ニュース

eKYCとはなにか。ドコモ口座問題で注目を集める「本人確認」

2つの「本人確認」とeKYC

NTTドコモの決済サービス「ドコモ口座」の不正送金事件を端緒に、eKYCに注目が集まっている。eKYCは、オンラインの本人確認の仕組みで、国内では銀行口座開設を始めさまざまな領域で使われ始めている。そのeKYCに関して、フィンテック事業者で構成されるFinTech協会による勉強会が開催された。合わせて、ドコモ口座に関する質問にも回答した。

eKYCに関しては、以前詳細を説明しているが、2018年11月に犯罪収益移転防止法に「オンラインで完結する自然人の本人特定事項の確認方法」が追加され、対面や紙の書類を使わなくても本人確認が行えるようになった。KYC(Know Your Customer)は本人確認の仕組みで、それにe(electronic)が付与された、「電子的本人確認」といった機能だ。

「eKYC」ってなんだ? メルペイやLINE Payも対応した“本人確認”の進歩

一口に本人確認と言っても、「身元確認」と「当人認証」の2種類がある、と説明するのはTRUSTDOCK代表取締役・CEOの千葉孝浩氏。

例えばIDやパスワードでログインするのは「当人認証(Authentication)」で、その手法には本人だけが知っているパスワードなど、本人だけが持っている物理カードなど、本人であることを証明する生体情報などが利用される。

当人認証の例

それに対して身元確認はどこの誰か、を確認するためのものだ。これには公的身分証、公共料金支払いの領収書など、別会社が本人確認した情報などだ。一般的に「身分証明書」として使われるものや、今回のドコモ口座でも話題になった銀行口座への接続による本人確認も、銀行に依拠した身元確認だ。

身元確認の例

eKYCはさらに2つに分類でき、非対面、デジタル上で行なうKYCが広義のeKYCだが、犯罪収益移転防止法などで定められた、法規制に対応したeKYCが狭義のeKYCで、銀行などの金融、携帯、古物商など、規制産業ではそれぞれの規制に対応したeKYCが必要になる。

これまで、犯罪収益移転防止法には運転免許証などの本人確認書類の写し1点と転送不要郵便を使う手法や本人限定郵便などが本人確認として規定されていたが、2018年11月の改正で専用ソフトウェアを使って写真付き証明書と本人の要望を送信するeKYCの仕組みが規定された。ちなみに2020年4月の改正では、本人確認書類の送付について厳格化されている。

犯罪収益移転防止法は、直近2回の改正でeKYCと既存手法の厳格化という2つの変更が加えられている
非対面の本人確認は、eKYCと郵送ありの手法が規定されている

犯罪収益移転防止法に規定されたeKYCの手法はいくつかあるが、すでに多くの企業などが導入しているのが、専用アプリで写真付き証明書と容貌を撮影して送信する方法。証明書の偽造を判別し、厚みもチェックでき、リアルタイムに撮影した画像であることを証明できることなどが条件で、例えばLiquidのeKYCソリューションは今年8月6日の段階で55社が導入済み・または導入する予定となっている。

Liquidが提供するeKYCソリューションの導入事例。導入済みは37社

まだ対応は少ないが、運転免許証などのICチップをアプリで読み取り、容貌を撮影して送信する方法も規定されており、偽造が難しいICチップを活用するため簡単で安全性の高い手法だ。

TRUSTDOCKの身分証ICチップ読み取りのデモ動画

eKYCの広がり

eKYC導入事例の多くは銀行だが、証券会社、クレジットカード会社などに加え、古物営業法で規定された古物商、携帯電話不正利用防止法で規定された携帯キャリアなども導入している。

千葉氏によれば、法規制にない分野でも、オンラインでサービスを完結させるために不動産賃貸、公営ギャンブルなどで採用されているほか、利用者への安心安全のためにシェアリングエコノミーなどのC2Cサービスなどで導入されているという。

オンライン不動産売買におけるeKYC。従来の方法だと本人確認に1週間程度かかっていたが、eKYCなら遅くとも翌営業日には確認でき、郵送コストも削減できる。ユーザー側も本人限定郵便の受取のために在宅している必要もない
規制はないが、不正防止とリスクコントロールのためにC2CでeKYCを使う例

eKYCは、犯罪収益移転防止法などに規定され、安全性の高い方式とみなされている。日本では多様な方式をカバーしており、「他国に対して遅れていることもなくしっかり整備されている」と千葉氏。

ドコモ口座問題の課題とサービス全体のデザイン

ドコモ口座の事例でドコモ自身は、本人確認が不十分だったとして、今後eKYCを導入する意向を示している。もともと、銀行とそこに接続して送金や決済をするフィンテック事業者との連携には課題があった。

銀行の口座開設時は犯罪収益移転防止法規定の本人確認が必須だが、フィンテック事業者は特に規定がないため、メールアドレスのみの認証やSMS認証、eKYC、銀行依拠などの手法が混在。送金・出金・チャージといった場合は、銀行もフィンテック事業者もID・パスワードや口座番頭と暗証番号といった単一認証で済ませている場合もある。

ドコモ口座では銀行、ドコモ双方のセキュリティレベルが甘かったことが要因となったが、Liquidの代表取締役である長谷川敬起氏は、フィンテック事業者と銀行が協力して、堅牢な仕組みを構築していくことが肝要だと指摘する。

これは、単にセキュリティを高めるだけではない。法令順守は大前提だが、リスクに応じて確認手法を使い分けることがポイントだ。送金や出金時も、従来の単一認証ではなく、取引内容や金額、利用者の属性などを踏まえ、リスクに応じて複数の認証を組み合わせることが重要だという。

今回で言えば、ドコモ口座開設時にeKYCによる本人確認を行なうか、銀行側が決済サービスとの連携時にはより強固な認証を行なえば被害は防げた可能性が高い。取引額が大きい場合に強固な認証をするといった手法もあるだろう。

そもそもドコモ口座では「Web口振受付サービス」が活用された。これは基本的に信頼された振込先が口座から引き落とすためのサービスで、それ自体は利便性の高い仕組みだ。しかし、決済サービスにチャージをするという使い方は想定外のはずで、従来のセキュリティレベルとは異なるリスクベースの考え方が必要だった。

被害のなかった銀行は、ワンタイムパスワードを採用するなどセキュリティレベルを高めていたことが奏功した形で、ドコモ・銀行の双方がそうした認識を持つべきだった。

「各フィンテック事業者が銀行との協議でリスクに応じたセキュリティレベルで実施していくことが望ましい」(マネーフォワード執行役員・FinTech協会理事の神田潤一氏)。神田氏は、利用者の利便性とセキュリティのバランスを取ることが大事だが、そのバランスも議論を深めていくことが必要だと話す。

今回のドコモと被害銀行では、お互いのセキュリティレベルが相互に認識されておらず、サービス全体のセキュリティデザインが不足していたと言える。今後、更新系の銀行APIが普及すれば、より安全に決済やチャージができるようになる可能性もある。より安全性が高く、使いやすい決済サービスに向けて、フィンテック事業者も銀行も継続した取り組みを続けることが重要だろう。