WEB取引の不正対策 eKYCサービスの導入ポイント徹底解説 ~法律編~

#セキュリティ


はじめに

金融機関やクレジットカード、携帯電話業界などで、にわかに広がるオンライン本人確認(eKYC)。普及の背景には特定取引時の本人確認人に関連する法「犯罪収益移転防止法」の改正があります。

今回は「犯罪収益移転防止法」の改正ポイントと対応するオンライン本人確認(eKYC)の導入ポイントと活用方法について説明します。

コロナ感染防止により非対面のオンライン本人確認は必須のものとなりつつあります。導入に向けてeKYCに関する基礎知識を整理してみました。

見知らぬ人物を信用するには?

初めて会った見知らぬ人物を信用するにはどうしたら良いでしょう?
以下のような方法が思いつきます。

  1.  公的に発行された本人を証明する書類を所持しているかどうか
  2. 公的に発行された本人を証明する書類上の写真と取引する本人が合致するかどうか
  3.  公的に発行された記載の住所で郵便物の受け取りを確認するかどうか
  4.  すでに上記方法で取引をしている第三者(事業者)の評価を信頼する

特定取引時の身分、身元の証明は法律上で定められている!

その人が実在する身元の明らかな人物であるということを証明する方法は法律でも定められているケースがあります。

「犯罪による収益の移転防止に関する法律」という法律では特定事業者が特定取引を行う際には、身元の確認を義務づけるとともに確認の方法も定められています。

▼特定事業者及び特定取引 ※一部抜粋

事業者取引
金融機関等預貯金口座などの解説(口座なしのローン契約なども対象)200万円を超える大口現金取引(現金取引)10万円を超える現金送金(現金取引)など
クレジットカード会社クレジットカード契約の締結
ファイナンスリース会社1回に支払うリース料が10万円を超えるファイナンスリース契約の締結
※リース会社が既に保有している物品を顧客に貸借するものは対象外
宅地建物取引業者宅地建物の売買契約の締結またはその代理もしくは媒介
宝石・貴金属等取扱事業者代理支払が現金で200万円を超える宝石・貴金属等の売買契約の締結

「金融機関等」は主に銀行が対象です。

例えば、口座の開設などが特定の取引に当てはまります。

犯罪収益移転防止法における非対面の身元確認

犯罪収益移転防止法における非対面の身元確認

オンラインでサービスを利用する際に、に本人確認書類をアップロードまたは、郵送でコピーを送付し、更に自宅に転送不要郵便が届くというような取引をご経験された方もいるかもしれません。
これも実は法律で決まっている内容です。

犯罪収益移転防止法上の非対面における本人確認のポイントは以下の通りとなります。

平成30年11月30日の法改正

ここでは、ソフトウェアによる本人画像、つまり本人の容貌写真と本人確認書類の画像あるいは、運転免許証に埋め込まれたICチップ情報などを送信すれば転送不要郵便は不要、という革新的な改正が行われ、改正当時はメディアなどで取り沙汰されていました。

これによってオンライン取引のスピードが上がり、お客様にとっても、事業者にとっても、

利益を得るチャンスが大きく広がるきっかけとなりました。

令和2年4月1日の法改正

実は令和2年の4月1日にも、もう一つ改正が行われていました。
そのポイントは以下の2点です。

1. 必要な本人確認書類が増えた

今まで本人確認書類群のうち1点と転送不要郵便だったものが、本人確認書類は2点に増え、かつ転送不要郵便も必要という風に厳格化が行なわれました。
※ただし住民票の写しや印鑑登録証明書はなどは原本の郵送であれば一点で可

2. 本人確認書類の特徴を捉えた画像が必要に

特定事業者が提供するソフトウェアで運転免許書の厚みや特徴を捉えて撮影したものであれば2点、あるいはその運転免許書画像とICチップ情報の両方であれば1点、という風に一般の事業者にとっては実質的に本人確認書類が2点が必要、という内容に変更されました。

この影響を受け、ユーザーや事業者にとってメリットとなり得る、eKYCやオンライン本人確認が注目されはじめました。

オンラインで完結する本人確認

犯罪収益移転防止法6条1項1号

オンラインでの本人確認が認められたのが、この改正された犯罪収益移転防止法の中の6条1項1号という条項です。

(ホ)本人確認書類の画像送信+本人容貌の画像送信

本人確認書類の画像、例えば運転免許書やマイナンバーカードの画像と本人容貌の画像を送信するのが(ホ)です。

(ヘ)本人確認書類のICチップ情報送信+本人容貌の画像送信

運転免許証など本人確認書類のICチップ情報と本人容貌の画像を送信するのが(ヘ)です。

(ト)本人確認書類の画像とまたはICチップ情報の送信+特定事業者へ情報照会

(1)本人確認書類の画像とまたはICチップ情報の送信に加えて、すでに本人確認が終わっている特定事業者に照会の後同一人物であるという裏付けをとるという方法です。

(2)本人確認が完了している口座へ少額の振込を実施して、入出金明細の照会により同一人物かどうかを確認するという方法です。

(ホ)のポイント

オンラインで完結する本人確認の中で最も採用されている方法となります。
WEBアプリケーションにおいて、プラグインや専用ハードウェアがなくても導入できる点が広く採用されている要因としてあります。

(ホ)の方法は、本人の容貌と本人確認書類の2点で行う方法であり、容貌と身分証の写真の照合には機械学習による照合が利用されているケースが多く見られます。

いっぽうで機械判定の基準を厳しくすれば、本人でも認証されないなど利便性とのバランスが難しくなります。また、あくまでも見た目だけの判定のため、双子等は見分けがつきにくい等の弱点もあります。

(ホ)の方法でなりすましを完全に防ぐことはできるのか?

(ホ)の方法は本人確認書類、本人の容貌ともにあくまでも画像となります。

本人確認書類の画像も、厚みまで再現された画像であれば偽造は可能であり、犯罪組織であれば、コストをかけて本人確認書類の厚みまで再現することは難しくないでしょう。

本人の容貌についても、動画でライブネスを判定しますが、「首を傾けてください」などのランダム指示は、CGの動画を用意する等でなりすましができてしまう懸念は残存します。

犯罪収益移転防止法の中の6条1項1号(ホ)

(ヘ)のポイント

犯罪収益移転防止法の中の6条1項1号(へ)

(ヘ)の方法は書類の改ざんリスクは低い

本人確認書類について外形的な基準で判定するのが(ホ)であるのに対し、(ヘ)は書類上のICチップ情報で真偽を判定します。

その点において、(ホ)の方法と比較して書類自体の改ざんは難しいと言われています。

また、ICチップに対応している代表的な本人確認書類は、運転免許証、在留カード、マイナンバーカードがあげられます。
※パスポートは所持人記入欄が廃止され、今後本人確認書類としては使用できなくなります。(2020年12月現在)

ICチップの読み取りにはアプリケーションが必要

では、ICチップ情報を読み取るにはどのようにすれば良いのでしょうか?

スマートフォン端末自体はICチップを読み取ることができるため、専用のネイティブアプリがあれば対応は可能です。ただしWEBアプリケーションの場合は、ブラウザからのICチップ機能の利用ができない(Chrome Ver.81以降は対応可能だがSafariは未対応)ため実用には不十分な状態です。(2020年12月現在)

ICチップ情報の呼び出しに認証コードが必要

WEBブラウザがICチップの読み取り機能へ対応していくことで、今後普及が期待されますが、その他にも、認証コードの問題が残存します。

マイナンバーカード・運転免許証等のICチップ情報を呼び出すためには、専用の認証コードの入力が必要となります。

認証を行うために、さらに認証が必要になるという矛盾を抱えています。

また、普段利用しない認証コードを記憶し、間違えずに入力できるユーザーがどれくらいいるかという点が問題となります。

現にコロナの特別定額給付金の申請時には認証コードが分からないという問い合わせが殺到したというニュースも取り上げられています。

犯罪収益移転防止法の中の6条1項1号(チ)(リ)

オンライン+転送不要郵便を利用した本人確認

クレジットカードの送付や、締結時書面などを送付するために転送不要郵便を必ず用いているという事業者では、オンライン化で得られるメリットも少ない場合があります。

そのような事業者は6条1項1号(チ)・(リ)が対象です。

最も採用しやすいのは(チ)の(3)

これらの中で最も採用しやすいのが(チ)の(3)の方法です。

この方法であれば、ユーザー側も事業者側も徴求書類が1点のみのため、双方にとって負担が少ないと言えます。

転送不要郵便を利用する場合のポイント

  1. 令和2年4月1日の改正により、本人確認書類の映し1点+転送不要郵便から、本人確認書類2点に厳格化された
  2. 書類の大体として、画像やICチップ情報の送信でも可能に
  3. 「本人確認書類の画像情報(厚みがわかるもの)の送信」を利用すれば、従来通り書類1点のみの徴求が可能に

オンライン本人確認の要件まとめ

  1. 犯罪収益移転防止法の特定事業者における特定取引時は、法的に本人確認が必要
  2. 本人確認の方法は「オンライン完結」と「転送不要郵便利用」の2種に大別 
  3. WEB取引時のオススメは、「画像」の送信を受ける方法
    (オンライン完結は「ホ」、転送不要郵便は「チ③」の方法) 
  4. ICチップ情報を用いる「ヘ」の方法は、Safariの動向やマイナンバーカードの普及に注目

このように、改正版の犯罪収益移転防止法への対応策として、eKYCツールの導入による本人確認のオンライン完結化はユーザーにとっても、事業者にとってもメリットが多くあります。

オンライン本に確認の導入に関することやeKYC仕組みに関することなどお気軽にお問い合わせください

オンライン本人確認/カンタンeKYCツール「ProTech ID Checker」

ProTech ID Checker

マネー・ローンダリングやテロ資金供与防止を目的とした「犯罪収益移転防止法」に準拠したオンライン本人確認/eKYCツールです。
セキュリティ対策は万全であり、厳しい検証プロセスに基づいたネットワーク・セキュリティを有する金融機関にもご採用いただいております。

サービスの特徴
・導入方法は対象ページにタグを設置するだけ。最短1週間で実装できます。
・また、既存のWEBサイト上で本人確認認証が完結します。
・ユーザーは専用アプリのインストールや別サイトでの確認も不要。
・ProTech ID CheckerはスピーディーかつカンタンにeKYCの導入を可能にします。

株式会社ショーケース eKYCコラム編集部
  • 株式会社ショーケース eKYCコラム編集部
  • eKYCツールProTech ID Checker」を提供する株式会社ショーケースのeKYCコラム編集部です。実際にeKYCを日々営業活動&製品提供するスタッフがコラムの執筆から編集まで行っています。

    このコラムではProTech ID CheckerやProTech AI Maskingに関わる、法令・商品の機能・導入事例や統計などをまとめて随時提供していきます。