タイの本人確認事情を解説。7歳から携行する国民IDカードと、官民連携で進むeKYCの社会実装

 東南アジアの中間に位置する、人口約7,000万人のタイ王国。およそ95%の国民が仏教徒であり、大の親日国として日本からの観光客も多い、人気の東南アジア旅行先です。

 そんなタイでは、国民一人ひとりに「バット・プラチャーチョン」という国民IDカードを付与しています。このIDカード、なんと7歳から付与され、携行義務が課せられているものです。マイナンバー普及が拡大していると言っても、未だに身分証として運転免許証が最も使われている我が国と比べると、なんとも先進的な取り組みと言えますね。

 本記事では、IDカードが社会全体に浸透しているタイにおける本人確認およびeKYC事情について、取り組みの背景や関連する政府機関等について解説。最後にTRUSTDOCKの現地での活動を、同社Global Markets LeadであるJeff Bates(以下、ジェフ)よりご紹介します。すでに中央銀行旗振りのもとで、金融機関によるサンドボックス検証も進んでおり、eKYCという観点で非常に面白い国です。

目次

タイの国民IDカード「バット・プラチャーチョン」
DOPAの役割と、提供する認証ソリューション
ETDAの役割と、タイにおける身元確認保証レベルおよび当人認証保証レベル体系
タイ中央銀行(BOT)とマネーロンダリング対策室(AMLO)
タイのeKYCトレンド
TRUSTDOCKがタイでやろうとしていること
タイを皮切りにグローバル展開を加速します

タイの国民IDカード「バット・プラチャーチョン」

 タイで配布されている国民IDカードの正式名称は「バット・プラチャムトゥワバットプラチャーチョン(บัตรประจำตัวบัตรประชาชน)」、直訳すると「携行市民カード」です。氏名、性別(女性の場合は未婚/既婚区分)、生年月日、信仰する宗教、血液型、住所などの情報が記載されているほか、13桁の国民番号が付されており、2003年以降は新規交付および再交付に対してプラスティック製の「ICカード型」が交付されています。

 こちらは、1983年制定の「改正国民身分証法」によって常時携行が義務付けられており、有効期限は8年間。2010年までは 15歳以上が対象でしたが、2011年より7歳以上に対象年齢が引き下げられました。

 日本ではマイナンバーカードの発行理由として、社会保障や税、災害対策の分野における効率的な情報管理、およびそれに付随する国民や府省庁オペレーションの利便性向上を掲げていますが、タイでの発行理由は背景が異なります。

 もともとの目的は、国民の出生・死亡情報などの管理に有りました。1909年に住民登録に関する最初の法律が制定され、1917年には対象がタイ全土に拡大。1956年に包括的な「住民管理」の法体系が整備され、1982年にはタイ国内に内務省が設立され、オンライン上に住民管理に関するデータベースの構築に関する計画がスタートしました。対象国民への番号付番がなされることになったのは、これが直接のきっかけになります。

 このように、もともとはタイ人かそうでないかを官吏が判断するためのものだったため、当初から僧侶以外の対象年齢国民は携行を義務化されていました。

 ただし現在では上述の住民管理にとどまらず、健康保険や小学校等公教育、運転免許、銀行口座など、官民問わず様々なサービスで利用されています。

DOPAの役割と、提供する認証ソリューション

 そんな国民IDカードの発行や認証を司っているのが、内務省傘下の州行政局であるDepartment of Provincial Administration、通称「DOPA」です。DOPAは、地方行政全般を担っている省庁で、担っている役割としては以下の通りです。

  • 法の執行の管理・監督、治安維持のための監視、公平な業務の推進
  • 公の秩序の維持や国内安全に係るIDカードや住民登録等の住民へのサービスの提供
  • 効果的なサービスを高めるためのITやデータベースシステムの統合
  • 住民のニーズに沿い国の発展に寄与するための、公の秩序の維持、住民サービス提供、安全体制の構築のための地方自治体の統合
  • 政治をよりよくするための組織力の向上

 この中で上から2番目の「デジタル認証」領域においては、主に公衆への「信頼できる情報源」(Authoritative Source)として機能しており、具体的には「DOPA Offline」と「DOPA Online」という2種類の認証強度を定義しています。

 DOPA Offlineとは、国民IDカードがDOPAの「e-DOPAライセンス」システム付属のスマートカードリーダーによって「認証」された状態を示すもの。これを利用するには、全国各地にあるキオスク等が配置するカードリーダーを物理的に利用する必要があります。

 もう一つ、DOPA Onlineとは、タイ国民IDカードの姓、名、生年月日、発行日、レーザーコードを含む5つのフィールドが、DOPAのバックエンドデータベースと照合され、IDカードの有効性確認ができている状態のことを示します。

ETDAの役割と、タイにおける身元確認保証レベルおよび当人認証保証レベル体系

 この2つのDOPA認証強度の定義を使い、身元確認保証レベルおよび当人認証保証レベルの検証プロセスを体系化しているのが、ETDA(Electronic Transactions Development Agency)。2010年11月にタイのデジタル経済社会省(Ministry of Digital Economy and Society、英略称:MDES)傘下に設置された機関です。

 ETDAは、タイ国内の電子取引の発展、利用の促進、全国民への平等なアクセスと信頼性の高い利用環境の構築を主な役割としており、デジタルIDに関しては、ガイドラインの設定およびオンライン取引に関する規制を担当する主要組織として機能しています。ちなみに、並行してスタートアップの支援も行なっています。

 主な活動内容としては、デジタル経済社会省および関連機関との連携の元、インフラの構築と安全性の確立、および電子取引の開発など行う組織の支援を通じて、タイ国内の「電子取引の発展」を促進しています。

 タイでは、身元確認保証レベル(以下、IAL)を以下の体系でまとめています。身元確認保証レベルの低いIAL 1.1〜1.3の対象業種としては、ゲーム会社やギャンブル企業、レンタカー会社などが挙げられます。

  • IAL 1.1:身元証明の必要なし
  • IAL 1.2:タイ国民IDカードまたはパスポートのコピーが必要
  • IAL 1.3:タイ国民IDカードまたはパスポートの提示が必要
  • IAL 2.1:スマートカードリーダーから抽出されたICチップデータと電子メール/電話番号の確認、またはパスポートのNFC読み取り、そして顔写真の撮影が必要[DOPA Offline]
  • IAL 2.2:スマートカードリーダーから抽出されたICチップデータとDOPAデータベースチェックおよび電子メール/電話番号の確認、またはパスポートのNFC読み取り、そして顔写真の撮影が必要が必要[DOPA Offline+DOPA Online]
  • IAL 2.3:スマートカードリーダーから抽出されたICチップデータとDOPAデータベースチェックおよび電子メール/電話番号の確認、またはパスポートのNFC読み取り、さらにICチップの写真と自撮り生体認証の比較および顔写真の撮影が必要[DOPA Offline+DOPA Online+生体認証の比較]

 また、当人認証保証レベル(以下、AAL)については、以下の体系でまとめています。

  • AAL 1:単一要素認証。中間者攻撃に対する防御
  • AAL 2.1:多要素認証(パスワード+(SMS OTPまたはOTPデバイスまたは暗号化ソフトウェア))。中間者攻撃とリプレイ攻撃に対する防御
  • AAL 2.2:多要素認証(パスワード+(SMS OTPまたはOTPデバイスまたは暗号ソフトウェア))+生体認証。中間者攻撃とリプレイ攻撃に対する防御

 いずれも、DOPA Offline およびDOPA Onlineが検証プロセスに組み込まれていることがお分りいただけるでしょう。

タイ中央銀行(BOT)とマネーロンダリング対策室(AMLO)

 ここまではタイの府省庁についてご紹介しましたが、国内すべての金融機関の主要な規制機関として機能する独立政府機関が、タイの中央銀行・Bank Of Thailand(以下、BOT)です。

 ここでいう金融機関とは、タイでは以下の業種として定義されています。

  • タイで登録されている商業銀行:商業銀行・リテールバンク・外国銀行の子会社
  • 外国銀行の支店
  • 金融会社
  • 信用調査会社

 そして、このBOTを含む全ての金融機関がFATF基準を遵守し、ハイリスク、PEP、および金融取引に携わった犯罪歴のある人々に特別な注意が払われるようにする責任を有する機関が、マネーロンダリング対策室(Anti-Money Laundering Office)、通称AMLOです。

 AMLOは、国内金融機関にAMLリスクチェックを要求するなどのルールを適用することができ、また、民間でもアクセスできる国連制裁リストにアクセスするためのWebサービスを開発中です。ただし、マネーロンダリング対策の高リスクデータベースにアクセスできるのは、金融機関と協力して代理的にアクセスを申請した企業のみとされています。これは、PDPA(個人情報保護法)への対応によるもの。タイでは、非金融機関におけるマネーロンダリング対策が法律でカバーされていないが故に、このような直接アクセス禁止を敷いているというわけです。

タイのeKYCトレンド

 ここまでは主に、タイ政府機関によるデジタルIDの推進体制について説明しましたが、この他にもう一つ、National Digital ID Company Limited(以下、NDID)と呼ばれる銀行主導の半官半民デジタルID連合組織があります(政府が40%、銀行が40%、民間が20%をそれぞれ出資して設立)。

 ここまでの話にも関わることですが、政府は2015年にタイの長期的経済社会ビジョンである「Thailand 4.0」を策定し、デジタルガバメント体制に向けた法整備を進めました。そのうちの一つとして、オンライン取引におけるセキュリティの確保と取引促進を目的とした「デジタルID法」が2019年に施行。これを準拠法として、国民のデジタルIDを識別・認証するためのテクノロジープラットフォーム構築に向けて設立された組織が、NDIDというわけです。つまり、同じ国民用のIDであっても、DOPAとは全く異なる流れからくる動きというわけです。

 NDIDプラットフォームは、IDプロバイダーにライセンスを発行し、オンライン・トランザクションにて簡単で安全なデジタルIDを提供することを想定して、開発が進められています。

 BOTは2020年2月に、このNDIDプラットフォームを活用して、規制サンドボックスに銀行口座を開設するためのオンラインクロスバンクID検証を提供することを銀行に承認しました。つまり、生体認証技術を使用して本人確認を実施した金融機関口座を持っているユーザーは、他の金融機関口座を解説する際にもその情報を活用し、よりスムーズに開設作業を進めることができるというわけです。

【規制サンドボックス下での1stフェーズ対象金融機関6行】

1. Bangkok Bank Public Company Limited
2. Bank of Ayudhya Public Company Limited
3. KASIKORNBANK PUBLIC COMPANY LIMITED
4. CIMB Thai Bank Public Company Limited
5. TMB Bank Public Company Limited
6. Siam Commercial Bank Public Company Limited

 なお、1stフェーズでは主に銀行が対象となりましたが、NDIDの仕組みはそのまま使えそうとうことで、2ndフェーズでは他金融機関への展開を予定しているとのことです。

TRUSTDOCKがタイでやろうとしていること

 このように、国家をあげてのeKYCトレンドが到来しているタイにおいて、TRUSTDOCKは2020年6月に初となる海外現地法人を設立しました。目的はもちろん、タイでのデジタル身分証アプリとe-KYC/本人確認APIサービスの導入です。

 Global Markets Leadとして、TRUSTDOCKの海外展開を担うジェフによると、タイは他のどの国家よりも参入タイミングが適切だったと言います。

ジェフ・ベイツ[Jeff Bates](TRUSTDOCK Global Markets Lead)。ケニアでの起業や複数のスタートアップを経てTRUSTDOCKにジョイン。現在はタイを中心に、複数の東南アジア諸国でのTRUSTDOCKソリューション展開を進めている

ジェフ:「タイには、普及率の高い国民IDが存在し、それがデータベース化されていて、Wi-Fiをはじめとするインフラも相応に整備されており、日本からのアクセスが良くてデジタルIDシステムの整備も始まったところ。最初の海外進出先としては最適な条件が揃っていました。

これが例えばアフリカ地域になると、まだデジタルインフラそのものが脆弱なのでITソリューションが適正に機能しません。一方で同じ東南アジア諸国であっても、例えばシンガポールでは既に運用フェーズに入っているデジタルIDシステム「SingPass」があるので、参入の難易度が高いということになります。他にも、そもそも規制というものが十分な効力を持たないような国家もあります。」

 もちろん、外部環境条件が適正だからといって、タイでのソリューション提供が簡単というわけではありません。そもそも海外法人が本人確認というPDPAに関わってくるソリューションを担うことは、現地の方々にとっては一定の抵抗があるもの。だからこそ、現地でのリレーション構築が非常に大切だと言います。

ジェフ:「タイと日本では、当然ながら前提条件が異なります。だからこそ、現地での課題をいかに深く理解し、解決するかが大切となります。現地法人の常駐スタッフは全員現地の人間ですし、私自身もコロナ以前はタイを頻繁に訪問し、各界のビジネスリーダーや各府省庁担当者とのミーティングを重ねていきました。現在はオンラインでの実施がメインですが、現地の状況を理解するために多くの時間を費やしています。」

 なお、TRUSTDOCKとしては金融機関はもちろん、それ以外の様々な業種業態へのeKYC導入展開を想定しています。

ジェフ:「主にBtoBビジネス企業を対象に、Fintech企業やノンバンク、カーシェアリング、ヘルスケアなど、様々な領域でのサービス展開を想定しています。」

タイを皮切りにグローバル展開を加速します

 以上、普段はなかなか耳にすることがないタイの本人確認事情についてでした。日本と異なり、既に普及している国民IDカードがある中で、それとはまた別の文脈でデジタルガバメントを視野に入れたeKYCの社会実装が進んでいる点が、非常にユニークだったと思います。

 今後TRUSTDOCKでは、今回ご紹介したタイを皮切りにグローバル展開を加速させてまいります。海外での本人確認およびデジタルID関連の取り組みに興味がある、もしくは協業検討の可能性がある企業ご担当者の方は、ぜひご連絡くださいませ。

(文・長岡武司)