eKYCの安全性って?
各手法の仕組みやリスク対策がわかる

オンラインで本人確認が完結するサービスをeKYCと呼びます。自社サービスにeKYCを導入する上で、安全性について把握しておきたい方もいるのではないでしょうか。eKYCの安全性や注意したいセキュリティリスクを知ることは、本人確認サービスの導入を検討する際の判断材料として役立ちます。 そこでこの記事では、eKYCの仕組みや安全性、必要なリスク対策についてご紹介します。

2022年8月31日公開

1.eKYCの安全性はどのように確保されている?

eKYC(electronic Know Your Customer)は、オンラインで安全に本人確認が完結する仕組みです。なりすましを防止するために、「身元確認」「当人認証」の2つの項目で本人を特定(本人確認)しています。

「身元確認」と「当人認証」で本人を特定

本人確認イメージ

eKYCにおける本人確認は、以下2つの項目をチェックします。

・「身元確認」
マイナンバーカードや運転免許証などの公的身分証により、氏名・住所・生年月日などの個人を特定する属性情報を確認。
・「当人認証」
ID・パスワードや生体認証により、システム認証を行っている人物が本人であることを確認。

つまり「認証を受けるのはどのような人物で、本人か」をオンラインで確認します。身元確認と当人認証を突き合わせて本人確認することで、安全性(認証精度の高さ)を確保する仕組みです。

簡単になりすましができない仕組みが採用されている

顔撮影イメージ

eKYCにおいて想定されるリスクは、顔画像や写真付き本人確認書類の偽造となりすましです。なりすましを防止するために、本人確認を行うシステムには簡単になりすましができない仕組みが採用されています。

顔画像については、保存データや外部データを使用させず、直接カメラから画像または動画を取り込む仕様が一般的です。また写真撮影の際に、まばたき・首振り・うなずきなどをリアルタイムで指示し、なりすましがしにくいよう対策をしています。

運転免許証などの写真付き本人確認書類は表面・裏面だけでなく厚みもチェックし、現物を所有していることをチェックします。このように、eKYCはオンラインでも安全性や信頼性を確保できる仕組みになっています。

2.eKYC各手法の仕組みと安全性

eKYCは犯罪収益移転防止法(犯収法)の条項により、「ホ」方式・「ヘ」方式・「ト」方式・「ワ」方式という4種類の手続き要件が定められています。ここでは、それぞれの手法の本人確認方法と安全面について解説します。

「ホ」方式:顔画像+写真付き本人確認書類画像

eKYC「ホ」方式イメージ

「ホ」方式は、本人の容貌写真と、写真付き本人確認書類を送信させるeKYC手法です。まず運転免許証などの写真付き本人確認書類をスマートフォンで撮影します。このとき、表面・裏面に加えて本人確認書類の厚みも撮影することで、本人確認書類の真正性を確認しています。

続いて、スマートフォンを操作している本人の容貌を撮影します。加工や差し替えを防ぐために、その場で撮影されたことを確認する工夫が必要です。

最後にサービス提供者側で写真付き本人確認書類と容貌写真の本人画像の一致を確認します。一連の審査はソフトウェアでも対応可能ですが、目視による確認も重要となります。

「ヘ」方式:顔画像+ICチップ情報

eKYC「ヘ」方式イメージ

「ヘ」方式は、本人の容貌写真と、写真付き本人確認書類のICチップ情報を送信させるeKYC手法です。運転免許証やマイナンバーカードのICチップには、氏名・住所・生年月日・性別・写真などの個人情報が保存されています。これにアクセスするには、NFC対応スマートフォンとPINコード(暗証番号)が必要です。

ICチップ内の情報は改ざんに強く、またPINコードを知っていることが本人の証明となるため、真正性の確認を強化できます。とはいえ100%他者の利用ではないと言い切ることは難しいため、目視による確認を加えることで不正利用を抑止することも重要です。

「ト」方式:本人確認書類の画像もしくはICチップ情報+顧客情報

eKYC「ト」方式イメージ

「ト」方式は、本人確認書類の画像またはICチップ情報を送信させ、金融機関などの特定の事業者から顧客情報の提供を受けることで本人確認をするeKYC手法です。本人確認書類やICチップ情報を送信するのは「ホ」方式や「ヘ」方式と同じですが、容貌写真の代わりに、過去に本人確認を行い開設した金融機関の口座情報をもって本人確認を行います。

まず金融機関に登録されてある個人情報が、本人確認書類やICチップの情報と一致していることが必要です。またオンラインバンキングサービスを開設しておりログインできることも求められます。金融機関という信頼できる外部機関での本人確認実績をもとに本人確認を行うことで、真正性を担保しています。

「ワ」方式:署名用電子証明書+暗証番号

eKYC「ワ」方式イメージ

「ワ」方式は、マイナンバーカードのICチップ情報と、J-LIS(地方公共団体情報システム機構)による公的個人認証サービス(JPKI)を組み合わせたeKYC手法です。

マイナンバーカードのICチップに記録された電子証明書をNFC対応スマートフォンで読み取るのですが、ここで事前に設定したPINコードが必要となります。続いて公的個人認証サービス(JPKI)を通じてeKYCを完結させます。電子証明書という安全性が高い技術を利用しているため、他人によるなりすましや不正利用を防ぐ効果が期待できます。

3.番外編:KYCの主な手法と安全性

本人確認書類の郵送イメージ

eKYCは「electronic Know Your Customer」の頭文字を取ったもので、オンライン上で安全に本人確認が完結する仕組みのことです。これに対して従来からあるKYCの手法には、対面で本人確認書類の提示を受ける方法と、本人確認書類の郵送と転送不要郵便を利用した非対面の方法があります。KYCの歴史は古く、金融機関の口座開設や金融サービスの取引時など、さまざまな契約・取引の場で活用されてきました。

本人確認書類の真贋判定や郵送されてきた書類の審査は基本的に目視で行います。そのためKYCにおいても、真贋判定を補助するシステムを導入するなどの工夫により、正確性や安全性を確保する必要があります。

4.eKYCのリスク

リスクイメージ

情報漏洩や誤判定など、本人確認にはどうしてもリスクがあります。これらのリスクはサービス利用者にも企業にも多大な不利益をもたらす恐れがあるため、取り扱う情報や本人確認システムの特性を把握して対策をしていくことが大切です。

情報漏洩のリスク

eKYCを導入する企業は重要な個人情報を収集します。収集するのは氏名や住所などの基本的な属性情報だけではありません。eKYCの手法によっては、顔画像データや公的サービスの暗証番号なども利用者から受け取ることがあります。

サイバー攻撃による情報窃取の被害に遭う可能性はゼロではありません。深刻な情報漏洩事故を起こすと訴訟・風評被害によって事業継続が困難になるケースもあるため、データの保管・管理体制には細心の注意が必要です。

誤判定のリスク

eKYCには、本人でないにもかかわらず認証を突破できてしまうリスクと、本人であるにもかかわらず正しく認証されないリスクがあります。この2つのリスクには、ダブルチェックが有効です。

正しい本人確認が行われるよう、デジタルでの判定とアナログでの目視の判定を組み合わせることが上記のリスクへの対策となります。利便性かつ安全性の高いサービスを提供していくためにも、しっかりとした運用体制を構築することが重要です。

5.巧妙化する不正技術への対策の必要性

不正利用イメージ

eKYCのリスクとして近年特に懸念されるのが、AIを悪用したなりすましです。顔認証を採用するならディープフェイク技術や本人確認書類の偽造にも対策が求められます。

ディープフェイク技術への対策

ディープフェイクとは、高度な画像生成技術を用いて本物と見分けがつかない偽物の動画を作成することです。万が一、ディープフェイクにより他人の顔になりすまして認証を突破できてしまうと、顔認証の真正性を担保できなくなる恐れがあります。

対策として、モニター画面を撮影していないか人による審査をすることや、顔画像の撮影時にソフトウェア側でモニター画面ではないかどうかを検出するなどの方法が考えられます。このあたりの悪質な手口・画像生成技術の精度・スピードは凄まじく、これらの動向をチェックし都度対策を講じていくことが求められています。

本人確認書類の偽造への対策

2022年5月、偽造したマイナンバーカードでオンラインバンキングの預金口座を開設し、5回にわたってキャッシュカードを詐取しようとした事件がありました。

こういった被害を回避するためには、同一の顔情報が同サービスへの申請で何度も使用されていないか検出することも重要です。あるいは、ICチップ情報の偽装は難しいため、サービスにあわせて「ワ」方式などの方式を検討してみることもいいかもしれません。

6.DNPのオンライン本人確認(eKYC)総合サービス

DNPは高セキュアなBPO拠点を有しており、徹底した審査体制のもとeKYCサービスを提供しています。金融機関を中心に多くの導入実績があり、容貌写真と写真付き本人確認書類を照合する「ホ」方式と、マイナンバーカードのICチップに記録されている電子証明書を用いた「ワ」方式をメインにサービス提供しています。DNPが提供するオンライン本人確認(eKYC)総合サービスの魅力を見ていきましょう。

DNPの「オンライン本人確認(eKYC)総合サービス」の特徴

eKYCイメージ

DNPのオンライン本人確認(eKYC)総合サービスは犯罪収益移転防止法(犯収法)に準拠した本人確認を実施しており、主に「ホ」方式・「ワ」方式に対応したサービスを提供しています。

犯収法に準拠した体制を自社で構築するとなると、多くの企業にとっては大変な業務負荷となり、現実的な選択肢ではありません。DNPは全国のBPO拠点を活用し、セキュリティを担保しながらスピーディに本人確認を実施しています。24時間365日稼働にも対応し、申込みから審査まで柔軟に一括対応できるのも強みです。

「ホ」方式では徹底した審査を実施

オンライン本人確認(eKYC)総合サービスの「ホ」方式では、自身の容貌写真と運転免許証などの本人確認書類の券面を撮影・アップロードし、人物の同一性を確認します。対応する写真付き本人確認書類は運転免許証・マイナンバーカード・在留カードです。

本人確認書類とカメラ機能付きスマートフォンがあれば本人確認ができるので、幅広いシーンで利用されています。強固なセキュリティのBPO拠点で徹底した審査を実施することで、本人確認の精度を高めています。

安全性が高い「ワ」方式にも対応

オンライン本人確認(eKYC)総合サービスの「ワ」方式では、マイナンバーカードのICチップをNFC対応端末で読み取り、PIN入力することで本人確認を行います。公的個人認証サービス(JPKI)を利用するため「ホ」方式よりもなりすましが難しいとされており、より安全性が高い方式となります。

「ワ」方式は主務大臣認定取得事業者であるサイバートラスト社の「iTrust本人確認サービス」と連動しています。公的個人認証を利用することで、即時の本人確認による時間短縮や本人確認業務の負荷軽減が実現できるのも強みです。

7.DNPの関連サービス

顔認証マルチチャネルプラットフォームイメージ

DNPが提唱する「顔認証マルチチャネルプラットフォーム®」は、顔認証による業界を横断した本人確認を実現するプラットフォームサービスです。私たちは日常生活において、決済・入退場・サービス登録・契約などさまざまな場面で本人確認を求められます。

本サービスは本人の同意を得て登録した顔画像を共通のサーバーに蓄積し、業界横断的にオープンに活用することで、日常生活のさまざまな場面で「手ぶらで」「スピーディに」サービスを利用できる環境の構築をめざすものです。既存の認証を伴うサービスだけでなく、顔認証の非接触・利便性を活かせるさまざまな分野での活用が期待されています。

8.まとめ

eKYCは犯収法に準拠する限り安全性・利便性の高い本人確認手段です。しかし人のみまたはソフトウェアのみによる審査では、安全性の面で十分とはいえません。人とソフトウェアを組み合わせて審査をすることが、不正利用を防止する上で大切です。あわせて、最新の技術動向や不正手口などの情報収集を行い、必要に応じて対策を講じていくことが重要となります。

DNPはオンライン本人確認(eKYC)総合サービスをBPOと組み合わせて提供しており、申込みから審査まで一括対応しており、その精度・安全性を高めています。サービス開始以来、セキュリティに厳しいといわれる金融機関を中心に多くの企業にご採用いただいており、eKYC審査においてはすでに2,000万件以上実績があります。

オンライン本人確認(eKYC)の導入をご検討する際には、実績豊富なDNPにご相談ください。



「オンライン本人確認(eKYC)総合サービス」へのお問合わせ(URL別ウィンドウで開く)



このコラムで紹介した製品・サービス

関連製品・サービス

未来のあたりまえをつくる。®