デジタル庁の創設をはじめとするデジタルガバメント実現に向け、産官学さまざまな領域でのDXが進んでいます。その中で目下、具体的なアクションとして求められているのが「押印の見直し」です。これは民間企業はもちろん、中央官庁を含めた行政機関もです。
ここで、押印の見直しとセットで考えるべきは、押印を伴う手続のオンライン化であるとTRUSTDOCKは考えています。多くの自治体プロジェクトを拝見している中で、単純に押印見直しだけを行った場合とオンライン化とセットで進めた場合とでは、後者の方がより抜本的なDXを実現できていると感じています。
押印見直しだけを進めた場合に、どんなデメリットがあるのか。そして、オンライン化とセットで進めるためには、具体的にどうすれば良いのか。本記事では、押印見直しの背景を踏まえつつ、行政手続きのオンライン化で必須となる本人確認の考え方や、具体的な実装の進め方について解説します。
押印見直しの背景と、政府より求められていること
そもそも押印見直しの動きは、2020年のコロナ禍によって本格的となりました。それ以前も、業務における押印原則をはじめ、書面主義や対面主義といった商慣習を課題視する声は多かったものの、新型コロナウイルス感染症拡大に伴うテレワーク及びリモートワークの推進によって、その動きは急加速することとなりました。
押印手続の99.4%を廃止する見込み
2020年5月に開催された規制改革推進会議によって見直しの考えが提示されたことに始まり、「恒久的な制度的対応」として、河野太郎内閣府特命担当大臣より「どうしても押印を残さなければならない手続があれば、9月中にお届けいただき、それ以外のものについては速やかに廃止をする」という取り組み方針が、同年9月23日のデジタル改革関係閣僚会議で示されました。
その後、河野担当大臣は2020年11月13日に行った記者会見にて、民間から行政への手続、いわゆる「行政手続」の中で押印を求めるものが添付書類を含めると14,992種類あり、その中の14,909種類、つまりは99.4%を廃止する見込みであることを発表しました。ちなみに、認印については100%廃止となります。(押印を存続する方向で検討している行政手続83種類についてはこちら)
画像出典:行政手続の見直し方針の集計結果(内閣府「地方公共団体における押印見直しマニュアル」)
また、庁内の会計手続や人事手続といった「内部手続」についても、2020年4月1日時点で押印を求めるものが307種類あり、その中の248種類、つまりは80.8%を廃止する見込み、又は廃止の方向で検討することも示されています。
画像出典:法令等に基づくの内部手続の見直し状況(内閣府「地方公共団体における押印見直しマニュアル」)
これに付随して、内閣府からは2020年12月に「地方公共団体における押印見直しマニュアル」も提供されており、見直し作業を本格化させる自治体が相次ぐこととなりました。
押印見直しの手順:標準7ステップ
画像出典:内閣府発行「地方公共団体における押印見直しマニュアル」p16の「押印見直し手順のイメージ図」をもとにTRUSTDOCKが作成
上述したマニュアルでは、標準的な見直し手順として、上の7ステップが提示されています。要するに、押印見直しを進める意思統一と、そのための組織・チーム等を組成し、どのような流れで進めるのかの検討を庁内実態調査含めて行い、対応スコープが決定したらプロジェクトとして具体的に計画にして、優先順位に則って順次押印処理の廃止を行うという流れです。
特に庁内にはさまざまな手続きが組み込まれており、またPDCAをぐるぐると回していくような類のプロジェクトでもないため、すでに見直し実績のある自治体の取り組みを参考にしながら、手続の洗い出しや押印見直しの基準の設定、押印を廃止した場合の実現可能な代替手段などといった、3フェーズ目の「方針の策定」を丁寧に進めていくことが、押印見直し成功の鍵になると言えるでしょう。
行政手続における押印見直し基準
先ほど、押印見直しについて「恒久的な制度的対応」という表現をしましたが、これは2020年7月17日に閣議決定された「規制改革実施計画」で提示された文言です。「原則として全ての見直し対象手続について、恒久的な制度的対応として、年内に、規制改革推進会議が提示する基準に照らして順次、必要な検討を行い、法令、告示、通達等の改正やオンライン化を行う」ということで、具体的には以下図の(ⅰ)〜(ⅳ)の場合には、押印を求めないこととされました。
画像出典:行政手続の押印見直し基準の図解(内閣府「地方公共団体における押印見直しマニュアル」)
(ⅰ)法令の条文、省令・告示の様式のいずれにも押印を求める根拠がないものは、押印を求めない。
(ⅱ)省令・告示の様式のみに押印欄がある手続は、登記印・登録印を求めているなど特段の事情がない限り、基本的に押印を求める積極的意味合いが小さいと 考えられることから押印を求めない。
(ⅲ)法令の条文で押印を求めている手続や、省令・告示の様式のみに押印欄がある手続であって押印の種類、行政手続の内容・目的・趣旨に照らして、押印を求める積極的意味合いが大きいと認められる事情(合理的な理由があって登記印・登録印を求めている等)が認められる手続においても、押印が求められている趣旨に照らして押印を求める合理的理由が認められない場合は、押印を求めない。
(ⅳ)法令等の条文で押印を求めている手続であって、押印が求められている趣旨に照らして押印を求める合理的理由が認められる場合においても、他の手段により押印が求められる趣旨を代替可能なものは、押印を求めない
押印が求められている趣旨とは
上に挙げた図解の(b)部分にて「押印が求められている趣旨」との表現がありますが、これには以下の3点が考えられます。
※認印については、個人の認証としての効果は乏しいと言えるので、押印が求められている趣旨に対する効力が限定的であることに留意する必要があります
趣旨 | 留意事項 |
本人確認 (文書作成者の真正性担保) |
本人確認の手法は押印の他にも多数存在し、実印によらない押印は本人確認としての効果は大きくない |
文書作成の真意確認 | 本人確認がなされれば、通常の場合には押印は不要 |
文書内容の真正性の担保 | 文書の証拠価値は押印のみによって評価されるわけではなく手続全体として評価されるものである |
なお、マニュアルに記載されている「押印が求められている趣旨を代替する手段」としては、以下の方法が列挙されています。
- 継続的な関係がある者のeメールアドレスや既登録eメールアドレスからの提出
- 本人であることが確認されたeメールアドレスからの提出(本人であることの確認には別途本人確認書類のコピー等のメール送信を求めることなどが考えられる)
- ID/パスワード方式による認証
- 本人であることを確認するための書類(マイナンバーカード、運転免許証、法人の登記書類、個人・法人の印鑑証明書等)のコピーや写真のPDFでの添付
- 他の添付書類による本人確認
- 電話やウェブ会議等による本人確認
- 署名機能の付いた文書ソフトの活用(電子ペン等を用いたPDFへの自署機能の活用等)
- 実地調査等の機会における確認
本来的には「手続のオンライン化」と並行して考えるべき
上記は、押印という手段を代替する場合のソリューション例です。
一方で、より構造的に押印を「処理フロー」として捉えた場合には、本来的には手続そのものの「オンライン化」を並行して進めるべきだと、TRUSTDOCKは考えています。
そもそも行政手続については、この押印見直し以外にも、2019年2月時点で「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」が政府CIOポータルより提示されています。つまり、いずれは手続きのオンライン化も、検討を進めていく必要があります。その際、「誰一人取り残さないデジタル社会の実現」という、我が国のデジタルガバメントの基本理念を尊重した上で、地域住民のニーズを踏まえた代替手段が求められます。
そして、このオンライン化を進める際に重要となる概念が、先ほどもお伝えした「本人確認」となります。
本人確認とは
本人確認とは、一言でお伝えすると「その手続きを行っている人が本人かどうか」を確認するための作業のことです。昨今で問題になっている、なりすまし等による犯罪やイタズラの被害を最小限にするために、行政手続における本人確認は、重要な業務フローとなります。
この本人確認には、「自然人」と「法人・人格のない社団又は財団」という2つの対象(※)が存在するのですが、本記事では個人(自然人)を対象にした内容を前提に解説を進めます。
※この自然人と法人という切り口は、元々は、金融領域でのマネーロンダリング及びテロ資金供与対策(AML/CFT)のための規制を制定している、国際的な金融活動作業部会「FATF(ファトフ)」による勧告で定義されたもの
「身元確認」と「当人認証」
個人の本人確認は、大きく「身元確認」と「当人認証」に分化できます。身元確認とは書類によって個人を特定する属性情報を確認する作業のことで、当人認証とは、ログインや入室時などその時その場所にいて作業をしているのが本人であることを確認する作業となります。
身元確認の手段としては、公的身分証やその他の書類、そして他者への依拠という、主に3つが挙げられます。
- 公的身分証:マイナンバーカード、運転免許証 etc…
- その他の書類:住民票、公共料金の支払領収証 etc…
- 他者への依拠:身元確認して契約した契約者情報 etc…
また当人認証の手段としては、知覚認証、所有物認証、そして生体認証の、主に3つが挙げられます。
- 知覚認証:ID/パスワード、秘密の質問 etc…
- 所有物認証:物理的なカードやデバイス、契約 etc…
- 生体認証:顔や指紋などの各種整体情報
「IAL」と「AAL」
この身元確認と当人認証には、それぞれ国際的に標準規格化された保証レベルが存在します。それぞれ「IAL(Identity Assurance Level:身元確認保証レベル)」と、「AAL(Authenticator Assurance Level:当人認証保証レベル)」です。これは、アメリカ国立標準技術研究所(NIST)によって、それぞれ3段階のレベルで定義されています。
画像出典:各府省情報化統括責任者(CIO)連絡会議決定「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」
つまり、身元確認と当人認証にはそれぞれの保証レベルがあり、いずれかを組み合わせることで本人確認の強度を高めていくものだとご理解ください。
行政手続オンライン化の進め方
ここまで本人確認の概要をお伝えしましたが、行政手続のオンライン化を進める上では、まずはデジタル化を念頭に入れた対象手続きの業務改革(Business Process Re-engineering、以下:BPR)が必要となります。その上で、オンラインによる本人確認が必要であると判断されたものについて、そのリスク評価を行い、オンライン本人確認に必要な保証レベルを判定して、それに対応する本人確認手法の構築を行う、という流れになります。
STEP1. BPR
そもそもBPRとは、企業や行政組織のさまざまな業務プロセスを抜本的に改革する取り組みのことで、本来的に必要な業務のあり方を分析し、現状を可視化した上で、理想的な状態でリデザイン・再構築するアプローチを示します。
つまり行政手続のオンライン化プロジェクトでは、押印見直しの手順でもお伝えした通り、まずは庁内手続の洗い出しを行い、各手続についてそもそも個人に申請行為等を求めることが必要かどうか、バックオフィスで連携する等の代替手段がないか、業務フローの見直し等によるリスクの低減が可能であるかどうか、といった内容を検討する必要があります。
本人確認のオンライン化(eKYC)に伴う各種決め事は、その後の工程となります。
STEP2. リスク評価の実施
BPRの結果、オンラインによる本人確認が必要だと判断された手続については、それぞれのリスク評価を行います。
まずは申請者本人の何を確認することを目的としているのかを特定しましょう。具体的には、氏名や住所、資格、連絡先などです。また、本人ではない人が本人に代わって申請をする場合は、正当な代理権が付与されていることも確認する必要があるでしょう。
その上で、対象手続のオンライン化で想定される脅威について、リスク評価を行います。ここでいうリスクとは、ハッキングや不正アクセス、詐欺行為、悪意のある第三者によるシステム改竄、プライバシーの侵害、知財情報の参照など、さまざまです。「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」の巻末にある「付録A 認証方式の合理的な選択を目的としたリスク評価手法」の「7 各リスクの種類による影響どの導出」(25頁)を参照の上、手続ごとのリスク評価を行なっていきましょう。
STEP3. 各保証レベルの判定
リスク評価を行なったら、今度は先ほどお伝えしたIAL(身元確認保証レベル)とAAL(当人認証保証レベル)を判定します。STEP2で算出した各リスクの種類の影響度情報をもとに、それぞれのフローチャートでIAL1〜3、及びAAL1〜3を算出します。以下、ガイドライン掲載のフローズを転載します。
画像出典:NIST SP800-63-3のIALの選択概要図(各府省情報化統括責任者(CIO)連絡会議決定「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」)
画像出典:NIST SP800-63-3のAALの選択概要図(各府省情報化統括責任者(CIO)連絡会議決定「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」)
STEP4. 本人確認手法の選定と構築
最後に、選択したレベルに対応する本人確認手法の構築を行います。先ほど算出したIALおよびAALの内容に応じて、以下表の通り、レベルA〜Dの強度に応じたオンライン本人確認手法を検討していくことになります。
画像出典:保証レベルと手法例の対応付け(個人)(各府省情報化統括責任者(CIO)連絡会議決定「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」)
レベルBについては、例えばマイナンバーカード(公的個人認証:署名用電子証明書)による身元確認を実施した上でアカウント作成し、その上でマイナンバーカード、もしくはその他の多要素認証による当人認証を実施するなどが考えられます。ちなみに多要素認証としては、「ID/パスワード+二経路認証アプリ」や「ID/パスワード+ワンタイムパスワード生成アプリ」、「ID/パスワード+生体認証」といった内容が挙げられます。
またレベルAについては、マイナンバーカードによる身元確認でアカウントを作成し、アカウント作成後に、マイナンバーカードの耐タンパ性ハードウェアトークンによる当人認証を実施することが想定されています。「耐タンパ性」とは、要するに各種データなどの情報解析が困難な状態のことを示す用語で、耐タンパ性ハードウェアトークンの例としては、マイナンバーカードのようなICカードとPINナンバーの組み合わせが考えられます。
TRUSTDOCKでできること
TRUSTDOCKでは、レベルBに準じた手法として、犯罪収益移転防止法(以下、犯収法)に準拠したeKYCソリューションを提供しています。
「ホ」の要件
例えば最もシンプルな手法として、犯収法の非対面手法として定義されている「ホ」の要件、つまりは顧客から写真付き本人確認書類画像と、本人の容貌画像の送信を受ける方法が挙げられます。
必要となるのは、写真付き本人確認書類の写し画像1点と、本人の容貌を撮影した画像データ1点のみ。いずれの場合も、身分証等の“原本”を直接撮影したものを、原則として撮影後直ちに送信させる必要があるとされています。ですので、例えばあらかじめスマートフォン等のカメラロールに入っていた画像や、運転免許証をコピーした紙等を撮影してアップロードするのはNGとなっています。
ちなみに、TRUSTDOCK専用アプリおよびTRUSTDOCKアップローダー(WEB)においては、本人確認書類の表・裏の画像のみならず、カメラの前で書類を傾けるなどして厚み等を確認するなどの確認フローを設計しています。
「へ」の要件
また、顧客から写真付き本人確認書類のICチップ情報と、本人の容貌画像の送信を受けるという、「へ」の要件にも対応しています。
必要となるのは、運転免許証などの身分証に埋め込まれたICチップと、本人の容貌を撮影した画像データ1点です。こちらは、NFC等の無線通信技術を使って読み込むことになるのですが、TRUSTDOCKが提供しているデジタル身分証アプリを使うことで、カードをスマホにかざすだけでICチップ情報の読み取りを完了させることができます。
「ワ」の要件
上記に加えて、公的個人認証を用いた「ワ」の要件に対応するソリューションも、もちろん提供しています。
「ワ」の要件では、利用者クライアントソフトおよびICカードの読み取り専用デバイス、もしくは読み取り対応スマホアプリを通じて、マイナンバーカードへの電子証明書の記録を行い、その上で公的個人認証サービスを通じてオンライン本人確認を完了させるという流れになります。
専用デバイスを用意するなど利用ハードルが高い要件ではありますが、TRUSTDOCKのようにスマートフォンでマイナンバーカードが読み取れるアプリであれば、およそ10秒程度で郵送不要のeKYCができるため、マイナンバーカードを持っているユーザーにおいては対応完了までのスピードが最も速い手段となっています。
---
このように、マイナンバーカードはもちろん、運転免許証などのその他のさまざまな身分証や補助書類を活用する形で本人確認を実施できるので、押印の見直しを含めた行政手続のオンライン化を進めた場合でも、「誰一人取り残さないデジタル社会の実現」を体現する手続体系を構築することができると言えます。
オンライン化を進めると押印見直しも自動的に進む
以上の通り、BPRを伴う手続のオンライン化を進めていくことで、結果として押印の見直しも並行して進むケースが多くなることが、お分かりになったと思います。
もちろん、本記事であげた内容は、あくまでガイドラインに準拠した「標準的なプロセス」であって、実際に押印見直し+オンライン化を並行して進める場合は、個別の庁内事情に沿った進め方を十分に検討する必要があります。
TRUSTDOCKでは、“本人確認のプロ”として、これまで多数の企業の本人確認関連業務をワンストップで支援してまいりました。また、最近では福岡市やつくば市など、複数の自治体でのPoCも進めています。押印の見直しや手続のオンライン化、業務全般のDXでお困りの際は、ぜひお気軽にお問い合わせください。
また、eKYCソリューションの導入を検討されている企業の方々や、実際に導入プロジェクトを担当されている方々のために、TRUSTDOCKではPDF冊子「eKYC導入検討担当者のためのチェックリスト」を提供しております。eKYC導入までの検討フローや、運用設計を行う上で重要な検討項目等を、計12個のポイントにまとめていますので、こちらもぜひご活用ください。
なお、KYCやeKYCの詳細については、以下の記事も併せてご覧ください。
KYCとは?あらゆる業界に求められる「本人確認手続き」の最新情報を徹底解説
※2021年8月24日:2021年5月28日に金融庁より発表された「犯罪収益移転防止法におけるオンラインで完結可能な本人確認方法に関する金融機関向けQ&A」の内容に合わせて一部記事内容を修正
(文・長岡武司)