あらゆる生活シーンがネットへとつながることが前提となるメタバース社会において、商品・サービスの利用者であるユーザーが本人であることをしっかりと確認すること、いわゆる「本人確認」は、あらゆるサービス提供者にとっての必須のリテラシーだと言えます。
本人確認が未実施だったり、その設計に不備があることで、世の中では様々な情報セキュリティ事故が発生し、ニュース等で報道されている状況です。
このような背景から、昨今で急速に注目度が高まっている「eKYC」ですが、改めて、その背景や留意点、そして現時点での技術的なレベル等を具体的に理解することが重要だと言えます。本記事では、このeKYCについてどこよりも詳しく解説していきます。
「KYC」と「eKYC」と「本人確認」
まずは言葉の意味と留意点について、「KYC」と「eKYC」、それから「本人確認」について、それぞれお伝えします。
そもそもKYCとは?
KYCとは “Know Your Customer” の略で、日本語訳では「顧客を知る」という意味になります。「顧客を知るってどういうこと?」と思われるでしょうが、その具体的な内容については、実は使う人によって変わりうるのが実態です。
例えば、古くからKYCを行ってきた金融業界では、「マネーロンダリング等を防止するために口座開設時に行う本人確認業務」のことを示して言う人もいれば、犯罪収益移転防止法の「取引時確認」(後述)のことを示す人もいます。また、中には「反社チェック等を含めた総合審査」をKYCと表現する人もいます。
このように「KYC」という言葉は、人や立場、もしくは業界によって“意味のゆらぎ”がある概念だと言えます。その前提で、本記事では、最もポピュラーな「KYC=本人確認」という捉え方を前提に解説を進めます。
「狭義なeKYC」と「広義なeKYC」
次に、eKYCとは “electronic Know Your Customer” の略で、上のフロー図のようにスマホをはじめとするデジタルデバイスを使って、オンラインで本人確認を行うことを示します。
厳密にお伝えすると、eKYCには「狭義なeKYC」と「広義なeKYC」があり、狭義なeKYCについては、犯罪収益移転防止法をはじめとする各種法規制で定義されているオンライン本人確認手法のことを示します。一方で広義なeKYCとは、法規制に限らずにオンライン等の非対面・デジタル上で行う本人確認のことです。冒頭でお伝えしたKYCの意味のゆらぎと同じく、eKYCにもこのような捉え方の違いがあります。
なお、世間一般におけるeKYCの認識は広義な意味の方になりますので、本記事でも「eKYC=オンライン本人確認」という捉え方を前提に解説を進めます。
eKYCが使われているシーンと、今後利用が期待されているシーン
eKYCは私たちのあらゆる生活シーンに浸透してきています。eKYCソリューションを提供するTRUSTDOCKとMMD研究所が2021年9月に発表した調査結果によると、以下のとおり、銀行・証券口座からオンラインチケット購入、eSIM契約まで、様々な場面でeKYCが活躍していることがお分かりになると思います。
eKYCを利用したことがある場面(「オンライン本人確認(eKYC)に関する利用実態調査」より)。「銀行・証券口座」が最も多く46.2%、次いで「クレジットカードや電子マネーの登録」が42.2%、「QRコード決済の登録」が30.0%となった
また、同調査における「eKYCの導入を拡大して欲しいと思うサービスのジャンル」という設問への回答結果が以下となります。こちらを見ると、現在最も多く利用されている銀行・証券口座とクレジットカードや電子マネーの登録を抜いて、「行政手続き」がトップとなっています。
eKYCの導入を拡大してほしいと思うサービスのジャンル(「オンライン本人確認(eKYC)に関する利用実態調査」より)
eKYCと聞くと、何やらビジネス領域に限定したトピックのように感じられるかもしれませんが、私たちの日常生活での活用が大いに期待されているテーマであることがお分かりいただけるでしょう。
「本人確認」を要素分解してみる(自然人と法人)
ここで改めて、多くの業界で行われている「本人確認」(KYC)について、詳しく見ていきます。
本人確認と言っても、実はその対象には「自然人」と「法人・人格のない社団又は財団」があります。自然人(以下、個人)とは私たち人間のことで、そうでない事業体が法人・人格のない社団又は財団(以下、法人)です。
個人と法人という分け方は、元々は政府間タスクフォースである金融活動作業部会、通称「FATF(読み方:ファトフ)」による勧告で定義されたもので、その流れから我が国の犯罪収益移転防止法でも明記されている切り口なのですが、現在では同法の規制対象業種だけでなく、あらゆる業界でも個人と法人という分け方が本人確認界隈では一般的になっています。本記事では、個人の本人確認を「本人確認」と表記し、そうでない場合を「法人の本人確認」と表記します。
この個人と法人で分けられる本人確認の構成要素は、以下のようなツリー構造で表現することができます。
冒頭で「KYCには意味のゆらぎがある」とお伝えしましたが、このように構成要素が多いからこそ、その一部をKYCと呼んだり、全体をKYCと呼んだりするなどといった“ゆらぎ”が発生していると言えます。
以下、個人と法人の本人確認について、それぞれ詳しく見ていきましょう。
「自然人」の本人確認を紐解く
本人確認には大きく分けて、「身元確認(Identity Proofing & Verification)」と「当人認証(Authentication)」という2つの概念が含まれています。身元確認とは運転免許証のような書類等を使って、個人を特定する属性情報を確認する作業で、当人認証はその時その場所にいて作業をしているのが本人であることを確認する作業となります。
身元確認(Identity Proofing&Verification)
身元確認には様々な手法が存在します。名前、住所、生年月日、性別など、その人の身元を確認する情報として、マイナンバーカードや運転免許証などの公的身分証のチェックはもとより、住民票や公的料金の支払領収書といった書類も活用されます。あとは、第三者が身元確認をして契約した契約者情報に依拠する形で本人確認がなされる、というケースも存在し、身元確認とひと言で言っても様々な手法が存在することが分かります。
また身元確認には、AML(マネー・ローンダリング)対応やPEPs(政府等の要人やその家族)対応、CFT(テロ資金供与)対応といった、リスク確認業務も含まれます。反社チェックも、このリスク確認業務の一環になります。
そして、必要に応じて郵送物による確認も実施しているという、このような構成になっています。例えば銀行口座を開設する際には、これだけの身元確認処理が行われているわけです。
なお、多くの業務ではまだまだハガキや封筒郵送による身元確認業務が行われているのが現状ですが、たとえば犯罪収益移転防止法においては2018年11月に法改正がなされ、郵送処理が不要になる新プロセスが定義されました。これにより、少しずつではありますが、身元確認における郵送対応は減少してきています。
生活のあらゆるシーンにある身元確認
先ほどの調査結果でもお伝えしたとおり、身元確認は私たちの生活に深く根差しています。上のマトリクス表にもある通り、法令レベルで規制がなされているケースもあれば、条例で定められているケース、資格試験のような業界団体や事業者ごとの自主確認ルールとして設けられているものまで様々です。
横軸は「資格の有無」と「本人であることの確認」という2象限に分かれており、それぞれを具体的な法律等でグルーピングすると、以下のようになります。例えば本人であることの確認が法令にて確認方法含めて定められている業務(右上)については、犯罪収益移転防止法と携帯電話不正利用防止法が該当する、という見方になります。
このように俯瞰して見ると、身元確認の規制レベルにもグラデーションがあることがお分かりいただけると思います。
当人認証(Authentication)
本人確認のもう1つの要素、当人認証についても、様々な手法が存在します。最も分かりやすく一般的になされているものは、「知識認証」と呼ばれる手法でしょう。例えば、WEBサイトのマイページへのログインの際に求められるIDとパスワードや、パスワードを忘れた場合の「秘密の質問」などがこれに該当します。
この他にも、一意の携帯電話番号に対するSMS認証やクレジットカードのような物理的なカード番号を入力させるような「所有物認証」や、指紋や顔画像、虹彩といった個人の生体情報を使って認証を進める「生体認証」があります。
2要素認証、多要素認証とは?
この「知識認証」「所有物認証」「生体認証」のうち、1つだけで認証することを「単要素認証」と言います。一方で、例えばID/パスワードを入力した後にスマホを使ってSMS認証を行うなど、2つを組み合わせて認証することを「2要素認証」と言います。ちなみに、2つ以上の組み合わせを総称して「多要素認証」と表現します。昨今では、オンラインにおける情報セキュリティリスクが高まっているからこそ、あらゆるサービスで多要素認証を推奨する流れがあります。
ビジネスマンが知っておくべき「IAL」と「AAL」
ここまでご紹介した「身元確認」と「当人認証」ですが、それぞれには“強度のレベル”があり、組み合わせることで強度を高めていく、という考え方があります。
こちらは、NIST(アメリカ国立標準技術研究所)によって定義されているデジタルアイデンティティフレームワーク(NIST SP 800-63)の考え方をまとめたものです。身元確認に対しては「IAL(Identity Assurance Level:身元確認保証レベル)」が、当人認証に対しては「AAL(Authentecation Assurance Level:当人認証保証レベル)」がそれぞれ定義されており、それぞれ3段階のレベル分けがなされています。
例えばAAL(当人認証保証レベル)を考えてみると、先ほどご紹介した単要素認証がAALレベル1、2要素認証がAALレベル2、多要素認証がAALレベル3となります。取引目的に応じて身元確認保証および当人認証保証のリスクレベルをアセスメントすることで、認証強度の強弱に関する「ものさし」としての機能を有しているというわけです。
各レベルの定義については、以下、各府省情報化統括責任者(CIO)連絡会議決定にて提示された資料の内容をご確認ください。
画像出典:各府省情報化統括責任者(CIO)連絡会議決定「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」より
「法人」の本人確認を紐解く
ここまでは個人に対する本人確認の概要をお伝えしましたが、先述したとおり、本人確認には法人を対象にした仕組みも存在します。犯罪収益移転防止法に則った確認業務を考えると、履歴事項全部証明書等を使った「法人の本人特定事項の確認」と、委任状確認や電話チェックなどによる「特定取引の任にあたることの確認」、そして取引担当者本人への「本人特定事項の確認」の3業務に分類できます。
また、法律によらない広義な法人本人確認を考えた場合、「存在確認」と「反社チェック」、そして「住所確認」がポイントとなります。法人の本人確認における「存在確認」とは、取引相手となる法人が架空法人でないか、ちゃんと存在する法人か、もしくは相対する担当者が本当に在籍しているかどうかの確認作業を示します。また「住所確認」とは、その名のとおり、該当の法人が申請している住所でリアルな郵便物が届くかどうかの確認作業です。
法人の本人確認と、それに対応する具体的なチェック手法等については、以下の記事で詳しく解説しているので併せてご覧ください。
▶︎あらゆる企業・業界で必要となる「法人の本人確認」とは?3つのチェックポイントについて解説
eKYCが注目される2大背景
冒頭でもお伝えしたとおり、様々な業界においてeKYCの注目度は高まっています。ここではその理由について、大きく2つのポイントに絞ってお伝えします。
法改正による取引のオンライン化の解禁トレンド
1つ目は、各種法改正による取引のオンライン化の解禁が進んでいることです。
例えば、現在複数のサービスが立ち上がっている不動産クラウドファンディング業界を考えてみると、実はこの業態が普及するきっかけとなったのは2017年と、実に最近の話となります。具体的には、同年3月に「不動産特定事業法の一部を改正する法律案」が閣議決定されて12月1日に施行、2019年4月には政府による「未来投資戦略2018」を踏まえた不動産クラウドファンディングを促進するための改正が実施されたことで、数万円の自己資金からのオンライン不動産投資を始めることが可能となったのです。
このような取引のオンライン化に対する規制緩和が各業界で次々となされていってことで、本人確認のオンライン化も必然的に増えていきました。
一方で、それと同時に進んでいったのが、本人確認手法の厳格化です。その象徴的なニュースが、先ほどもお伝えした2018年11月の犯罪収益移転防止法の改正だと言えるでしょう。改正内容の中には「本人確認における新プロセスの定義」が明記され、郵送確認というこれまで一般的だったプロセスが必須ではなくなり、新たに提出者の容貌確認(セルフィーで撮影した利用者の顔写真)などの当人確認要件が追加されることになったのです。
画像:金融庁「オンラインで完結する自然人の本人特定事項の確認方法の追加」
つまり、スマホなどの通信デバイスを用いて、非対面であっても必要な手続きを先に進めることができるようになった一方で、既存の本人確認手法については内容が厳格化されることになったわけです。
このように、取引のオンライン化と共に、本人確認のオンライン化と厳格化が同時進行している点が、eKYCが注目されている背景の1つと言えます。
コロナ禍に伴うサービスの非対面設計トレンド
もう1つは、2020年に発生した新型コロナウイルス感染症のパンデミックをきっかけとする社会の「非対面設計」トレンドが挙げられます。これまで対面が前提だった社会生活は、政府による「新しい生活様式の実践」(ニューノーマル対応)の推進も相まって、次々と非対面に再設計されていきました。
当然ながら企業活動においても、従業員に対するリモートワーク環境の提供からサービスのオンライン化まで、様々な対応がなされていき、それに伴い本人確認処理についても必然的にオンライン化のニーズが高まっていきました。
つまり、規制サイドによる規制緩和とサービス事業者サイドからのニーズの高まりが並行して進んでいったことで、eKYCの注目度が飛躍的に高まったのだと言えるでしょう。
eKYC導入のメリット
eKYCを導入すると、様々なメリットがあります。ここでは、生活者と事業者、それぞれの視点で見ていきます。
生活者にとってのメリット
まずは生活者メリットです。生活者のメリットは下記の2点が挙げられます。
- 物理的な場所の制約がなくなる
- サービス利用開始までの時間が短縮する
物理的な場所の制約がなくなる
1つ目は、本人確認を進めるための物理的な場所の制約がなくなり、手間がかからなくなることです。例えば郵送で本人確認を実施するには、本人確認書類のコピーを用意し、ポストに投函した上で数日、長い場合は一週間以上待たなければなりません。また店舗等に出向いての対面による本人確認でも、すぐにサービスを利用したい顧客にとっては大きな手間となるでしょう。
eKYCを導入すると、このような手間がかからず、早ければ即時にオンラインで本人確認が完了するため、顧客の負担を大きく軽減できます。
サービス利用開始までの時間が短縮する
2つ目、生活者にとって最も大きなメリットは、サービスをすぐに利用できることでしょう。本人確認が必要なサービスを利用する場合、顧客は本人確認の手続きが終わるまではサービスを利用できません。eKYCが導入されたサービスであれば本人確認がすぐに終わるので、顧客はサービスを利用したいタイミングですぐに利用を開始できます。
次回以降もeKYCを利用したいと思う理由(「オンライン本人確認(eKYC)に関する利用実態調査」より)
現に、先ほどご紹介したTRUSTDOCKとMMD研究所が2021年9月に発表した調査結果においても、次回以降もeKYCを利用したいと思う理由として挙げられた要因の上位に、「ネット上で完結できたから」「便利だったから」「時短になったから」などがあがっています。
事業者にとってのメリット
次にサービス提供事業者のメリットです。下記の3点が挙げられます。
- 申込の離脱防止につながる
- 本人確認にまつわるオペレーションの効率化とコストの削減
- 本人確認にまつわるセキュリティレベルの向上
申込の離脱防止につながる
eKYC導入のメリットとして、まずはじめにお伝えしたいことは、申込の離脱防止につながることです。生活者のメリットで解説したとおり、これまでの本人確認はサービスをすぐに使えない、面倒な郵送の手間がかかるなど、顧客にとってストレスの多いものでした。ストレスがかかると一部の顧客は離脱してしまいます。
eKYCを導入すると、これらの顧客にとってのペインを解消できる上に申込をスムーズに行うことができるので、顧客の離脱率低減に貢献します。
本人確認にまつわるオペレーションの効率化とコストの削減
eKYCを導入すると、本人確認書類の郵送やその確認など、本人確認に要していた煩雑な業務・オペレーションを大幅に減らすことができるので、ペーパーレス化や本人確認にまつわる業務効率化につながります。
また、自社内で本人確認業務を行う場合、そこに対する適切な人員配置が必要となります。書類の扱いに関するオペレーション教育はもとより、ユーザー登録者数の増減に合わせたシフト管理等が必要となるため、それらの工数も含めた人員および管理コストの削減が見込めます。また郵送費用の削減にも貢献するでしょう。
本人確認にまつわるセキュリティレベルの向上
eKYCは、本人確認にまつわるセキュリティレベルの向上に寄与することも期待されます。例えば保険契約における契約者変更の手続きについて考えた場合、複数項目の本人情報の確認をもってして「電話での対応」も可能としているケースは多いものです。電話だと本人のみ知り得る情報の確認を行うのが難しいことから、本来的に“なりすまし”のリスクがあり、本人確認の認証強度としては改善の余地がありました。このようなケースの場合、eKYC導入によって手続きを適切な強度でオンライン化することで、より認証強度の高い本人確認を実施することが可能となります。
「狭義なeKYC」の具体的な手法4選
次に、eKYCの具体的な手法について見ていきます。まずは狭義なeKYCについて、ここでは犯罪収益移転防止法 施行規則六条1項1号に準拠した手法4点について解説します。
| ホ |
専用ソフトウェアにて、写真付き書類の写し1点(厚みその他の特徴&本人確認時に撮影されたもの)の送信 |
| ヘ |
専用ソフトウェアにて、写真付き・ICチップ付き本人確認書類のIC情報の送信 |
| ト |
専用ソフトウェアにて、写真付き書類の写し1点(厚みその他の特徴&本人確認時に撮影されたもの)の送信 or 写真付き・ICチップ付き本人確認書類のIC情報の送信の確認 |
| ワ | 公的個人認証(電子署名) |
「ホ」の手法(写真付き書類の写し1点+容貌)
「ホ」では、顧客から写真付き本人確認書類画像と、本人の容貌画像の送信を受ける方法が定められています。必要となるのは、写真付き本人確認書類の写し画像1点と、本人の容貌を撮影した画像データ1点です。
いずれの場合も、身分証等の“原本”を直接撮影したものを、原則として“撮影後直ちに送信”させる必要があります。よって、例えばあらかじめスマホのカメラロール等に入っている運転免許証画像をアップロードするのはNGですし、運転免許証をコピーした紙を撮影するのもNGです。
また身分証については、ただ表裏を撮影するのではなく、その身分証が原本であることを示す特徴、例えば運転免許証の場合は厚みだったり、パスポートの場合はホログラムだったりを含めて写す必要があるとされています。
ちなみに、静止画の撮影以外にも動画やオンラインビデオ通話機能を利用する方法も可能とされているので、例えばeKYCソリューションを提供するTRUSTDOCKでは、画像の代わりに身分証をくるくるとカメラの前で回す“動画”を撮影してもらい、それを断片化・画像化してチェックするというなどの確認フローをソリューションとして設計しています。具体的な使い方については、以下の動画をご覧ください。
なお、昨今ではAI等の技術進歩が著しいわけですが、機械のみで本人確認書類が真正なものであることを100%担保するのは、まだまだ不可能な状況です。よって、目視による確認は引き続き有効であると言えます。TRUSTDOCKでも、全ての本人確認書類を目視でチェックするフローを組んでおり、これについては後述します。
「ヘ」の手法(ICチップ情報の送信+容貌)
「へ」とは、顧客から写真付き本人確認書類のICチップ情報と、本人の容貌画像の送信を受ける方法です。必要となるのは、身分証等に埋め込まれたICチップ情報と、本人の容貌を撮影した画像データ1点です。
普段は意識しないICチップですが、実は運転免許証であれば真ん中付近に埋め込まれており、NFC等の無線通信技術を使って、ICチップの中にある氏名・住所・生年月日・性別・写真情報等を読み込むことになります。
運転免許証の場合、その取得時に設定したピンコード(暗証番号)を入力する必要があるので、忘れているケースも多いのですが、一方で原本の違法コピー等によるリスクも回避できることから、より安全・安心に配慮した手法であるとも言えるでしょう。
「ト」(金融機関との連携)
「ト」とは、顧客から本人確認書類の画像またはICチップ情報の送信を受け、併せて銀行等の金融機関もしくはクレジットカード会社に本人特定事項を確認済みであることを確認するという方法です。
必要となるのは、写真付き書類の写しデータ1点か身分証等に埋め込まれたICチップ情報、および銀行・クレジットカード情報との照合確認か既存銀行口座への振込確認です。金融機関との連携が必要となる点が、これまでと異なります。
こちらは、銀行に登録してある情報(氏名・生年月日・住所等のデータ)が最新のものへと更新されている必要があり、また銀行のオンラインバンキングサービスでアカウントを開設している必要もあります。その上でさらに、認証プロセスでは該当のオンラインバンキングサービスのログインIDとパスワードを使用するので、これをしっかりと覚えている必要もあります。
以上の点が本人確認時のタイミングで滞りなく準備されていることが、「ト」の必要要件となります。事業者側としては、古物やクラウドファンディングなど、顧客に入金する必要があるサービスでは、銀行口座確認と本人確認が一度にできるメリットがあり、今後特定業種において広がりを見せることを期待しています。
「ワ」の手法(公的個人認証)
「ワ」とは、顧客のマイナンバーカードにあるICチップをスマートフォンで読み取り、J-LISが提供する公的個人認証サービスを用いることで本人確認を完了する方法です。
J-LISとは「地方公共団体情報システム機構」のことで、同機構が提供する公的個人認証サービスは、ネット上での本人確認に必要な電子証明書を、住民基本台帳に記載されている希望者に対して無料で提供するサービスのことです。これは、TRUSTDOCKを含め、電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律第17条第1項第6号の規定に基づく総務大臣認定事業者のみ利用が可能となっています。
「ワ」の要件では、利用者クライアントソフトおよびICカードの読み取り専用デバイス、もしくは読み取り対応スマートフォンアプリを通じて、マイナンバーカードへの電子証明書の記録を行い、その上で公的個人認証サービスを通じてオンライン本人確認を完了させるという流れになります。
専用デバイスを用意するなど利用ハードルが高い要件ではありますが、TRUSTDOCKによる身分証アプリのようにスマホでマイナンバーカードが読み取れるアプリであれば、およそ10秒程度で郵送不要のeKYCができるため、マイナンバーカードを持っているユーザーにおいては対応完了までのスピードが最も早い手段となっています。
また、先ほどの「へ」と同様にICカードの読み取りという特徴に鑑みて、原本の違法コピー等によるリスクも回避できることから、より安全・安心に配慮した手法であるとも言えます。
なお、公的個人認証については以下の記事で詳細に解説しているので、こちらも併せてご確認ください。
▶︎公的個人認証サービスとは?「ICチップ読み取り型eKYC」が主流になるミライに向けたトレンドを解説
「狭義なeKYC」が求められる業種例
狭義なeKYCが求められる事業者としては、主に犯罪収益移転防止法と古物営業法、そして携帯電話不正利用防止法の規制対象事業者が考えられます。
例えば犯罪収益移転防止法の規制対象事業者は「特定事業者」と呼ばれており、通常の特定取引およびハイリスク取引を行う際に、「取引時確認」と呼ばれる手続きを法的義務として負うことが定義されています。特定事業者には、以下12事業者が該当します。
- 金融機関等
- ファイナンスリース事業者
- クレジットカード事業者
- 宅地建物取引業者
- 宝石・貴金属等取扱事業者
- 郵便物受取サービス事業者(いわゆる私設私書箱)
- 電話受付代行者(いわゆる電話秘書)
- 電話転送サービス事業者
- 司法書士又は司法書士法人
- 行政書士又は行政書士法人
- 公認会計士又は監査法人
- 税理士又は税理士法人
- 弁護士又は弁護士法人
ここでは、金融関連事業者と古物商、そして通信事業者について、それぞれご紹介します。
金融関連(銀行・証券・保険)
金融関連事業者には、銀行業をはじめ、証券業や貸金業、決済・送金事業者、それから暗号資産取引事業者などが挙げられます。犯罪収益移転防止法によって本人確認要件が明確に決まっているので、どの対象事業者でも対面と非対面のいずれかのKYCが行われていることになります。
先ほどお見せした調査結果のとおり、金融関連はeKYCの導入が最も早く進んでいる業態となります。
eKYCを利用したことがある場面(「オンライン本人確認(eKYC)に関する利用実態調査」より)※再掲
こちらについては以下の導入事例があるので、ぜひご確認ください。
▶︎実装に限らず、法律の解釈含めて何でも相談できる。業登録完了に併せてeKYCを導入したSiiibo(シーボ)の事例
また、対象業務や本人確認事項、犯罪収益移転防止法については以下の記事で詳細に解説しているので、こちらも併せてご確認ください。
▶︎犯収法(犯罪収益移転防止法)とは?各専門用語の意味や注意点から、定義されているeKYC手法まで詳しく解説
古物商(リユース・中古)
質屋や古物買取事業者、いわゆる古物商は、古物営業法と犯罪収益移転防止法を根拠法として顧客の本人確認をすることが義務付けられています。古物営業法とは、盗品等の売買の防止や速やかな発見等を図るために制定された法律で、マネーロンダリングの防止や企業の不正対策等を目的に、相手方の真偽を確認するべく、事業者による以下の本人確認業務の実施が明記されています。
[対象業務]
・古物の買取業務(一万円以上)
[確認項目]
・申請時:対象者の住所、氏名、職業および年齢
・確認時:対象者の住所、氏名、年齢
こちらについては以下の導入事例があるので、ぜひご確認ください。
▶︎これからは、本人確認が全てのハブになる。業務オペレーションの完全自動化を進めるソフマップの買取アプリ「ラクウル」の事例
また、古物商のeKYCと古物営業法の詳細については以下の記事で解説しているので、こちらも併せてご確認ください。
▶︎古物商が気をつけるべき「本人確認業務」とは。古物営業法と犯収法に準じてそれぞれ解説
通信事業者
いわゆる通信キャリアと呼ばれるMNO(移動体通信事業者)をはじめ、MVNO(仮想移動体通信事業者)や契約代理業者などの電気通信事業者は、「携帯電話不正利用防止法」を根拠法として顧客の本人確認をすることが義務付けられています。
携帯電話不正利用防止法とは、携帯音声通信事業者による契約者の管理体制の整備と促進、および携帯音声通信役務の不正な利用の防止を目的に制定された法律で、正式名称は「携帯音声通信事業者による契約者等の本人確認等及び携帯音声通信役務の不正な利用の防止に関する法律」です。電話を使った振り込め詐欺や架空請求、国際ロマンス詐欺などの被害があとを絶たないことから、通話機能利用者のトレーサビリティ等を担保するべく、事業者による本人確認業務の実施が明記されています。
[対象業務]
・音声通信役務
・携帯通信役務
[確認項目]
・本人確認書類の確認(氏名、生年月日、現住所は記載されており、すべて有効期限内のもの)
・現住所がない本人確認書類の場合、あらかじめ印字されているか、ボールペンなど消せないもので記入されているものに限る
・住所の確認
・新規契約の顧客に親展(転送不要)にて「ご契約内容確認のお願い」の郵送
通信事業者のeKYCの詳細については以下の記事で解説しているので、こちらも併せてご確認ください。
▶︎通信事業者で求められる本人確認要件とは?MNO・MVNO・契約代理業者等のeKYC活用方法を解説
「広義なeKYC」の代表的な手法
ここまで見てきた、法規制により本人確認の方法含めた定義がなされている業種に対して、確認方法が定められていない法律の規制を受ける事業者や、業界団体および自社による自主確認としての本人確認を実施している事業者のようなケースも多く存在します。
このような「広義なeKYC」に対しては、以下のように、より認証強度を低くした“簡便な”eKYC手法がよく使われます。
こちらは、個人身元確認情報として公的身分証を提出するという部分だけをオンライン化したeKYCのフロー図です。TRUSTDOCKのeKYCソリューションでは、本人確認書類の写し画像の送信や本人の容貌を撮影した画像データの送信など、必要な情報の送信を任意の設計で受けることができる仕様となっています。
※お使いのサービスに合わせる形で、処理画面を作成いただく形になります
「広義なeKYC」が求められる業種例
このような広義なeKYCを実施する事業者は多岐に亘ります。ここではその一例として、マッチングアプリ、カーシェア・ライドシェア、そして人材業界について、それぞれご紹介します。
マッチングアプリ
出会いの選択肢としてここ数年での普及が急加速しているマッチングアプリを運営するインターネット異性紹介事業者には、ユーザーの年齢確認の実施(18歳以上か否か)が義務化されています。これは、出会い系サイト規制法(正式名称:インターネット異性紹介事業を利用して児童を誘引する行為の規制等に関する法律)に準拠したもので、具体的には、以下2点いずれかの手法をもっての確認が義務化されています。
・インターネット異性紹介事業を利用するユーザーの運転免許証、国民健康保険被保険者証、その他の年齢または生年月日を証する公的書類のうち、「年齢または生年月日」「書面の名称」「書面の発行・発給者の名称」にかかる部分を提示し、その写しの送付または画像の送信を受けること
・クレジットカードでの支払いなど、児童が通常利用できない方法によって料金を支払う旨の同意を得ること
こちらについては以下の導入事例があるので、ぜひご確認ください。
▶︎ユーザーの安全・安心が最重要。新マッチングアプリのローンチに併せてeKYCを導入したオミカレの事例
また、マッチングアプリ事業者のeKYCと出会い系サイト規制法の詳細については以下の記事で解説しているので、こちらも併せてご確認ください。
▶︎出会い系サイト規制法とは。マッチングアプリや婚活サイト事業者に必要な本人確認の要件を解説
カーシェア・ライドシェア
カーシェアやライドシェア、さらにはシェアサイクルや電動キックボードシェア等のモビリティシェアリングサービスには、主に道路交通法・道路運送車両法における自動車・原動機付自転車が対象となる運転免許証の所持が必要なサービスと、それ以外のモペットを除く自転車(軽車両)等が対象となるサービスがあります。
運転免許証が必要なサービスでは、eKYCサービスを活用することで、スマホ等のデバイスを使ってオンライン上で運転免許資格をチェックしています。
また、いずれの種類のサービスであっても、昨今ではCtoCのマッチングや取引を行うシェアリングサービスにおいて、利用者による不正等を防ぐための安全・安心に向けた本人確認実施の必要性がさけばれています。eKYCサービスを活用することで、各サービスにフィットした本人確認強度をもって「どこのどなたがサービスを使ったか」という情報を把握し、有事の際にも迅速に対応することができるようになります。
こちらについては以下の導入事例があるので、ぜひご確認ください。
▶︎問い合せから1ヶ月でサービスイン。普通自動車免許の保持確認でTRUSTDOCKを利用するmobby rideの事例
また、カーシェア・ライドシェア事業者のeKYCについては以下の記事で解説しているので、こちらも併せてご確認ください。
▶︎カーシェア・ライドシェアで求められる本人確認要件とは?各業態に沿ったeKYC活用方法を解説
人材業界
近年の、ギグ・エコノミーな人材マッチングプレイスや短期バイトサービス、オンラインでの人材紹介・派遣サービスなど、様々なオンラインサービスが提供されている人材業界。こちらでは、労働基準法や児童福祉法、風営法に準拠した年齢基準を満たすための年齢チェックと、働き手の身元を明確にするという2つの目的で、eKYCが積極的に活用されています。
特に後者については、外国人労働者への在留資格チェックなどでも活用されています。外国人労働者数の増加が著しい昨今ですが、新型コロナの影響で求人や面接等における本人確認が非対面化・オンライン化している傾向があり、不法就労のリスクが高まっています。だからこそ、外国人労働者の雇用時のeKYCは、ますます重要性が増していくことが予想されます。
人材業界については以下の導入事例があるので、ぜひご確認ください。
▶︎個人情報を持たなくて良いのが最大のメリット。事業のスケールに向けてeKYCを導入したタイミーの事例
また、人材業界のeKYCについては以下の記事で解説しているので、こちらも併せてご確認ください。
▶︎人材業界で必要な「本人確認」と、高まる「eKYC」ニーズ。労働派遣法や労働基準法等からそれぞれ解説
eKYCサービスを選ぶ時の3つのポイント
世の中には、様々なeKYCサービスがあり、どのようにサービス選定を進めればよいのか悩んでいる担当者も多いのではないでしょうか。ここでは、eKYCサービスを選ぶときのポイントを3つご紹介します。
カスタマイズ性
eKYCサービスに求める要件は、会社によって異なります。例えば、下表にあるような項目が導入前の相談要件として挙げられることが多く、これらに対する適切な選択肢、すなわちカスタマイズの余地があるか否かが、eKYCサービスを選ぶ際の重要なポイントとなります。
| 法規制への対応状況 |
業種・業態によっては厳格な本人確認の実施が求められるからこそ、該当の法規制に準拠したeKYC手法を提供しているか否か、該当の業種・業態への導入実績があるか否かが、非常に大切な観点となります。 (犯罪収益移転防止法、携帯電話不正利用防止法律、出会い系サイト規制法、古物営業法etc…) また、現段階で該当する法規制のない業種・業態においては、自社事業に合った本人確認の要件を策定し、その要件を満たす形で実装ないしは相談ができそうか等も重要な視点となります。 |
| ブラウザ型 / アプリ型 |
デバイスを問わずブラウザでアクセスして本人確認を行うタイプがブラウザ型eKYCで、スマートフォンのアプリに遷移して本人確認を行うタイプがアプリ型eKYCです。 自社サービスがブラウザベースの場合は前者が、アプリベースの場合は後者が、両方展開している場合は両タイプへの対応が、それぞれ導入の前提になるでしょう。 |
| 自社運用 / アウトソース |
本人確認業務を自社で行うか、それともeKYC事業者にアウトソースするかは、運用設計の根幹に関わる重要なポイントです。 自社内の人的リソース状況や予算配分、法律の改正やガイドラインの制定等に伴うシステム改修コスト、その他業務改善やオペレーションマニュアル改定、オペレーター再教育、書類保管に付随するセキュリティ対策等の様々なコストに鑑みて柔軟に検討する必要があるからこそ、どちらの運用体制での利用が可能かのチェックは不可欠です。 |
| UI/UX設計 | ユーザーにやさしい書類提出フローになっているか、自社ブランドのレギュレーションに準拠した画面構築が可能か、本人確認完了までスピードはユーザー離脱を抑えるものになっているか等、UI/UX設計の柔軟性は顧客満足度に直結する大事なポイントとなります。 |
費用対効果
eKYCサービスに限らず、あらゆるソリューションの導入には適切な費用対効果が求められるでしょう。eKYC導入においては、以下の観点が費用対効果のテーマとして挙げられます。自社課題に沿って確認していきましょう。
| 本人確認コストの最適化 |
現在オフライン手法(対面・郵送等)で本人確認を行っている場合、オンライン化することで、サービス利用料金以上のメリットを享受できるかを確認しましょう(郵送費用の削減、24時間365日の運用体制構築の内製化と比較した際のコスト削減等)。 また、現在本人確認処理を行っていない場合(新規で本人確認フローを取り入れる場合)は、eKYCを導入することによる費用対効果を十分にシミュレーションしましょう(本人確認を内製化した場合との比較、本人確認がオンラインでスピーディーに実施できる場合/できない場合のユーザー離脱率と売り上げへの影響等) |
| システムメンテナンスの最適化 | 不定期で実施される法改正や新しいガイドライン対応など、変化する規制内容への対応を都度実施するか、それとも導入サービスの自動アップデート等で吸収してもらうか。継続的な機能改修・拡張による間接的な費用対効果も確認しましょう。 |
| 運用ナレッジの活用 |
自社で本人確認業務を内製化する場合、業務の運用設計や真贋の判断基準などをゼロから構築し、ナレッジを自分たちで溜めて運用へとフィードバックしていく必要があります。 一方で、豊富な実績やノウハウを持つeKYC事業者のサービスを活用すれば、それらの知見を反映した機能・運用サポートを享受することができます。 このようなナレッジの活用有無による費用対効果も、中長期的な目線で捉える必要があるでしょう。 (例えばTRUSTDOCKの場合、年間約200万件の本人確認業務のノウハウ・実績・経験・知識があり、それらを日々改善する形で、運用/判断基準設計や真贋判断等に反映してソリューション提供しています) |
収集された個人情報の管理ポリシー
もう一つ、非常に大切な観点として、eKYC事業者が収集した個人情報をどのように扱っているかのチェックも挙げられます。
私たちは日々、氏名やメールアドレス、住所、それらを含めた身分証など、個人に関わる情報を提供することで、様々なネットサービスを利用しています。その提供した情報が、私たちの理解が不十分なまま行われる同意に基づいて第三者に渡っているとしたら、どうでしょうか? なんとも不快な気分になるのはもちろん、どんな用途で利用されているのか、不安だと思います。現に、TRUSTDOCKとMMD研究所が2021年9月に発表した調査結果でも、個人情報の取り扱いに不安がある声が寄せられていました。
eKYCを次回以降利用したくないと思う理由(「オンライン本人確認(eKYC)に関する利用実態調査」より)
eKYC導入を検討する企業は、eKYCにて集められた情報がユーザーの十分な理解のないまま第三者に共有されることを防ぐために、以下の項目のチェックを行うことを推奨します。(いずれも、取引先から委託された本人確認業務における個人情報の取扱いについて)
- eKYC事業者による利用目的は明確か。
- eKYC事業者による第三者提供が行われているか。
- 第三者提供を行っている場合、その利用目的は明確か。
- 委託先の了解なくeKYC事業者において対象個人データを保有していないか。
- 対象個人データの保有期間を契約に基づき定め、ユーザーの求めなど理由がある場合にはデータを消去する運用を行っているか。
上記のうち、どれか一つでも不明瞭なもの、もしくは該当するものがあった場合は、個別に詳細を確認した上で、該当事業者のサービス利用を判断するべきでしょう。
なお、この個人情報の取り扱いと第三者提供の詳細については、以下の記事で詳しく解説しているので、併せてご覧ください。
▶︎第三者提供について要チェック!eKYCにおけるユーザー情報の取り扱いが問われる理由を解説
eKYCのよくある誤解や懸念点
次に、日々膨大なeKYCによる本人確認を実施しているTRUSTDOCKだからこそ感じる、eKYCのよくある誤解や懸念点についてご紹介します。
eKYCは「全自動」ではない
よく「eKYCを導入するとAIが判断してくれるので本人確認業務は全自動になるんですよね?」と聞かれます。もちろん、業務を限りなく自動化することは可能ですが、そもそも技術的に機械が100%の精度で本人確認書類の真贋を見極めることはできませんので、100%機械任せの自動化も現時点ではあり得ません。
2018年11月30日の犯罪収益移転防止法改正の施行に先立って募集されたパブリックコメントでは、以下の通り、技術を使う場合であっても目視確認の必要性が言及されています。
改正規則6条1項1号ホ、へ及びトについては、本人確認書類が真正なものであることの確認は、目視によるものに限らず、専ら機械(十分な性能を有しているものに限ります。) を利用して行うことも許容されます。ただし、規則6条1項1号ホ及びトについては、現在の技術ではそのような性能を満たさないことから、現在の技術を前提とすれば目視による確認が必要と考えられます。
機械のみで本人確認書類が真正なものであることを100%担保できない状況下だからこそ、人による「目視確認」は引き続き有効であると言えます。もちろん、この部分を企業に代わって実施しているのが、TRUSTDOCKということになります。TRUSTDOCKでは、「機械+目視」により、本来OKな書類をNG判定するのを極力回避し、逆に偽造カードなどによるなりすましを防ぐべく、合計200以上の項目をチェックするオペレーションでeKYCを提供しています。(ex. 厚み等の特徴確認、その場で撮影した証明の確認、ライブネス確認など)
「eKYC=顔認証」ではない
eKYCと聞くと「顔認証のこと」と考える方も多いのですが、本記事をご覧いただいている読者の方ならお分かりのとおり、顔認証は当人認証の中の「生体認証」の一つとなります。
つまり、eKYCには顔認証という手法も含まれることにはなりますが、顔の認証だけではその人の身元を確認することができないため、イコールで結ばれるものではありません。特に海外では、個人情報や顔データの取り扱いが年々厳しくなってきており、相次いで見直しが行われていることから、「eKYC=顔認証」という認識は中長期的な視点に鑑みても正しくはないと言えるでしょう。
本人確認の強度は高ければ高いほど良い、というわけではない
eKYCを導入するときに「本人確認強度(AALとIAL)は高ければ高いほど良いんですよね?」と聞かれることがありますが、そんなことはありません。本来的には、もたらされるリスクに見合ったものである必要があります。
本来的にもたらされるリスクよりもレベルが高すぎる保証の場合は、情報を持ちすぎてしまうことになるので、プライバシー保護の観点や欧州のGDPR(General Data Protection Regulation:一般データ保護規則)の文脈等における最低限の情報のみ保持する原則を脅かす可能性があります。一方で、本来的にもたらされるリスクよりも低いレベルの保証だった場合は、セキュリティ等事故のリスクが高まることになります。
つまり、情報リスクの適切な理解と、それに合わせた適切な強度(AALとIAL)の設定が重要となります。
eKYCトレンド①:マイナンバーカードの活用(公的個人認証)
ここからは、最近のeKYCトレンドについてお伝えします。まずは、マイナンバーカードを活用した公的個人認証です。
マイナンバーカードの浸透は行政DXの一丁目一番地であり、2022年2月1日の時点で5,200万枚(人口に対する交付枚数は41.8%)の交付が完了していることから、いよいよ普及期に突入してきたと言えます。現に、政府によるワクチン接種証明アプリでは、マイナンバーカードにある「券面情報」をICチップから取得できる仕様になっています。このような動きを鑑みると、eKYCにおけるマイナンバー活用の比重はどんどんと高まってくることが予想されます。
行政手続のDXで活かせるeKYC手法
冒頭付近でご紹介したとおり、生活者にとって最も期待されているeKYCの活用方法は「行政手続き」だと、調査結果で明らかになっています。
eKYCの導入を拡大してほしいと思うサービスのジャンル(「オンライン本人確認(eKYC)に関する利用実態調査」より)※再掲
こちらについては、デジタル庁発足の動きと連携する形で、地方自治体での動きが活発化しています。具体的には、2018年のデジタル・ガバメント実行計画に基づいて、2010年8月に策定された「オンライン手続におけるリスク評価及び電子署名・認証ガイドライン」を見直し、各種行政手続をデジタル化する際に必要となるオンライン本人確認に対する考え方と手法をまとめた「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」が、2019年2月に公表されました。
ここで行政手続きのオンライン化を進めるためのポイントが提示されており、その具体的な手法の一つとして、マイナンバーカードを使った公的個人認証など、専用のeKYCの活用が各自治体で検討されている状況となります。
- オンライン手続に関わる脅威と、脅威から生じる「リスクの影響度」を導出する手法
- 上記の手法により導出されるリスクの影響度を踏まえ、オンライン手続に求められる認証方式の「保証レベル」を導出する手法
- 上記の手法により導出される認証方式の各保証レベルにて求められる 「対策基準」
行政領域におけるeKYCの活用やその背景と経緯については、以下の記事で詳しく解説しているので、併せてご覧ください。
▶︎行政DXとは?国内行政デジタル化の経緯や事例、データの重要性、本人確認への応用などを徹底解説
農林水産省によるマイナンバーカードの公的個人認証事例
eKYCの仕組みを活用した行政DX事例としては、農林水産省の取り組みが挙げられます。農林水産省では、「eMAFF(読み方:イーマフ)」と呼ばれるオンラインポータルサービスを運営しており、同省が所管する法令に基づく申請や補助⾦・交付⾦の申請を、オンラインで⾏うことができるようになっています。このeMAFFを活用する際の本人確認フローに乗せる形で、TRUSTDOCKのデジタル身分証アプリが活用されていることになります。
こちらの事例の詳細については以下の記事でも紹介しているので、ぜひご覧ください。
▶︎農林水産省がTRUSTDOCKのデジタル身分証アプリを導入した理由 〜金融DXサミットレポート前編
eKYCトレンド②:金融機関におけるリスクベースアプローチとCRMベースの継続的顧客管理
2021年8月末、FATF第4次対日相互審査報告書が公表され、日本には「強化(重点)フォローアップ国」という評価が下されました。これにより、5年後のフォローアップ評価の前に、計3回のフォローアップ報告が必要となりました。その報告内容については、財務省にて概要部分の邦訳が出ている他、「金融機関等における予防的措置」及び「金融機関等に対する監督」にかかる関連記述部分の仮訳については、いずれも金融庁から公表されています。
FATF勧告のベースには「リスクベースアプローチ」と呼ばれる考え方があり、「リスク特定→適切な評価→該当リスクの低減」というPDCAサイクルを回すことが提示されています。これによって、日々の取引のモニタリングやスコアリング等の他、顧客に関して定期健康診断のような位置付けで継続的な管理を行うこと、その上で疑わしい取引や取り組みなどの報告・共有するといったアクションが求められているのです。
これに対して金融庁では、2018年に金融機関に対して口座の名義人の確認を求める「マネー・ローンダリング及びテロ資金供与対策に関するガイドライン」を策定し、このリスクベースアプローチへの取り組みを強力にプッシュしてきました。また2021年5月には、ガイドラインで対応を求めている事項に対する完了期限を「2024年3月」までと定めて、ガイドラインを遵守する体制を整備することを、各業界団体を通じて要請しています。
つまり、あらゆる金融機関にとってリスクベースアプローチによる業務プロセス構築の優先度は高く、恒久的な対応が急務となっています。そして、この中でも特に重要な考え方が、人の管理にまつわる「継続的顧客管理」であるとTRUSTDOCKは考えています。
継続的顧客管理とは
本人確認には、冒頭でご紹介したような“業務内容”を軸にした分類の他に、それを行う“タイミング”を軸にした分類もあります。それが、「アカウント開設時の確認(オンボーディング)」と「継続的顧客管理(オンゴーイング)」です。前者は初回契約時に本人確認を行うことで、後者は契約期間中で継続的に本人確認を行うことです。
継続的顧客管理については、リスク分類を行った後、それぞれのリスクレベルに応じて顧客の取引時確認を行わなければならないということが、先述した金融庁ガイドラインで示されています。法的規制のある業務か否かに関わらず、アカウント開設時の確認が新規ユーザーの情報を正しく把握するための身元確認であるのに対し、継続的顧客管理は当人認証で契約者の同一性確認を行ったうえで、本人特定事項に変更がないかのチェック・更新等も行っていくという流れが一般的になります。
継続的顧客管理のeKYC活用アプローチ
この継続的顧客管理を実現するためには、マーケティング由来のCRM(Customer Relationship Management)の考え方がベースで必要となります。例えばTRUSTDOCKでは、「TRUSTDOCK-CRM」と呼ばれるSalesforceベースのカスタマイズ性の高いCRMを提供しており、単発の本人確認ではなく、CRMシステムによる顧客管理機能を前提にすることで、より実効性のある継続的顧客管理の実現を可能にしています。
TRUSTDOCKでは、これまでAPIのみを通じて本人確認業務の依頼・返却を行っており、開発が得意な事業者においてはカスタマイズしやすいAPI環境を構築できていたが、一方でシステム開発が難しい事業者においては導入ハードルが高いものになっていた。TRUSTDOCK-CRMは、SalesforceなどのCRMの上に載せる本人確認の機能群となるので、あらかじめ活用できるパッケージとしてどの事業者・金融機関でも導入ハードルが低いものとなっている
このように、FATF第4次対日相互審査報告書の公表をきっかけとして、改めて継続的顧客管理におけるCRM的アプローチの重要性が高まっている状況です。
eKYCトレンド③:改正個人情報保護法
2020年・2021年と、個人情報保護法の改正が続いていますが、その中で新しく「個人関連情報」という概念が誕生しました。こちらは「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」と定義されています。そもそも個人情報には以下のような概念が存在し、それに加わる形で今回の個人関連情報が定義されたことになります。
- 個人情報:特定の生きた個人を識別することができる情報
- 個人データ:個人情報データベース等を構成する個人情報
- 保有個人データ:本人からの開示や内容の修正、追加、削除、第三者への提供停止等が求められた場合にその要求に応じなければならない個人データ
個人関連情報には、例えばインターネットの閲覧履歴や位置情報、Cookie(クッキー)などの情報が含まれ得ます。イメージしやすいように、以下の個人情報保護委員会で提示された図を使って見ていきます。ここでは、個人情報を保有しているB社と、ネット上の様々な情報を管理するDMP(Data Management Platform)事業者であるA社の2社間によるデータの授受ケースが想定されています。
画像出典:第127回 個人情報保護委員会「資料1 個人情報保護を巡る国内外の動向」
まずDMP側であるA社は、個人データを取得しない形でブラウザの閲覧履歴などのユーザー行動情報を取得して、B社からのCookie・ID等の情報に紐付けます。その紐付けた状態で、A社からB社へと、行動情報を渡すとしましょう。するとB社は、Cookie・ID等の情報をキーにして行動情報と個人情報を突合することで、個人データではないはずの行動データが、個人データになるというわけです。
このような事態を想定し、改正個人情報保護法では、個人関連情報を第三者に提供することで個人データとして取得されることが想定されるときは、本人の同意が必要だと規定しています。
第三者提供の考え方について
しかし、法的な要件を満たしていたとしても、ユーザーの理解が不十分なままで、同意に基づく第三者提供が行われているのが実態です。
ユーザーの情報は、本来的にはユーザーのもの。eKYC等によって本人確認業務を委託された事業者が委託業務において取得した情報は、法令及び委託元との取り決めに沿って取り扱うべきものであると、TRUSTDOCKは考えます。また、本人確認の受託業務で得た情報のeKYC事業者における保存と、委託元の求めに応じて速やかに該当データを削除することとする運用も重要でしょう。
ちなみにTRUSTDOCKは、委託された本人確認業務において取得した個人データについては、法令に基づく例外的な場合を除き、第三者へ提供する運用は行っていません。法律を遵守することは言うまでもなく重要な観点ですが、法律上問題がないとしても、ユーザーが「不安」を感じる情報の取り扱いには、慎重に対応しなければならないと考えています。
この点の詳細については、先ほどもご紹介した以下の記事でしっかりと解説しているので、併せてご確認ください。
▶︎第三者提供について要チェック!eKYCにおけるユーザー情報の取り扱いが問われる理由を解説
開示等請求のデジタル化対応も
もう一つ、2022年4月施行の法改正における本人確認関連トピックとして重要なものが、法28条で定義されている開示請求の「電磁的記録の提供による方法」の明記です。
開示請求とは、個人情報を取り扱う事業者が個人情報を適正に取り扱っているかについて、本人が事業者に対して開示を求めることができる権利です。この開示請求の手続きは、これまでは紙書類での申請が主流で、法律の条文やガイドライン等を見ても開示方法としては「メール等」と書かれているにとどまっていました。しかし、昨今のデジタルネイティブなサービス設計が増える状況の中で、ここだけアナログ運用になっているようでは、事業者と消費者の双方にとって大きな負担となります。このような背景から、改正後は法28条の文言が以下となり、選択肢としてのオンライン手続きがはっきりと明示されることとなりました。
[改正前]
第二十八条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの開示を請求することができる。
[改正後]
第二十八条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの電磁的記録の提供による方法その他の個人情報保護委員会規則で定める方法による開示を請求することができる。
ちなみに、この開示請求(第28条第1項)の他にも、保有個人データ(※)の取扱いについて本人が関与することのできる手続きが法27条〜30条にかけて記述されています。具体的には、利用目的の通知の求め(第27条第2項)、訂正等請求(第29条第1項)、利用停止等請求(第30条第1項)、第三者提供停止請求(第30条第3項)が続いており、これらをまとめた概念が「開示等請求」と表現されています。
※保有個人データ:本人からの開示や内容の修正、追加、削除、第三者への提供停止等が求められた場合に、その要求に応じなければならない個人データのこと。
ユーザーからの開示等請求に対しては、サービス提供事業者は原則として本人が希望する方法によって開示する義務を負っています。だからこそ、開示等請求のデジタル化へと迅速に対応できる体制・システムを構築する必要がある状況となります。
例えばTRUSTDOCKでは、先述したTRUSTDOCK-CRMを基盤にカスタマイズを行い、開示等請求の対応をシームレスに実行できるシステム「オンライン開示請求CRM」を提供しています。ここでは、ユーザーはWebブラウザ経由でフォーム画面より開示等請求の手続きを選択し、必要な情報を入力した上で、本人確認(eKYC)処理へと進むことになります。
希望する開示等請求手続きの種類を選択する画面サンプル(左)と「個人情報を開示」を選択した場合の情報入力ページサンプル(右)
実施された本人確認処理が問題なく承認された場合は、事業者サイドの個人情報データベース等との「名寄せ処理」等が行われ、合致した場合に希望手続き処理が行われる流れとなります。
この開示等請求のオンライン化トピックについては、以下の記事で詳しく解説しているので、ぜひご覧ください。
▶︎個人データの開示等請求をオンライン化。2020年の改正個人情報保護法の施行を前に読み解く
参考情報:eKYCソリューション完全比較表
最後に、eKYC事業者に特化してサービス概要や各種機能の実装有無、犯罪収益移転防止法の対応状況などを一表化してまとめた「eKYCソリューション完全比較表」も公開しています。
こちらにご興味のある読者の方は、こちらのeKYCソリューション完全比較表のダウンロードページよりご連絡いただけますと、担当より個別にご送付いたします。
eKYCのプロ集団であるTRUSTDOCK
今回は「eKYCの解説」ということで、どこよりも詳しく、eKYCが注目される背景から具体的な手法、最新トレンドまでを一挙にご紹介していきました。
TRUSTDOCKでは、“本人確認のプロ”として、金融機関をはじめとする特定事業者はもちろん、それに限らない様々な企業のKYC関連業務をワンストップで支援するAPIソリューションおよびデジタル身分証を提供しています。また、本人確認業務に関して関係省庁や関連団体との連携も深めており、金融庁には業務内容の確認を、経済産業省とはRegTechについての意見交換を、さらに総務省のIoTサービス創 出支援事業においては本人確認業務の委託先として採択され、警察庁には犯収法準拠のeKYCの紹介等をといった取り組みも行っています。本人確認業務のオンライン化でお困りの際は、ぜひお気軽にお問い合わせください。
また、eKYCソリューションの導入を検討されている企業の方々や、実際に導入プロジェクトを担当されている方々のために、TRUSTDOCKではPDF冊子「eKYC導入検討担当者のためのチェックリスト」を提供しております。eKYC導入までの検討フローや、運用設計を行う上で重要な検討項目等を、計12個のポイントにまとめていますので、こちらもぜひご活用ください。
なお、KYCの詳細については以下の記事でも詳しく説明しているので、併せてご覧ください。
▶︎KYCとは?あらゆる業界に求められる「本人確認手続き」の最新情報を徹底解説
(文・長岡武司)
