースが見受けられます。
特に後者の場合は不正リスクの増大が懸念されるなど、全体として改善すべきサイクルができていたことから、法令等で本人確認の定めがないサービスにおいても横断的な指針となるガイドラインが求められており、その役割を担うのが本ガイドラインということになります。
この民間ガイドラインのより詳しい概要については、以下の記事で詳しく解説しているので、あわせてご覧ください。
▶︎民間事業者向けデジタル本人確認ガイドラインとは?対象や目的などポイントを解説
eKYCトレンド②:金融機関におけるリスクベースアプローチ
2021年8月末、FATF第4次対日相互審査報告書が公表され、日本には「強化(重点)フォローアップ国」という評価が下されました。これにより、5年後のフォローアップ評価の前に、計3回のフォローアップ報告が必要となりました。その報告内容については、財務省にて概要部分の邦訳が出ている他、「金融機関等における予防的措置」及び「金融機関等に対する監督」にかかる関連記述部分の仮訳については、いずれも金融庁から公表されています。
FATF勧告のベースには「リスクベースアプローチ」と呼ばれる考え方があり、「リスク特定→適切な評価→該当リスクの低減」というPDCAサイクルを回すことが提示されています。これによって、日々の取引のモニタリングやスコアリングの他、顧客に関して定期健康診断のような位置付けで継続的な管理を行うこと、その上で疑わしい取引や取り組みなどの報告・共有するといったアクションが求められているのです。
これに対して金融庁では、2018年に金融機関に対して口座の名義人の確認を求める「マネー・ローンダリング及びテロ資金供与対策に関するガイドライン」を策定し、このリスクベースアプローチへの取り組みを強力にプッシュしてきました。
また2021年5月には、ガイドラインで対応を求めている事項に対する完了期限を「2024年3月」までと定めて、ガイドラインを遵守する体制を整備することを、各業界団体を通じて要請しています。
つまり、あらゆる金融機関にとってリスクベースアプローチによる業務プロセス構築の優先度は高く、恒久的な対応が急務となっています。そして、この中でも特に重要な考え方が、人の管理にまつわる「継続的顧客管理」であるとTRUSTDOCKは考えています。
本人確認には、冒頭でご紹介したような“業務内容”を軸にした分類の他に、それを行う“タイミング”を軸にした分類もあります。それが、「アカウント開設時の確認(オンボーディング)」と「継続的顧客管理(オンゴーイング)」です。前者は初回契約時に本人確認を行うことで、後者は契約期間中で継続的に本人確認を行うことです。
継続的顧客管理については、リスク分類を行った後、それぞれのリスクレベルに応じて顧客の取引時確認を行わなければならないということが、先述した金融庁ガイドラインで示されています。
法的規制のある業務か否かにかかわらず、アカウント開設時の確認が新規ユーザーの情報を正しく把握するための身元確認であるのに対し、継続的顧客管理は当人認証で契約者の同一性確認を行ったうえで、本人特定事項に変更がないかのチェック・更新なども行っていくという流れが一般的になります。
eKYCトレンド③:個人情報保護法の改正
2020年・2021年と、個人情報保護法の改正が続きましたが、その中で新しく「個人関連情報」という概念が誕生しました。こちらは「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」と定義されており、例えばインターネットの閲覧履歴や位置情報、Cookie(クッキー)などの情報が含まれ得ます。
イメージしやすいように、以下の個人情報保護委員会で提示された図を使って見ていきます。ここでは、個人情報を保有しているB社と、ネット上の様々な情報を管理するDMP(Data Management Platform)事業者であるA社の2社間によるデータの授受のケースが想定されています。
画像出典:第127回 個人情報保護委員会「資料1 個人情報保護を巡る国内外の動向」
まずDMP側であるA社は、個人データを取得しない形でブラウザの閲覧履歴などのユーザー行動情報を取得して、B社からのCookie・IDなどの情報に紐付けます。その紐付けた状態で、A社からB社へと、行動情報を渡すとしましょう。するとB社は、Cookie・IDなどの情報をキーにして行動情報と個人情報を突合することで、個人データではないはずの行動データが、個人データになるというわけです。
このような事態を想定し、改正個人情報保護法では、個人関連情報を第三者に提供することで個人データとして取得されることが想定されるときは本人の同意が必要だと規定しています。しかし、法的な要件を満たしていたとしても、ユーザーの理解が不十分なままで、同意に基づく第三者提供が行われているのが実態です。
ユーザーの情報は、本来的にはユーザーのもの。eKYCなどによって本人確認業務を委託された事業者が、委託業務において取得した情報は、法令及び委託元との取り決めに沿って取り扱うべきものであると、TRUSTDOCKは考えます。また、本人確認の受託業務で得た情報のeKYC事業者における保存と、委託元の求めに応じて速やかに該当データを削除することとする運用も重要でしょう。
ちなみにTRUSTDOCKは、委託された本人確認業務において取得した個人データについては、法令に基づく例外的な場合を除き、第三者へ提供する運用は行っていません。法律を遵守することは言うまでもなく重要な観点ですが、法律上問題がないとしても、ユーザーが「不安」を感じる情報の取り扱いには、慎重に対応しなければならないと考えています。
この点の詳細については、先ほどもご紹介した以下の記事でしっかりと解説しているので、あわせてご確認ください。
▶︎第三者提供について要チェック!eKYCにおけるユーザー情報の取り扱いが問われる理由を解説
もう一つ、2022年4月施行の法改正における本人確認関連トピックとして重要なものが、法28条で定義されている開示請求の「電磁的記録の提供による方法」の明記です。
開示請求とは、個人情報を取り扱う事業者が個人情報を適正に取り扱っているかについて、本人が事業者に対して開示を求めることができる権利です。
この開示請求の手続きは、これまでは紙書類での申請が主流で、法律の条文やガイドラインなどを見ても開示方法としては「メール等」と書かれているにとどまっていました。しかし、昨今のデジタルネイティブなサービス設計が増える状況の中で、ここだけアナログ運用になっていては、事業者と消費者の双方にとって大きな負担となります。このような背景から、改正後に選択肢としてのオンライン手続きがはっきりと明示されることとなりました。
ちなみに、この開示請求(第28条第1項)の他にも、保有個人データ(※)の取扱いについて本人が関与することのできる手続きが法27条〜30条にかけて記述されています。具体的には、利用目的の通知の求め(第27条第2項)、訂正等請求(第29条第1項)、利用停止等請求(第30条第1項)、第三者提供停止請求(第30条第3項)が続いており、これらをまとめた概念が「開示等請求」と表現されています。
※保有個人データ:本人からの開示や内容の修正、追加、削除、第三者への提供停止等が求められた場合に、その要求に応じなければならない個人データのこと。
ユーザーからの開示等請求に対しては、サービス提供事業者は原則として本人が希望する方法によって開示する義務を負っています。だからこそ、開示等請求のデジタル化へと迅速に対応できる体制・システムを構築する必要がある状況となります。
eKYCのプロ集団であるTRUSTDOCK
今回は「eKYCの解説」ということで、どこよりも詳しく、eKYCが注目される背景から具体的な手法、最新トレンドまでを一挙にご紹介していきました。
TRUSTDOCKでは、“本人確認のプロ”として、金融機関をはじめとする特定事業者はもちろん、それに限らない様々な企業のKYC関連業務をワンストップで支援するAPIソリューションおよびデジタル身分証を提供しています。
また、本人確認業務に関して関係省庁や関連団体との連携も深めており、金融庁には業務内容の確認を、経済産業省とはRegTechについての意見交換を、さらに総務省のIoTサービス創 出支援事業においては本人確認業務の委託先として採択され、警察庁には犯収法準拠のeKYCの紹介などといった取り組みも行っています。本人確認業務のオンライン化でお困りの際は、ぜひお気軽にお問い合わせください。
また、eKYCソリューションの導入を検討されている企業の方々や、実際に導入プロジェクトを担当されている方々のために、TRUSTDOCKではPDF冊子「eKYC導入検討担当者のためのチェックリスト」を提供しております。eKYC導入までの検討フローや、運用設計を行う上で重要な検討項目などを、計10個のポイントにまとめていますので、こちらもぜひご活用ください。
(文・長岡武司)
