マイナンバーが鍵を握るFinTechと犯収法上の本人確認
# AML 印刷用ページ金融サービスを提供するFinTech企業が犯収法上の特定事業者に当たる場合、顧客の本人確認が必要となる。FinTech企業がオンラインで本人確認を行うためには、マイナンバーの公的個人認証サービスが有効だが、現時点でマイナンバーカードは十分に普及していない。本人確認をどう扱うべきか。FinTech協会監事が解説する。
- FinTech企業の落とし穴となる犯収法とマイナンバー
- FinTech企業がオンライン上で取引を完了させる方法
- マイナンバーの公的個人認証サービスの問題
- マイナンバーカードの普及を後押しするマイナポータル
FinTech企業の落とし穴となる犯収法とマイナンバー
2016年1月より、マイナンバーカードの交付およびいくつかの行政手続におけるマイナンバーの利用が始まった。日本におけるマイナンバーは、アメリカにおけるソーシャルセキュリティナンバーのように、今後、民間企業における様々な活動に影響を及ぼす可能性がある。
FinTech企業も例外ではなく、マイナンバーの影響をダイレクトに受ける。では具体的に、サービス提供にどのような影響があるのだろうか。
FinTechでも犯罪収益移転防止法上の本人確認が必須
現時点において、マイナンバーがFinTech企業に及ぼす影響として最も大きいと考えられるのは、本人確認(犯罪収益移転防止法(犯収法)上の取引時確認)との関係である(この問題は、マイナンバーの影響というよりも、「マイナンバーカード」の影響と言った方が正しい)。
FinTech企業が金融に関するサービスを行う限り、犯罪収益移転防止法上の「特定事業者」となり、顧客の本人確認が必須となる場面が多い。
FinTechの本人確認方法
本人確認には本人確認書類(免許証等)のチェックが必要になる。FinTechのように顧客との対面を予定していないオンライン上のサービスの場合、アップロードしてもらった本人確認書類の顧客住所に宛てて書留郵便等を転送不要郵便物で送付するか、申告住所に宅配事業者の本人確認サービスを利用して文書を送付しなければ、本人確認が完了しない。
このステップを要求されることで、主にオンライン上での利用のみを想定するFinTechサービスにおいては、新規顧客の申込みから一気通貫で初回取引までつなげることができず、また、余分なコストが発生することになってしまう。
顧客の利便性を高めてサービス拡大を図るFinTech企業にとって、この点がスキーム構築にあたり最大のボトルネックになることが多い。
FinTech企業がオンライン上で取引を完了させる方法
上記の問題点を解消して、オンライン上で新規顧客の取引までを完了させる方法としては、現時点で、大きく分けて2つの方法があり得る。
方法1. 銀行等が既に実施している本人確認を流用する方法
1つ目の方法は、銀行やクレジットカード会社が既に行っている本人確認に依拠する方法だ。
例えば、ネット証券会社を営む場合に、顧客からの入金に銀行の口座振替を用いるのであれば、銀行と事前に取り決めを実施して、銀行が既に実施している本人確認を流用することができる。
ただし、当該銀行の口座振替を利用する場合など、その利用範囲には限界があるし、銀行側で当然本人確認がなされているだろうという取扱いはできず、銀行との明確な合意が必要である。
方法2. マインバーカードの公的個人認証サービスを用いた方法
もう1つの方法は、マインバーカードを用いた公的個人認証サービスを利用する方法だ。
公的個人認証サービスとは、事業者と顧客とのオンライン上の取引において、他人による顧客なりすましやオンライン取引データの改ざん防止の機能を国が提供するものである。
このサービスは、マイナンバーカード上のICチップに搭載された、公的個人認証アプリを用いて行われる。
公的個人認証サービスでは、公開鍵暗号方式(PKI)を用い、なりすまし・改ざんの問題をクリアしている。
PKI自体は、通常の電子メールの送信等でも利用される確立した技術であり、詳しい解説は上記リンク先に譲るが、重要な点は、マイナンバーカードのICチップ内に、顧客の氏名・生年月日・住所等が記録された電子証明書が格納されているということだ。
この電子証明書は、顧客のオンライン上の電子署名に対応する印鑑証明書の役割を果たす。そして、この印鑑証明書には、地方公共団体側が本人確認を行ったうえで、その内容にお墨付きが与えられている。
事業者は、この電子証明書に記録された本人特定事項と顧客が送信してきた情報を突合し、同じ内容であると確認できれば、それをもって犯収法上の本人確認を完了とすることができる。
マイナンバーの公的個人認証サービスの問題
公的個人認証サービスを利用するためには、当該事業者または事業者が利用するプラットフォーム事業者が総務大臣の認定等を受ける必要があり、事業者側のwebサイト上でも相応の技術的対応が必要となる。
総務大臣の認定等を受けること自体は十分にクリア可能であり、FinTech企業がオンライン上で本人確認を完了させるためには、是非とも対応すべき問題であろう。
では、この公的個人認証サービスは、実際に利用可能だろうか。この点については、短期的にはなかなか難しいというのが結論であろう。差し当たり、考えられる現実的な問題が3点ある。
問題1. 顧客がマイナンバーカードを持っている必要がある
まず、第1にマイナンバーカードの普及だ。
当然のことだが、公的個人認証アプリはマイナンバーカードのICチップに搭載されている。そのため、FinTech企業の対象顧客がマイナンバーカードを保有している必要がある。この点が、公的個人認証サービスに関する最大の問題点である。
ただし、現在、国が総力を挙げてマイナンバーカードの普及に取り組んでおり、早期にマイナンバーカードが普及する可能性がないわけではない。
問題2. 顧客がICカードリーダーを持っている必要がある
第2の問題点は、ICのカードリーダーだ。
公開鍵暗号方式(PKI)で用いられる電子署名(暗号化)の機能を利用したり、電子証明書を送付するには、顧客のPCとICカードを通信させるための読み取り装置が必要だ。
現在、マイナンバーカードに対応したリーダーライターは各種発売されているが、FinTech企業側が顧客に「ICリーダーを購入してください」とお願いすることになってしまう。これはなかなか悩ましい問題だろう。
ただし、この点も、マイナンバーカードが本当に普及すれば、PC自体にマイナンバー読み取り機能が付いたものが早晩販売されていくことが十分に考えられる。また、総務省はスマホをパソコンに接続してICリーダーとして利用することも検討している。
問題3. 公的個人認証サービスがスマホに対応している必要がある
第3の問題は、スマホベースでのサービス提供ができるかという点だ。
FinTech企業は、多くの顧客がスマホでサービスを利用することを想定しているはずだが、公的個人認証サービスがPCのみをベースにするのであれば、その魅力は大きく失われると言わざるを得ない。
現時点では、公的個人認証サービスの利用はPCのみが想定されている。ただし、総務省もこの点の問題点を十分認識しており、スマホ単体での利用についての検討が進められているという。
マイナンバーカードの普及に期待
以上見てきたように、FinTech企業にとって、現時点・短期的視点では、公的個人認証サービスを大々的に利用することが難しいという状況にはある。
しかしながら、国際的な本人確認強化の流れが変わらない以上、いまのところ、オンライン上の本人確認の問題を抜本的に解決する方法は、公的個人認証サービスしか見当たらない。
そのため、マイナンバーカードの普及はFinTech企業にとっては追い風となるはずである。マイナンバーカードが普及しさえすれば、周りの環境は急速なスピードで調整される可能性があるだろう。
マイナンバーカードの普及を後押しするマイナポータル
マイナポータルとは、2017年から開始予定の、国民が自分のマイナンバー関連情報を管理することができるweb上のポータルサイトのことだ。
マイナポータルとは行政機関がマイナンバー(個人番号)の付いた自分の情報をいつ、どことやりとりしたのか確認できるほか、行政機関が保有する自分に関する情報や行政機関から自分に対しての必要なお知らせ情報等を自宅のパソコン等から確認できるもの。
– 内閣官房
マイナポータルに関する質問 | 内閣官房
国は、マイナンバーカード普及のための一つの手段として、このマイナポータルの一部を民間事業者に開放するとしており、提供できるサービスの提案を民間事業者から募っている。
例えば、保険会社から生命保険料控除証明書をポータル上で受け入れ、そのままe-TAXでの税金の申告に利用する、などの利用が検討されているようだ。
FinTech事業者側としては、このマイナポータルの利用を検討してみるのも面白いかもしれない。ただし、マイナポータルのログインにもマイナンバーカードとICカードリーダーが必要となる。
とにかく、鍵となるのはマイナンバーカードの普及だ。FinTech企業としては、中長期的な視点で、マイナンバーカードの普及状況や総務省の取り組みを注視する必要があるだろう。
寄稿
