今、世の中には様々なネットサービスがあります。GoogleやFacebookといった巨大なデジタルプラットフォームはもとより、各種マッチングサービスや顧客管理ツールまで、様々な企業活動及び日常生活がネットサービスに委ねられていると言えます。
その中で、ネットサービスの提供事業者としては、自社の提供するサービスの利用者の「本人確認」を行う必要性が高まっています。この本人確認は、実に様々なニーズを背景に必要とされているわけです。
本記事では、自社の求める本人確認において、なりすましや情報の改ざんなどの不正な情報を利用されアカウントを作成しサービスを提供してしまうことの危険性、それを防ぐための原本確認の強化手法にフォーカスしてお伝えします。
eKYCとは
そもそも、eKYCとは「electronic Know Your Customer」の頭文字をつなげた略語で、「電子的にKYCを実施すること」と定義されています。KYCとは、直訳すると「顧客を知る」という意味で、一般的には「本人確認」を示す言葉となります。
本人確認そのものは様々なシーンで実施されており、大きく分けて2つ、「サービス利用の資格性確認」(下図左サイド)と「本人性の確認」(下図右サイド)のために実施されます。
資格性と本人性の確認
前者の資格性確認については、例えばオンライン恋愛・婚活マッチングサービスなどのインターネット異性紹介事業者に課されている「年齢確認」が挙げられるでしょう。これは、2003年9月より施行開始された出会い系サイト規制法(※)で定められた規制内容であり、政府の言葉によると「インターネット異性紹介事業の利用に起因する児童買春その他の犯罪から児童を保護し、もって児童の健全な育成に資することを目的」とするものとなります。詳細については、以下の記事もご参照ください。
※出会い系サイト規制法:正式名称は「インターネット異性紹介事業を利用して児童を誘引する行為の規制等に関する法律」
出会い系サイト規制法とは。マッチングアプリや婚活サイト事業者に必要な本人確認の要件を解説
また、後者の本人性確認として代表的なものは、犯罪収益移転防止法(以下、犯収法)で規定される特定事業者(※)に課されている厳格な本人確認でしょう。犯収法では本人確認の要件を「自然人」と「法人」に分けており、自然人の場合は「氏名、住所、生年月日」を、法人の場合は「名称および本店または主たる事業所の所在地」を、それぞれ本人特定事項として列挙しています。こちらも詳細については、以下の記事もご参照ください。
※特定事業者:犯収法の対象事業者のこと。金融機関等、ファイナンスリース事業者、クレジットカード事業者、宅地建物取引業者、宝石・貴金属等取扱事業者、郵便物受取サービス事業者(いわゆる私設私書箱)、電話受付代行者(いわゆる電話秘書)、電話転送サービス事業者、司法書士又は司法書士法人、行政書士又は行政書士法人、公認会計士又は監査法人、税理士又は税理士法人、弁護士又は弁護士法人が該当する
犯収法(犯罪収益移転防止法)とは?各専門用語の意味や注意点から、定義されているeKYC手法まで詳しく解説
特定事業者でなくとも犯収法準拠のeKYCを導入するメリット
このような本人確認領域で、本人確認強度を高めると期待されているのが、eKYCです。ここ数年、特に2020年以降のコロナ禍に伴うニューノーマルへの対応要請によって、各種サービスのオンライン化が急速に進み、本人確認のプロセスでの不正が行われるケースが増えていることが、eKYC注目の大きな要因だと言えるでしょう。
本人確認をオンライン化することで、顧客はすぐにサービスの利用を開始でき、本人確認書類をコピーして郵送するなどといった煩雑な作業を行わなくて済むようになります。また事業者としては、上述した煩雑な作業を顧客に強いることによる申込からの離脱を防止でき、また本人確認情報をデジタル化することで業務オペレーションの効率化も期待できます。もちろん、それに伴う費用削減も然りです。
eKYCの詳細については、以下の記事もご参照ください。
本人確認における事業者のリスク
本人確認において、事業者は、利用者の身元を確認するために利用者から身分証の提出を受けます。提出の手段は、身分証のコピーを郵送で提出する、身分証を撮影した画像をアップロードして提出する、など様々考えられます。しかし、提出されたコピーや画像などは、本当に利用者本人の所持する(自身の名義の)身分証の写しなのか、コピーや画像に対して加工・改ざんされていないか、を確認するのは難しいでしょう。このように他人名義や内容の改ざんされた身分証の写しを提出する利用者は、その後、何らかのサービスの不正利用の意図をもってその行為を行っていることは明らかでしょう。また、事業者としては、このような不正な情報を根拠にしてアカウントを発行してしまうことにより、悪意の利用者による詐欺行為や、他の利用者への迷惑行為などが発生することは、事業者のリスクとなります。
毎年、個人情報の流出事案は発生しており、今年に入っても、複数の事業者で発生しているのが現状です。流出した情報を取得し、悪用しようとする悪者へのアカウント発行およびサービス利用を許してはいけません。
流出した画像を不正利用されないためにTRUSTDOCKのeKYCができること
TRUSTDOCKでは“本人確認のプロ”として、企業のKYC関連業務をワンストップで支援するAPIソリューションを提供し、また日本で唯一のデジタル身分証アプリを提供しています。
犯罪収益移転防止法のeKYCに準拠する厳格な本人確認要件はもちろん、そこまでの本人確認強度の必要がない一般の事業者向けにも、身分証の原本確認を強化した本人確認手法を提供しており、すでに地方自治体の実証実験や公営ギャンブル、副業サービス等で利用されています。
本人確認を求める事業者は、自社のWebサイトに専用JavaScript「TRUSTDOCKアップローダー」を組み込むことで、その場で免許証を撮影しその画像を提出させることが可能になり、流出した免許証画像の悪用をはじめ、不正な申し込みを抑制することが可能です。
つまり、TRUSTDOCKアップローダーによる免許証画像の「リアルタイム撮影提出」を利用することで、以下のような不正を抑制できることになります。
- パソコンやスマホに保存され、予め加工された身分証画像やPDFデータの提出
- 流出した身分証画像のほか、自身が原本を所持していない身分証画像の提出
画像・動画を駆使して身分証チェックをするeKYC手法
それでは、具体的なeKYCソリューションをご紹介していきます。まずは、画像や動画を使って身分証をチェックするeKYC手法です。
先述のとおり、TRUSTDOCKアップローダーは免許証の「原本」を「直接」その場で撮影する仕様となっています。よって、あらかじめスマートフォン等に保管されていた画像をアップロードしてはいけませんし、運転免許証をコピーした紙を撮影するのもNGです。
また、表裏の撮影をするだけではなく、運転免許証の厚みやパスポートのホログラムといった、その身分証が「原本」であることを示す特徴をチェックします。もちろん、身分証を真横から撮影してしまうと厚みは確認できるが券面が確認できないので本人の名義のものかわからず、「表(おもて)面と厚みを両方表現した画像」を撮影するといった工夫が必要になります。
全ての本人確認書類を「システム+目視」でチェック
この際に重要なことは、AI-OCRのようなテクノロジーだけで確認を行なっているのではなく、しっかりと人による目視確認も実施しているということです。もちろん、画像認識技術は日々進歩しているわけですが、どんな技術領域においても100%の精度というものは実現していません。2021年5月28日に公開された犯罪収益移転防止法におけるオンラインで完結可能な本人確認方法に関する金融機関向けQ&Aでは、以下のとおり、機械を利用して真正性の確認を行うことも可能としながらも、その判断性能の基準が明示されるわけではなく、事業者の責任で十分な性能かを判断する必要があるとされています。TRUSTDOCKでは、現時点では、人の判断とそれを支援する技術のハイブリットのスタンスで全ての身分証を一つずつ目視で確認しています。
改正規則6条1項1号ホ、へ及びトについては、本人確認書類が真正なものであることの確認は、目視によるものに限らず、専ら機械(十分な性能を有しているものに限ります。) を利用して行うことも許容されます。また、当該機械が有すべき性能について、具体的な基準は定めておりませんが、十分な性能を有することについて、特定事業者が責任を持って確認する必要があります。
ちなみに、このTRUSTDOCKアップローダーは、2018年11月30日に施行された改正犯収法において郵送不要の新手法として定義された「ホ」の要件に準拠して開発されています。
ICチップ情報を使うeKYC手法
TRUSTDOCKでは50種類以上の判断項目を確認して身分証の確認を行っていますが、原本確認において、より有効な手法は、身分証に内蔵されたICチップを読む手法です。ここでは、運転免許証とマイナンバーカードの2種類のICチップ情報を使う手法について、それぞれご紹介します。
運転免許証のICチップ情報
普段は利用する場面のない運転免許証のICチップですが、実はカードの真ん中付近に埋め込まれています。
このICチップは、おサイフケータイや交通系ICカードと同様に、近距離無線通信(NFC)で非接触でアクセスすることができます。つまり、身分証にスマートフォンをかざして利用します。ちなみに、iPhoneとAndroidで読み取りができる位置は異なります。
なお、ICチップの中にある情報(氏名・住所・生年月日・性別・写真情報等)を読み込むためには、運転免許証取得時に設定したピンコード(暗証番号)を入力する必要があります。
ちなみに、この運転免許証のICチップ情報を読み込む機能については、先述の改正犯収法における郵送不要の新手法として定義された「ヘ」の手法と対応しており、TRUSTDOCKの専用アプリは「へ」の要件に準拠して開発されています。
マイナンバーカードのICチップ情報
最後は、マイナンバーカードに内蔵されたICチップ情報をスマートフォンで読み取る手法です。地方公共団体情報システム機構(J-LIS)が提供する「公的個人認証サービス」を用いることで本人確認を完了する方法となります。
公的個人認証サービスとは、マイナンバーカードに搭載された電子証明書を用いて、なりすましや改ざんを防ぎ、インターネットを通じて安全・確実な手続きを行えるための機能のことです。この公的個人認証を利用したサービスを提供するためには、TRUSTDOCKを含め、電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律第17条第1項第6号の規定に基づく総務大臣が認定する署名検証者である必要があります。
利用者の手順としては、読み取り対応スマートフォンとアプリ(TRUSTDOCKの専用アプリなど)を用意して、マイナンバーカードを読み取り署名用電子証明書のパスワードを入力することで、公的個人認証サービスを通じてオンラインでの本人確認を完了できる、という流れです。
TRUSTDOCKが提供する身分証アプリのように、スマートフォンでマイナンバーカードが読み取れる仕様になっていれば、およそ10秒程度で郵送不要のeKYCができます。事業者としては、なりすましや改ざんに強く正確な情報を確認できるので、マイナンバーカードを持っているユーザーにとっては本人確認完了までのスピードが最も速い手段だと言えるでしょう。
マイナンバーカードは、昨今のコロナ禍における特別給付金やマイナポイント施策の影響で、広く国民への普及を想定したデジタルIDとしての活用機運が高まっています。2021年5月5日時点では3814万6771枚、つまりは全国民の30%まで交付率が来ている状況であることから、今後ますます利用率が高まっていくことが想定されます。
ちなみに、TRUSTDOCKが提供する身分証アプリは、改正犯収法施行規則における「ワ」の要件に準拠して開発されています。
身分証画像データの不正利用を防止するためのeKYC
ネットサービスはこれからますます増えていくでしょうし、サービスの複雑化も進んでいくでしょう。だからこそ、以下のような身分証画像データの不正利用を抑制する仕組みの構築が大切であり、一般消費者の安全安心を担保するためのeKYC導入は、全ての関連事業者にとっての必要な選択肢だと考えています。
- パソコンやスマホに保存された身分証画像やPDFデータの提出
- 免許証のカラーコピー等の提出
- ネット上で取得した免許証画像データの流用
TRUSTDOCKでは、“本人確認のプロ”として企業のKYC関連業務をワンストップで支援するAPIソリューションを提供し、また日本で唯一のデジタル身分証アプリのプラットフォーマーとして、官民問わず様々な機関・事業者と連携しております。
近い将来、個人が様々なサービスを利用する時の本人確認の際に、個人の属性情報が集約しているリアルな身分証画像を、常に事業者ごとにアップロードしなければならない世界ではなく、個人が自分で個人情報の流通を管理できる世界を目指し、多様な業務APIと、それに紐づくデジタル身分証アプリの配布を行っております。
フィンテックからマッチングサービスも含め、各種法律に準拠したKYCをAPI組み込みのみで実現しており、ネットサービス事業者は本人確認用の管理画面の開発や、オペレータの採用・教育、24時間体制でのシフト管理を行うことなく、低コストで本人確認を行うことが可能となっていますので、eKYCの導入でお困りの際は、ぜひお気軽にお問い合わせください。
また、eKYCソリューションの導入を検討されている企業の方々や、実際に導入プロジェクトを担当されている方々に向けては、TRUSTDOCKではPDF冊子「eKYC導入検討担当者のためのチェックリスト」を提供しております。eKYC導入までの検討フローや、運用設計を行う上で重要な検討項目等を、計12個のポイントにまとめていますので、こちらもぜひご活用ください。
なお、KYCやeKYCの詳細については、以下の記事も併せてご覧ください。
KYCとは?あらゆる業界に求められる「本人確認手続き」の最新情報を徹底解説
(文・長岡武司)
