話題のeKYC、どこまで理解できている?本人確認、身元確認、当人認証、IAL/AAL等、金融業界向けに解説

話題のeKYC、どこまで理解できている?本人確認、身元確認、当人認証、IAL/AAL等、金融業界向けに解説

印刷用ページ

【PR】ここ数年で飛躍的に耳にすることが多くなった「eKYC(electronic Know Your Customer、読み方:イー・ケイワイシー)」。オンラインで本人確認を実施することの総称として、特にコロナ禍以降でのニーズが急増している状況です。なぜここまで注目されるに至ったのか、そしてeKYCを導入することのメリットとは何なのか。その具体的なソリューションも含めて、日本で唯一のKYCの専門会社であるTRUSTDOCKが解説していきます。

  1. 犯罪収益移転防止法上の「本人確認」を理解する
  2. なぜみんな、本人確認をオンライン化したがるのか?
  3. 企業がeKYCを導入するメリット
  4. 求められる要件によって変わる、実際のeKYCの流れ
  5. 150以上のサービスの本人確認を支えるTRUSTDOCK
※本稿は記事内で株式会社TRUSTDOCKのサービスを紹介しております。

犯罪収益移転防止法上の「本人確認」を理解する

一般的な用語としてよく使われる「本人確認」ですが、金融業界が特に意識すべき犯罪収益移転防止法に鑑みると、以下のようなツリー図状の概念として整理することができます。

大きくは「自然人」に向けた本人確認と「法人(法人・人格のない社団又は財団)」に向けた本人確認に分けることができ、主に個人を対象とする前者(上図左下)については、さらに「身元確認」と「当人認証」に分けて考えることができます。

身元確認(Identity Proofing & Verification)とは

まず身元確認とは、個人を証明するような書類等を使って、名前や住所、生年月日をはじめとする個人を特定する属性情報を確認する作業のことです。上図のとおり身元確認では、マイナンバーカードや運転免許証などの一点だけ発行されている公的身分証はもとより、住民票や公的料金の支払領収書といった書類も活用されます。また、第三者が身元確認をして契約した契約者情報に依拠する形で本人確認がなされる、というケースも存在し、身元確認とひと言で言っても様々な手法が存在することが分かります。

当人認証(Authentication)とは

一方で当人認証とは、その時その場所にいて作業をしているのが本人であることを確認する作業となります。WEBサイトのマイページへのログインの際に求められるIDとパスワードなどは、「知識認証」と呼ばれる当人認証手段となります。この他にも、一意の携帯電話番号に対するSMS認証やクレジットカードのような物理的なカード番号を入力させるような「所有物認証」や、指紋や顔画像といった個人の生体情報を使って認証を進める「生体認証」があり、当人認証にもまた様々な手法が存在することが分かります。

ちなみに、上記のうち1つだけで認証することを「単要素認証」と言い、一方で例えばID/パスワードを入力した後にSMS認証も行うというような、2つ以上を組み合わせて認証することを「多要素認証」と言います。最近では、オンラインセキュリティの強化に併せて多要素認証を推奨する流れが主流だと言えます。

IALとAALの組み合わせが「本人確認の強度」を決める

ここまで見た身元確認と当人認証には、それぞれの強度を定量的に示す標準規格が存在します。それぞれIAL(Identity Assurance Level:身元確認保証レベル)とAAL(Authentecation Assurance Level:当人認証保証レベル)と呼ばれており、米NIST(アメリカ国立標準技術研究所)によって定義されているものです(NIST SP 800-63)。

このIALの確認強度とAALの認証強度をそれぞれ定めて組み合わせることで、本人確認全体の強度を決めるというのが、本人確認の世界における考え方となります。

なぜみんな、本人確認をオンライン化したがるのか?

ここまで本人確認の考え方について詳しくご紹介しましたが、これらのオペレーションは一昔前まで対面で実施されることが多く、例えば銀行口座を開設する場合は銀行の支店窓口まで直接行って手続きを行うことが一般的でした。しかし、近年ではそれらをオンラインへと切り替えていく機運が間違いなく高まっています。その理由には、大きく以下の2点があると考えています。

犯罪収益移転防止法の改正

一つ目は、2018年11月の犯罪収益移転防止法の改正です。その大きな改正内容は「本人確認における新プロセスの定義」にあり、郵便を送るというこれまで一般的だったプロセスが必須ではなくなり、新たに提出者の容貌確認などの当人確認要件が追加されることになりました。つまり、スマホなどの通信デバイスを用いて、非対面であっても必要な手続きを先に進めることができるようになったのです。

コロナ禍による非対面社会への対応

二つ目は、冒頭にもお伝えしたコロナ禍です。2020年に厚生労働省より、新型コロナウイルスを想定した「新しい生活様式」の実践例が公表されると同時に、各企業は業務および提供サービスの“非対面設計”を加速させることとなりました。

金融業界においても然りで、銀行口座・投信口座の開設手続きはもとより、住宅ローン手続きや個人・法人への融資手続き、取引開始後の継続的顧客管理などにおいて、従来の対面手続きではなく、スマホやPCブラウザ等を使ったオンライン手続きへと移行しています。もちろん、その際に行われる本人確認業務だけ対面のまま、というわけにはいきませんので、必然的にeKYCへのニーズが高まっている状況だと言えます。もちろん、既存業務のオンライン化だけでなく、デジタルバンキングのようなオンラインネイティブな金融サービスにおいても、eKYCは必須のツールであると言えます。

企業がeKYCを導入するメリット

企業がeKYCを導入するメリットと、顧客と事業者、それぞれに大きなメリットがあります。

顧客にとってのメリット

顧客にとって最も大きなメリットは、「サービスをすぐに手間なく利用できる」ことです。対面による本人確認の場合、どうしても店頭などに赴く必要があり、本人確認書類のチェックやコピーを行う必要があります。また対面でなく郵送対応の場合であっても、書面の郵送時間を加味する必要があり、サービス開始までに早くとも数日かかることが前提となります。このことは、TRUSTDOCKとMMD研究所が2021年8月に発表した調査結果からも、明確な顧客のペインとして現れていました。

これに対してeKYCを活用することで、よりストレスなくスピーディーにサービス利用開始できることが、顧客にとっての最大のメリットだと言えます。こちらについても、eKYCへの期待という点で同調査から明らかになっています。

事業者にとってのメリット

上述したように顧客のペインが解消されることになるので、事業者としては、顧客による申込の離脱防止につながります。また、eKYCを組み込むことで、例えば本人確認書類のチェックといった煩雑な手動オペレーションをなくすことができるので、ペーパーレス化や本人確認にまつわる業務効率化をすることもできます。そのことはすなわち、本人確認に費やしていた人件費や郵送費等を削減するなどして、業務全体のコスト削減にも寄与することとなります。

求められる要件によって変わる、実際のeKYCの流れ

それでは、具体的にどのようなeKYC手法があるのでしょうか。ここでは代表的なものとして、犯罪収益移転防止法 施行規則六条1項1号に記載されている「ホ」と「ワ」の要件に対応した流れについて、TRUSTDOCK提供のソリューション画面を例にしてご紹介します。

「ホ」の要件(写真付き書類の写し1点+容貌)

犯収法施行規則六条1項1号「ホ」の要件では、顧客から写真付き本人確認書類画像1点と、本人の容貌画像の送信を受ける方法が定められています。前者については身分証等の“原本”を直接撮影したものを、原則として撮影後直ちに送信させる必要があります。
この場合の撮影とは、カメラによる静止画撮影以外に動画やインターネット上のビデオ通話機能を利用する方法も可能とされているので、TRUSTDOCKの専用アプリでは、画像の代わりに身分証をくるくるとカメラの前で回す“動画”を撮影してもらい、それを断片化・画像化してチェックするような柔軟な確認フローで設計しています。具体的なオペレーションイメージついてはこちらの動画をご覧ください。

「ワ」の要件(マイナンバーカードを使った公的個人認証)

犯収法施行規則六条1項1号「ワ」の要件では、顧客の「マイナンバーカード」にあるICチップをスマートフォンで読み取り、J-LIS(地方公共団体情報システム機構)が提供する「公的個人認証サービス」を用いることで本人確認を完了する方法が定められています。

マイナンバーカードは2022年1月時点で5,100万人以上への交付が完了しており(人口に対する交付枚数率:41%)、いよいよ普及機に突入してきたと言えます。精巧な偽造免許証の流行が懸念される昨今だからこそ、「ワ」の要件はICチップ読み取りのeKYCとして大本命となる手法だと言えるでしょう。具体的なオペレーションイメージついてはこちらの動画をご覧ください。

※TRUSTDOCKは電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律第17条第1項第6号の規定に基づく総務大臣認定事業者となるので、こちらのソリューションが提供可能となっています。

150以上のサービスの本人確認を支えるTRUSTDOCK

今回は大きく2種類の犯罪収益移転防止法要件に対応したeKYCソリューションをご紹介しましたが、TRUSTDOCKではこの他にも、様々な本人確認要件に対応した機能を、API形式で提供しています。顧客が提供する多様なUIと、様々なAPIの組み合わせでKYC業務を提供することで、現在(2022年1月末時点)業界業種を問わず150サービス以上で導入中となります。

これに付随して、金融庁には業務内容の確認を都度行い、経済産業省とはRegTechについて意見交換し、さらに総務省のIoTサービス創出支援事業においては本人確認業務の委託先として採択されました。もちろん、警察庁には犯収法準拠のeKYCの紹介等、行政や関連協会と連携して、適切な本人確認業務への取り組みを行っています。本人確認へのニーズがますます高まる時代だからこそ、そのインフラとしての役割を官民連携する形で推進しています。

eKYCの導入や本人確認に付随する業務設計等でご不明点がある場合は、ぜひお気軽にご相談ください。また、以下のような担当者向けホワイトペーパーも無償提供していますので、こちらもぜひご活用ください。