2020年9月、ドコモ口座と銀行口座の連携において第三者による不正引き出し事件が発生。デジタル時代における本人確認に焦点が当たることになりました。本インタビュー記事ではデジタルによる本人確認、いわゆるeKYC関連サービスだけでなく、デジタル時代の身元証明の第三者機関を目指しているTRUSTDOCK代表の千葉孝浩さんに、現状の課題と今後やってくる本格的デジタル社会での本人確認のあり方について話を伺いました。
「ドコモ口座」問題では本人確認の「緩さ」が問題に
──TRUSTDOCKは「KYC(本人確認)プロバイダー」の看板を掲げて、e-KYC/本人確認APIサービス「TRUSTDOCK」などを提供されています。そこでKYCに関連してお聞きしたいことがあります。先日、「ドコモ口座」などキャッシュレス決済サービスのアカウントを勝手に作り、銀行口座から不正にお金を引き出す事件が発生しました。対策として「ドコモ口座」ではオンライン本人確認(eKYC)やSMS認証を導入すると発表しました。この事件では、本人確認に関するどの部分が問題だったのでしょうか。
「ドコモ口座」の問題は「コインの表裏」です。表と裏、つまり本人確認の情報を名乗る側と確かめる側の両方を考える必要があります。この場合、「銀行」が名乗る側、「ドコモ口座」などキャッシュレス決済サービス事業者が確かめる側です。名乗る側と確かめる側、それぞれの確認の強度が「固い」か「緩い」かで、組みあわせは4パターンある。ここで、金融機関とキャッシュレス決済サービス事業者の両方で、強度が「緩い-緩い」の組みあわせが起きてしまった。
例えば金融機関側の本人確認強度が緩くても、キャッシュレス決済サービス事業者側が固ければ問題は起きにくかったし、逆もまたしかりです。もちろん、銀行とキャッシュレス決済サービス事業者の両方の強度を強くできればもっと良いです。
キャッシュレス決済サービス事業者側は、取引時の本人確認手法を選べる立場であり、それぞれの手法の特性を理解した上で選択すべきだと思います。
銀行から見れば、この事件で狙われたのはオンラインで口座振替の申し込みができる「Web口座振替受付サービス」という仕組みでした。これはどの金融機関も最小限の法律上の要件は満たしていた。その上でどこまでセキュアにすればいいのか、各金融機関で考えが異なっていた。セキュリティは厳しくしようと思えば、どこまでもコストをかけてセキュアにできるが、それをどこまでやって、どこで止めるか。バランスは悩ましい。
双方ともに、この判断をするときに横並びで競争相手の企業のやり方だけを見ていると、強度を強くするインセンティブが働きにくい。自社だけが強度を強くすることは競争環境がある中、最終的に採用されにくいケースが多い。ユーザーの利便性が損なわれるように受け取られますから。これはどの会社でも起こりうる、意思決定ロジックの罠だと思います。
──ネット系サービスのアカウント連携の容易さが当然だとすると、その利便性をユーザーも求めてしまいますよね。ただ、被害額の総額はたいしたことはない。
被害額の過多に関係なく、セキュアであるべきだというのが大前提ですが、例えば、クレジットカードは2019年の1年間で200億円以上が不正利用されました。「ドコモ口座」問題で報告されている金額は数千万円で、クレジットカードに比べれば少ないものでした。
これは一歩引いた見方なのですが、セキュリティという観点では、あらゆるモノゴトは、このようなインシデントが発生することで、セキュリティの水準や社会のリテラシーが上がっていきます。社会全体でみれば、「フィンテック」が社会実装していく歴史を歩んでいるともいえます。もちろん、被害はあってはならない話ですが、モノゴトに100%はない世界でもあります。社会実装のしきい値は、時流により常に揺れ動いています。セキュリティを厳しくするとイノベーションが阻害されるのはもちろんですが、インシデントが起こると厳しくせざるを得ないのも事実です。
私達、生活者自身のリテラシーと法規制には関係があります。
なるべく規制がない社会をつくりたいなら、私達全員が新しいモノゴトを学び続け、リテラシーを上げ続け、自分でリスクヘッジしないといけないのです。何歳になっても。
株式会社TRUSTDOCK 代表取締役・CEO 千葉孝浩氏
社会全体で本人確認のリテラシーが上がった
1つ注目していることは、この事件をきっかけに「身元確認と当人認証は違う」点や「2要素認証と2段階認証も違う」点が周知されたことです。これまで本人確認やID周りのセキュリティ要件を、深く意識せずに実装していた技術者側の理解の解像度が上がってきた。社会全体で本人確認に関わるリテラシーを上げて欲しいと思っています。
──本人確認に関してはリテラシーとして最低限理解してほしい内容があるわけですね。
説明するときに最初にお話することとして、本人確認には身元確認(Identity Proofing)と当人認証(Authentication)の2つの概念が含まれています。この2つは別のものです。
当人認証は、知識認証(I know)、つまり「私だけが知っている」ID&パスワードなどで認証するやり方と、所有物認証(I have)、「私だけが持っている」物理的なカードやデバイス、契約などで認証するやり方、それに生体認証(I am)「私である」ことを示す生体情報で認証するやり方があります。
当人認証は当人性だけを担保しますので、どれだけ認証を重ねても住所や年齢は分かりません。それを確認するのが身元確認です。例えばタバコを買うには年齢を確認する必要があります。これは身元確認の例です。
リアルな手続きや取引のデジタル化では身元確認が欠かせません。アパートを借りるとき、CDレンタルのカードを作るとき、酒やタバコを買うとき、それぞれ身元確認が発生します。
身元確認には、1点だけ発行された公的身分証、例えば運転免許証やマイナンバーカードで確認するやり方、または、複数枚、発行できる住民票などの本人確認書類や、居住確認ができる補完書類、例えば公共料金の支払い領収書なども合わせて確認するやり方、ほかには、銀行口座契約や携帯電話契約のように、何かしらの法規制にのっとたプロセスで身元確認を行い、契約締結している契約者情報と連携するやり方などがあります。法規制でどのやり方が認められているかも変わります。
──不正利用事件では「2段階認証」がよく話題になります。
2段階認証と2要素認証は実は違うものです。例えば登録されたメールアドレスにパスコードを送るやり方は、2段階認証ではあっても同じ要素(知識認証/I know)を2回繰り返しているので多要素認証ではない。一方、ログインの際にIDとパスワードを入力するだけでなく、携帯電話番号のSMSでパスコードを送るやり方を採用した場合、SMSはその携帯電話を持っている人しか受け取れないので、知識認証(I know)と所有物認証(I have)の2つの要素を含めた2要素認証になります。法規制要件で身元確認義務のないサービス、例えばSNS等では、2要素認証で十分なものも多いはずです。やみくもに身元確認するというのも、これもまた思考停止です。自社のその手続きや取引に見合った本人確認の強度が必要です。それはグラデーションがある世界です。
オンライン本人確認のあらゆる側面を視野に入れる
──最近は、書類の郵送なしに本人確認できるeKYCが話題になっています。
eKYCも定義があやふやで、概念的には広義のeKYCと狭義のeKYCがあります。広義のeKYCはオンラインなどの非対面、デジタルで行う本人確認全般です。一方、狭義のeKYCは、犯罪収益移転防止法(犯収法)のような法制度で定義された手法を指します。
犯収法では、2018年10月の法改正により郵送不要の新手法が認められました。それは身元確認時に専用のソフトウェアを使い、写真付き公的身分証の撮影やICチップ読み取りと、その身分証を提出する所持者の容貌を撮影して送信して、それらを目視で確認やり方です。ここでのポイントは、その場で撮影した情報であることを証明することで、それもハッシュ化やExif情報では駄目で、画像や画面内での証明が必要です。例えばアプリを使って身分証を撮影してeKYCをする時に、カメラの前でランダムに身分証を動かしたり、その場で指示した行為をしてもらうといったアクティブ型の認証です(以下、デモ動画を参照)。
●デモ動画/eKYC[ホ]身分証撮影+容貌撮影
●デモ動画/eKYC[ワ]マイナンバーカードでの公的個人認証
そして法改正以前から存在するeKYC手法として、マイナンバーカードのICチップ読み取りによる電子署名を使う「公的個人認証」があります。僕らのeKYCサービスでは、これらすべてのeKYC手法をご提供しています。
必要なサイズの個人情報が流通する「KYCの流通網」を作りたい
僕らは今、必要な個人情報だけを受け渡す「KYCの流通網」を作ろうとしています。本来、タバコを買うだけなら、要件としては20歳以上であることを担保すればいいはずです。ところが、その必要情報だけを真正性を担保しつつ、セキュアに受け渡す手段がない。しょうがないので、住所まで含めた沢山の個人情報が記載されている身分証を提示している。よく考えれば、個人情報を出し過ぎています。
例えば年齢だけを渡せるよう、欲しい情報を欲しい単位で送り合う。こういう流通網を整備するには、確かめる側の事業者だけにKYCプロダクトを渡すのではなく、名乗る側で情報を出す側にも、企業と対抗するための「身元証明のダッシュボード」として、身分証アプリを提供することで、実現できると考えています。個人情報が絡む分野で、企業側だけを向いてビジネスするのは誠実ではないと考えています。
今は、適切な本人確認プロセスを行った上で、デジタルな身分証をアプリ内で発行する、そしてそれを免許証と同じような身分証として取り扱う、身分証アプリによるデジタル身分証の実証をいろいろ進めています。
規格化・標準化の観点では、僕らはOpen ID FoundationやFIDOアライアンス等で活動しています。僕らの身分証アプリは、自社だけに閉じた独自規格ではなく、Open ID Connect等の広く使われている標準規格を活用して、情報流通を行えるように開発しています。そうすることで、身元確認に必要な情報だけを渡す連携機能が、これまでのWebサービスと同じように作りやすくなる。ユーザーも自分の身分証画像を、色々な事業者にばら撒かなくても良くなります。
──そうしたサービスを広く一般向けに普及させていく野心がありますか?
僕らは個人が身元証明する時の第三者機関として、デジタルな身分証の発行体・認証局になるための山を登っています。そのためには、eKYCのツール提供だけでなく、認証プロセスである本人確認業務も内包しなければならない。だからこそ、あらゆる法規制を理解し、24時間週7日で実際の確認プロセスの業務を行い、立体的にKYCを理解しにいっています。SaaS的にKYCツール提供だけを行うのは楽ですが、私達はツール提供者ではなく、KYCプロバイダーです。「法律✕技術✕業務」を熟知しながら、KYCのインフラ整備を行っている唯一の会社です。
そして、国をまたいだ手続きや取引であっても、僕らの身分証アプリを触媒にして、KYCが完結する。そうした世界を目指しています。ボーダレスでポータブルなデジタル身分証です。いまの時点で僕らの身分証アプリは、タイ語でも利用でき、タイの国民カードでの身元確認も行えます。アジアを中心に、そうした世界を拡げていく考えです。
さらには、身分証が手元になくても身元確認や付随する様々な確認ができるようにしていきたいです。そのために、ドコモや三菱UFJ銀行とのAPI連携、さらには、MoneytreeやSansanなどの様々なIDプロバイダーと連携する取り組みを行っています。例えば水害などの自然災害で、命からがら、スマホひとつで避難所に避難しているときでも、僕らの身分証アプリを持っていれば、例えば、保険の支払いや役所の手続きなどのあらゆる手続きや取引が迅速にできるようになるとか。企業ではなく、個人に寄り添って、その人が社会的弱者に陥った時に、エージェントとして、身元証明のお手伝いをしたいです。
グローバルな規制や「デジタル上の人権」を守る
──地方自治体や政府に使ってもらうことも重要ですか? 例えば、元ヤフー代表取締役社長で現在は東京都副知事としてIT戦略を推進する宮坂学さんはDXに前向きのようです。
はい、とても重要です。コロナ禍になってから行政サイドの温度感は高いですね。もちろん宮坂さんや、ほかの自治体の皆様にも、当社の進捗を共有しています。
──TRUSTDOCKの強み、特徴はどこですか?
デジタルな身分証の発行局という山に登っているのは僕らだけと考えています。eKYCでの競合がいるように見えるかもしれませんが、多くのeKYCサービスは犯収法要件の撮影ツール提供というケースが多いのです。僕らは撮影ツール提供だけでなく、ICチップ読み取りから公的個人認証まで、どんなプロセスでもご提供します。
そして業務を行うことで、eKYCツール事業者が知らない最新の偽造や不正を毎日発見しています。ぶっちゃけた話、どこの金融機関のコンプライアンス・オフィサーよりも、テックと業務の両面において、オンラインの偽造や不正に詳しいです。
ほかにも、僕らは郵送による本人確認が行える郵送APIも提供しています。これも事業者側からみればフルデジタルなKYCです。その他、法人のeKYCや、AMLやPEPs、CFT対策として、反社会勢力、反市場勢力のチェックも行っています。みんながやりたくないKYCやAMLの業務プロセスを、KYCのBackend as a Serviceとして、僕らがクラウドサービス化して処理しています。
それと、他のeKYCサービスとの大きな違いとして、僕らは身元確認の情報を外に出さず、僕ら自身も第三者利用しません。他のeKYCサービスの場合は、ある企業のアカウント開設の目的のために提出した個人情報を、別な目的で利用するために、第三者利用する場合があります。もちろん利用規約には第三者利用のことは書いてありますが、果たしてどれだけのユーザーが理解しているでしょうか?
こうしたアイデンティティ管理はプライバシー問題でもあり、今、ヨーロッパをはじめ、世界中で規制が厳しくなっています。僕らはグローバルに事業展開しているので、各国の個人情報保護の枠組みにも照らし合わせてみて、どこかの国でアウトなことはしないようにしています。
──ユーザーに嫌われたらおしまいですからね。
企業だけを向いてビジネスするだけなら楽ですが、KYCやデジタルアイデンティティの分野は片方だけを向くのは危険です。僕らは法人を向いたサービスと、個人を向いたサービスの両方をやります。普通の事業者はどちらか片側しかやりません。コインの表裏で、名乗る側のデジタルアイデンティティ、確かめる側のKYC、その両面に取り組むことで、コインの表裏が「緩いー緩い」のような組み合わせが起きないようにしていきたいです。
最近になって、世界各国で規制(レギュレーション)が強力になってきています。プライバシーへの配慮のようなデジタルな人権への意識も高まっています。今はテックジャイアント達がレバレッジをかけた資本主義✕自由経済の揺り戻しが各国で起こっています。まさにRegTechの時代に突入しつつあります。
そして、国連のSDGs16.9でも、「世界中の人に身元証明を配布する」と書かれていますが、世界を見渡すと、難民など10億人以上の人達が身分証を持っておらず、身分証がないから、銀行口座も作れず、アパートにも住めない構造が横たわっています。UnBanked問題の原因の1つは、UnIDed問題です。僕らは、世界中のデジタルアイデンティティ問題に貢献したいです。
コロナ禍になり、時代の要請を強く感じています。リアルが分断する世界をデジタル社会ではつなぎとめたいです。皆さんとアプリ&APIを連携して、次世代のインベーションのインフラを構築したいです。
(取材・文:星暁雄)
Editorial Team / 編集部
