あらゆる生活シーンがデジタル化されるDX時代において、商品・サービスの利用者であるユーザーが「本人であること」をデジタル上でしっかりと確認するためのオンライン本人確認、すなわち「eKYC」は、あらゆるサービス提供者にとっての必須のリテラシーだと言えます。
本人確認の未実施や設計の不備は、様々なセキュリティインシデントに発展するリスクがありますし、中長期的な企業レピュテーションの低下を招く可能性もあります。
このような背景から、昨今で急速に注目度が高まっているeKYCについて、その特徴や留意点、現時点での技術的なレベル等を具体的に理解することが重要だと言えます。本記事では、このeKYCを、どこよりも詳しく解説していきます。
本人確認の定義を理解する
eKYCとは?
KYCとは “Know Your Customer” の略で、日本語訳では「顧客を知る」を意味します。その意味するところは人によって変わりうるのが実態で、例えば古くからKYCを行ってきた金融業界では、「マネーロンダリング等を防止するために口座開設時に行う本人確認業務」のことを示す場合もあれば、「反社チェック等のバックグラウンドチェック」や「継続的な顧客管理」などを含めてKYCと表現する場合もあります。
このように「KYC」という言葉は、人や立場、もしくは業界によって“意味のゆらぎ”がある概念だと言えます。そう考えると、「相手方が本人であることを確認する」手段である本人確認は、数あるKYCの方策の一つであると捉えるのが、現実に沿った考え方だと言えます。
eKYCを使った身元確認(後述)の流れの一例
その前提で、ここではeKYC(electronic Know Your Customer)とは、スマホをはじめとするデジタルデバイスを使って、オンラインでKYCを行うことと定義します。
eKYCが使われているシーンと、今後利用が期待されるシーン
eKYCを利用したことがある場面(「オンライン本人確認(eKYC)に関する利用実態調査」より)。「銀行・証券口座」が最も多く46.2%、次いで「クレジットカードや電子マネーの登録」が42.2%、「QRコード決済の登録」が30.0%となった
eKYCは私たちのあらゆる生活シーンに浸透してきています。eKYCソリューションを提供するTRUSTDOCKとMMD研究所が2021年9月に発表した調査結果によると上グラフのとおり、銀行・証券口座からオンラインチケット購入、eSIM契約まで、様々な場面でeKYCが活躍していること分かります。
また、同調査における「eKYCの導入を拡大して欲しいと思うサービスのジャンル」という設問への回答結果では「行政手続き」がトップとなっています。
eKYCの導入を拡大してほしいと思うサービスのジャンル(「オンライン本人確認(eKYC)に関する利用実態調査」より)
eKYCと聞くと、何やらビジネス領域に限定したトピックのように感じられるかもしれませんが、私たちの日常生活での活用が大いに期待されているテーマであることがお分かりいただけるでしょう。
本人確認の対象(個人と法人)
犯罪収益移転防止法によると、本人確認には「自然人」と「法人」という2つの対象があります。自然人(以下、個人)とは私たち人間のことで、そうでない事業体が法人・人格のない社団又は財団(以下、法人)です。
個人と法人という分け方は、元々は政府間タスクフォースである金融活動作業部会、通称「FATF(読み方:ファトフ)」による勧告で定義されたもので、その流れから我が国の犯罪収益移転防止法でも明記されている切り口なのですが、現在では同法の規制対象業種だけでなく、あらゆる業界でも個人と法人という分け方が本人確認界隈では一般的になっています。本記事では、個人の本人確認を「本人確認」と表記し、法人の本人確認を「法人確認」と表記します。
この個人と法人で分けられる本人確認の構成要素は、以下のようなツリー構造で表現することができます。
冒頭で「KYCには意味のゆらぎがある」とお伝えしましたが、このように構成要素が多いからこそ、その一部をKYCと呼んだり、全体をKYCと呼んだりするなどといった“ゆらぎ”が発生していると言えます。
本人確認のポイント
まずは個人むけの本人確認について見ていきましょう。
本人確認には大きく分けて、「身元確認(Identity Proofing & Verification)」と「当人認証(Authentication)」という2つの概念が含まれています。以下、大事な概念なので詳しく見ていきましょう。
身元確認とは
身元確認とは、利用者がアカウントを登録する際に「利用者が実在する本人である」ことをサービス提供者が確認するプロセスです。
身元確認には様々な手法が存在しますが、犯罪収益移転防止法に沿って考えると、大きく「郵送なしの手法(eKYC)」「郵送ありの手法」「公的個人認証」の3つに分類できます。「ホ」や「ヘ」などと書かれているのは、犯罪収益移転防止法 施行規則六条1項1号に記載されている手法の表記記号です。全体としては以下の表に記載した手法が存在し、その中で特に多く利用されているものを上図に列挙しています。
| イ | 対面にて写真付き本人確認書類1点の提示 |
| ロ |
対面にて写真付き本人確認書類1点の提示 + 転送不要郵便物等による到達確認 |
| ハ | 対面にて本人確認書類2点の提示 |
| ニ |
対面にて写真付き本人確認書類1点の提示 + 住所記載の補完書類1点の送付 |
| ホ |
専用ソフトウェアにて、写真付き書類の写し1点(厚みその他の特徴&本人確認時に撮影されたもの)の送信 + 容貌(本人確認時に撮影されたもの)の送信 |
| ヘ |
専用ソフトウェアにて、写真付き・ICチップ付き本人確認書類のIC情報の送信 + 容貌(本人確認時に撮影されたもの)の送信 |
| ト |
専用ソフトウェアにて、写真付き書類の写し1点(厚みその他の特徴&本人確認時に撮影されたもの)の送信 or 写真付き・ICチップ付き本人確認書類のIC情報の送信の確認 + 銀行・クレジットカード情報との照合 or 既存銀行口座への振込 |
| チ |
本人確認書類の原本1点の送付 or 写真付き・ICチップ付き本人確認書類のIC情報の送信 or 写真付き書類の写し1点(厚みその他の特徴&本人確認時に撮影されたもの)の送信 + 転送不要郵便物等 |
| リ |
本人確認書類2点の送付 or 本人確認書類の写し1点+補完書類1点の送付 + 転送不要郵便物等 |
| ヌ |
給与振込口座の開設、または有価証券でマイナンバー済みの場合は本人確認書類の写し1点の送付 + 転送不要郵便物等 |
| ル | 本人限定郵便(受取時の確認書類は、写真付き本人確認書類である必要ありのもの) |
| ヲ | 電子証明書+電子署名 |
| ワ | 公的個人認証(電子署名) |
| カ | 特定認証業務の電子証明書+電子署名 |
以前ははがき等の郵送による手法が多く採用されていましたが、2018年11月の改正犯罪収益移転防止法の施行で郵送処理が不要になる新プロセスが定義されました。これにより少しずつではありますが、身元確認における郵送対応は減ってきています。
なお、身元確認には上記のような本人性の確認だけでなく、PEPs(政府等の要人やその家族)対応やCFT(テロ資金供与)対応といった、各種リスクに対応するための確認業務も含まれます。一般的に実施されている「反社チェック」も、このリスク確認業務の一環になると言えるでしょう。
当人認証とは
当人認証とは、サービスの利用者が間違いなく「あらかじめ登録された本人である」ことを、サービス提供者が確認するプロセスです。
当人認証についても、様々な手法が存在します。最も分かりやすく一般的になされているものは、「知識認証」と呼ばれる手法でしょう。例えばWebサイトのマイページへのログインの際に求められるID/パスワードや、パスワードを忘れた場合の「秘密の質問」などがこれに該当します。
この他にも、一意の携帯電話番号に対するSMS認証やクレジットカードのような物理的なカード番号を入力させるような「所有物認証」や、指紋や顔画像、虹彩といった個人の生体情報を使って認証を進める「生体認証」があります。
この「知識認証」「所有物認証」「生体認証」のうち、1つだけで認証することを「単要素認証」と表現します。一方で、例えばID/パスワードを入力した後にスマホを使ってSMS認証を行うなど、2つの要素を組み合わせて認証することを「2要素認証」と表現します(2つ以上の組み合わせを総称して「多要素認証」と表現します)。
昨今では、オンラインにおける情報セキュリティリスクが高まっているからこそ、あらゆるサービスで多要素認証を推奨する流れがあります。
それぞれの強度を示す「IAL」と「AAL」
ここまでご紹介した「身元確認」と「当人認証」ですが、いずれにも不正を防ぐ強度を示す「アシュアランスレベル(保証レベル)」が定義されています。
上図は、NIST(アメリカ国立標準技術研究所)によって定義されているデジタルアイデンティティフレームワーク(NIST SP 800-63)の考え方をまとめたものです。身元確認に対しては「IAL(Identity Assurance Level:身元確認保証レベル)」が、当人認証に対しては「AAL(Authentecation Assurance Level:当人認証保証レベル)」がそれぞれ定義されており、それぞれ3段階のレベル分けがなされています。本人確認全体の強度は、このIALとAALの組み合わせで変わるというわけです。
例えばAAL(当人認証保証レベル)を考えてみると、先ほどご紹介した単要素認証がAALレベル1、2要素認証がAALレベル2となります。取引目的に応じて身元確認保証および当人認証保証のリスクレベルをアセスメントすることで、認証強度の強弱に関する「ものさし」として機能することになります。
こちらについては、政府が政府機関向けの基準として発行している「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」でも示されています。
画像出典:各府省情報化統括責任者(CIO)連絡会議決定「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」より
法人確認とは
ここまでは個人に対する本人確認の概要をお伝えしましたが、先述のとおり、法人を対象とする本人確認(法人確認)も犯罪収益移転防止法にて定義されています。
犯罪収益移転防止法に則った確認業務を考えると、以下の3業務に分類できます。
- 履歴事項全部証明書等を使った「法人の本人特定事項の確認」
- 委任状確認や電話チェックなどによる「特定取引の任にあたることの確認」
- 取引担当者本人への「本人特定事項の確認」
また、法律に限らずオペレーションとして実施されている法人確認を考えた場合、前述の法人や担当者の存在確認に加え、反社チェックなどもポイントとなります。以下はそれぞれの確認要素の概要を示した図であり、TRUSTDOCKでは各ニーズに応じたAPI機能を提供しています。
法人確認と、それに対応する具体的なチェック手法等については、以下の記事で詳しく解説しているので併せてご覧ください。
▶︎あらゆる企業・業界で必要となる「法人確認」とは?3つのチェックポイントについて解説
eKYCが注目される2大背景
冒頭でもお伝えしたとおり、様々な業界においてeKYCの注目度は高まっています。ここではその理由について、大きく2つのポイントに絞ってお伝えします。
法改正による取引のオンライン化の解禁トレンド
まず、各法改正による取引のオンライン化の解禁が、eKYCの社会実装を促進していると言えます。
例えば、現在複数のサービスが立ち上がっている不動産クラウドファンディング業界を考えてみると、実はこの業態が普及するきっかけとなったのは2017年になります。具体的には、同年3月に「不動産特定事業法の一部を改正する法律案」が閣議決定されて12月1日に施行、2019年4月には政府による「未来投資戦略2018」を踏まえた不動産クラウドファンディングを促進するための改正が実施されたことで、数万円の自己資金からのオンライン不動産投資を始めることが可能となったのです。
このような取引のオンライン化に対する規制緩和が各業界で次々となされていってことで、本人確認のオンライン化も必然的に増えていきました。
上記年表にまつわる各トピックの詳細については、以下の記事も併せてご参照ください。
▶️eKYC・本人確認に関する法律や社会実装の変遷まとめた「eKYC関連トピック集(2018年以降)」を公開
一方で、それと同時に進んでいったのが、本人確認手法の厳格化です。その象徴的なニュースが、先ほどもお伝えした2018年11月の犯罪収益移転防止法の改正だと言えます。改正内容の中には「本人確認における新プロセスの定義」が明記され、郵送確認というこれまで一般的だったプロセスが必須ではなくなり、新たに提出者の容貌確認(セルフィーで撮影した利用者の顔写真)などの当人確認要件が追加されることになりました。
画像:金融庁「オンラインで完結する自然人の本人特定事項の確認方法の追加」
このように、取引のオンライン化と共に、本人確認のオンライン化と厳格化が同時進行している点が、eKYCが注目されている背景の1つと言えます。
非対面・非接触・省人化のトレンド
もう1つの要因としては、2020年に発生した新型コロナウイルス感染症のパンデミックをきっかけとする社会の「非対面設計」トレンドが挙げられます。これまで対面が前提だった社会生活は、政府による「新しい生活様式の実践」(ニューノーマル対応)の推進も相まって、次々と非対面に再設計されていきました。
当然ながら企業活動においても、従業員に対するリモートワーク環境の提供からサービスのオンライン化や非接触・省人化まで、様々な対応がなされていき、それに伴い本人確認業務についても必然的にデジタル化のニーズが高まっていきました。
このように、規制サイドによる規制緩和とサービス事業者サイドからのニーズの高まりが並行して進んでいったことで、eKYCの注目度が飛躍的に高まってきたと言えます。
eKYC導入のメリット
eKYCを導入すると、様々なメリットがあります。ここでは、生活者と事業者、それぞれの視点で見ていきます。
生活者にとってのメリット
まずは生活者メリットです。生活者のメリットは下記の2点が挙げられます。
- 物理的な場所や時間の制約がなくなる
- サービス利用開始までの時間が短縮する
まずは、本人確認を進めるための物理的な場所の制約がなくなり、手間がかからなくなることが挙げられます。例えば郵送で本人確認を実施するには、本人確認書類のコピーを用意し、ポストに投函した上で数日、長い場合は一週間以上待たなければなりません。また店舗等に出向いての対面による本人確認でも、すぐにサービスを利用したい顧客にとっては開店時間に行かなければならないなど大きな手間となるでしょう。
eKYCを導入すると、このような手間がかからず、早ければ即時にオンラインで本人確認が完了するため、顧客の負担を大きく軽減できます。
また、サービスをすぐに利用できるようになる点も大きなメリットと言えます。本人確認が必要なサービスを利用する場合、顧客は本人確認の手続きが終わるまではサービスを利用できません。eKYCが導入されたサービスであれば本人確認がすぐに終わるので、顧客はサービスを利用したいタイミングですぐに利用を開始できます。
次回以降もeKYCを利用したいと思う理由(「オンライン本人確認(eKYC)に関する利用実態調査」より)
現に、先ほどご紹介したTRUSTDOCKとMMD研究所が2021年9月に発表した調査結果においても、次回以降もeKYCを利用したいと思う理由として挙げられた要因の上位に、「ネット上で完結できたから」「便利だったから」「時短になったから」などが挙がっています。
事業者にとってのメリット
次にサービス提供事業者のメリットです。下記の3点が挙げられます。
- 申込の離脱防止につながる
- 本人確認にまつわるオペレーションの効率化とコストの削減
- 本人確認にまつわるセキュリティレベルの向上
eKYC導入のメリットとして、まずはじめにお伝えしたいことは、申込の離脱防止につながることです。生活者のメリットで解説したとおり、これまでの本人確認はサービスをすぐに使えない、面倒な郵送の手間がかかるなど、顧客にとってストレスの多いものでした。ストレスがかかると一部の顧客は離脱してしまいます。eKYCを導入すると、これらの顧客にとってのペインを解消できる上に申込をスムーズに行うことができるので、顧客の離脱率低減に貢献します。
またeKYCを導入すると、本人確認書類の郵送やその確認など、本人確認に要していた煩雑な業務・オペレーションを大幅に減らすことができるので、ペーパーレス化や本人確認にまつわる業務効率化につながります。自社内で本人確認業務を行う場合、そこに対する適切な人員配置が必要となります。書類の扱いに関するオペレーション教育はもとより、ユーザー登録者数の増減に合わせたシフト管理等が必要となるため、それらの工数も含めた人員および管理コストの削減が見込めます。また郵送費用の削減にも貢献するでしょう。
さらにeKYCは、本人確認にまつわるセキュリティレベルの向上に寄与することも期待されます。例えば保険契約における契約者変更の手続きについて考えた場合、複数項目の本人情報の確認をもってして「電話での対応」も可能としているケースは多いものです。電話だと本人のみ知り得る情報の確認を行うのが難しいことから、本来的に“なりすまし”のリスクがあり、本人確認の認証強度としては改善の余地がありました。このようなケースの場合、eKYC導入によって手続きを適切な強度でオンライン化することで、より認証強度の高い本人確認を実施することが可能となります。
法令等で本人確認の定めがある事業者のeKYC手法4選
次に、eKYCの具体的な手法について見ていきます。まずは法律に準拠すべき業態におけるeKYCについて、ここでは犯罪収益移転防止法 施行規則六条1項1号に準拠した手法「ホ」「ヘ」「ト」「リ」「ワ」について解説します。
「ホ」の手法(写真付き書類の写し1点+容貌)
「ホ」の撮影フロー(Webカメラ)
「ホ」の撮影プロセス(TRUSTDOCKアプリ)
「ホ」では、顧客から写真付き本人確認書類画像と、本人の容貌画像の送信を受ける方法が定められています。必要となるのは、写真付き本人確認書類の写し画像1点と、本人の容貌を撮影した画像データ1点です。
いずれの場合も、身分証等の“原本”を直接撮影したものを、原則として“撮影後直ちに送信”させる必要があります。よって、例えばあらかじめスマホのカメラロール等に入っている運転免許証画像をアップロードするのはNGですし、運転免許証をコピーした紙を撮影するのもNGです。
また身分証については、ただ表裏を撮影するのではなく、その身分証が原本であることを示す特徴、例えば運転免許証の場合は厚みだったり、パスポートの場合はホログラムだったりを含めて写す必要があるとされています。
ちなみに、静止画の撮影以外にも動画やオンラインビデオ通話機能を利用する方法も可能とされているので、例えばeKYCソリューションを提供するTRUSTDOCKでは、本人確認書類の表・裏の画像のみならず、カメラの前で書類を傾けるなどして厚み等を確認するなどの確認フローをソリューションとして設計しています。具体的な使い方については、以下の動画をご覧ください。
なお、昨今ではAI等の技術進歩が著しいわけですが、機械のみで本人確認書類が真正なものであることを100%担保するのは、まだまだ不可能な状況です。よって、目視による確認は引き続き有効であると言えます。TRUSTDOCKでも、全ての本人確認書類を目視でチェックするフローを組んでおり、これについては後述します。
「ヘ」の手法(ICチップ情報の送信+容貌)
「へ」とは、顧客から写真付き本人確認書類のICチップ情報と、本人の容貌画像の送信を受ける方法です。必要となるのは、身分証等に埋め込まれたICチップ情報と、本人の容貌を撮影した画像データ1点です。
普段は意識しないICチップですが、実は運転免許証であれば真ん中付近に埋め込まれており、NFC等の無線通信技術を使って、ICチップの中にある氏名・住所・生年月日・性別・写真情報等を読み込むことになります。
運転免許証の場合、その取得時に設定したピンコード(暗証番号)を入力する必要があるので、忘れているケースも多いのですが、一方で原本の違法コピー等によるリスクも回避できることから、より安全・安心に配慮した手法であるとも言えるでしょう。
「ト」(金融機関との連携)
「ト」とは、顧客から本人確認書類の画像またはICチップ情報の送信を受け、併せて銀行等の金融機関もしくはクレジットカード会社に本人特定事項を確認済みであることを確認するという方法です。
必要となるのは、写真付き書類の写しデータ1点か身分証等に埋め込まれたICチップ情報、および銀行・クレジットカード情報との照合確認か既存銀行口座への振込確認です。金融機関との連携が必要となる点が、これまでと異なります。
こちらは、銀行に登録してある情報(氏名・生年月日・住所等のデータ)が最新のものへと更新されている必要があり、また銀行のオンラインバンキングサービスでアカウントを開設している必要もあります。その上でさらに、認証プロセスでは該当のオンラインバンキングサービスのログインIDとパスワードを使用するので、これをしっかりと覚えている必要もあります。
以上の点が本人確認時のタイミングで滞りなく準備されていることが、「ト」の必要要件となります。事業者側としては、古物やクラウドファンディングなど、顧客に入金する必要があるサービスでは、銀行口座確認と本人確認が一度にできるメリットがあり、今後特定業種において広がりを見せることを期待しています。
「リ」の手法(郵送を使った手法)
「リ」とは、顧客から本人確認書類画像と本人確認書類の写しの送信、および転送不要郵便の送付を受ける方法です。
必要となるのは、本人確認書類2点の送付、または本人確認書類の写し1点と補完書類1点の送付、そして転送不要郵便物等の送付となります。身元確認における住居確認として、その人がその所在地に実在するかどうかの確認を行う必要があります。
「ワ」の手法(公的個人認証)
「ワ」とは、顧客のマイナンバーカードにあるICチップをスマートフォンで読み取り、J-LISが提供する公的個人認証サービスを用いることで本人確認を完了する方法です。
J-LISとは「地方公共団体情報システム機構」のことで、同機構が提供する公的個人認証サービスは、ネット上での本人確認に必要な電子証明書を、住民基本台帳に記載されている希望者に対して無料で提供するサービスのことです。これは、TRUSTDOCKを含め、電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律第17条第1項第6号の規定に基づく総務大臣認定事業者のみ利用が可能となっています。
「ワ」の要件では、利用者クライアントソフトおよびICカードの読み取り専用デバイス、もしくは読み取り対応スマートフォンアプリを通じて、マイナンバーカードへの電子証明書の記録を行い、その上で公的個人認証サービスを通じてオンライン本人確認を完了させるという流れになります。
スマートフォンアプリへの組み込みなど利用ハードルが高い要件ではありますが、TRUSTDOCKによる身分証アプリのようにスマホでマイナンバーカードが読み取れるアプリであれば、およそ10秒程度で郵送不要のeKYCができるため、マイナンバーカードを持っているユーザーにおいては対応完了までのスピードが最も早く、セキュリティ対策も高い手段となっています。
2023年6月に閣議決定された「デジタル社会の実現に向けた重点計画」では、今後、犯収法、携帯電話不正利用防止法に基づく本人確認手法は、カードの公的個人認証に原則一本化するとの内容も含まれています。以下は、現状で最も多く選択されている手法の「ホ」と「ワ」の比較表です。
|
公的個人認証 |
eKYC:ホ | |
| 手法の概要 | ICチップの電子証明書を利用 | 身分証と容貌の撮影 |
|
対応する |
マイナンバーカードのみ |
写真付き身分証明証:7点 |
| 顧客の所要時間 | 約20秒 | 約60秒 |
| 審査時間 | 即時 |
数時間〜数日 |
なお、公的個人認証については後続の「eKYCトレンド①:マイナンバーカードの活用(公的個人認証)」にてより詳しく解説している他、以下の記事で詳細に解説しているので、こちらも併せてご確認ください。
▶︎公的個人認証サービスとは?「ICチップ読み取り型eKYC」が主流になるミライに向けたトレンドを解説
該当する業種例
これら厳格なeKYCが求められる事業者としては、主に犯罪収益移転防止法と古物営業法、そして携帯電話不正利用防止法の規制対象事業者が挙げられます。
例えば犯罪収益移転防止法の規制対象事業者は「特定事業者」と呼ばれており、通常の特定取引およびハイリスク取引を行う際に、「取引時確認」と呼ばれる手続きを法的義務として負うことが定義されています。特定事業者には、以下14事業者が該当します。
- 金融機関等
- ファイナンスリース事業者
- クレジットカード事業者
- カジノ事業者
- 宅地建物取引業者
- 宝石・貴金属等取扱事業者
- 郵便物受取サービス事業者(いわゆる私設私書箱)
- 電話受付代行者(いわゆる電話秘書)
- 電話転送サービス事業者
- 司法書士又は司法書士法人
- 行政書士又は行政書士法人
- 公認会計士又は監査法人
- 税理士又は税理士法人
- 弁護士又は弁護士法人
ここでは、金融関連事業者と古物商、そして通信事業者について、それぞれご紹介します。
①金融関連(銀行・証券・保険)
金融関連事業者には、銀行業をはじめ、証券業や貸金業、決済・送金事業者、それから暗号資産取引事業者などが挙げられます。犯罪収益移転防止法によって本人確認要件が明確に決まっているので、どの対象事業者でも対面と非対面のいずれかのKYCが行われていることになります。
先ほどお見せした調査結果にも示されているとおり、金融関連はeKYCの導入が最も早く進んでいる業態となります。
こちらについては以下の導入事例があるので、ぜひご確認ください。
▶︎実装に限らず、法律の解釈含めて何でも相談できる。業登録完了に併せてeKYCを導入したSiiibo(シーボ)の事例
また、対象業務や本人確認事項、犯罪収益移転防止法については以下の記事で詳細に解説しているので、こちらも併せてご確認ください。
▶︎犯収法(犯罪収益移転防止法)とは?各専門用語の意味や注意点から、定義されているeKYC手法まで詳しく解説
②古物商(リユース・中古)
質屋や古物買取事業者、いわゆる古物商は、古物営業法と犯罪収益移転防止法を根拠法として顧客の本人確認をすることが義務付けられています。古物営業法とは、盗品等の売買の防止や速やかな発見等を図るために制定された法律で、マネーロンダリングの防止や企業の不正対策等を目的に、相手方の真偽を確認するべく、事業者による以下の本人確認業務の実施が明記されています。
[対象業務]
・古物の買取業務(一万円以上)
[確認項目]
・申請時:対象者の住所、氏名、職業および年齢
・確認時:対象者の住所、氏名、年齢
こちらについては以下の導入事例があるので、ぜひご確認ください。
▶︎これからは、本人確認が全てのハブになる。業務オペレーションの完全自動化を進めるソフマップの買取アプリ「ラクウル」の事例
また、古物商のeKYCと古物営業法の詳細については以下の記事で解説しているので、こちらも併せてご確認ください。
▶︎古物商が気をつけるべき「本人確認業務」とは。古物営業法と犯収法に準じてそれぞれ解説
③通信事業者
いわゆる通信キャリアと呼ばれるMNO(移動体通信事業者)をはじめ、MVNO(仮想移動体通信事業者)や契約代理業者などの電気通信事業者は、「携帯電話不正利用防止法」を根拠法として顧客の本人確認をすることが義務付けられています。
携帯電話不正利用防止法とは、携帯音声通信事業者による契約者の管理体制の整備と促進、および携帯音声通信役務の不正な利用の防止を目的に制定された法律で、正式名称は「携帯音声通信事業者による契約者等の本人確認等及び携帯音声通信役務の不正な利用の防止に関する法律」です。電話を使った振り込め詐欺や架空請求、国際ロマンス詐欺などの被害があとを絶たないことから、通話機能利用者のトレーサビリティ等を担保するべく、事業者による本人確認業務の実施が明記されています。
[対象業務]
・音声通信役務
・携帯通信役務
[確認項目]
・本人確認書類の確認(氏名、生年月日、現住所は記載されており、すべて有効期限内のもの)
・現住所がない本人確認書類の場合、あらかじめ印字されているか、ボールペンなど消せないもので記入されているものに限る
・住所の確認
・新規契約の顧客に親展(転送不要)にて「ご契約内容確認のお願い」の郵送
通信事業者のeKYCの詳細については以下の記事で解説しているので、こちらも併せてご確認ください。
▶︎通信事業者で求められる本人確認要件とは?MNO・MVNO・契約代理業者等のeKYC活用方法を解説
法令等で本人確認の定めのない事業者の代表的な手法
ここまで見てきた、法規制により本人確認の方法含めた定義がなされている業種に対して、確認方法が定められていない法律の規制を受ける事業者や、業界団体および自社による自主確認としての本人確認を実施している事業者のようなケースも多く存在します。
このような事業者に対しては、以下のように、より認証強度を低くした“簡便な”eKYC手法がよく使われます。
こちらは、個人身元確認情報として公的身分証を提出するという部分だけをオンライン化したeKYCのフロー図です。TRUSTDOCKのeKYCソリューションでは、本人確認書類の写し画像の送信や本人の容貌を撮影した画像データの送信など、必要な情報の送信を任意の設計で受けることができる仕様となっています。
※お使いのサービスに合わせる形で、処理画面を作成いただく形になります
該当する業種例
法令等で本人確認の定めのない事業者は多岐に亘ります。ここではその一例として、マッチングアプリ、カーシェア・ライドシェア、そして人材業界について、それぞれご紹介します。
①マッチングアプリ
出会いの選択肢としてここ数年での普及が急加速しているマッチングアプリを運営するインターネット異性紹介事業者には、ユーザーの年齢確認の実施(18歳以上か否か)が義務化されています。これは、出会い系サイト規制法(正式名称:インターネット異性紹介事業を利用して児童を誘引する行為の規制等に関する法律)に準拠したもので、具体的には、以下2点いずれかの手法をもっての確認が義務化されています。
・インターネット異性紹介事業を利用するユーザーの運転免許証、国民健康保険被保険者証、その他の年齢または生年月日を証する公的書類のうち、「年齢または生年月日」「書面の名称」「書面の発行・発給者の名称」にかかる部分を提示し、その写しの送付または画像の送信を受けること
・クレジットカードでの支払いなど、児童が通常利用できない方法によって料金を支払う旨の同意を得ること
こちらについては以下の導入事例があるので、ぜひご確認ください。
▶︎ユーザーの安全・安心が最重要。新マッチングアプリのローンチに併せてeKYCを導入したオミカレの事例
また、マッチングアプリ事業者のeKYCと出会い系サイト規制法の詳細については以下の記事で解説しているので、こちらも併せてご確認ください。
▶︎出会い系サイト規制法とは。マッチングアプリや婚活サイト事業者に必要な本人確認の要件を解説
②カーシェア・ライドシェア
カーシェアやライドシェア、さらにはシェアサイクルや電動キックボードシェア等のモビリティシェアリングサービスには、主に道路交通法・道路運送車両法における自動車・原動機付自転車が対象となる運転免許証の所持が必要なサービスと、それ以外のモペットを除く自転車(軽車両)等が対象となるサービスがあります。
運転免許証が必要なサービスでは、eKYCサービスを活用することで、スマホ等のデバイスを使ってオンライン上で運転免許資格をチェックしています。
また、いずれの種類のサービスであっても、昨今ではCtoCのマッチングや取引を行うシェアリングサービスにおいて、利用者による不正等を防ぐための安全・安心に向けた本人確認実施の必要性がさけばれています。eKYCサービスを活用することで、各サービスにフィットした本人確認強度をもって「どこのどなたがサービスを使ったか」という情報を把握し、有事の際にも迅速に対応することができるようになります。
こちらについては以下の導入事例があるので、ぜひご確認ください。
▶︎eKYCで免許証確認をスムーズに:OpenStreet様事例
また、カーシェア・ライドシェア事業者のeKYCについては以下の記事で解説しているので、こちらも併せてご確認ください。
▶︎カーシェア・ライドシェアで求められる本人確認要件とは?各業態に沿ったeKYC活用方法を解説
③人材業界
近年の、ギグ・エコノミーな人材マッチングプレイスや短期バイトサービス、オンラインでの人材紹介・派遣サービスなど、様々なオンラインサービスが提供されている人材業界。こちらでは、労働基準法や児童福祉法、風営法に準拠した年齢基準を満たすための年齢チェックと、働き手の身元を明確にするという2つの目的で、eKYCが積極的に活用されています。
特に後者については、外国人労働者への在留資格チェックなどでも活用されています。外国人労働者数の増加が著しい昨今ですが、新型コロナの影響で求人や面接等における本人確認が非対面化・オンライン化している傾向があり、不法就労のリスクが高まっています。だからこそ、外国人労働者の雇用時のeKYCは、ますます重要性が増していくことが予想されます。
人材業界については以下の導入事例があるので、ぜひご確認ください。
▶︎個人情報を持たなくて良いのが最大のメリット。事業のスケールに向けてeKYCを導入したタイミーの事例
また、人材業界のeKYCについては以下の記事で解説しているので、こちらも併せてご確認ください。
▶︎人材業界で必要な「本人確認」と、高まる「eKYC」ニーズ。労働派遣法や労働基準法等からそれぞれ解説
eKYCサービスを選ぶ時の3つのポイント
世の中には、様々なeKYCサービスがあり、どのようにサービス選定を進めればよいのか悩んでいる担当者も多いのではないでしょうか。ここでは、eKYCサービスを選ぶときのポイントを3つご紹介します。
カスタマイズ性
eKYCサービスに求める要件は、会社によって異なります。例えば、下表にあるような項目が導入前の相談要件として挙げられることが多く、これらに対する適切な選択肢、すなわちカスタマイズの余地があるか否かが、eKYCサービスを選ぶ際の重要なポイントとなります。
| 法規制への対応状況 |
業種・業態によっては厳格な本人確認の実施が求められるからこそ、該当の法規制に準拠したeKYC手法を提供しているか否か、該当の業種・業態への導入実績があるか否かが、非常に大切な観点となります。 (犯罪収益移転防止法、携帯電話不正利用防止法律、出会い系サイト規制法、古物営業法etc…) また、現段階で該当する法規制のない業種・業態においては、自社事業に合った本人確認の要件を策定し、その要件を満たす形で実装ないしは相談ができそうか等も重要な視点となります。 |
| ブラウザ型 / アプリ型 / ICチップ型 |
PC/スマホなどデバイスを問わず、ブラウザでアクセスして本人確認を行うタイプがブラウザ型eKYCで、スマートフォンのアプリに遷移して本人確認を行うタイプがアプリ型eKYCです。 また、公的個人認証サービスをはじめ、書類に埋め込まれたICチップの電子証明書等を読み込んで本人確認を行うタイプがICチップ型です。 |
| 自社運用 / アウトソース |
本人確認業務を自社で行うか、それともeKYC事業者にアウトソースするかは、運用設計の根幹に関わる重要なポイントです。 自社内の人的リソース状況や予算配分、法律の改正やガイドラインの制定等に伴うシステム改修コスト、その他業務改善やオペレーションマニュアル改定、オペレーター再教育、書類保管に付随するセキュリティ対策等の様々なコストに鑑みて柔軟に検討する必要があるからこそ、どちらの運用体制での利用が可能かのチェックは不可欠です。 |
| UI/UX設計 | ユーザーにやさしい書類提出フローになっているか、自社ブランドのレギュレーションに準拠した画面構築が可能か、本人確認完了までスピードはユーザー離脱を抑えるものになっているか等、UI/UX設計の柔軟性は顧客満足度に直結する大事なポイントとなります。 |
費用対効果
eKYCサービスに限らず、あらゆるソリューションの導入には適切な費用対効果が求められるでしょう。eKYC導入においては、以下の観点が費用対効果のテーマとして挙げられます。自社課題に沿って確認していきましょう。
| 本人確認コストの最適化 |
現在オフライン手法(対面・郵送等)で本人確認を行っている場合、オンライン化することで、サービス利用料金以上のメリットを享受できるかを確認しましょう(郵送費用の削減、24時間365日の運用体制構築の内製化と比較した際のコスト削減等)。 また、現在本人確認処理を行っていない場合(新規で本人確認フローを取り入れる場合)は、eKYCを導入することによる費用対効果を十分にシミュレーションしましょう(本人確認を内製化した場合との比較、本人確認がオンラインでスピーディーに実施できる場合/できない場合のユーザー離脱率と売り上げへの影響等) |
| 法改正などに対応した機能のアップデート | 不定期で実施される法改正や新しいガイドライン対応など、変化する規制内容への対応を都度実施するか、それとも導入サービスの自動アップデート等で吸収してもらうか。継続的な機能改修・拡張による間接的な費用対効果も確認しましょう。 |
| 運用ナレッジの活用 |
自社で本人確認業務を内製化する場合、業務の運用設計や真贋の判断基準などをゼロから構築し、ナレッジを自分たちで溜めて運用へとフィードバックしていく必要があります。 一方で、豊富な実績やノウハウを持つeKYC事業者のサービスを活用すれば、それらの知見を反映した機能・運用サポートを享受することができます。 このようなナレッジの活用有無による費用対効果も、中長期的な目線で捉える必要があるでしょう。 (例えばTRUSTDOCKの場合、年間約200万件の本人確認業務のノウハウ・実績・経験・知識があり、それらを日々改善する形で、運用/判断基準設計や真贋判断等に反映してソリューション提供しています) |
収集された個人情報の管理ポリシー
もう一つ、非常に大切な観点として、eKYC事業者が収集した個人情報をどのように扱っているかのチェックも挙げられます。
私たちは日々、氏名やメールアドレス、住所、それらを含めた身分証など、個人に関わる情報を提供することで、様々なネットサービスを利用しています。その提供した情報が、私たちの理解が不十分なまま行われる同意に基づいて第三者に渡っているとしたら、どうでしょうか? なんとも不快な気分になるのはもちろん、どんな用途で利用されているのか、不安だと思います。現に、TRUSTDOCKとMMD研究所が2021年9月に発表した調査結果でも、個人情報の取り扱いに不安がある声が寄せられていました。
eKYCを次回以降利用したくないと思う理由(「オンライン本人確認(eKYC)に関する利用実態調査」より)
eKYC導入を検討する企業は、eKYCにて集められた情報がユーザーの十分な理解のないまま第三者に共有されることを防ぐために、以下の項目のチェックを行うことを推奨します。(いずれも、取引先から委託された本人確認業務における個人情報の取扱いについて)
- eKYC事業者による利用目的は明確か。
- eKYC事業者による第三者提供が行われているか。
- 第三者提供を行っている場合、その利用目的は明確か。
- 委託先の了解なくeKYC事業者において対象個人データを保有していないか。
- 対象個人データの保有期間を契約に基づき定め、ユーザーの求めなど理由がある場合にはデータを消去する運用を行っているか。
上記のうち、どれか一つでも不明瞭なもの、もしくは該当するものがあった場合は、個別に詳細を確認した上で、該当事業者のサービス利用を判断するべきでしょう。
なお、この個人情報の取り扱いと第三者提供の詳細については、以下の記事で詳しく解説しているので、併せてご覧ください。
▶︎第三者提供について要チェック!eKYCにおけるユーザー情報の取り扱いが問われる理由を解説
eKYCのよくある誤解や懸念点
次に、日々膨大なeKYCによる本人確認を実施しているTRUSTDOCKだからこそ感じる、eKYCのよくある誤解や懸念点についてご紹介します。
eKYCは「全自動」ではない
よく「eKYCを導入するとAIが判断してくれるので本人確認業務は全自動になるんですよね?」と聞かれます。もちろん、業務を限りなく自動化することは可能ですが、そもそも技術的に機械が100%の精度で本人確認書類の真贋を見極めることはできませんので、100%機械任せの自動化も現時点ではあり得ません。
2018年11月30日の犯罪収益移転防止法改正の施行に先立って募集されたパブリックコメントでは、以下の通り、技術を使う場合であっても目視確認の必要性が言及されています。
改正規則6条1項1号ホ、へ及びトについては、本人確認書類が真正なものであることの確認は、目視によるものに限らず、専ら機械(十分な性能を有しているものに限ります。) を利用して行うことも許容されます。ただし、規則6条1項1号ホ及びトについては、現在の技術ではそのような性能を満たさないことから、現在の技術を前提とすれば目視による確認が必要と考えられます。
機械のみで本人確認書類が真正なものであることを100%担保できない状況下だからこそ、人による「目視確認」は引き続き有効であると言えます。もちろん、この部分を企業に代わって実施しているのが、TRUSTDOCKということになります。TRUSTDOCKでは、「機械+目視」により、本来OKな書類をNG判定するのを極力回避し、逆に偽造カードなどによるなりすましを防ぐべく、合計200以上の項目をチェックするオペレーションでeKYCを提供しています。(ex. 厚み等の特徴確認、その場で撮影した証明の確認、ライブネス確認など)
「eKYC=顔認証」ではない
eKYCと聞くと「顔認証のこと」と考える方も多いのですが、本記事をご覧いただいている読者の方ならお分かりのとおり、顔認証は当人認証の中の「生体認証」の一つとなります。
つまり、eKYCには顔認証という手法も含まれることにはなりますが、顔の認証だけではその人の身元を確認することができないため、イコールで結ばれるものではありません。特に海外では、個人情報や顔データの取り扱いが年々厳しくなってきており、相次いで見直しが行われていることから、「eKYC=顔認証」という認識は中長期的な視点に鑑みても正しくはないと言えるでしょう。
本人確認の強度は高ければ高いほど良い、というわけではない
eKYCを導入するときに「本人確認強度(AALとIAL)は高ければ高いほど良いんですよね?」と聞かれることがありますが、そんなことはありません。本来的には、もたらされるリスクに見合ったものである必要があります。
本来的にもたらされるリスクよりもレベルが高すぎる保証の場合は、情報を持ちすぎてしまうことになるので、プライバシー保護の観点や欧州のGDPR(General Data Protection Regulation:一般データ保護規則)の文脈等における最低限の情報のみ保持する原則を脅かす可能性があります。一方で、本来的にもたらされるリスクよりも低いレベルの保証だった場合は、セキュリティ等事故のリスクが高まることになります。
つまり、情報リスクの適切な理解と、それに合わせた適切な強度(AALとIAL)の設定が重要となります。
eKYCトレンド
ここからは、最近のeKYCトレンドについてお伝えします。
①マイナンバーカードの活用(公的個人認証)
まずは、マイナンバーカードを活用した公的個人認証です。
マイナンバーカードの浸透は行政DXの一丁目一番地であり、2023年7月16日時点で9,359万枚(人口に対する交付枚数は約74.3%)の交付が完了していることから、いよいよ普及期に突入してきたと言えます。現に、政府によるワクチン接種証明アプリでは、マイナンバーカードにある「券面情報」をICチップから取得できる仕様になっています。このような動きを鑑みると、eKYCにおけるマイナンバー活用の比重はどんどんと高まってくることが予想されます。
地方自治体での動きが活発化しており、政府は2018年のデジタル・ガバメント実行計画に基づいて2010年8月に策定された「オンライン手続におけるリスク評価及び電子署名・認証ガイドライン」を見直し、各種行政手続をデジタル化する際に必要となるオンライン本人確認に対する考え方と手法をまとめた「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」が、2019年2月に公表されました。
ここで行政手続きのオンライン化を進めるためのポイントが提示されており、その具体的な手法の一つとして、マイナンバーカードを使った公的個人認証など、専用のeKYCの活用が各自治体で検討されている状況となります。
- オンライン手続に関わる脅威と、脅威から生じる「リスクの影響度」を導出する手法
- 上記の手法により導出されるリスクの影響度を踏まえ、オンライン手続に求められる認証方式の「保証レベル」を導出する手法
- 上記の手法により導出される認証方式の各保証レベルにて求められる 「対策基準」
行政領域におけるeKYCの活用やその背景と経緯については、以下の記事で詳しく解説しているので、併せてご覧ください。
▶︎行政DXとは?国内行政デジタル化の経緯や事例、データの重要性、本人確認への応用などを徹底解説
なお、eKYCの仕組みを活用した行政DX事例としては、農林水産省の取り組みが挙げられます。農林水産省では、「eMAFF(読み方:イーマフ)」と呼ばれるオンラインポータルサービスを運営しており、同省が所管する法令に基づく申請や補助⾦・交付⾦の申請を、オンラインで⾏うことができるようになっています。このeMAFFを活用する際の本人確認フローに乗せる形で、TRUSTDOCKのデジタル身分証アプリが活用されていることになります。
こちらの事例の詳細については以下の記事でも紹介しているので、ぜひご覧ください。
▶︎農林水産省がTRUSTDOCKのデジタル身分証アプリを導入した理由 〜金融DXサミットレポート前編
②民間事業者向けデジタル本人確認ガイドライン
eKYCを含むデジタル本人確認の社会実装を大きく前進させるニュースとして、2023年3月20日、一般社団法人OpenIDファウンデーション・ジャパン(以下、OIDF-J)より「民間事業者向けデジタル本人確認ガイドライン」(以下、民間ガイドライン)が公表されました。
こちらは、自社サービスの特徴に応じた本人確認手法を選択するためのガイドブックとしての活用を想定して作成されたもので、本人確認の導入・選択に必要な基礎知識のまとめや、本人確認手法の特徴の整理、さらにはマイナンバーカードや本人確認を巡る最新動向等をはじめとした内容が盛り込まれたホワイトペーパーとなっています。
全部で240頁以上にものぼる大作なのですが、その中でも特に重要な箇所が以下のスライドと言えます。
画像出典:OIDF-J「民間事業者向けデジタル本人確認ガイドライン」p13
図にある通り、本人確認における特定の法令等が存在する業界としては、図中の左の濃い楕円図にある通り、金融機関や携帯電話事業者、古物商などが挙げられます。一方で、図の真ん中にあるようにすでに自主的に本人確認を導入しているサービス事業者もあれば、図の右側矢印部分にあるように、これからの導入を検討しているサービス事業者もいるのが現状であり、サービス事業者数としては後者2属性の方が圧倒的に多くなります。
これに対して、法令等で本人確認の定めがないサービスを提供する事業者は、現状においては対応すべき本人確認手法が明確に存在しないことから、不必要に厳格な本人確認手法を選択する等の過剰対応や、本人確認の導入そのものを断念するケースが見受けられます。特に後者の場合は不正リスクの増大が懸念されるなど、全体として改善すべきサイクルができていたことから、法令等で本人確認の定めがないサービスにおいても横断的な指針となるようなガイドラインが求められており、その役割を担うのが本ガイドラインということになります。
この民間ガイドラインのより詳しい概要については、以下の記事で詳しく解説しているので、併せてご覧ください。
▶︎民間事業者向けデジタル本人確認ガイドラインとは?対象や目的などポイントを解説
③金融機関におけるリスクベースアプローチとCRMベースの継続的顧客管理
2021年8月末、FATF第4次対日相互審査報告書が公表され、日本には「強化(重点)フォローアップ国」という評価が下されました。これにより、5年後のフォローアップ評価の前に、計3回のフォローアップ報告が必要となりました。その報告内容については、財務省にて概要部分の邦訳が出ている他、「金融機関等における予防的措置」及び「金融機関等に対する監督」にかかる関連記述部分の仮訳については、いずれも金融庁から公表されています。
FATF勧告のベースには「リスクベースアプローチ」と呼ばれる考え方があり、「リスク特定→適切な評価→該当リスクの低減」というPDCAサイクルを回すことが提示されています。これによって、日々の取引のモニタリングやスコアリング等の他、顧客に関して定期健康診断のような位置付けで継続的な管理を行うこと、その上で疑わしい取引や取り組みなどの報告・共有するといったアクションが求められているのです。
これに対して金融庁では、2018年に金融機関に対して口座の名義人の確認を求める「マネー・ローンダリング及びテロ資金供与対策に関するガイドライン」を策定し、このリスクベースアプローチへの取り組みを強力にプッシュしてきました。また2021年5月には、ガイドラインで対応を求めている事項に対する完了期限を「2024年3月」までと定めて、ガイドラインを遵守する体制を整備することを、各業界団体を通じて要請しています。
つまり、あらゆる金融機関にとってリスクベースアプローチによる業務プロセス構築の優先度は高く、恒久的な対応が急務となっています。そして、この中でも特に重要な考え方が、人の管理にまつわる「継続的顧客管理」であるとTRUSTDOCKは考えています。
本人確認には、冒頭でご紹介したような“業務内容”を軸にした分類の他に、それを行う“タイミング”を軸にした分類もあります。それが、「アカウント開設時の確認(オンボーディング)」と「継続的顧客管理(オンゴーイング)」です。前者は初回契約時に本人確認を行うことで、後者は契約期間中で継続的に本人確認を行うことです。
継続的顧客管理については、リスク分類を行った後、それぞれのリスクレベルに応じて顧客の取引時確認を行わなければならないということが、先述した金融庁ガイドラインで示されています。法的規制のある業務か否かに関わらず、アカウント開設時の確認が新規ユーザーの情報を正しく把握するための身元確認であるのに対し、継続的顧客管理は当人認証で契約者の同一性確認を行ったうえで、本人特定事項に変更がないかのチェック・更新等も行っていくという流れが一般的になります。
この継続的顧客管理を実現するためには、マーケティング由来のCRM(Customer Relationship Management)の考え方がベースで必要となります。例えばTRUSTDOCKでは、「TRUSTDOCK-CRM」と呼ばれるSalesforceベースのカスタマイズ性の高いCRMを提供しており、単発の本人確認ではなく、CRMシステムによる顧客管理機能を前提にすることで、より実効性のある継続的顧客管理の実現を可能にしています。
TRUSTDOCKでは、これまでAPIのみを通じて本人確認業務の依頼・返却を行っており、開発が得意な事業者においてはカスタマイズしやすいAPI環境を構築できていたが、一方でシステム開発が難しい事業者においては導入ハードルが高いものになっていた。TRUSTDOCK-CRMは、SalesforceなどのCRMの上に載せる本人確認の機能群となるので、あらかじめ活用できるパッケージとしてどの事業者・金融機関でも導入ハードルが低いものとなっている
このように、FATF第4次対日相互審査報告書の公表をきっかけとして、改めて継続的顧客管理におけるCRM的アプローチの重要性が高まっている状況です。
④改正個人情報保護法
2020年・2021年と、個人情報保護法の改正が続いていますが、その中で新しく「個人関連情報」という概念が誕生しました。こちらは「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」と定義されており、例えばインターネットの閲覧履歴や位置情報、Cookie(クッキー)などの情報が含まれ得ます。イメージしやすいように、以下の個人情報保護委員会で提示された図を使って見ていきます。ここでは、個人情報を保有しているB社と、ネット上の様々な情報を管理するDMP(Data Management Platform)事業者であるA社の2社間によるデータの授受のケースが想定されています。
画像出典:第127回 個人情報保護委員会「資料1 個人情報保護を巡る国内外の動向」
まずDMP側であるA社は、個人データを取得しない形でブラウザの閲覧履歴などのユーザー行動情報を取得して、B社からのCookie・ID等の情報に紐付けます。その紐付けた状態で、A社からB社へと、行動情報を渡すとしましょう。するとB社は、Cookie・ID等の情報をキーにして行動情報と個人情報を突合することで、個人データではないはずの行動データが、個人データになるというわけです。
このような事態を想定し、改正個人情報保護法では、個人関連情報を第三者に提供することで個人データとして取得されることが想定されるときは本人の同意が必要だと規定しています。しかし、法的な要件を満たしていたとしても、ユーザーの理解が不十分なままで、同意に基づく第三者提供が行われているのが実態です。
ユーザーの情報は、本来的にはユーザーのもの。eKYC等によって本人確認業務を委託された事業者が委託業務において取得した情報は、法令及び委託元との取り決めに沿って取り扱うべきものであると、TRUSTDOCKは考えます。また、本人確認の受託業務で得た情報のeKYC事業者における保存と、委託元の求めに応じて速やかに該当データを削除することとする運用も重要でしょう。
ちなみにTRUSTDOCKは、委託された本人確認業務において取得した個人データについては、法令に基づく例外的な場合を除き、第三者へ提供する運用は行っていません。法律を遵守することは言うまでもなく重要な観点ですが、法律上問題がないとしても、ユーザーが「不安」を感じる情報の取り扱いには、慎重に対応しなければならないと考えています。
この点の詳細については、先ほどもご紹介した以下の記事でしっかりと解説しているので、併せてご確認ください。
この点の詳細については、先ほどもご紹介した以下の記事でしっかりと解説しているので、併せてご確認ください。
▶︎第三者提供について要チェック!eKYCにおけるユーザー情報の取り扱いが問われる理由を解説
もう一つ、2022年4月施行の法改正における本人確認関連トピックとして重要なものが、法28条で定義されている開示請求の「電磁的記録の提供による方法」の明記です。
開示請求とは、個人情報を取り扱う事業者が個人情報を適正に取り扱っているかについて、本人が事業者に対して開示を求めることができる権利です。この開示請求の手続きは、これまでは紙書類での申請が主流で、法律の条文やガイドライン等を見ても開示方法としては「メール等」と書かれているにとどまっていました。しかし、昨今のデジタルネイティブなサービス設計が増える状況の中で、ここだけアナログ運用になっているようでは、事業者と消費者の双方にとって大きな負担となります。このような背景から、改正後に選択肢としてのオンライン手続きがはっきりと明示されることとなりました。
ちなみに、この開示請求(第28条第1項)の他にも、保有個人データ(※)の取扱いについて本人が関与することのできる手続きが法27条〜30条にかけて記述されています。具体的には、利用目的の通知の求め(第27条第2項)、訂正等請求(第29条第1項)、利用停止等請求(第30条第1項)、第三者提供停止請求(第30条第3項)が続いており、これらをまとめた概念が「開示等請求」と表現されています。
※保有個人データ:本人からの開示や内容の修正、追加、削除、第三者への提供停止等が求められた場合に、その要求に応じなければならない個人データのこと。
ユーザーからの開示等請求に対しては、サービス提供事業者は原則として本人が希望する方法によって開示する義務を負っています。だからこそ、開示等請求のデジタル化へと迅速に対応できる体制・システムを構築する必要がある状況となります。
例えばTRUSTDOCKでは、先述したTRUSTDOCK-CRMを基盤にカスタマイズを行い、開示等請求の対応をシームレスに実行できるシステム「オンライン開示請求CRM」を提供しています。ここでは、ユーザーはWebブラウザ経由でフォーム画面より開示等請求の手続きを選択し、必要な情報を入力した上で、本人確認(eKYC)処理へと進むことになります。
希望する開示等請求手続きの種類を選択する画面サンプル(左)と「個人情報を開示」を選択した場合の情報入力ページサンプル(右)
実施された本人確認処理が問題なく承認された場合は、事業者サイドの個人情報データベース等との「名寄せ処理」等が行われ、合致した場合に希望手続き処理が行われる流れとなります。
この開示等請求のオンライン化トピックについては、以下の記事で詳しく解説しているので、ぜひご覧ください。
▶︎個人データの開示等請求をオンライン化。2020年の改正個人情報保護法の施行を前に読み解く
eKYCのプロ集団であるTRUSTDOCK
今回は「eKYCの解説」ということで、どこよりも詳しく、eKYCが注目される背景から具体的な手法、最新トレンドまでを一挙にご紹介していきました。
TRUSTDOCKでは、“本人確認のプロ”として、金融機関をはじめとする特定事業者はもちろん、それに限らない様々な企業のKYC関連業務をワンストップで支援するAPIソリューションおよびデジタル身分証を提供しています。また、本人確認業務に関して関係省庁や関連団体との連携も深めており、金融庁には業務内容の確認を、経済産業省とはRegTechについての意見交換を、さらに総務省のIoTサービス創 出支援事業においては本人確認業務の委託先として採択され、警察庁には犯収法準拠のeKYCの紹介等をといった取り組みも行っています。本人確認業務のオンライン化でお困りの際は、ぜひお気軽にお問い合わせください。
また、eKYC事業者に特化してサービス概要や各種機能の実装有無、犯罪収益移転防止法の対応状況などを一表化してまとめた「eKYCソリューション完全比較表」も公開しています。
こちらにご興味のある読者の方は、こちらのeKYCソリューション完全比較表のダウンロードページよりご連絡いただけますと、担当より個別にご送付いたします。
なお、eKYCソリューションの導入を検討されている企業の方々や、実際に導入プロジェクトを担当されている方々のために、TRUSTDOCKではPDF冊子「eKYC導入検討担当者のためのチェックリスト」を提供しております。eKYC導入までの検討フローや、運用設計を行う上で重要な検討項目等を、計12個のポイントにまとめていますので、こちらもぜひご活用ください。
書籍『60分でわかる!デジタル本人確認&KYC 超入門』
TRUSTDOCKでは、デジタル社会で不可欠な基盤となる「本人確認」について図解でわかりやすくまとめた書籍『60分でわかる!デジタル本人確認&KYC 超入門』(技術評論社)を、2023年7月15日(土)より全国の書店・オンライン書店で発売開始しました。
デジタル技術を活用した本人確認(デジタル本人確認)に関する基礎知識、マイナンバーカードを含む本人確認書類の特徴、セキュリティ問題などを整理し、公的利用や民間事業者の最新活用事例まで紹介していますので、ぜひ書店等でお手にとってご覧ください。
▼書籍概要
- タイトル:60分でわかる!デジタル本人確認&KYC 超入門
- 著者:株式会社TRUSTDOCK 神谷 英亮、笠原 基和、中村 竜人、渡辺 良光
- 出版社:技術評論社
- 発売日:2023/7/15
- 言語:日本語
- 単行本(ソフトカバー):152ページ ※Kindle版(電子書籍)も発売いたします
- ISBN-10:4297135930
- ISBN-13:978-4297135935
- 定価:1,430円
▼オンラインでの購入はこちらから
https://amzn.asia/d/dUfS9BP
(文・長岡武司)
