「KYCとは、銀行口座や暗号資産取引所口座を開設するとき等に必要となる“本人確認手続き”の総称」
「eKYCは、これらをオンラインで行う仕組みのこと」
KYCやeKYCについて調べてみると、このように金融業界特有の言葉として説明されているものが多いです。たしかに、古くからKYC業務を行ってきたのは金融業界であり、我が国では犯罪収益移転防止法に準拠する形で、マネーロンダリング等の犯罪を未然に防止するための厳格なKYCに関する規制が敷かれています。
一方で、KYCという言葉そのものには“意味のゆらぎ”があり、昨今のeKYC(後述、オンラインKYCのこと)サービスの普及も相まって、使う人によってその意味するところは変わってきていると言えます。
本記事では、最初にKYCの定義や考え方をお伝えした上で、犯罪収益移転防止法に準拠した「狭義なKYC」及び業界を横断した“概念”としての「広義なKYC」について解説し、各準拠法の概要やeKYC事例についてご紹介します。デジタルファーストな時代におけるKYCおよびeKYCのリテラシー向上の一助になれば幸いです。
KYCとは “Know Your Customer” の略で、直訳すると「顧客を知る」を意味します。冒頭にお伝えしたとおり、その意図するところは人によって変わりうるのが実態で、例えば古くからKYCを行ってきた金融業界では、「マネーロンダリング等を防止するために口座開設時に行う本人確認業務」のことを示す場合もあれば、「反社チェック等のバックグラウンドチェック」や「継続的な顧客管理」などを含めてKYCと表現する場合もあります。
このように「KYC」という言葉は、人や立場、もしくは業界によって“意味のゆらぎ”がある概念だと言えます。本記事ではこれらの現状を踏まえて、KYCとは「サービス提供にあたってサービス事業者が顧客確認(顧客の本人確認)を行うこと」であると定めて解説を進めます。また、昨今で導入が増えている「eKYC」(electronic Know Your Customer)については、「オンラインでKYCをすること」と定めます。そう考えると、相手方が本人であることを確認する手段である「本人確認」は、数あるKYCの方策の一つであると捉えるのが、現実に沿った考え方だと言えます。なお、KYCに関連して登場する「オンライン本人確認」や「デジタル本人確認」含め、本記事での定義をそれぞれまとめたものが以下となります。
ここで、本人確認について詳しく見ていきます。先述の通り、本人確認とは「相手方が本人であることを確認する手段」です。どんな場合であっても、本人でない第三者が勝手に手続きを進めてしまっては大問題ですよね。なりすまし等による犯罪やイタズラの被害を未然に防止するために、顧客と自社の双方にとって、本人確認作業は重要な業務フローとなります。
本人確認の対象には、「自然人」と「法人・人格のない社団又は財団」(以下、簡略的に「法人」と記載)が存在します。自然人とは、すなわち私たち人間のことで、そうでない事業体のことを法人と括っています。この自然人と法人という切り口は、元々は国際的な金融活動作業部会であるFATF(後述)による勧告で定義されたものですが、金融業に限らずあらゆる業界に該当する切り口といえるでしょう。
本記事では、主に自然人の本人確認を「本人確認」と表記し、そうでない場合を「法人確認」と表記して、以下のようなツリー構造で表現できる本人確認の全体像を解説していきます。
本人確認は、「身元確認(Identity Proofing & Verification)」と「当人認証(Authentication)」の組み合わせから成ります。
身元確認とは、利用者がアカウント登録をする際に「利用者が実在する本人である」ことをサービス提供者が確認するプロセスです。一方で当人認証とは、サービス利用者が間違いなく「あらかじめ登録された本人である」ことを、サービス提供者が確認するプロセスです。金融機関のサービスで考えると、銀行口座開設時の本人確認書類のチェックが身元確認に該当し、ATMで預金の引き出し等を行う際にキャッシュカードに紐ついた暗証番号を入力させて確認するのが当人認証に該当します。以下、それぞれについて詳しく見ていきましょう。
身元確認(Identity Proofing & Verification)には様々な手法が存在しますが、犯罪収益移転防止法に沿って考えると、大きく「郵送なしの手法(eKYC)」「郵送ありの手法」「公的個人認証」の3つに分類できます。いずれにおいても、公的身分証明書等の書類(ICカードに格納されている情報等を含む)を使って本人を特定できる情報(氏名や住所、生年月日等)をチェックしていきます。
「ホ」や「ヘ」などと書かれているのは、犯罪収益移転防止法 施行規則六条1項1号に記載されている全手法の表記記号です。全体としては以下の表に記載した手法が存在し、その中で特に多く利用されているものを上図に列挙しています。
| イ | 対面にて写真付き本人確認書類1点の提示 |
| ロ |
対面にて写真付き本人確認書類1点の提示 + 転送不要郵便物等による到達確認 |
| ハ | 対面にて本人確認書類2点の提示 |
| ニ |
対面にて写真付き本人確認書類1点の提示 + 住所記載の補完書類1点の送付 |
| ホ |
専用ソフトウェアにて、写真付き書類の写し1点(厚みその他の特徴&本人確認時に撮影されたもの)の送信 + 容貌(本人確認時に撮影されたもの)の送信 |
| ヘ |
専用ソフトウェアにて、写真付き・ICチップ付き本人確認書類のIC情報の送信 + 容貌(本人確認時に撮影されたもの)の送信 |
| ト |
専用ソフトウェアにて、写真付き書類の写し1点(厚みその他の特徴&本人確認時に撮影されたもの)の送信 or 写真付き・ICチップ付き本人確認書類のIC情報の送信の確認 + 銀行・クレジットカード情報との照合 or 既存銀行口座への振込 |
| チ |
本人確認書類の原本1点の送付 or 写真付き・ICチップ付き本人確認書類のIC情報の送信 or 写真付き書類の写し1点(厚みその他の特徴&本人確認時に撮影されたもの)の送信 + 転送不要郵便物等 |
| リ |
本人確認書類2点の送付 or 本人確認書類の写し1点+補完書類1点の送付 + 転送不要郵便物等 |
| ヌ |
給与振込口座の開設、または有価証券でマイナンバー済みの場合は本人確認書類の写し1点の送付 + 転送不要郵便物等 |
| ル | 本人限定郵便(受取時の確認書類は、写真付き本人確認書類である必要ありのもの) |
| ヲ | 電子証明書+電子署名 |
| ワ | 公的個人認証(電子署名) |
| カ | 特定認証業務の電子証明書+電子署名 |
以前は、郵送による手法が多く採用されていましたが、2018年11月の改正犯罪収益移転防止法の公布によって、既存の郵送処理に追加して新たなオンラインプロセスが定義されました。昨今のデジタル化の流れから、ユーザー側が郵送がないオンライン完結型の本人確認(eKYC)を好むこともあり、身元確認における郵送対応は減ってきています。
なお、身元確認には上記のような本人性の確認だけでなく、PEPs(政府等の要人やその家族)対応やCFT(テロ資金供与)対応といった、各種リスクに対応するための確認業務も含まれます。一般的に実施されている「反社チェック」も、このリスク確認業務の一環になると言えるでしょう。
当人認証(Authentication)についても、様々な手法が存在します。最も分かりやすく一般的になされているものは、「知識認証」と呼ばれる手法でしょう。例えばWebサイトのマイページへのログインの際に求められるID/パスワードや、パスワードを忘れた場合の「秘密の質問」などがこれに該当します。
この他にも、一意の携帯電話番号に対するSMS認証やクレジットカードのような物理的なカード番号を入力させるような「所有物認証」や、指紋や顔画像、虹彩といった個人の生体情報を使って認証を進める「生体認証」があります。
この「知識認証」「所有物認証」「生体認証」のうち、1つだけで認証することを「単要素認証」と表現します。一方で、例えばID/パスワードを入力した後にスマホを使ってSMS認証を行うなど、2つの要素を組み合わせて認証することを「2要素認証」と表現します(2つ以上の組み合わせを総称して「多要素認証」と表現します)。
昨今では、オンラインにおける情報セキュリティリスクが高まっているからこそ、あらゆるサービスで多要素認証を推奨する流れがあります。
ここまでご紹介した「身元確認」と「当人認証」ですが、いずれにも不正を防ぐ強度を示す「アシュアランスレベル(保証レベル)」が定義されています。
上図は、NIST(アメリカ国立標準技術研究所)によって定義されているデジタルアイデンティティフレームワーク(NIST SP 800-63-3)の考え方をまとめたものです。身元確認に対しては「IAL(Identity Assurance Level:身元確認保証レベル)」が、当人認証に対しては「AAL(Authentecation Assurance Level:当人認証保証レベル)」がそれぞれ定義されており、それぞれ3段階のレベル分けがなされています。本人確認全体の強度は、このIALとAALの組み合わせで変わるというわけです。
提供サービスへ本人確認を導入する際には、IALとAALそれぞれのアシュアランスレベルを理解し、レベルに応じた具体的な手法を意識することが肝要です。アシュアランスレベルは単純に「高くすればいい」というものでもなく、例えば高いIALで設計しても、サービス利用時のAALが不十分だと、結局はなりすましのリスクを高めてしまうでしょう。このように、サービス/取引等の目的に応じて身元確認および当人認証のアシュアランスレベルをアセスメントすることで、認証強度の強弱に関する「ものさし」として機能することになります。
こちらについては、政府が政府機関向けの基準として発行している「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」でも示されています。
ここまでは個人に対する本人確認の概要をお伝えしましたが、先述のとおり、法人を対象とする本人確認(法人確認)も犯罪収益移転防止法にて定義されています。
犯罪収益移転防止法に則った確認業務を考えると、以下の3業務に分類できます。
また、法律に限らずオペレーションとして実施されている法人確認を考えた場合、前述の法人や担当者の存在確認に加え、反社チェックなどもポイントとなります。以下はそれぞれの確認要素の概要を示した図であり、TRUSTDOCKでは各ニーズに応じたAPI機能を提供しています。
以下、それぞれの概要についてお伝えします。
「法人の存在確認」とは、取引相手となる法人が架空のものでないかを確認する作業です。これには様々な方法がありますが、最も簡単な確認方法としては、国税庁法人番号公表サイトでの検索によるチェックが挙げられます。同サイトでは、対象企業の商号又は名称、本店又は主たる事務所の所在地、法人番号による検索が可能で、検索結果画面ではこの基本3情報に加え、変更履歴情報等も確認することができます。
一方で、上記のような基本情報だけでは、本当に実稼働している企業か否かを正確に判断するのは難しいです。これ以上の細かい情報、例えば資本金や事業目的、役員名などを確認したい場合は、一般社団法人民事法務協会が提供する「登記情報提供サービス」や東京商工リサーチ、帝国データバンクといった与信管理等を行う情報団体の有料資料を確認する方法もあります。
また、存在確認を行うべきは法人のみならず、契約等を進める担当者も然りです。担当者が本当に存在する人間なのか、またその組織に所属しているメンバーなのかを確認する「個人eKYC」を実施することで、詐欺による偽装や企業名義の悪用等を防ぎます。なお、手続きをしている人が代表者本人ではない場合などは、個人eKYCだけでなく、法人手続きにあたっての委任状を持っているかの確認も必要になります。
一般的には、法人および担当者の存在確認と合わせて、その法人や所属するメンバーのリスクの確認も合わせて行うケースが多いです。こちらにも様々な方法がありますが、多くの企業では以下のソースを組み合わせてリスク確認をし、各社のルール等に沿った対応を実施しています。
「住所確認」についてもその名の通り、その法人が申請している住所(本社所在地等)でリアルな郵便物が届くかどうかの確認作業です。
法人登録を行う際は各種書類を法務局へ提出することになりますが、実は住所含む記載事項が“正しいか否か”の厳密なチェックは実施されていません。もちろん、記載様式に準拠しているか否かの確認はなされますが、それが実態に即しているかは確認し得ないことになっています。よって、例えばダミーの住所による架空法人を設立すること自体は実は難しいことではありません。
オフィスがきちんと稼働しているか否かは、往復はがき等による住所確認が一つの有効な手段となります。
ここまでは一般的な企業における法人確認内容について見てきましたが、犯罪収益移転防止法の規制対象となる以下14事業者が該当する「特定事業者」については、より厳密な手法での法人確認が、法定要件として明確に定義されています。
具体的には、通常の取引かハイリスク取引かによって、以下の「取引時確認」が求められています。
《顧客に対する通常の特定取引》
《顧客に対するハイリスク取引》
※本人特定事項および実質的支配者については、通常の特定取引よりも厳格な方法で確認することとされています
各用語の説明やその詳細については以下の記事で詳しく解説しているので、ぜひ併せてご確認ください。
▶︎犯罪収益移転防止法で定められる「法人の本人確認」とは?法概要とeKYCソリューション例について解説
冒頭で「犯罪収益移転防止法に準拠した『狭義なKYC』及び業界を横断した“概念”としての『広義なKYC』」という表現をしましたとおり、狭義なKYCを語る上で、最もベースとなる準拠法の一つが「犯罪収益移転防止法」です。これは、2007年3月に成立・公布された法律で、金融機関等の取引時確認や取引記録等の保存、疑わしい取引の届出義務など、マネーロンダリング及びテロ資金供与対策(以下、AML/CFT)のための規制を定めたものとなります。ここでは犯罪収益移転防止法の歴史を振り返りながら、昨今で増えているeKYCの特徴やメリットを解説していきます。
犯罪収益移転防止法成立の背景にあるのは、政府間タスクフォースである「金融活動作業部会」、通称“FATF”(Financial Action Task Force、読み方:ファトフ)の存在です。マネーロンダリング対策における国際協調を推進するために1989年に組織された団体であり、現在はOECD加盟国を中心とする37の国と地域および2つの国際機関(欧州委員会(EC)、湾岸協力理事会(GCC))が参加。AML/CFTの国際基準となる「40の勧告」(通称:FATF勧告)を策定し、その遵守を求める活動等を行っています。このような国際的動向を受け、今日に至るまで複数回の改正を経て特定事業者(※)への規制強化を進めているのが、犯罪収益移転防止法というわけです。
犯罪収益移転防止法では、自然人の場合は「氏名、住所、生年月日」が、法人の場合は「名称および本店または主たる事業所の所在地」が、それぞれ本人特定事項として列挙されています。
この犯罪収益移転防止法において、eKYCの導入が爆発的に増加するきっかけとなったのが、2018年11月の法改正です。そこでのポイントは、本人確認における新プロセスの定義にありました。
それまで本人確認といえば、基本的には対面による本人確認書類の提示、または非対面の場合における「写真付き本人確認書類の写し送付+転送不要郵便」が中心となるプロセスでした。しかしこれでは、昨今のインターネットネイティブな各種サービスと比較すると、サービス提供に向けては圧倒的にスピードの面で遅れが生じてしまいます。例えば身分証の確認による個人身元確認業務と反社チェック等のリスク確認業務といった各審査が1日で終わったとしても、郵便による住所確認によって、追加で1〜2日、土日を挟んだら3〜4日ほどの時間が、口座開設までにかかってしまいます。テクノロジーの進化に伴って様々な業務がDXを遂げる中、規制が枷となってFintechサービスをはじめとするイノベーションが阻害されてしまっている状況でした。
これに対応する形で公布された2018年11月の「改正犯罪収益移転防止法」(2020年4月1日より施行)では、個人身元確認業務において郵便を送るというプロセスが不要になり、代わりに以下の「ホ」「ヘ」「ト」「ワ」のように、提出者の容貌確認などの当人確認要件が追加されることになりました。
つまりこのタイミングで、時間のかかる郵送手続きなく、ユーザーが自身のスマートフォン等を使うことで必要な契約を先に進めることができる「eKYC」が法的要件として追加されることになりました。犯罪収益移転防止法については、以下の記事で詳しく解説しているので、併せてご覧ください。
▶︎犯収法(犯罪収益移転防止法)とは?各専門用語の意味や注意点から、定義されているeKYC手法まで詳しく解説
eKYCが導入されると、生活者としては以下のようなメリットを享受できると言えます。
まずは、本人確認を進めるための物理的な場所の制約がなくなり、手間がかからなくなることが挙げられます。例えば郵送で本人確認を実施するには、本人確認書類のコピーを用意し、ポストに投函した上で数日、長い場合は一週間以上待たなければなりません。また店舗等に出向いての対面による本人確認でも、すぐにサービスを利用したい顧客にとっては開店時間に行かなければならないなど大きな手間となるでしょう。
eKYCを導入すると、このような手間がかからず、早ければ即時にオンラインで本人確認が完了するため、顧客の負担を大きく軽減できます。
また、サービスをすぐに利用できるようになる点も大きなメリットと言えます。本人確認が必要なサービスを利用する場合、顧客は本人確認の手続きが終わるまではサービスを利用できません。eKYCが導入されたサービスであれば本人確認がすぐに終わるので、顧客はサービスを利用したいタイミングですぐに利用を開始できます。
次回以降もeKYCを利用したいと思う理由(「オンライン本人確認(eKYC)に関する利用実態調査」より)
現に、先ほどご紹介したTRUSTDOCKとMMD研究所が2021年9月に発表した調査結果においても、次回以降もeKYCを利用したいと思う理由として挙げられた要因の上位に、「ネット上で完結できたから」「便利だったから」「時短になったから」などが挙がっています。
生活者だけでなく、サービス提供事業者のメリットも大きいです。具体的には、下記の3点が事業者メリットとして挙げられます。
eKYC導入のメリットとして、まずはじめにお伝えしたいことは、申込の離脱防止につながることです。生活者のメリットで解説したとおり、これまでの本人確認はサービスをすぐに使えない、面倒な郵送の手間がかかるなど、顧客にとってストレスの多いものでした。ストレスがかかると一部の顧客は離脱してしまいます。eKYCを導入すると、これらの顧客にとってのペインを解消できる上に申込をスムーズに行うことができるので、顧客の離脱率低減に貢献します。
またeKYCの導入により、本人確認書類の郵送やその確認など、本人確認に要していた煩雑な業務・オペレーションを大幅に減らすことができるため、ペーパーレス化や本人確認にまつわる業務効率化につながります。自社内で本人確認業務を行う場合、そこに対する適切な人員配置が必要となります。書類の扱いに関するオペレーション教育はもとより、ユーザー登録者数の増減に合わせたシフト管理等が必要となるため、それらの工数も含めた人員および管理コストの削減が見込めます。また郵送費用の削減にも貢献するでしょう。
さらにeKYCは、本人確認にまつわるセキュリティレベルの向上に寄与することも期待されます。店舗でスタッフが本人確認書類を確認する場合、偽造の身分証などを見抜きにくいことや、アルバイトなど多くのスタッフもお客様の個人情報に簡単に知り得ることなどの状況があり、対面であっても本人確認はWebやアプリを通してオンライン化するケースもあります。また、eKYCはペーパーレス化にもなり、個人情報の管理レベルを上げることにも繋がります。
それでは、eKYCとは具体的にどのように進めていくのでしょうか。ここでは改正犯罪収益移転防止法(2018年11月公布・2020年4月1日施行)において、郵送不要の新手法として定義された「ホ」「ヘ」「ト」および公的個人認証サービスを活用する「ワ」の要件について解説します。
「ホ」では、顧客から写真付き本人確認書類画像と、本人の容貌画像の送信を受ける方法が定められています。必要となるのは、写真付き本人確認書類の写し画像1点と、本人の容貌を撮影した画像データ1点です。
いずれの場合も、身分証等の“原本”を直接撮影したものを、原則として“撮影後直ちに送信”させる必要があります。よって、例えばあらかじめスマホのカメラロール等に入っている運転免許証画像をアップロードするのはNGですし、運転免許証をコピーした紙を撮影するのもNGです。
また身分証については、ただ表裏を撮影するのではなく、その身分証が原本であることを示す特徴、例えば運転免許証の場合は厚みだったり、パスポートの場合はホログラムだったりを含めて写す必要があるとされています。
具体的な使い方については、以下の動画をご覧ください。
なお、昨今ではAI等の技術進歩が著しいわけですが、機械のみで本人確認書類が真正なものであることを100%担保するのは、まだまだ不可能な状況です。よって、目視による確認は引き続き有効であると言えます。TRUSTDOCKでも、ご契約プランによっては、本人確認書類を目視でチェックするフローを組むことが可能です。
「ワ」とは、顧客のマイナンバーカードにあるICチップをスマートフォンで読み取り、J-LIS(地方公共団体情報システム機構)が提供する公的個人認証サービス(JPKI)を用いることで本人確認を完了する方法です。
J-LISとは「地方公共団体情報システム機構」のことで、同機構が提供する公的個人認証サービスは、ネット上での本人確認に必要な電子証明書を、住民基本台帳に記載されている希望者に対して無料で提供するサービスのことです。これは、電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律第17条第1項第6号の規定に基づく総務大臣認定事業者のみ利用が可能となっています。
マイナンバーカードの浸透は行政DXの一丁目一番地であり、2023年11月末時点で約9,711万枚(人口に対する交付枚数は約77.4%)の交付が完了していること、また運転免許証を超えたことから、いよいよマイナンバーカードが本人確認書類として使われる時期に突入してきたと言えます。TRUSTDOCKとMMD研究所による2023年10月発表の調査結果でも、eKYC実施時に利用したことのある身分証明書としてマイナンバーカードが最多となりました。
eKYC実施時に利用したことのある身分証明書(「オンライン本人確認eKYC調査レポート2023」より)
「ワ」の要件では、利用者クライアントソフトおよびICカードの読み取り専用デバイス、もしくは読み取り対応スマートフォンアプリを通じて、マイナンバーカードへの電子証明書の記録を行い、その上で公的個人認証サービスを通じてオンライン本人確認を完了させるという流れになります。
スマートフォンアプリへの組み込みなど事業者に取って導入のハードルが高い要件ではありますが、代案としてはTRUSTDOCKが提供するアプリをユーザーにお使いいただくことで、およそ10秒程度でeKYCができるようになります。マイナンバーカードを持っているユーザーであれば、本人確認書類の提出完了までのスピードが最も早く、セキュリティ対策も高い手段となっています。
2023年6月に閣議決定された「デジタル社会の実現に向けた重点計画」では、今後、犯罪収益移転防止法および携帯電話不正利用防止法に基づく本人確認手法は、カードの公的個人認証に原則一本化するとの内容も含まれており、今後さらに活用されることが想定されています。
ホとワの比較
|
公的個人認証 |
eKYC:ホ | |
| 手法の概要 | ICチップの電子証明書を利用 | 身分証と容貌の撮影 |
|
対応する |
マイナンバーカードのみ |
写真付き身分証明証:7点 |
| 顧客の所要時間 | 約20秒 | 約60秒 |
| 審査時間 | 即時 |
数時間〜数日 |
また利用者からの反応を見てみても、今後のeKYC実施時において最も利用したい手法として「ワ」が過半数を超える結果となりました。
理由としては以下のような内容が集計されたことから、使いやすさや実施スピード等の観点で人気が高まっていることが伺えます。
なお、公的個人認証については以下の記事で詳細に解説しているので、こちらも併せてご確認ください。
▶︎公的個人認証サービスとは?「ICチップ読み取り型eKYC」が主流になるミライに向けたトレンドを解説
「へ」とは、運転免許証等写真付き本人確認書類にあるICチップ情報と、本人の容貌画像の送信を受ける方法です。必要となるのは、身分証等に埋め込まれたICチップ情報と、本人の容貌を撮影した画像データ1点です。
普段は意識しないICチップですが、実は運転免許証であれば真ん中付近に埋め込まれており、NFC等の無線通信技術を使って、ICチップの中にある氏名・住所・生年月日・性別・写真情報等を読み込むことになります。
運転免許証の場合、その取得時に設定したピンコード(暗証番号)を入力する必要があるので、忘れているケースも多いのですが、一方で原本の違法コピー等によるリスクも回避できることから、より安全・安心に配慮した手法であるとも言えるでしょう。
「ト」とは、顧客から本人確認書類の画像またはICチップ情報の送信を受け、併せて銀行等の金融機関もしくはクレジットカード会社に本人特定事項を確認済みであることを確認するという方法です。
必要となるのは、写真付き書類の写しデータ1点か身分証等に埋め込まれたICチップ情報、および銀行・クレジットカード情報との照合確認か既存銀行口座への振込確認です。金融機関との連携が必要となる点が、これまでと異なります。
こちらは、銀行に登録してある情報(氏名・生年月日・住所等のデータ)が最新のものへと更新されている必要があり、また銀行のオンラインバンキングサービスでアカウントを開設している必要もあります。その上でさらに、認証プロセスでは該当のオンラインバンキングサービスのログインIDとパスワードを使用するので、これをしっかりと覚えている必要もあります。
以上の点が本人確認時のタイミングで滞りなく準備されていることが、「ト」の必要要件となります。事業者側としては、古物やクラウドファンディングなど、顧客に入金する必要があるサービスでは、銀行口座確認と本人確認が一度にできるメリットがあり、今後特定業種において広がりを見せることを期待しています。
ここまで見てきた、法規制により本人確認の方法含めた定義がなされている業種に対して、確認方法が定められていない法律の規制を受ける事業者や、業界団体および自社による自主確認としての本人確認を実施している事業者のようなケースも多く存在します。このような事業者に対しては、以下のように、より認証強度を低くした“より簡便な”eKYC手法がよく使われます。
TRUSTDOCKのeKYCソリューションでは、本人確認書類(表・裏)の画像の送信や本人の容貌を撮影した画像データの送信など、必要な情報の送信を任意の設計で受けることができる仕様となっています。
※お使いのサービスに合わせる形で、処理画面を作成いただく形になります
法令等で本人確認の定めのない事業者は多岐に亘ります。ここに記載した通り、不動産や公営ギャンブル、各種シェアリングエコノミー等のCtoCサービス、副業等の人材関連サービスなど、様々な事業が“広義なeKYC”の導入を進めている状況です。
ここまで狭義なKYCと広義なKYCについてそれぞれ説明していきましたが、それらの考え方と今後の方向性について分かりやすく示したものが、2023年3月20日に一般社団法人OpenIDファウンデーション・ジャパン(以下、OIDF-J)より公表された「民間事業者向けデジタル本人確認ガイドライン」(以下、民間ガイドライン)です。
こちらは、自社サービスの特徴に応じた本人確認手法を選択するためのガイドブックとしての活用を想定して作成されたもので、本人確認の導入・選択に必要な基礎知識のまとめや、本人確認手法の特徴の整理、さらにはマイナンバーカードや本人確認を巡る最新動向等をはじめとした内容が盛り込まれたホワイトペーパーとなっています。全部で240ページ以上にものぼる大作なのですが、その中でも特に重要な箇所が以下のスライドと言えます。
画像出典:OIDF-J「民間事業者向けデジタル本人確認ガイドライン」p13
本人確認における特定の法令等が存在する業界、いわゆる狭義なKYCが求められる業界が、図中の左の濃い楕円図で表現されています。一方で、図の真ん中にあるようにすでに自主的に本人確認を導入しているサービス事業者や、図の右側矢印部分にあるように、これからの導入を検討しているサービス事業者が、いわゆる広義なKYCの活用を求めている業界と言えます。
サービス事業者数としては後者2属性の方が圧倒的に多くなるのですが、法令等で本人確認の定めがないサービス事業者は、現状においては対応すべき本人確認手法が明確に存在しないことから、不必要に厳格な本人確認手法を選択する等の過剰対応や、本人確認の導入そのものを断念するケースが見受けられます。特に後者の場合は不正リスクの増大が懸念されるなど、全体として改善すべきサイクルができていることから、法令等で本人確認の定めがないサービスにおいても横断的な指針となるようなガイドラインが求められており、その役割を担うものとして本ガイドラインが策定されました。
この民間ガイドラインの詳しい内容については、以下の記事で解説しているので併せてご覧ください。
▶︎民間事業者向けデジタル本人確認ガイドラインとは?対象や目的などポイントを解説
それでは、具体的なKYC/eKYC導入事例をご紹介していきます。ここでは、狭義なKYCの対象業種となる「金融業者(銀行・証券・保険)」「古物商(リユース・中古)」「通信事業者」と、広義なKYCの導入が積極化している「マッチングアプリ(インターネット異性紹介事業者)」「ベビーシッター/キッズシッター運営事業者」「カーシェア・ライドシェア事業者」「人材サービス提供事業者」について、それぞれご紹介していきます。
金融関連事業者には、銀行業をはじめ、証券業や貸金業、決済・送金事業者、それから暗号資産取引事業者などが挙げられます。先述のとおり、犯罪収益移転防止法によって本人確認要件が明確に決まっているので、どの対象事業者でも対面と非対面のいずれかのKYCが行われていることになります。
[対象業務]
特定業務
[確認項目]
取引時確認事項
こちらについては以下の導入事例があるので、ぜひご確認ください。
▶︎ライフネット生命がTRUSTDOCKのeKYCを選定・導入した理由とは
▶︎実装に限らず、法律の解釈含めて何でも相談できる。業登録完了に併せてeKYCを導入したSiiibo(シーボ)の事例
また、金融機関のeKYCについては以下の記事で解説しているので、こちらも併せてご確認ください。
▶︎金融機関が考えるべきeKYCとは?銀行・保険業界の犯収法からAML/CFT対策、法人確認まで詳しく解説
質屋や古物買取事業者は、「古物営業法」を根拠法として顧客の本人確認をすることが義務付けられています。古物営業法とは、盗品等の売買の防止や速やかな発見等を図るために制定された法律。マネーロンダリングの防止や企業の不正対策等を目的に、相手方の真偽を確認するべく、事業者による以下の本人確認業務の実施が明記されています。
[対象業務]
古物の買取業務(一万円以上)
[確認項目]
・申請時:対象者の住所、氏名、職業および年齢
・確認時:対象者の住所、氏名、年齢
特にオンラインでの買取サービス等が隆盛を極める中、アカウント開設者の本人確認はもちろんのこと、そのアカウント開設者と入金する口座の口座名義が一致しているか等も含め、一層の厳重な確認が必要になります。そんな中、本人確認時に利用者から提出される身分証画像について、犯罪収益移転防止法の法改正と同様、専用ソフトウェアによる真正性の担保と本人確認時の撮影証明を行う手法が追加されるなど、2018年10月施行の古物営業法の施行規則改正にてネット完結する取り組みが盛り込まれました。これによって、古物の買取業務におけるeKYC対応が可能になりました。
こちらについては以下の導入事例があるので、ぜひご確認ください。
▶︎ソフマップが語る、リユース買取時の本人確認「公的個人認証サービス」の導入効果
▶︎eKYC導入でBtoBオークションサービスの入会者数が約3倍に増加:BuySell Technologies様の事例
また、古物商のeKYCと古物営業法の詳細については以下の記事で解説しているので、こちらも併せてご確認ください。
▶︎古物×本人確認(eKYC)。古物営業法・犯収法に準じた本人確認のメリットやポイントを解説
いわゆる通信キャリアと呼ばれるMNO(移動体通信事業者)をはじめ、MVNO(仮想移動体通信事業者)や契約代理業者などの電気通信事業者は、「携帯電話不正利用防止法」を根拠法として顧客の本人確認をすることが義務付けられています。
携帯電話不正利用防止法とは、携帯音声通信事業者による契約者の管理体制の整備と促進、および携帯音声通信役務の不正な利用の防止を目的に制定された法律で、正式名称は「携帯音声通信事業者による契約者等の本人確認等及び携帯音声通信役務の不正な利用の防止に関する法律」です。電話を使った振り込め詐欺や架空請求、国際ロマンス詐欺、特殊詐欺などの被害があとを絶たないことから、通話機能利用者のトレーサビリティ等を担保するべく、事業者による本人確認業務の実施が明記されています。
[対象業務]
・音声通信役務
・携帯通信役務
[確認項目]
・本人確認書類の確認(氏名、生年月日、現住所は記載されており、すべて有効期限内のもの)
・現住所がない本人確認書類の場合、あらかじめ印字されているか、ボールペンなど消せないもので記入されているものに限る
・住所の確認
・新規契約の顧客に親展(転送不要)にて「ご契約内容確認のお願い」の郵送
本人確認は、携帯電話の契約時、譲渡時、および貸与業者の貸与時に行われ、対面の場合は上述の本人確認書類原本の提示にて、非対面の場合は本人確認書類の写しの送付と転送不要郵便または書留郵便によって、それぞれ進められます。こちらも2020年4月1日に法改正がなされ、申し込み手続きがネットで完結できるeSIMや、キャリア直営の申し込みなどが促進されるなど、eKYCによる業務DXが期待されています。
こちらについては以下の導入事例があるので、ぜひご確認ください。
▶︎総務省認可の通信キャリア、コムスクエアが提供する「Call Tracker」と「VoiceX」に、犯罪収益移転防止法に対応した本人確認サービス「TRUSTDOCK」を導入実施
なお、通信事業者のeKYCの詳細については以下の記事で解説しているので、こちらも併せてご確認ください。
▶︎通信事業者で求められる本人確認要件とは?MNO・MVNO・契約代理業者等のeKYC活用方法を解説
出会いの選択肢としてここ数年での普及が急加速しているマッチングアプリを運営するインターネット異性紹介事業者には、ユーザーの年齢確認の実施(18歳以上か否か)が義務化されています。これは、出会い系サイト規制法(正式名称:インターネット異性紹介事業を利用して児童を誘引する行為の規制等に関する法律)に準拠したもので、具体的には、以下2点いずれかの手法をもっての確認が義務化されています。
[対象業務]
・異性等のマッチングサービス
[確認項目]
・本人確認書類1点
従来よりサイト運営事業者は“年齢確認”の名の下で公的身分証などの本人確認書類をWeb上にアップロードしてもらう形で確認していました。しかし昨今では、なりすましや身分証の偽造技術向上によって、本人確認業務の工数も増大しているからこそ、犯罪収益移転防止法に準拠するような、より複雑な本人確認フローを追加するケースも増えてきております。
こちらについては以下の導入事例があるので、ぜひご確認ください。
▶︎ユーザーの安全・安心が最重要。新マッチングアプリのローンチに併せてeKYCを導入したオミカレの事例
また、マッチングアプリ事業者のeKYCと出会い系サイト規制法の詳細については以下の記事で解説しているので、こちらも併せてご確認ください。
▶︎出会い系サイト規制法とは。マッチングアプリや婚活サイト事業者に必要な本人確認の要件を解説
コロナ禍を経て人々の興味関心がますます高まってきているのが、シェアリングエコノミー関連サービスと言えます。中でも特に厳格な本人確認へのニーズが高まっているのが、シッティングサービスです。
背景にあるのは、2020年5月に報道された、オンラインでのマッチング型ベビーシッターサービスで発生した児童への性犯罪。シッターの性的嗜好という、可視化が非常に難しい領域が大きな課題になっているからこそ、身分証等による個人身元確認作業や、犯罪歴およびメディア露出状況等によるリスク確認という、すでにある情報を最大限駆使して実施できる犯罪リスク対策の厳格化が、従来以上に求められています。
[対象業務]
・シッティングサービス
[確認項目]
・本人確認書類等
※事業者によりバラバラ
もちろんベビーシッターに限らず、家族の生活に寄り添うシェアリングサービスは全般的に、プラットフォーム上でサービスを提供する者と受け取る者、双方の“適切な”本人確認の必要性が高まっています。シェアリングエコノミー協会では、本人確認を含めて、安全にシェアリングエコノミー事業を運営しているかどうかを第三者機関として認定する「シェアリングエコノミー認証制度」を運営しています。
こちらについては以下の導入事例があるので、ぜひご確認ください。
▶︎家事代行アプリの本人確認をeKYCで実現:ベアーズ様事例
また、広がるシェアリングエコノミーとeKYCの関係については以下のイベントレポートでも言及されていますので、こちらも併せてご確認ください。
▶︎シェアリングと所有が循環する経済圏を考える 〜シェアウィーク2023レポート
カーシェアやライドシェア、さらにはシェアサイクルや電動キックボードシェア等のモビリティシェアリングサービスには、主に道路交通法・道路運送車両法における自動車・原動機付自転車が対象となる運転免許証の所持が必要なサービスと、それ以外のモペットを除く自転車(軽車両)等が対象となるサービスがあります。
運転免許証や年齢確認が必要なサービスでは、eKYCサービスを活用することで、スマホ等のデバイスを使ってオンライン上で本人確認を実施しています。
また、いずれの種類のサービスであっても、昨今ではCtoCのマッチングや取引を行うシェアリングサービスにおいて、利用者による不正やトラブル等を防ぐための安全・安心に向けた本人確認実施の必要性がさけばれています。eKYCサービスを活用することで、各サービスにフィットした本人確認強度をもって「どこのどなたがサービスを使ったか」という情報を把握し、有事の際にも迅速に対応することができるようになります。
こちらについては以下の導入事例があるので、ぜひご確認ください。
▶︎eKYCの導入が審査業務最適化の第一歩:DeNA SOMPO Mobility様 カーシェアサービス「エニカ(Anyca)」の事例
▶︎eKYCで免許証確認をスムーズに:OpenStreet様事例
また、カーシェア・ライドシェア事業者のeKYCについては以下の記事で解説しているので、こちらも併せてご確認ください。
▶︎カーシェア・ライドシェアで求められる本人確認要件とは?各業態に沿ったeKYC活用方法を解説
近年、ギグ・エコノミーな人材マッチングプレイスや短期バイトサービス、オンラインでの人材紹介・派遣サービスなど、様々なオンラインサービスが提供されている人材業界。こちらでは、労働基準法や児童福祉法、風営法に準拠した年齢基準を満たすための年齢チェックと、働き手の身元を明確にするという2つの目的で、eKYCが積極的に活用されています。
特に後者については、外国人労働者への在留資格チェックなどでも活用されています。外国人労働者数の増加が著しい昨今ですが、新型コロナの影響で求人や面接等における本人確認が非対面化・オンライン化している傾向があり、不法就労のリスクが高まっています。だからこそ、外国人労働者の雇用時のeKYCは、ますます重要性が増していくことが予想されます。
人材業界については以下の導入事例があるので、ぜひご確認ください。
▶︎個人情報を持たなくて良いのが最大のメリット。事業のスケールに向けてeKYCを導入したタイミーの事例
▶︎スキマバイトアプリの本人確認にeKYC:シェアフル様事例
また、人材業界のeKYCについては以下の記事群で解説しているので、こちらも併せてご確認ください。
▶︎人材業界で必要な「本人確認」と、高まる「eKYC」ニーズ。労働派遣法や労働基準法等からそれぞれ解説
eKYCの導入を進めるのは民間のサービス事業者だけではありません。中央官庁や自治体など、DX推進の取組が加速する行政領域でも積極的に導入が進められています。ここでは、主にマイナンバーカードを活用したeKYCの導入事例についてご紹介します。
農林水産省では、「eMAFF(読み方:イーマフ)」と呼ばれるオンラインポータルサービスを運営しており、同省が所管する法令に基づく申請や補助⾦・交付⾦の申請を、オンラインで⾏うことができるようになっています。このeMAFFを活用する際の本人確認フローに乗せる形で、TRUSTDOCKのデジタル身分証アプリを活用したeKYCが導入されています。
こちらの事例の詳細については以下の記事でも紹介しているので、ぜひご覧ください。
▶︎農林水産省がTRUSTDOCKのデジタル身分証アプリを導入した理由 〜金融DXサミットレポート前編
福島県田村市では、「たむらスマイルデジタル商品券」と呼ばれる、市内登録店で利用できるデジタル商品券を販売・展開されました(2022年12月31日をもって予定期間終了)。このデジタル商品券は田村市民以外でも購入・利用が可能なものとなっているのですが、市民限定の「付与型デジタル商品券」というものが用意されており、マイナンバーカードを取得して申し込んだ先着15,000名に4,000円分のデジタル商品券が付与されるようになっています。
この付与型デジタル商品券の申請において、TRUSTDOCKのデジタル身分証アプリを活用したマイナンバーカードによる公的個人認証の仕組みが導入されています。このように、市民に限定されているものや、重複での申請がNGなもの、申請に上限が設けられているような政策に対して有効な仕組みだと言えるでしょう。
※たむらスマイルデジタル商品券の詳細については以下の公式サイトをご覧ください。
https://smile-tamura.com/user/
続いてはパスワードレス認証での利用の事例です。大阪府豊能町では、「豊能スマートシティ戦略プロジェクト」の一環としてスマホアプリ「とよのんコンシェルジュ」を提供し、誰でも簡単に健康相談や見守り等のサービスを選べる環境を提供しています。とよのんコンシェルジュへのログインする際に、TRUSTDOCKのデジタル身分証アプリを活用するという取り組みを行っています。
具体的には、TRUSTDOCKのデジタル身分証アプリでアカウントを作成して本人確認を実施し、とよのんコンシェルジュへと連携することで、以降はとよのんコンシェルジュ利用時にいちいちパスワードを打たなくても済むようになるというものです。パスワードの紛失や漏洩によるトラブルが後を絶たない状況だからこそ、このような「パスワードレス認証」の仕組みへのニーズは、今後ますます増えていくことが想定されます。
※とよのんコンシェルジュの詳細については以下の豊能町ホームページをご覧ください。
https://www.town.toyono.osaka.jp/page/page005171.html
こちらはPoCの事例です。富山県では、県成長戦略が目指す県民のウェルビーイングの向上や、「幸せ人口1000万」の実現等を図るため、地域課題をデジタルソリューションで解決する事例を創出してビジネスモデルの構築につなげる「Digi-PoC TOYAMA(デジポックとやま)」実証実験プロジェクトを実施しています。
このDigi-PoC TOYAMAにおいて、県民向けアプリの連携をテーマに、デジタル身分証アプリによるアプリ毎のID等の統一およびデータ連携を進めました。PoCでは、デジタル身分証アプリを用いて複数のサービスにパスワードレスでログインできる環境を構築し、複数のサービスごとにIDを作成しなくても良いこと、パスワードレスでログインできること、デジタル身分証の作成プロセスなどについて意見を収集する取り組みを実施しています。
この他にも上画像にある通り、様々な自治体および行政機関においてデジタル身分証アプリを提供しています。それぞれの詳細については、2022年開催の公共DXフォーラムにおけるTRUSTDOCKセッションのレポート記事を併せてご参照ください。
▶︎マイナンバーカードで行政/自治体DXを加速〜公的個人認証・本人確認・電子署名の活用事例
また、自治体手続きにおけるKYCの詳細については以下の記事にて解説しているので、こちらも併せてご確認ください。
▶︎「行政手続ガイドライン」をはじめ自治体手続きにおける本人確認の課題を考える
以上、KYCおよびeKYCの解説でした。いかがでしたでしょうか。KYCと聞いて「金融関連サービスだけで必要な業務」だと思っていた方も、本記事を通じて、あらゆる業種業態に必要な安心・安全およびサービスのDXに向けたリテラシーであることがご理解いただけたでしょう。
2019年、我が国ではDFFT(Data Free Flow with Trust:信頼ある自由なデータ流通)を提唱したことで、オンライン環境を前提としたSociety5.0へのステップを加速度的に踏んでいく姿勢が改めて明示されました。その際に必要となるのは、法とコードの再構築を前提とした、あらゆるステークホルダーによる適切な安心・安全への情報基盤アーキテクチャです。金融業より発展してきたKYCが、次世代社会の基盤構築に活かせることは間違いありません。
TRUSTDOCKでは、“本人確認のプロ”として、金融機関をはじめとする特定事業者はもちろん、それに限らない様々な企業のKYC関連業務をワンストップで支援するAPIソリューションおよびデジタル身分証を提供しています。また、本人確認業務に関して関係省庁や関連団体との連携も深めており、金融庁には業務内容の確認を、経済産業省とはRegTechについての意見交換を、さらに総務省のIoTサービス創 出支援事業においては本人確認業務の委託先として採択され、警察庁には犯収法準拠のeKYCの紹介等をといった取り組みも行っています。本人確認業務のオンライン化でお困りの際は、ぜひお気軽にお問い合わせください。
また、eKYC事業者に特化してサービス概要や各種機能の実装有無、犯罪収益移転防止法の対応状況などを一表化してまとめた「eKYCソリューション完全比較表」も公開しています。
こちらにご興味のある読者の方は、こちらのeKYCソリューション完全比較表のダウンロードページよりご連絡いただけますと、担当より個別にご送付いたします。
なお、eKYCソリューションの導入を検討されている企業の方々や、実際に導入プロジェクトを担当されている方々のために、TRUSTDOCKではPDF冊子「eKYC導入検討担当者のためのチェックリスト」を提供しております。eKYC導入までの検討フローや、運用設計を行う上で重要な検討項目等を、計12個のポイントにまとめていますので、こちらもぜひご活用ください。
TRUSTDOCKでは、デジタル社会で不可欠な基盤となる「本人確認」について図解でわかりやすくまとめた書籍『60分でわかる!デジタル本人確認&KYC 超入門』(技術評論社)を、2023年7月15日(土)より全国の書店・オンライン書店で発売開始しました。
デジタル技術を活用した本人確認(デジタル本人確認)に関する基礎知識、マイナンバーカードを含む本人確認書類の特徴、セキュリティ問題などを整理し、公的利用や民間事業者の最新活用事例まで紹介していますので、ぜひ書店等でお手にとってご覧ください。
▼書籍概要
▼オンラインでの購入はこちらから
(文・長岡武司)