あらゆるクロステック用語に先駆けて「FinTech(フィンテック)」という言葉が誕生したとおり、金融業界はどこよりも早く、テクノロジーによる変革の波に晒されてきました。
そして「お金」という、私たちが生活をする上で欠かせないものを扱う領域だからこそ、金融のDXは業界内のプレイヤーだけでなく、私たち生活者一人ひとりにも大きな変革をもたらすと言えます。
そんな金融DXを進める上で注目されているのが、本人確認をオンラインで実施するeKYC(electronic Know Your Customer、読み方:イー・ケイワイシー)です。2018年11月30日に改正犯罪収益移転防止法施行規則が施行され、eKYCを実施するための具体的な手法が施行規則に明記されることとなりました。さらに、2020年以降のコロナ禍にともなう業務や手続きなどの非対面化の流れも後押しして、本人確認のオンライン化は大きく加速してきています。
本記事では、金融機関が実務対応として考えるべきeKYCの導入要件について、犯罪収益移転防止法の内容から最近のトレンドまで、複数のトピックに触れながら詳しく解説していきます。
銀行・証券口座利用でのeKYC体験が最も多い結果に
まずは、eKYCの活用にまつわる定量データとして、TRUSTDOCKとMMD研究所が2023年10月に発表した調査結果についてご紹介します。
20~69歳のeKYC利用経験者の男女500人を対象に、「eKYCを利用したことがある場面」を複数回答で聞いたところ、「銀行・証券口座」が最も多いシーンとして集計されました。また、次いで「クレジットカードや電子マネーの登録」、「QRコード決済の登録」と続き、金融機関でのeKYC活用の機運が高まっていることが分かります。
eKYCを利用したことがある場面(「オンライン本人確認eKYC調査レポート2023」より)
また、2021年9月に発表した初回調査結果において「eKYCの導入を拡大してほしいと思うサービスのジャンル」について複数回答で聞いたところ、41.0%で1位となった「行政手続き」に次いで、「銀行・証券口座開設」が31.6%、「クレジットカードや電子マネーの登録」が29.2%となりました。
eKYCの導入を拡大してほしいと思うサービスのジャンル(「オンライン本人確認(eKYC)に関する利用実態調査」より)
このように、エンドユーザーからのeKYC活用が望まれ、実際のサービス利用シーンでも最も多くeKYCが活用されている業界が、金融業界だと言えます。
金融業界でeKYC導入が進む理由
では、なぜ金融業界では特にeKYCの導入が進んでいるのでしょうか?ここでは、3つのポイントに絞ってお伝えします。
効率化の必要性
画像出典:総務省「平成28年版 情報通信白書」人口減少社会の到来より
どの業界にも共通することですが、我が国は世界に先駆けて、平均寿命の伸長などによって人口に占める高齢者の割合が増加する高齢化と、出生率低下で若年者人口が減少する少子化が同時に進行する「少子高齢化」が進んでいます。総人口は2008年をピークに減少し続けており、生産活動の中心にいる15〜64歳の人口層である生産年齢人口も1997年から減少しています。また、15歳以上の労働の意思と労働可能な能力を持った人、いわゆる労働人口も大幅な増加が見込めない状況であり、サービスの需要と供給を考えると、供給サイドを担う人口の減少トレンドは不可避です。
このような背景もあって、あらゆる産業では、デジタルを活用した効率化が至上命題となっています。金融業界も然りで、これまで人力で対応していたあらゆる業務について、デジタルの力を借りて効率化し、省力化する必要があると言えます。
本人確認領域を考えると、これまで郵送と人力での目視確認が基本だったので、金融機関とエンドユーザーの双方にとって、とにかく工数がかかる業務だったと言えます。だからこそ、eKYCの仕組みを活用した業務効率化への期待が高まっています。
FinTech企業の躍進とオンラインファーストな金融サービスの台頭
2015年頃から、金融(Finance)×テクノロジーを掛け合わせた造語である「FinTech(フィンテック)」という言葉が、少しずつ広がっていきました。テクノロジーを活用し、既存の金融業プレイヤーの効率化のみならず、他業界の企業が金融関連事業に踏み込めるような土壌が整備されていったのも、このFinTechトレンドによって加速したと言えそうです。
たとえば2013年に立ち上がったドイツのモバイルバンク「N26」は、自宅にいながら10分程度で銀行口座開設ができるオンラインバンクサービスを提供しています。既存の窓口手続きからのデジタル化ではなく、最初からオンラインでサービス設計されているので、顧客はストレスなくサービスの恩恵を享受することができます。もちろん、同サービスは2016年7月に規制当局であるドイツ連邦金融監督庁(BaFin)と欧州中央銀行(ECB)によって銀行のライセンスを付与されており、既存の銀行と同様の規制を受けて事業活動を行っています。
このような新興勢力であるFinTech企業勢の躍進は、これからの時代には欠かせない「オンラインファーストな金融サービス」を牽引しており、既存の金融機関にとっては脅威であると同時に、協業を進めることができれば強力な成長ドライバーにもなります。少なくとも顧客中心のUX設計を進めるにあたっては、口座開設を含めた各種取引・手続きのオンライン化は必須であることから、それに付随する本人確認のオンライン化、すなわちeKYCへのニーズも高まっていったことになります。
eKYCの法的整備
前章にてN26を例に規制の話が出しましたが、我が国においても取引のオンライン化に向けた規制サイドの取り組みが加速しています。上の概略年表にあるとおり、金融業界におけるeKYC解禁の動きとして重要となるのが、冒頭にも記載した、2018年11月30日公布の改正犯罪収益移転防止法です。具体的には、施行規則に「本人確認における新プロセスの定義」が明記され、郵送確認というこれまで一般的だったプロセスが必須ではなくなり、新たに提出者の容貌確認(セルフィーで撮影した利用者の顔写真)などの当人確認要件が追加されることになったのです。つまり、要件の厳格化と併せて、eKYCの実施も可能になりました。
画像出典:金融庁「オンラインで完結する自然人の本人特定事項の確認方法の追加」より
このように、民間領域でのeKYC活用の機運が高まり、かつ規制としてもそれに対応する内容・定義が追加されたことで、eKYCの導入は急速に普及が進んでいきました。
金融業界を規制する「犯罪収益移転防止法」
ここで改めて、金融事業者が欠かさずチェックすべき犯罪収益移転防止法について、そのあらましをご紹介します。
犯罪収益移転防止法(正式名称:犯罪による収益の移転防止に関する法律)とは、金融機関等の取引時確認や取引記録等の保存、疑わしい取引の届出義務など、マネー・ローンダリング及びテロ資金供与対策のための規制を定めるべく、2007年3月に成立・公布された法律です。(以下、「犯収法」と省略)
犯収法成立の背景には、「FATF(Financial Action Task Force、邦訳:金融作業部会」の存在があります。FATFとは、AML/CFTの国際基準を策定するタスクフォースのことで、AML/CFTの国際基準となる「40の勧告」を策定し、参加している38の国と2つの国際機関(EC・GCC)に対して、その内容の遵守を求めています。
画像出典:新「40の勧告」の概要(JAFIC「令和6年 年次報告書」)
このような国際的動向を受けて、日本では1992年の「疑わしい取引の届出制度」の創設からはじまり、アンチマネーロンダリングなどの規制対応が進み、2007年3月の犯収法成立に至ったというわけです。
金融機関も含まれる特定事業者と取引時確認
特定事業者の義務と範囲(画像出典:JAFIC「犯罪収益移転防止法の概要」)
犯収法では、「特定事業者」と呼ばれる対象事業者が、通常の特定取引およびハイリスク取引を行う際に、「取引時確認」と呼ばれる手続きを法的義務として負うこととして定義されています。
具体的には、以下の14事業者が特定事業者に該当し、犯収法に準拠した事業展開の義務が課されています。
- 金融機関等(銀行、証券会社、保険会社など)
- ファイナンスリース事業者
- クレジットカード事業者
- カジノ事業者
- 宅地建物取引業者
- 宝石・貴金属等取扱事業者
- 郵便物受取サービス事業者(いわゆる私設私書箱)
- 電話受付代行者(いわゆる電話秘書)
- 電話転送サービス事業者
- 司法書士又は司法書士法人
- 行政書士又は行政書士法人
- 公認会計士又は監査法人
- 税理士又は税理士法人
- 弁護士又は弁護士法人
とは言え、特定事業者が行う業務の全てが届出義務の対象になるかというと、そうではありません。それぞれの事業者においては、義務の対象となる業務範囲が「特定業務」として定められており、その範囲内において犯収法に準拠する必要があります。
- 取引時確認
- 確認記録の作成・保存(7年間保存)
- 取引記録等の作成・保存(7年間保存)
- 疑わしい取引の届出(※司法書士等の士業者を除く)
- コルレス契約締結時の厳格な通知
- 外国為替取引に係る通知
- 取引時確認等を的確に行うための措置
本人確認が関わるのは、この中の「取引時確認」です。犯収法では、顧客に対する確認について、以下の取引時確認が定義されています。
- 本人特定事項
- 取引を行う目的
- 職業(自然人)または事業の内容(法人・人格のない社団又は財団)
- 実質的支配者(法人)
- 資産および収入の状況(該当取引が200万円を超える財産の移転を伴う場合)※ハイリスク取引の場合のみ
この一番上にある「本人特定事項」にて、具体的な本人確認にまつわる事項が定義されており、自然人と法人(法人・人格のない社団又は財団)で以下の項目の確認が必要とされています。
- 個人:住居、氏名、生年月日
- 法人:名称、本店又は主たる事務所の所在地
なお、犯収法の詳細については以下の記事で解説しているので、こちらもあわせてご覧ください。
▶︎犯罪収益移転防止法(犯収法)とは?2025年2月発出パブコメなど、最新トレンドや本人確認/eKYC要件等を解説
犯罪収益移転防止法における「本人確認」の定義
前述で登場したとおり、犯収法の定義によると、本人確認の対象には「自然人」と「法人・人格のない社団又は財団」の2種類が存在し、それぞれにおいて確認すべき内容やアプローチが異なります。
自然人の本人確認で必要な「身元確認」と「当人認証」
身元確認(Identity Proofing & Verification)とは、申請者を一意に識別し、かつその実在性を確認することを指します。具体的には、属性情報を収集して申請者を一意に識別するとともに、収集した情報が真正かつ申請者自身のものであることを、本人確認書類により検証することで、申請者が実在しており生存する人物であることを確認します。
一方で当人認証(Authentication)とは、オンラインサービスや金融取引などで不正アクセスやなりすましを防ぐべく、サービス利用者が間違いなく「あらかじめ登録された本人である」ことを確認するプロセスを指します。
身元確認とリスク確認
身元確認にはさまざまな手法が存在します。基本4情報(氏名・生年月日・性別・住所)(※)などの個人を特定するための基礎的な情報を取得するため、マイナンバーカードや運転免許証などの公的身分証は、身元確認チェック書類として非常に一般的に使われているものです。また、住民票や公的料金の支払領収書といった書類や、第三者が身元確認をして契約した契約者情報に依拠する形での身元確認チェックという手法も存在します。
※基本4情報の中でもジェンダーアイデンティティへの配慮として「性別」を除外した「基本3情報」を活用する機運が高まっており、たとえば2024年5月27日に施行された改正マイナンバー法では、新しいマイナンバーカードについて、現状のカードに記載されている性別の表記を削除することが盛り込まれました。
さらに、身元確認には、AML(アンチ・マネーローンダリング)対応やPEPs(政府などの要人やその家族)対応、CFT(テロ資金供与)対応といった、リスク確認業務も含まれます。反社チェックも、このリスク確認業務、ひいては身元確認業務の一環になります。
当人認証と多要素認証
当人認証にも、さまざまな手法が存在します。最も分かりやすく一般的になされているものは、「知識認証」と呼ばれる手法でしょう。例えばWebサイトのマイページへのログインの際に求められるID/パスワードや、パスワードを忘れた場合の「秘密の質問」などがこれに該当します。
この他にも、一意の携帯電話番号に対するSMS認証やクレジットカードのような物理的なカード番号を入力させる「所有物認証」や、指紋や顔画像、虹彩といった個人の生体情報を使って認証を進める「生体認証」があります。
2つの要素を使っての当人認証(2要素認証)の例
この「知識認証」「所有物認証」「生体認証」のうち、1つだけで認証することを「単要素認証」と表現します。一方で、例えばID/パスワードを入力した後にスマートフォンを使ってSMS認証を行うなど、2つの要素を組み合わせて認証することを「2要素認証」と表現します(2つ以上の組み合わせを総称して「多要素認証」と表現します)。
昨今では、オンラインにおける情報セキュリティリスクが高まっているからこそ、あらゆるサービスで多要素認証を推奨する流れがあります。ちなみに、近年ではデバイスでの生体認証などと公開鍵暗号を組み合わせ、パスワードレスで安全かつ簡単に認証を行う「パスキー」も注目を集めています。
IAL(身元確認保証レベル)とAAL(当人認証保証レベル)
この身元確認と当人認証には、それぞれ「強度のレベル」というものがNIST(米国立標準技術研究所)によって定義されています。具体的には、同団体によるデジタルアイデンティティフレームワーク(NIST SP 800-63)の考え方に則って、身元確認に対しては「IAL(Identity Assurance Level:身元確認保証レベル)」が、当人認証に対しては「AAL(Authentecation Assurance Level:当人認証保証レベル)」がそれぞれ定義されています。それぞれ3段階のレベル分けがなされており、本人確認全体の強度は、このIALとAALの組み合わせで変わることになります。
提供サービスへ本人確認を導入する際には、IALとAALそれぞれのアシュアランスレベルを理解し、レベルに応じた具体的な手法を意識することが肝要です。アシュアランスレベルは単純に「高くすればいい」というものでもなく、例えば高いIALで設計しても、サービス利用時のAALが不十分だと、結局はなりすましのリスクを高めてしまうでしょう。このように、サービス/取引などの目的に応じて身元確認および当人認証のアシュアランスレベルをアセスメントすることで、認証強度の強弱に関する「ものさし」として機能することになります。
こちらについては、政府が政府機関向けの基準として発行している「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」でも示されています。
画像出典:各府省情報化統括責任者(CIO)連絡会議決定「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」より
このように、身元確認保証レベルと当人認証保証レベル、双方の強度を組み合わせることで本人確認の強度を高めていくという考え方で導入を進めていくのが、本人確認の世界となります。
※2025年4月末現在で正式発行されているのは第3版(NIST SP 800-63-3)ですが、現在改訂作業が進んでいる第4版(NIST SP 800-63-4)が正式発行されると、IAL/AALなどの概念含め、複数箇所の内容がアップデートされる予定です。
金融業界でeKYCを導入するメリット
ここまでご説明した本人確認のオンライン化、すなわちeKYCを導入することによって、生活者と金融機関、それぞれに以下のようなメリットがあります。
生活者がすぐにサービスを利用開始できる
私たち生活者にとってeKYCを導入したサービスは、そうでないサービスと比較すると、サービスをすぐに利用開始できるというメリットが挙げられます。例えば銀行で口座開設を非対面を行おうとすると、従来では郵送による書類のやりとりを行い、本人確認を進める必要がありました。銀行の営業日はカレンダー通りなので、手続きが土日を挟むと長い場合は一週間以上の時間を要することになり、すぐにサービスを利用したい生活者にとっては大きな手間とストレスになります。
一方でeKYCを導入すると、早ければ即時にオンラインで本人確認が完了するため、口座開設手続きそのものも早ければ当日中に完了させることが可能です。生活者としては、非常に便利な動線だと言えるでしょう。
現に、TRUSTDOCKとMMD研究所が2021年9月に発表した調査結果においても、次回以降もeKYCを利用したいと思う理由として挙げられた要因の上位に、「ネット上で完結できたから」「便利だったから」「時短になったから」などがあがっています。
次回以降もeKYCを利用したいと思う理由(「オンライン本人確認(eKYC)に関する利用実態調査」より)
ちなみに、eKYCの手続きについて懸念や不便なイメージを持っているか否かの質問項目に対しては「特にない」が最多となっています。
eKYCの手続きについて懸念や不便なイメージを持っているか(「オンライン本人確認eKYC調査レポート2023」より)
本人確認にまつわるオペレーションの効率化とコストの削減
金融機関にとってeKYCを導入すると、書類の郵送やその確認など、本人確認に要していた煩雑な業務・オペレーションを大幅に減らすことができるので、ペーパーレス化や本人確認にまつわる業務効率化につながります。
また、自社内で本人確認業務を行う場合、そこに対する適切な人員配置が必要となります。書類の扱いに関するオペレーション教育はもとより、ユーザー登録者数の増減に合わせたシフト管理などが必要となるため、それらの工数も含めた人員および管理コストの削減が見込めます。さらに、後述する「郵送不要のeKYC手法」を採用すれば、書類郵送費用の削減にも貢献するでしょう。
自然人の本人確認で使えるeKYC手法4選+αの1手法
犯収法では、eKYCの他にもさまざまな本人確認手法が定義されています。以下は、犯収法施行規則6条1項1号で定義されている本人確認手法の一覧となります。
| イ | 対面にて写真付き本人確認書類1点の提示 |
| ロ |
対面にて写真なし本人確認書類1点の提示 |
| ハ | 対面にて写真なし本人確認書類2点の提示 |
| ニ |
対面にて写真なし本人確認書類1点の提示 |
| ホ |
専用ソフトウェアにて、写真付き書類の写し1点(厚みその他の特徴&本人確認時に撮影されたもの)の送信 |
| ヘ |
専用ソフトウェアにて、写真付き・ICチップ付き本人確認書類のIC情報の送信 |
| ト |
専用ソフトウェアにて、写真付き書類の写し1点(厚みその他の特徴&本人確認時に撮影されたもの)の送信 or 写真付き・ICチップ付き本人確認書類のIC情報の送信 |
| チ |
本人確認書類の原本1点の送付 or 写真付き・ICチップ付き本人確認書類のIC情報の送信 or 専用ソフトウェアにて写真付き書類の写し1点(厚みその他の特徴&本人確認時に撮影されたもの)の送信 |
| リ |
本人確認書類2点の送付 or 本人確認書類の写し1点+補完書類1点の送付 |
| ヌ |
※給与振込用口座の開設、または有価証券取引でマイナンバー取得済みの場合が該当 本人確認書類の写し1点の送付 |
| ル | 本人限定郵便(受取時の確認書類は、写真付き本人確認書類である必要ありのもの) |
| ヲ | 電子証明書+電子署名 |
| ワ | 公的個人認証(電子署名) |
| カ | 特定認証業務の電子証明書+電子署名 |
この中から今回は、金融機関でよく使われているワ方式、ホ方式、ヘ方式、それから郵送手段を組み込んだリ方式について、それぞれTRUSTDOCKのソリューションを例にご紹介します。
ワ方式(公的個人認証サービス)
ワ方式とは、顧客のマイナンバーカードにあるICチップをスマートフォンで読み取り、J-LISが提供する公的個人認証サービス(JPKI:Japanese Public Key Infrastructure)を用いることで本人確認を完了する方法です。
J-LISとは「地方公共団体情報システム機構」のことで、同機構が提供する公的個人認証サービスは、インターネットを通じて安全・確実な行政手続きなどを行うために、他人によるなりすまし申請や電子データが通信途中で改ざんされていないことを確認するための機能を提供するものです。これは、電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律第17条第1項第6号の規定に基づき、総務大臣認定事業者のみ利用が可能となっています。
ワ方式の要件で公的個人認証サービスを利用する場合には、ICカードの読み取りデバイス(スマートフォン含む)を通じて、マイナンバーカードの署名用電子証明書を用いて、特定取引等に関する情報(口座開設申込書など)に電子署名〜署名検証〜証明書の失効確認を行い、オンライン本人確認を完了させる流れになります。
アプリへの組み込みなど利用ハードルが高い要件ではありますが、TRUSTDOCKによるデジタルIDウォレットのようにスマートフォンでマイナンバーカードが読み取れるアプリがあれば、およそ10秒程度で郵送不要、目視確認不要のeKYCができます。マイナンバーカードを持っているユーザーにとっては対応完了までのスピードが最も早く、事業者側にとっても確認の工数が低く、かつセキュリティ対策が高い手段となっています。
なお、公的個人認証サービスについては以下の記事で詳細に解説しているので、こちらもあわせてご確認ください。
▶︎公的個人認証サービスとは?「ICチップ読み取り型eKYC」が主流になるミライに向けたトレンドを解説
ホ方式(写真付き書類の写し1点+容貌)
ホ方式では、顧客から写真付き本人確認書類画像と、本人の容貌画像の送信を受ける方法が定められています。必要となるのは、写真付き本人確認書類の写し画像1点と、本人の容貌を撮影した画像データ1点です。
いずれの場合も、身分証など本人確認書類の“原本”を直接撮影したものを、原則として“撮影後ただちに送信”させる必要があります。よって、たとえばあらかじめスマートフォンのカメラロールなどに入っている運転免許証画像をアップロードするのはNGですし、運転免許証をコピーした紙を撮影するのもNGです。
また身分証については、ただ表裏を撮影するのではなく、その身分証が原本であることを示す特徴、例えば運転免許証の場合は厚みを、パスポートの場合はホログラムを含めて写す必要があるとされています。
ちなみに、静止画の撮影以外にも動画やオンラインビデオ通話機能を利用する方法も可能とされているので、例えばeKYCソリューションを提供するTRUSTDOCKでは、本人確認書類の表・裏の画像のみならず、カメラの前で書類を傾けるなどして厚みなどを確認するなどの確認フローをソリューションとして設計しています。
なお、昨今ではAIをはじめとする技術の進歩が著しいですが、“機械のみ”で本人確認書類が真正なものであることを100%担保するのは、まだ不可能な状況です。よって、目視による確認は引き続き有効であると言えます。
「デジタル社会の実現に向けた重点計画」において公的個人認証への原則一本化が盛り込まれる
現行の特定事業者においては、これまで「ホ方式」(身分証の撮影画像+目視確認)が主流でしたが、偽造身分証による犯罪に巻き込まれるリスク防止の観点から、公的個人認証サービスを使ってマイナンバーカードのICチップを読み取る「ワ方式」への移行が進んでいます。
デジタル庁から発表されている方針としても、非対面の方式においては、今後はマイナンバーカードを利用した公的個人認証サービス(現在のワ方式)に一本化し、運転免許証などの画像送信や、顔写真のない本人確認書類を用いる方式は廃止される方針で進んでいます。
それらを反映した改正犯罪収益移転防止法施行規則は、2027年4月1日の施行を予定しており、それに先駆けて2025年2月28日には警察庁からも「犯罪による収益の移転防止に関する法律施行規則の一部を改正する命令案」に対する意見の募集についてが発出されています。改正の概要としては、以下となります。
- 自然人の本人特定事項の確認方法につき、本人確認書類の画像情報の送信を受ける方法、本人確認書類の写しの送付を受ける方法を原則廃止(※1)し、マイナンバーカードの公的個人認証に原則一本化(※2)する。
※1:一部法人の被用者の給与等の振込口座の開設等、なりすまし等のリスクが低い類型を除く。※2: ICチップ付きの本人確認書類(運転免許証等)のICチップ情報の送信を受ける方法等、なりすまし等のリスクが低いものは存置する。
- 法人の本人特定事項の確認方法につき、本人確認書類の原本又は写しの送付を受ける方法について、写しの利用を不可とし、原本に限定する。
- ICチップ付きの本人確認書類を保有しない者等への対応として、偽造を防止するための措置が講じられた一定の本人確認書類(住民票の写し等)の原本の送付を受け、かつ、取引関係文書を転送不要郵便物等として送付する方法を存置するなど、必要な補完措置を整備する。
現在の犯罪収益移転防止法施行規則に沿って、運転免許証などの画像送信や顔写真のない本人確認書類を用いる方式を採用している特定事業者は、今後、ICチップを用いる方式へと移行する必要があると言えます。
以下は、現状で最も多く選択されている手法のホ方式とワ方式の比較表です。
|
ワ方式 |
ホ方式 | |
| 手法の概要 | ICチップの電子証明書を利用 | 身分証と容貌の撮影 |
|
対応する |
マイナンバーカードのみ |
写真付き身分証明証:7点 |
| 顧客の所要時間 | 約20秒 | 約60秒 |
| 審査時間 | 即時 |
数時間〜数日(目視確認のため) ※TRUSTDOCKのBPOサービス利用の場合は数分〜数時間 |
ちなみに利用者からの反応を見てみても、今後のeKYC実施時において最も利用したい手法としてワ方式が過半数を超える結果となりました。
今後のeKYC実施時において最も利用したい手法(「オンライン本人確認eKYC調査レポート2023」より)
理由としては以下のような内容が集計されたことから、使いやすさや実施スピードなどの観点で人気が高まっていることが伺えます。
- マイナンバーカードの用意のみでできる
- 顔写真の撮影が不要
- 本人確認完了までのスピードが速い
- 身分証の撮影が不要
- 氏名などの入力の手間が省ける
- 手順がわかりやすい
- セキュリティの信頼度が高い
ヘ方式(ICチップ情報の送信+容貌)
マイナンバーカードを使ったへ方式での遷移例
へ方式とは、顧客から写真付き本人確認書類のICチップ情報と、本人の容貌画像の送信を受ける方法です。必要となるのは、身分証などに埋め込まれたICチップ情報と、本人の容貌を撮影した画像データ1点です。
例えばマイナンバーカードを使ってへ方式の本人確認を実施する場合、カードのICチップに格納されている「券面AP」から顔画像を、「券面事項入力補助AP」から基本4情報をそれぞれ抽出します。前者に関してはICチップ内にある顔画像(白黒)とその場で撮影した本人の顔写真を比較・自動判定し、一致率を返却することでなりすましを防止します。
ワ方式(公的個人認証サービス利用の手法)に対して、身元確認保証のレベルは下がりますが、ICチップ読み取りによる確認手法であり、またマイナンバーカードの他にも運転免許証や在留カードといった身分証の利用が可能です。
リ方式(書類の送付+不要郵便物等の送付)
リ方式とは、顧客から本人確認書類画像と本人確認書類の写しの送信、および転送不要郵便の送付を受けるという方法です。
必要となるのは、本人確認書類2点の送付、または本人確認書類の写し1点と補完書類1点の送付、そして転送不要郵便物等の送付です。身元確認における住居確認として、その人がその所在地に実在するかの確認を行う手法なのですが、運転免許証など写真付き身分証を持っていない人であっても、健康保険証や住民票・公共料金の写しなどの2点をアップロードすることで本人確認できるものとなっています。
法人の本人確認(法人確認)での必要事項
ここまでは個人に対する本人確認の概要をお伝えしましたが、冒頭でお伝えしたとおり、犯収法の本人確認には法人(法人・人格のない社団又は財団)を対象にした仕組みも存在します。
基本的には個人の場合と同様に、先ほどご覧いただいた取引時確認で定められた事項を行う必要があります。
- 本人特定事項
- 取引を行う目的
- 職業(自然人)または事業の内容(法人・人格のない社団又は財団)
- 実質的支配者(法人)
- 資産および収入の状況(該当取引が200万円を超える財産の移転を伴う場合)※ハイリスク取引の場合のみ
ここでは、本人特定事項とその確認方法、そして実質的支配者の確認について解説します。
法人の本人特定事項とその確認方法
法人の本人特定事項の確認の際に必要となる本人確認書類としては、以下が定義されています。
- 登記事項証明書、印鑑登録証明書
- 上記のほか官公庁発行書類等で法人の名称及び本店又は主たる事務所の所在地の記載があるもの
- 本邦に在留していない外国人及び外国に本店又は主たる事務所を有する法人の場合は、上記に加えて、日本国政府の承認した外国政府又は国際機関の発行した書類等であって、本人特定事項の記載があるもの
また、本人特定事項の確認方法としては、対面と非対面、もしくは電子署名それぞれで以下の手法が明記されています。
| 対面 | 顧客等の代表者等から、上記の本人確認書類の提示を受ける方法。 |
| 顧客等の代表者等から、顧客等の名称及び本店又は主たる事務所の所在地の申告を受け、かつ、一般財団法人民事法務協会が運営している登記情報提供サービスから登記情報の送信を受ける方法。 | |
| 顧客等の代表者等から、顧客等の名称及び本店又は主たる事務所の所在地の申告を受けるとともに、国税庁・法人番号公表サイトにより公表されている当該顧客等の名称及び本店又は主たる事務所の所在地を確認する方法。 | |
| 非対面 | 顧客等の代表者等から、顧客等の名称及び本店又は主たる事務所の所在地の申告を受け、かつ、一般財団法人民事法務協会が運営している登記情報提供サービスから登記情報の送信を受ける(当該顧客等を代表する権限を有する役員として登記されていない顧客等の代表者等から当該申告を受けるときは、上記方法に加え、当該顧客等の本店等宛に、取引関係文書を書留郵便等により、転送不要郵便物等として送付する)方法。 |
| 顧客等の代表者等から、顧客等の名称及び本店又は主たる事務所の所在地の申告を受けるとともに、国税庁・法人番号公表サイトにより公表されている当該顧客等の名称及び本店又は主たる事務所の所在地を確認し、かつ、当該顧客等の本店等宛に、取引関係文書を書留郵便等により、転送不要郵便物等として送付する方法。 | |
| 顧客等の代表者等から、上に掲げる本人確認書類又はその写しの送付を受ける とともに、本人確認書類に記載されている顧客等の本店又は主たる事務所宛に、取引関係文書 を書留郵便等により、転送不要郵便物等として送付する方法。 | |
| 電子署名 | 商業登記法に基づき登記官が作成した電子証明書及び当該電子証明書により確認される電子署名が行われた特定取引等に関する情報の送信を受ける方法。 |
ちなみに、ハイリスク取引の際には、追加の本人確認書類か補完書類等の提示・送付を受ける必要があるとされています。
画像出典:ハイリスク取引の際の本人特定事項の確認方法(JAFIC「犯罪収益移転防止法の概要」)
実質的支配者の確認
実質的支配者とは、「法人の事業経営を実質的に支配することが可能となる関係にある者」のことを示します。たとえば株式会社や有限会社、投資法人、特別目的会社のような「顧客等が資本多数決法人」である場合は、以下が実質的支配者となります。
- 直接または間接に議決権の50%超を保有する個人(1名のみ)
- 直接または間接に議決権の25%超〜50%を保有する個人(複数いる場合は全員)
- 出資・融資・取引その他の関係を通じて事業活動に支配的な影響力を有する個人(大口債権者、創業者、会長等)
- 法人を代表して、その業務を執行する個人(代表取締役)
また、上述した資本多数決法人以外の法人(合同会社、合資会社、一般社団法人、一般財団法人、合名会社、学校法人、宗教法人、医療法人等)の場合は、以下が実質的支配者となります。
- 収益配当もしくは財産分配を受ける権利の50%超を保有する個人(1名のみ)
- 収益配当もしくは財産分配を受ける権利の25%超〜50%を保有する個人(複数いる場合は全員)
- 出資・融資・取引その他の関係を通じて事業活動に支配的な影響力を有する個人(大口債権者、創業者、会長等)
- 法人を代表して、その業務を執行する個人(代表取締役)
以下、JAFICが提供する「犯罪収益移転防止法の概要」に記載されている該当者チェック表も参考になるでしょう。
実質的支配者とは(画像出典:JAFIC「犯罪収益移転防止法の概要」)
この実質的支配者の確認方法としては、通常の特定取引とハイリスク取引のいずれかによって変わります。
| 通常の特定取引 | 当該顧客等の代表者等から、実質的支配者の本人特定事項について申告を受ける |
| 通常の特定取引 | 顧客等の株主名簿(資本多数決の原則を採る法人の場合)、登記事項証明書(資本多数決の原則を採る法人以外の法人の場合)等の書類又はその写しを確認し、かつ、実質的支配者の本人特定事項について当該顧客等から申告を受ける |
実務に落とし込んだ場合のチェックポイント
ここまでで記載した本人特定事項と実質的支配者のチェックについて、実務ベースに落とし込むと、以下3点が主要な確認ポイントとなります。
- 存在確認
- リスクチェック
- 住所確認
法人および担当者の存在確認
「法人の存在確認」とは、取引相手となる法人が架空法人でないか、ちゃんと存在する法人かどうかの確認作業です。
これにはさまざまな方法がありますが、最も簡易的な確認方法としては、国税庁法人番号公表サイトでの検索によるチェックが挙げられます。同サイトでは、対象企業の商号又は名称、本店又は主たる事務所の所在地、法人番号による検索が可能で、検索結果画面ではこの基本3情報に加え、変更履歴情報なども確認できます。
一方で、上記のような基本情報だけでは、本当に実稼働している企業か否かを判断するのは難しいです。よってこれ以上の細かい情報、例えば資本金や事業目的、役員名などを確認したい場合は、一般社団法人民事法務協会(以下、民事法務協会)が提供する「登記情報提供サービス」や東京商工リサーチ、帝国データバンクといった与信管理などを行う情報団体の有料資料を確認する方法もあります。
TRUSTDOCKでは「法人番号による法人確認API」を提供しており、事業者は法人名と法人番号を提出するだけで、TRUSTDOCKサイドで提出された法人番号をもとに商業・法人登記情報PDFを取得し、申請情報と突合確認し、必要情報一式を返却できるようになっています。
また、該当法人に履歴事項全部証明書を提出してもらい、別途、入力した自社サービスと法人登録情報と突き合わせることで、該当法人の確認を行う手法についてもAPIとしてご提供しています。(履歴事項全部証明書の発行取得業務は代行しておりません)
なお、存在確認を行うべきは法人のみならず、契約などを進める担当者も含まれます。担当者が本当に存在する人間なのか、またその組織に所属しているメンバーなのかどうかを確認することで、詐欺による偽装や企業名義の悪用などを防ぎます。前者については、身分証などによる本人確認の実施が望まれます。
担当者本人の身分証アップに加えて、委任状をアップして確認するフローを設けることも可能
法人および担当者のリスクチェック
一般的には、法人および担当者の存在確認とあわせて、その法人や所属するメンバーのリスクの確認も行うケースが多いです。
こちらにもさまざまな方法がありますが、多くの企業では以下のソースを組み合わせて、リスクの確認をし、各社のルールに沿った対応をしています。
- インターネット検索
- 新聞記事データ検索
- 独自の反社会的勢力情報データベースによるチェック
TRUSTDOCKでは、コンプライアンスチェックソリューションとして「DB検索サービス(記事/人物)」を提供しています。具体的には、氏名、生年月日を使って、各種記事のデータベース(以下、記事DB)で検索・参照し、該当者らしき人物が検索ヒットするか否かを確認するものです。
DBには、先ほどお伝えした新聞記事などの「記事DB」と、反社会的人物をリストアップした「人物DB」があり、このいずれか、もしくはその両方を利用して検索していくこととなります。
個人の場合、全体の90〜97%が外部DBにて該当しないケースが多いため、自社で詳細確認する際にも、本APIで一次チェックすることで時間短縮が可能です。
住所確認
「住所確認」はその名の通り、その法人が申請している住所(本社所在地など)でリアルな郵便物が届くかどうかの確認作業です。
法人登録を行う際は各種書類を法務局へ提出することになりますが、実は住所含む記載事項が“正しいか否か”の厳密なチェックは実施されていません。もちろん、記載様式に準拠しているか否かの確認はなされますが、それが実態に即しているかは確認し得ないことになっています。よって、例えばダミーの住所による架空法人を設立すること自体は実は難しいことではありません。
オフィスがきちんと稼働しているか否かは、往復はがきなどによる住所確認が一つの有効な手段となり、TRUSTDOCKでは「郵送業務API」を提供しています。
具体的には「V折圧着ハガキ」を用いて、申請住所が実在するかのチェック機能を提供しています。それぞれ郵送事業者とAPI連携しているからこそ、スムーズな郵送業務を行なうことができます。
なお、郵便到達の確認方法としてアクティベーションコードの併用も可能となっており、郵送物の中にアクティベーションコードを埋め込むことで、利用者が郵便受け取り後、即時にアカウント開設ができるように設計することも可能です。なおこの場合、アクティベーションコードを失念したり紛失するなどのリスクがある点には留意が必要です。
ここまでの3点を踏まえて、TRUSTDOCKでは、それぞれAPI経由でのソリューションを提供しています。いずれも24時間365日の稼働で運用しております。
- 存在確認:法人番号による法人確認API、法人確認業務API、個人身元確認業務API、補助書類確認業務API(委任状)
- リスクチェック:DB検索サービス(記事DB/人物DB)
- 住所確認:郵送業務API(ハガキ)
これらの詳細については、以下の記事でご説明しているのであわせてご覧ください。
▶︎あらゆる企業間取引で必要となる「法人確認」とは?3つのチェックポイントについて解説
金融業界におけるeKYC&法人確認の導入事例
TRUSTDOCKでは様々な業種業態の企業にeKYCソリューション及び法人確認サービスをご提供しています。
統合型コーポレートカード「freeeカード Unlimited」では、独自の与信モデルで分析することで、最大5,000万円の限度額を実現。また、スピーディーなカード利用明細の
同期によって月次決算をタイムリーに行えることで、バックオフィス業務の効率化を図ることが可能となっています。この「freeeカード Unlimited」への申込時に、TRUSTDOCKのeKYCソリューションを使った犯罪収益移転防止法準拠の個人身元確認および法人確認を実施しています。
【ニーズ】
・犯収法準拠の個人身元確認および法人確認を実施したい
・しっかりとセキュリティを担保したい
【導入後の効果】
・体制の増強や自動化の範囲を広げられる拡張性
・個人、法人確認の両方を安心して任せられた
▶︎統合型コーポレートカードの登録運用をeKYCで効率化:freee(freee finance lab)様の事例
私募の社債に特化した国内唯一のWebサービスとして少人数私募社債の購入・発行プラットフォーム「Siiibo(シーボ)」を運営している株式会社Siiiboでも、金融商品取引法および犯罪収益移転防止法への対応を目的に、TRUSTODCKのeKYCソリューションを使った個人身元確認および法人確認を実施しています。
【ニーズ】
・金商法と犯収法への対応が必要
・オペレーターをアウトソースしたい
【導入後の効果】
・本人確認をほぼ自動化できた
・否認時のオペレーションも自動化できた
▶︎証券口座開設時の本人確認にeKYC導入:Siiibo証券様の事例
さらなる強化が求められる「継続的顧客管理」
もう一つ、金融業界におけるeKYCを考える上で欠かせないトピックが「継続的顧客管理」です。
2021年8月末に「FATF第4次対日相互審査報告書」が公表され、日本が「強化(重点)フォローアップ国」という評価が下されたことで、金融機関におけるリスク評価・取引モニタリングや顧客管理の方針、社内の周知などの体制構築を含めた「継続的顧客管理措置」が重要なアクションとなっているのです。
そもそも今回の対日相互審査は2019年に実施されたもので、2012年2月に改訂された「40の勧告」と、2013年2月に公表されたメソドロジーに基づいて行われました。具体的には、それまでの相互審査(第3次まで)で行われていた、40の勧告の各項目に沿った法令整備状況の審査(Technical Compliance)と、メソドロジーが定める11項目の短期的目標の有効性の審査(Effectiveness)を組み合わせた内容となっています。
その結果である強化フォローアップ国とは、3段階中の2番目の評価に該当し、5年後のフォローアップ評価の前に、計3回のフォローアップ報告が必要とされています。具体的な報告内容については、財務省にて概要部分の邦訳が出ています。
リスクベースアプローチの重要性
FATF第4次対日相互審査結果への対応を進める上で、「リスクベースアプローチ」という考え方を知っておく必要があるでしょう。これは、リスクを特定して適切に評価をし、リスクそのものを低減するというPDCAサイクルを指します。FATFの40の勧告には、日々発生する膨大な量の取引のモニタリングやスコアリングなどはもとより、顧客に関して定期健康診断のような位置付けで継続的な管理を行うこと、その上で疑わしい取引や取り組みなどの報告・共有といったアクションへの取り組みの思想がベースにあるわけです。
これに対して金融庁では、2018年に金融機関に対して口座の名義人の確認を求める「マネー・ローンダリング及びテロ資金供与対策に関するガイドライン」を策定し、このリスクベースアプローチへの取り組みを強力にプッシュしてきました。また2021年5月には、ガイドラインで対応を求めている事項に対する完了期限を「2024年3月」までと定め、上記を遵守する体制を整備することを、各業界団体を通じて要請しています。
つまり、あらゆる金融機関にとってリスクベースアプローチによる業務プロセス構築は、重要なタスクであることが明確であり、恒久的な対応が急務となっているのです。この辺りの詳細については、以下の解説セミナーレポートで詳しく説明しているので、ぜひあわせてご覧ください。
▶︎2022年4月金融庁公表「AML/CFT対策の現状と課題」の解説セミナーレポート
最適な本人確認機能の導入に向けて
本記事でも言及したとおり、金融業界におけるeKYC導入はさまざまな動向を背景に加速しています。その際に重要となるのは、どのような自社のリソースなどに鑑みた「最適な本人確認機能」の導入です。過度に確認強度の高い手法を導入してもいけませんし、自社の体制が固まっていない段階で一方的にシステムを導入するのも得策ではないでしょう。
TRUSTDOCKでは、“本人確認のプロ”として、金融機関をはじめとする特定事業者はもちろん、それに限らないさまざまな企業のKYC関連業務をワンストップで支援するAPIソリューションおよびデジタル身分証を提供しています。また、本人確認業務に関して関係省庁や関連団体との連携も深めており、金融庁には業務内容の確認を、経済産業省とはRegTechについての意見交換を、さらに総務省のIoTサービス創 出支援事業においては本人確認業務の委託先として採択され、警察庁には犯収法準拠のeKYCの紹介などをといった取り組みも行っています。
本人確認業務のオンライン化を進める際は、ぜひお気軽にお問い合わせください。
また、eKYCソリューションの導入を検討されている企業の方々や、実際に導入プロジェクトを担当されている方々のために、TRUSTDOCKではPDF冊子「eKYC導入検討担当者のためのチェックリスト」を提供しております。eKYC導入までの検討フローや、運用設計を行う上で重要な検討項目などを、計10個のポイントにまとめていますので、こちらもぜひご活用ください。
さらに、最後にご紹介した継続的顧客管理については以下のホワイトペーパーで簡潔にポイントをまとめてお伝えしているので、こちらも併せてご確認ください。
なお、eKYCの詳細については以下の記事でも詳しく説明しているので、併せてご覧ください。
▶︎eKYCとは?オンライン本人確認を徹底解説!メリット、事例、選定ポイント、最新トレンド等
(文・長岡武司)
