あらゆるクロステック用語に先駆けて「FinTech(フィンテック)」という言葉が誕生したとおり、金融業界はどこよりも早く、テクノロジーによる変革の波に晒されてきたと言えます。
そして「お金」という、私たちが生活をする上で欠かせないものを扱う領域だからこそ、金融のDXは業界内のプレイヤーだけでなく、私たち生活者一人ひとりにも大きな変革をもたらすと言えます。
そんな金融DXを進める上で注目されているのが、本人確認をオンラインで実施するeKYC(electronic Know Your Customer、読み方:イー・ケイワイシー)です。2018年11月30日に「犯罪による収益の移転防止に関する法律施行規則の一部を改正する命令」が金融庁より公表され、eKYCを実施するための具体的な手法が施行規則に明記されることなりました。さらに、2020年以降のコロナ禍におけるニューノーマル対応としての業務や手続き等の非対面化の流れも後押しして、本人確認のオンライン化は大きく加速しています。
本記事では、金融機関が実務対応として考えるべきeKYCの導入要件について、犯罪収益移転防止法の内容から最近のトレンドまで、複数のトピックに触れながら詳しく解説していきます。
約2人に1人は銀行・証券口座利用でeKYCを体験
まずは、eKYCの活用にまつわる定量データとして、TRUSTDOCKとMMD研究所が2021年9月に発表した調査結果についてご紹介します。20~69歳のeKYC利用経験者の男女500人を対象に、「eKYCを利用したことがある場面」を複数回答で聞いたところ、「銀行・証券口座」が46.2%で最も多いシーンとして集計されました。また、次いで「クレジットカードや電子マネーの登録」が42.2%、「QRコード決済の登録」が30.0%となっており、金融機関でのeKYC活用の機運が高まっていることが分かります。
eKYCを利用したことがある場面(「オンライン本人確認(eKYC)に関する利用実態調査」より)。「銀行・証券口座」が最も多く46.2%、次いで「クレジットカードや電子マネーの登録」が42.2%、「QRコード決済の登録」が30.0%となった
また、「eKYCの導入を拡大してほしいと思うサービスのジャンル」について複数回答で聞いたところ、41.0%で1位となった「行政手続き」に次いで、「銀行・証券口座開設」が31.6%、「クレジットカードや電子マネーの登録」が29.2%となりました。
eKYCの導入を拡大してほしいと思うサービスのジャンル(「オンライン本人確認(eKYC)に関する利用実態調査」より)
このように、エンドユーザーからのeKYC活用が望まれ、実際のサービス利用シーンでも最も多くeKYCが活用されている業界が、金融業界だと言えます。
金融業界でeKYC導入が進む理由
では、なぜ金融業界では特にeKYCの導入が進んでいるのでしょうか?ここでは、3つのポイントに絞ってお伝えします。
効率化の必要性
(画像出典:総務省「平成28年版 情報通信白書」人口減少社会の到来より)
どの業界にも共通することですが、我が国は世界に先駆けて、平均寿命の伸長等によって人口に占める高齢者の割合が増加する高齢化と、出生率低下で若年者人口が減少する少子化が同時に進行する「少子高齢化」が進んでいます。総人口は2008年をピークに減少し続けており、生産活動の中心にいる15〜64歳の人口層である生産年齢人口も1997年から減少しています。また、15歳以上の労働の意思と労働可能な能力を持った人、いわゆる労働人口も大幅な増加が見込めない状況であり、サービスの需要と供給を考えると、供給サイドを担う人口の減少トレンドは不可避です。
このような背景もあって、あらゆる産業では、デジタルを活用した効率化が至上命題となっています。金融業界も然りで、これまで人力で対応していたあらゆる業務について、デジタルの力を借りて効率化し、省力化する必要があると言えます。
本人確認領域を考えると、これまで郵送と人力での目視確認が基本だったので、金融機関とエンドユーザーの双方にとって、とにかく工数がかかる業務だったと言えます。だからこそ、eKYCの仕組みを活用した業務効率化への期待が高まっているのです。
FinTech企業の躍進とオンラインファーストな金融サービスの台頭
2015年頃から、金融(Finance)×テクノロジーを掛け合わせた造語である「FinTech(フィンテック)」という言葉が、少しずつ広がっていきました。テクノロジーを活用し、既存の金融業プレイヤーの効率化のみならず、他業界の企業が金融関連事業に踏み込めるような土壌が整備されていったのも、このFinTechトレンドによって加速したと言えそうです。
たとえば2013年に立ち上がったドイツのモバイルバンク「N26」は、自宅にいながら10分程度で銀行口座開設ができるオンラインバンクサービスを提供しています。既存の窓口手続きからのデジタル化ではなく、最初からオンラインでサービス設計されているので、顧客はストレスなくサービスの恩恵を享受することができます。もちろん、同サービスは2016年7月に規制当局であるドイツ連邦金融監督庁(BaFin)と欧州中央銀行(ECB)によって銀行のライセンスを付与されており、既存の銀行と同様の規制を受けて事業活動を行っています。
このような新興勢力であるFinTech企業勢の躍進は、これからの時代には欠かせない「オンラインファーストな金融サービス」を牽引しており、既存の金融機関にとっては脅威であると同時に、協業を進めることができれば強力な成長ドライバーにもなります。少なくとも顧客中心のUX設計を進めるにあたっては、口座開設を含めた各種取引・手続きのオンライン化は必須であることから、それに付随する本人確認のオンライン化、すなわちeKYCへのニーズも高まっていったことになります。
eKYCの法的整備
今しがた、N26の例にて規制の話が出ましたが、我が国においても取引のオンライン化に向けた規制サイドの取り組みが加速しています。上の概略年表にあるとおり、金融業界におけるeKYC解禁の動きとして重要となるのが、冒頭にも記載した、2018年11月30日公布の改正犯罪収益移転防止法です。具体的には、施行規則に「本人確認における新プロセスの定義」が明記され、郵送確認というこれまで一般的だったプロセスが必須ではなくなり、新たに提出者の容貌確認(セルフィーで撮影した利用者の顔写真)などの当人確認要件が追加されることになったのです。つまり、要件の厳格化と併せて、eKYCの実施も可能になりました。
(画像出典:金融庁「オンラインで完結する自然人の本人特定事項の確認方法の追加」より)
このように、民間領域でのeKYC活用の機運が高まり、かつ規制としてもそれに対応する内容・定義が追加されたことで、eKYCの導入は急速に普及が進んでいきました。
金融業界を規制する「犯罪収益移転防止法」
ここで改めて、金融事業者が欠かさずチェックすべき犯罪収益移転防止法について、そのあらましをご紹介します。
犯罪収益移転防止法(正式名称:犯罪による収益の移転防止に関する法律)とは、金融機関等の取引時確認や取引記録等の保存、疑わしい取引の届出義務など、マネーロンダリング及びテロ資金供与対策のための規制を定めるべく、2007年3月に成立・公布された法律です。(以下、「犯収法」と省略)
犯収法成立の背景には、「FATF(Financial Action Task Force、邦訳:金融作業部会」の存在があります。FATFとは、AML/CFTの国際基準を策定するタスクフォースのことで、AML/CFTの国際基準となる「40の勧告」を策定し、参加している37の国と2つの国際機関(EC・GCC)に対して、その内容の遵守を求めています。
FATF「40の勧告」(第4次勧告)(画像出典:(財務省国際局「金融活動作業部会について」p4より)
このような国際的動向を受けて、日本では1992年の「疑わしい取引の届出制度」の創設からはじまり、アンチマネーロンダリング等の規制対応が進み、2007年3月の犯収法成立に至ったというわけです。
金融機関も含まれる特定事業者と取引時確認
特定事業者の義務と範囲(画像出典:JAFIC「犯罪収益移転防止法の概要」)
犯収法では、「特定事業者」と呼ばれる対象事業者が、通常の特定取引およびハイリスク取引を行う際に、「取引時確認」と呼ばれる手続きを法的義務として負うこととして定義されています。
具体的には、以下の14事業者が特定事業者に該当し、犯収法に準拠した事業展開の義務が課されています。
特定事業者(画像出典:JAFIC「犯罪収益移転防止法の概要」)
とは言え、特定事業者が行う業務の全てが届出義務の対象になるかというと、そうではありません。それぞれの事業者においては、義務の対象となる業務範囲が「特定業務」として定められており、その範囲内において犯収法に準拠する必要があります。
- 取引時確認
- 確認記録の作成・保存(7年間保存)
- 取引記録等の作成・保存(7年間保存)
- 疑わしい取引の届出(※司法書士等の士業者を除く)
- コルレス契約締結時の厳格な通知
- 外国為替取引に係る通知
- 取引時確認等を的確に行うための措置
本人確認が関わるのは、この中の「取引時確認」です。犯収法では、顧客に対する確認について、以下の取引時確認が定義されています。
- 本人特定事項
- 取引を行う目的
- 職業(自然人)または事業の内容(法人・人格のない社団又は財団)
- 実質的支配者(法人)
- 資産および収入の状況(該当取引が200万円を超える財産の移転を伴う場合)※ハイリスク取引の場合のみ
この一番上にある「本人特定事項」にて、具体的な本人確認にまつわる事項が定義されており、自然人と法人(法人・人格のない社団又は財団)で以下の項目の確認が必要とされています。
- 個人:住居、氏名、生年月日
- 法人:名称、本店又は主たる事務所の所在地
なお、犯収法の詳細については以下の記事で解説しているので、こちらも併せてご覧ください。
▶︎犯収法(犯罪収益移転防止法)とは?各専門用語の意味や注意点から、定義されているeKYC手法まで詳しく解説
犯罪収益移転防止法における「本人確認」の定義
前述で登場したとおり、犯収法の定義によると、本人確認の対象には「自然人」と「法人・人格のない社団又は財団」の2種類が存在し、それぞれにおいて確認すべき内容やアプローチが異なります。
自然人の本人確認で必要な「身元確認」と「当人認証」
自然人の本人確認には大きく分けて、「身元確認(Identity Proofing & Verification)」と「当人認証(Authentication)」という2つの概念があります。身元確認とは、運転免許証やマイナンバーカードをはじめとする公的身分証のような書類等を使って、個人を特定する属性情報を確認する作業のことです。また当人認証とは、その時その場所にいて作業をしているのが本人であることを確認する作業のことです。
身元確認とリスク確認
身元確認には様々な手法が存在します。名前、住所、生年月日など、その人の身元を確認する情報として、マイナンバーカードや運転免許証などの公的身分証は、身元確認チェック書類として非常に一般的に使われているものです。また、住民票や公的料金の支払領収書といった書類や、第三者が身元確認をして契約した契約者情報に依拠する形での身元確認チェックという手法も存在します。
さらに、身元確認には、AML(アンチ・マネーローンダリング)対応やPEPs(政府等の要人やその家族)対応、CFT(テロ資金供与)対応といった、リスク確認業務も含まれます。反社チェックも、このリスク確認業務、ひいては身元確認業務の一環になります。
当人認証と多要素認証
当人認証についても、様々な手法が存在します。最も分かりやすく一般的になされているものは、「知識認証」と呼ばれる手法です。例えば、Webサイトのマイページへのログインの際に求められるIDとパスワードや、パスワードを忘れた場合の「秘密の質問」などがこれに該当します。
この他にも、一意の携帯電話番号に対するSMS認証やクレジットカードのような物理的なカード番号を入力させるような「所有物認証」や、指紋や顔画像、虹彩といった個人の生体情報を使って認証を進める「生体認証」があります。
そして、これらのいずれか1つで認証をすることを「単要素認証」、2つ以上の組み合わせで認証することを「多要素認証」と表現します。
2つの要素を使っての当人認証(2要素認証)の例
IAL(身元確認保証レベル)とAAL(当人認証保証レベル)
この身元確認と当人認証には、それぞれ「強度のレベル」というものがNIST(米国立標準技術研究所)によって定義されています。具体的には、同団体によるデジタルアイデンティティフレームワーク(NIST SP 800-63)の考え方に則って、身元確認に対しては「IAL(Identity Assurance Level:身元確認保証レベル)」が、当人認証に対しては「AAL(Authentecation Assurance Level:当人認証保証レベル)」が、それぞれ定義されています。
例えばAAL(当人認証保証レベル)を考えてみると、先ほどご紹介した単要素認証がAALレベル1、多要素認証がAALレベル2以上ということです。取引目的に応じて身元確認保証および当人認証保証のリスクレベルをアセスメントすることで、認証強度の強弱に関する「ものさし」としての機能を有しているというわけです。
各レベルの定義については、以下、各府省情報化統括責任者(CIO)連絡会議決定にて提示された資料の内容をご確認ください。
画像出典:各府省情報化統括責任者(CIO)連絡会議決定「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」より
このように、身元確認保証レベルと当人認証保証レベル、双方の強度を組み合わせることで本人確認の強度を高めていくという考え方で導入を進めていくのが、本人確認の世界となります。
金融業界でeKYCを導入するメリット
ここまでご説明した本人確認のオンライン化、すなわちeKYCを導入することによって、生活者と金融機関、それぞれに以下のようなメリットがあります。
生活者がすぐにサービスを利用開始できる
私たち生活者にとってeKYCを導入したサービスは、そうでないサービスと比較すると、サービスをすぐに利用開始できるというメリットが挙げられます。例えば銀行で口座開設を非対面を行おうとすると、従来では郵送による書類のやりとりを行い、本人確認を進める必要がありました。銀行の営業日はカレンダー通りなので、手続きが土日を挟むと長い場合は一週間以上の時間を要することになり、すぐにサービスを利用したい生活者にとっては大きな手間とストレスになります。
一方でeKYCを導入すると、早ければ即時にオンラインで本人確認が完了するため、口座開設手続きそのものも早ければ当日中に完了させることが可能です。生活者としては、非常に便利な動線だと言えるでしょう。
現に、先ほどご紹介したTRUSTDOCKとMMD研究所が2021年9月に発表した調査結果においても、次回以降もeKYCを利用したいと思う理由として挙げられた要因の上位に、「ネット上で完結できたから」「便利だったから」「時短になったから」などがあがっています。
次回以降もeKYCを利用したいと思う理由(「オンライン本人確認(eKYC)に関する利用実態調査」より)
本人確認にまつわるオペレーションの効率化とコストの削減
金融機関にとってeKYCを導入すると、書類の郵送やその確認など、本人確認に要していた煩雑な業務・オペレーションを大幅に減らすことができるので、ペーパーレス化や本人確認にまつわる業務効率化につながります。
また、自社内で本人確認業務を行う場合、そこに対する適切な人員配置が必要となります。書類の扱いに関するオペレーション教育はもとより、ユーザー登録者数の増減に合わせたシフト管理等が必要となるため、それらの工数も含めた人員および管理コストの削減が見込めます。さらに、後述する「郵送不要のeKYC手法」を採用すれば、書類郵送費用の削減にも貢献するでしょう。
自然人の本人確認で使えるeKYC手法4選+αの1手法
犯収法では、eKYCの他にも様々な本人確認手法が定義されています。以下は、犯収法施行規則6条1項1号で定義されている本人確認手法の一覧となります。
| イ | 対面にて写真付き本人確認書類1点の提示 |
| ロ |
対面にて写真付き本人確認書類1点の提示 + 転送不要郵便物等による到達確認 |
| ハ | 対面にて本人確認書類2点の提示 |
| ニ |
対面にて写真付き本人確認書類1点の提示 + 住所記載の補完書類1点の送付 |
| ホ |
専用ソフトウェアにて、写真付き書類の写し1点(厚みその他の特徴&本人確認時に撮影されたもの)の送信 + 容貌(本人確認時に撮影されたもの)の送信 |
| ヘ |
専用ソフトウェアにて、写真付き・ICチップ付き本人確認書類のIC情報の送信 + 容貌(本人確認時に撮影されたもの)の送信 |
| ト |
専用ソフトウェアにて、写真付き書類の写し1点(厚みその他の特徴&本人確認時に撮影されたもの)の送信 or 写真付き・ICチップ付き本人確認書類のIC情報の送信の確認 + 銀行・クレジットカード情報との照合 or 既存銀行口座への振込 |
| チ |
本人確認書類の原本1点の送付 or 写真付き・ICチップ付き本人確認書類のIC情報の送信 or 写真付き書類の写し1点(厚みその他の特徴&本人確認時に撮影されたもの)の送信 + 転送不要郵便物等 |
| リ |
本人確認書類2点の送付 or 本人確認書類の写し1点+補完書類1点の送付 + 転送不要郵便物等 |
| ヌ |
給与振込口座の開設、または有価証券でマイナンバー済みの場合は本人確認書類の写し1点の送付 + 転送不要郵便物等 |
| ル | 本人限定郵便(受取時の確認書類は、写真付き本人確認書類である必要ありのもの) |
| ヲ | 電子証明書+電子署名 |
| ワ | 公的個人認証(電子署名) |
| カ | 特定認証業務の電子証明書+電子署名 |
この中から今回は、金融機関でよく使われている「ホ」「ヘ」「ト」「ワ」と、郵送手段を組み込んだ「リ」について、それぞれTRUSTDOCKのソリューションを例にeKYCの流れをご紹介します。
「ホ」の手法(写真付き書類の写し1点+容貌)
「ホ」では、顧客から写真付き本人確認書類画像と、本人の容貌画像の送信を受ける方法が定められています。必要となるのは、写真付き本人確認書類の写し画像1点と、本人の容貌を撮影した画像データ1点です。
いずれの場合も、身分証等の“原本”を直接撮影したものを、原則として“撮影後直ちに送信”させる必要があります。よって、例えばあらかじめスマホのカメラロール等に入っている運転免許証画像をアップロードするのはNGですし、運転免許証をコピーした紙を撮影するのもNGです。
また身分証については、ただ表裏を撮影するのではなく、その身分証が原本であることを示す特徴、例えば運転免許証の場合は厚みだったり、パスポートの場合はホログラムだったりを含めて写す必要があるとされています。
ちなみに、静止画の撮影以外にも動画やオンラインビデオ通話機能を利用する方法も可能とされているので、例えばeKYCソリューションを提供するTRUSTDOCKでは、画像の代わりに身分証をくるくるとカメラの前で回す“動画”を撮影してもらい、それを断片化・画像化してチェックするというなどの確認フローをソリューションとして設計しています。具体的な使い方については、以下の動画をご覧ください。
なお、昨今ではAI等の技術進歩が著しいわけですが、機械のみで本人確認書類が真正なものであることを100%担保するのは、まだまだ不可能な状況です。よって、目視による確認は引き続き有効であると言えます。TRUSTDOCKでも、全ての本人確認書類を目視でチェックするフローを組んでいます。
「ヘ」の手法(ICチップ情報の送信+容貌)
「へ」とは、顧客から写真付き本人確認書類のICチップ情報と、本人の容貌画像の送信を受ける方法です。必要となるのは、身分証等に埋め込まれたICチップ情報と、本人の容貌を撮影した画像データ1点です。
普段は意識しないICチップですが、実は運転免許証であれば真ん中付近に埋め込まれており、NFC等の無線通信技術を使って、ICチップの中にある氏名・住所・生年月日・性別・写真情報等を読み込むことになります。
運転免許証の場合、その取得時に設定したピンコード(暗証番号)を入力する必要があるので、忘れているケースも多いのですが、一方で原本の違法コピー等によるリスクも回避できることから、より安全・安心に配慮した手法であるとも言えるでしょう。具体的な使い方については、以下の動画をご覧ください。
「ト」(金融機関との連携)
「ト」とは、顧客から本人確認書類の画像またはICチップ情報の送信を受け、併せて銀行等の金融機関もしくはクレジットカード会社に本人特定事項を確認済みであることを確認するという方法です。
必要となるのは、写真付き書類の写しデータ1点か身分証等に埋め込まれたICチップ情報、および銀行・クレジットカード情報との照合確認か既存銀行口座への振込確認です。金融機関との連携が必要となる点が、これまでと異なります。
こちらは、銀行に登録してある情報(氏名・生年月日・住所等のデータ)が最新のものへと更新されている必要があり、また銀行のオンラインバンキングサービスでアカウントを開設している必要もあります。その上でさらに、認証プロセスでは該当のオンラインバンキングサービスのログインIDとパスワードを使用するので、これをしっかりと覚えている必要もあります。
TRUSTDOCKが提供するeKYCソリューションでは、三菱UFJ銀行が提供する「本人確認サポート(個人) APIサービス」と連携することで、「ト1」に準拠した本人確認の実施を可能としています。これにより、「三菱UFJダイレクト」のアカウントをもつユーザーは、様々な金融サービスの本人確認時に「三菱UFJダイレクト」の情報を連携送信することで、その場での顔写真の撮影と提出が不要になります。また身分証アプリと連携する金融事業者は、口座開設の申請希望のユーザーに多様な本人確認手法を提示できます
以上の点が本人確認時のタイミングで滞りなく準備されていることが、「ト」の必要要件となります。事業者側としては、古物やクラウドファンディングなど、顧客に入金する必要があるサービスでは、銀行口座確認と本人確認が一度にできるメリットがあり、今後特定業種において広がりを見せることが期待されています。
「ワ」の手法(公的個人認証)
「ワ」とは、顧客のマイナンバーカードにあるICチップをスマートフォンで読み取り、J-LIS(※)が提供する公的個人認証サービスを用いることで本人確認を完了する方法です。
※J-LIS:地方公共団体情報システム機構のこと。同機構が提供する公的個人認証サービスは、ネット上での本人確認に必要な電子証明書を、住民基本台帳に記載されている希望者に対して無料で提供するサービスのこと。これは、TRUSTDOCKを含め、電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律第17条第1項第6号の規定に基づく総務大臣認定事業者のみ利用が可能となっている
「ワ」の要件では、利用者クライアントソフトおよびICカードの読み取り専用デバイス、もしくは読み取り対応スマートフォンアプリを通じて、マイナンバーカードへの電子証明書の記録を行い、その上で公的個人認証サービスを通じてオンライン本人確認を完了させるという流れになります。
専用デバイスを用意するなど利用ハードルが高い要件ではありますが、TRUSTDOCKによる身分証アプリのようにスマホでマイナンバーカードが読み取れるアプリであればデバイスを用意することなく、およそ10秒程度で郵送不要のeKYCができるため、マイナンバーカードを持っているユーザーにおいては対応完了までのスピードが最も早い手段となっています。
また、先ほどの「へ」と同様にICカードの読み取りという特徴に鑑みて、原本の偽造・違法コピー等によるリスクも回避できることから、より安全・安心に配慮した手法であるとも言えます。
なお、公的個人認証については以下の記事で詳細に解説しているので、こちらも併せてご確認ください。
▶︎公的個人認証サービスとは?「ICチップ読み取り型eKYC」が主流になるミライに向けたトレンドを解説
「リ」の手法(書類の送付+不要郵便物等の送付)
「リ」とは、顧客から本人確認書類画像と本人確認書類の写しの送信、および転送不要郵便の送付を受けるという方法です。
必要となるのは、本人確認書類2点の送付、または本人確認書類の写し1点と補完書類1点の送付、そして転送不要郵便物等の送付です。身元確認における住居確認として、その人がその所在地に実在するかの確認を行う手法なのですが、運転免許証など写真付き身分証を持っていない人であっても、健康保険証や住民票・公共料金の写しなどの2点をアップロードすることで本人確認できるものとなっています。
法人の本人確認(法人確認)での必要事項
ここまでは個人に対する本人確認の概要をお伝えしましたが、冒頭でお伝えしたとおり、犯収法の本人確認には法人(法人・人格のない社団又は財団)を対象にした仕組みも存在します。
基本的には個人の場合と同様に、先ほどご覧いただいた取引時確認で定められた事項を行う必要があります。
- 本人特定事項
- 取引を行う目的
- 職業(自然人)または事業の内容(法人・人格のない社団又は財団)
- 実質的支配者(法人)
- 資産および収入の状況(該当取引が200万円を超える財産の移転を伴う場合)※ハイリスク取引の場合のみ
ここでは、本人特定事項とその確認方法、そして実質的支配者の確認について解説します。
法人の本人特定事項とその確認方法
法人の本人特定事項の確認の際に必要となる本人確認書類としては、以下が定義されています。
- 登記事項証明書、印鑑登録証明書
- 上記のほか官公庁発行書類等で法人の名称及び本店又は主たる事務所の所在地の記載があるもの
- 本邦に在留していない外国人及び外国に本店又は主たる事務所を有する法人の場合は、上記に加えて、日本国政府の承認した外国政府又は国際機関の発行した書類等であって、本人特定事項の記載があるもの
また、本人特定事項の確認方法としては、対面と非対面、もしくは電子署名それぞれで以下の手法が明記されています。
| 対面 | 顧客等の代表者等から、上記の本人確認書類の提示を受ける方法。 |
| 顧客等の代表者等から、顧客等の名称及び本店又は主たる事務所の所在地の申告を受け、かつ、一般財団法人民事法務協会が運営している登記情報提供サービスから登記情報の送信を受ける方法。 | |
| 顧客等の代表者等から、顧客等の名称及び本店又は主たる事務所の所在地の申告を受けるとともに、国税庁・法人番号公表サイトにより公表されている当該顧客等の名称及び本店又は主たる事務所の所在地を確認する方法。 | |
| 非対面 | 顧客等の代表者等から、顧客等の名称及び本店又は主たる事務所の所在地の申告を受け、かつ、一般財団法人民事法務協会が運営している登記情報提供サービスから登記情報の送信を受ける(当該顧客等を代表する権限を有する役員として登記されていない顧客等の代表者等から当該申告を受けるときは、上記方法に加え、当該顧客等の本店等宛に、取引関係文書を書留郵便等により、転送不要郵便物等として送付する)方法。 |
| 顧客等の代表者等から、顧客等の名称及び本店又は主たる事務所の所在地の申告を受けるとともに、国税庁・法人番号公表サイトにより公表されている当該顧客等の名称及び本店又は主たる事務所の所在地を確認し、かつ、当該顧客等の本店等宛に、取引関係文書を書留郵便等により、転送不要郵便物等として送付する方法。 | |
| 顧客等の代表者等から、上に掲げる本人確認書類又はその写しの送付を受ける とともに、本人確認書類に記載されている顧客等の本店又は主たる事務所宛に、取引関係文書 を書留郵便等により、転送不要郵便物等として送付する方法。 | |
| 電子署名 | 商業登記法に基づき登記官が作成した電子証明書及び当該電子証明書により確認される電子署名が行われた特定取引等に関する情報の送信を受ける方法。 |
ちなみに、ハイリスク取引の際には、追加の本人確認書類か補完書類等の提示・送付を受ける必要があるとされています。
画像出典:ハイリスク取引の際の本人特定事項の確認方法(JAFIC「犯罪収益移転防止法の概要」)
実質的支配者の確認
実質的支配者とは、「法人の事業経営を実質的に支配することが可能となる関係にある者」のことを示します。
たとえば株式会社や有限会社、投資法人、特別目的会社のような「顧客等が資本多数決法人」である場合は、以下が実質的支配者となります。
- 直接または間接に議決権の50%超を保有する個人(1名のみ)
- 直接または間接に議決権の25%超〜50%を保有する個人(複数いる場合は全員)
- 出資・融資・取引その他の関係を通じて事業活動に支配的な影響力を有する個人(大口債権者、創業者、会長等)
- 法人を代表して、その業務を執行する個人(代表取締役)
また、上述した資本多数決法人以外の法人(合同会社、合資会社、一般社団法人、一般財団法人、合名会社、学校法人、宗教法人、医療法人等)の場合は、以下が実質的支配者となります。
- 収益配当もしくは財産分配を受ける権利の50%超を保有する個人(1名のみ)
- 収益配当もしくは財産分配を受ける権利の25%超〜50%を保有する個人(複数いる場合は全員)
- 出資・融資・取引その他の関係を通じて事業活動に支配的な影響力を有する個人(大口債権者、創業者、会長等)
- 法人を代表して、その業務を執行する個人(代表取締役)
以下、JAFICが提供する「犯罪収益移転防止法の概要」に記載されている該当者チェック表も参考になるでしょう。
実質的支配者とは(画像出典:JAFIC「犯罪収益移転防止法の概要」)
この実質的支配者の確認方法としては、通常の特定取引とハイリスク取引のいずれかによって変わります。
| 通常の特定取引 | 当該顧客等の代表者等から、実質的支配者の本人特定事項について申告を受ける |
| 通常の特定取引 | 顧客等の株主名簿(資本多数決の原則を採る法人の場合)、登記事項証明書(資本多数決の原則を採る法人以外の法人の場合)等の書類又はその写しを確認し、かつ、実質的支配者の本人特定事項について当該顧客等から申告を受ける |
実務に落とし込んだ場合のチェックポイント
ここまでで記載した本人特定事項と実質的支配者のチェックについて、実務ベースに落とし込むと、以下3点が主要な確認ポイントとなります。
- 存在確認
- 反社チェック
- 住所確認
法人および担当者の存在確認
法人の本人確認における「存在確認」とは、取引相手となる法人が架空法人でないか、ちゃんと存在する法人かどうかの確認作業です。
これには様々な方法がありますが、最も簡易的な確認方法としては、国税庁法人番号公表サイトでの検索によるチェックが挙げられます。同サイトでは、対象企業の商号又は名称、本店又は主たる事務所の所在地、法人番号による検索が可能で、検索結果画面ではこの基本3情報に加え、変更履歴情報等も確認することができます。
一方で、上記のような基本情報だけでは、本当に実稼働している企業か否かを判断するのは難しいです。よってこれ以上の細かい情報、例えば資本金や事業目的、役員名などを確認したい場合は、一般社団法人民事法務協会(以下、民事法務協会)が提供する「登記情報提供サービス」や東京商工リサーチ、帝国データバンクといった与信管理等を行う情報団体の有料資料を確認する方法もあります。
ちなみにTRUSTDOCKでは、2021年より「法人番号による法人確認」サービスをリリースしており、先述した登記情報提供サービスとの連携を開始しました。
これまで事業者が書類をもって法人確認を行う場合、履歴事項全部証明書等を物理的に取得し、郵送をもって確認する必要がありましたが、今回のAPI連携が実現したことで、TRUSTDOCKの方で登記所が保有する登記情報をオンライン取得できるようになりました。事業者は法人番号と比較データを提出するだけで、TRUSTDOCKサイドで提出された法人番号をもとに登記情報PDFを取得し、法人確認ができるようになりました。
法人および担当者の反社チェック・グローバルリスクチェック
「反社チェック」とはその名の通り、その法人や所属するメンバーが、反社会的勢力および反市場勢力の疑いがあるかどうかの確認作業です。
こちらにも様々な方法がありますが、多くの企業では以下のソースを組み合わせて、該当企業及び担当者が反社会的勢力・反市場的勢力か否かを確認しています。
- インターネット検索
- 新聞記事データ検索
- 独自の反社会的勢力情報データベースによるチェック
新聞記事データベースとしては日経テレコンやRISK EYESなどが、反社会的勢力情報の検索としてはエス・ピー・ネットワーク社による各種ソリューションなどが、それぞれ挙げられるでしょう。
なお、TRUSTDOCKでは反社チェックソリューションとして「スピードリスクチェックAPI」を提供しており、氏名や生年月日を使って、各種リスクデータベース(以下、リスクDB)で検索・参照し、該当者らしき人物が検索ヒットするか否かをスピードチェックするサービスを提供しています。具体的には、以下のような定義文を設定することで反社チェックを実施しています。
また、2022年からは金融犯罪リスクのデータベースと検出技術に強みを持つパートナー企業とのシステム連携も開始しており、外国PEPsや米国OFAC規制、経済制裁措置における対象者リスト等のグローバルリスクチェック対応が可能となっています。
住所確認
該当の法人が、申請している住所でリアルな事業を行っているか、郵便物が届くかどうかで確認するという作業もあります。そもそも、法人登録を行う際は各種書類を法務局へ提出することになりますが、住所含めた記載事項が正しいか否かの厳密なチェックはありません。もちろん、記載様式に準拠しているか否かの確認はなされますが、それが実態に即しているかは確認し得ないことになっています。
よって、ダミー住所による架空法人を設立すること自体は実は難しいことではなく、オフィスがきちんと稼働しているか否かは、往復はがき等による住所確認が、一つの有効な手段となります。
これに対してTRUSTDOCKではハガキを用いて、申請住所が実在するかのチェック機能を提供しています。それぞれ郵送事業者とAPI連携しているからこそ、スムーズな郵送業務を行なうことができます。
なお、郵便到達の確認方法としてアクティベーションコードの併用も可能となっており、郵送物の中にアクティベーションコードを埋め込むことで、利用者が郵便受け取り後、即時にアカウント開設ができるように設計することも可能です。なおこの場合、アクティベーションコードを失念したり紛失する等のリスクがある点には留意が必要です。
さらなる強化が求められる「継続的顧客管理」
もう一つ、金融業界におけるeKYCを考える上で欠かせないトピックが「継続的顧客管理」です。2021年8月末に「FATF第4次対日相互審査報告書」が公表され、日本が「強化(重点)フォローアップ国」という評価が下されたことで、金融機関におけるリスク評価・取引モニタリングや顧客管理の方針、社内の周知などの体制構築を含めた「継続的顧客管理措置」が重要なアクションとなっているのです。
そもそも今回の対日相互審査は2019年に実施されたもので、2012年2月に改訂された「40の勧告」と、2013年2月に公表されたメソドロジーに基づいて行われました。具体的には、それまでの相互審査(第3次まで)で行われていた、40の勧告の各項目に沿った法令整備状況の審査(Technical Compliance)と、メソドロジーが定める11項目の短期的目標の有効性の審査(Effectiveness)を組み合わせた内容となっています。
その結果である強化フォローアップ国とは、3段階中の2番目の評価に該当し、5年後のフォローアップ評価の前に、計3回のフォローアップ報告が必要とされています。具体的な報告内容については、財務省にて概要部分の邦訳が出ている他、「金融機関等における予防的措置」及び「金融機関等に対する監督」にかかる関連記述部分の仮訳については、いずれも金融庁から公表されています。
リスクベースアプローチとCRM的管理の重要性
FATF第4次対日相互審査結果への対応を進める上で、「リスクベースアプローチ」という考え方を知っておく必要があるでしょう。これは、リスクを特定して適切に評価をし、リスクそのものを低減するというPDCAサイクルを指します。FATFの40の勧告には、日々発生する膨大な量の取引のモニタリングやスコアリング等はもとより、顧客に関して定期健康診断のような位置付けで継続的な管理を行うこと、その上で疑わしい取引や取り組みなどの報告・共有といったアクションへの取り組みの思想がベースにあるわけです。
これに対して金融庁では、2018年に金融機関に対して口座の名義人の確認を求める「マネー・ローンダリング及びテロ資金供与対策に関するガイドライン」を策定し、このリスクベースアプローチへの取り組みを強力にプッシュしてきました。また2021年5月には、ガイドラインで対応を求めている事項に対する完了期限を「2024年3月」までと定め、上記を遵守する体制を整備することを、各業界団体を通じて要請しています。つまり、あらゆる金融機関にとってリスクベースアプローチによる業務プロセス構築は、重要なタスクであることが明確であり、恒久的な対応が急務となっているのです。この辺りの詳細については、以下の解説セミナーレポートで詳しく説明しているので、ぜひ併せてご覧ください。
▶︎2022年4月金融庁公表「AML/CFT対策の現状と課題」の解説セミナーレポート
そして、このリスクベースアプローチの中でも特に重要な考え方が、人の管理にまつわる「継続的顧客管理」であると、TRUSTDOCKでは考えています。
継続的顧客管理とは
継続的顧客管理とは、初回の契約開始時に限らず、契約期間中に継続的に本人確認等を実施し、顧客に関する情報を常に最新化・最適化することを指します。先述した金融庁ガイドラインでは、金融機関はリスク分類を行った後に、それぞれのリスクレベルに応じて顧客の取引時確認を行わなければならないことが明記されています。つまり、当人認証を通じて契約者の同一性確認を行ったうえで、本人特定事項に変更がないかのチェック・更新等を行っていくという流れが、継続的顧客管理の一般的な進め方になると言えます。
必須となるCRMの考え方
継続的顧客管理を実現するにあたっては、「CRM(Customer Relationship Management)」の考え方が不可欠です。CRMとは、顧客との関係性やコミュニケーションに関する様々な情報を一元的に管理し、様々な企業活動に生かしていくという考え方になります。
FATFが求める継続的顧客管理とは、まさにこのCRMを土台として構築すべき内容となります。例えばTRUSTDOCKでは、「TRUSTDOCK-CRM」と呼ばれるSalesforceベースのカスタマイズ性の高いCRMを提供しており、単発の本人確認ではなく、CRMシステムによる顧客管理機能を前提にすることで、より実効性のある継続的顧客管理の実現を可能にしています。
TRUSTDOCKでは、これまでAPIのみを通じて本人確認業務の依頼・返却を行っており、開発スキルがある事業者においては、カスタマイズしやすいAPI環境を構築してきました。一方でシステム開発が得意でない事業者にとっては導入ハードルが高いものになっていたからこそ、TRUSTDOCK-CRMというパッケージシステムの提供に至っております。TRUSTDOCK-CRMは、SalesforceなどのCRMの上に載せる本人確認の機能群があらかじめ搭載されているパッケージシステムなので、どの事業者・金融機関でも導入ハードルが低いものとなっています。
もちろん、自社ですでに別のCRMを活用されている場合は、その上に、先述したようなAPI群を載せて継続的顧客管理機能を実装することも可能となっています。
最適な本人確認機能の導入に向けて
本記事でも言及したとおり、金融業界におけるeKYC導入は様々な動向を背景に加速しています。その際に重要となるのは、どのような自社のリソース等に鑑みた「最適な本人確認機能」の導入です。過度に確認強度の高い手法を導入してもいけませんし、自社の体制が固まっていない段階で一方的にシステムを導入するのも得策ではないでしょう。
TRUSTDOCKでは、“本人確認のプロ”として、金融機関をはじめとする特定事業者はもちろん、それに限らない様々な企業のKYC関連業務をワンストップで支援するAPIソリューションおよびデジタル身分証を提供しています。また、本人確認業務に関して関係省庁や関連団体との連携も深めており、金融庁には業務内容の確認を、経済産業省とはRegTechについての意見交換を、さらに総務省のIoTサービス創 出支援事業においては本人確認業務の委託先として採択され、警察庁には犯収法準拠のeKYCの紹介等をといった取り組みも行っています。
本人確認業務のオンライン化を進める際は、ぜひお気軽にお問い合わせください。
また、eKYCソリューションの導入を検討されている企業の方々や、実際に導入プロジェクトを担当されている方々のために、TRUSTDOCKではPDF冊子「eKYC導入検討担当者のためのチェックリスト」を提供しております。eKYC導入までの検討フローや、運用設計を行う上で重要な検討項目等を、計12個のポイントにまとめていますので、こちらもぜひご活用ください。
さらに、最後にご紹介した継続的顧客管理については以下のホワイトペーパーで簡潔にポイントをまとめてお伝えしているので、こちらも併せてご確認ください。
なお、eKYCの詳細については以下の記事でも詳しく説明しているので、併せてご覧ください。
▶︎ eKYCとは?オンライン本人確認を徹底解説!メリット、事例、選定ポイント、最新トレンド等
(文・長岡武司)
