ESET/マルウェア情報局
オンラインで完結する本人確認「eKYC」のリスクとは
本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「本人確認にeKYCを利用するメリットとセキュリティリスク」を再編集したものです。
2020年4月、改正犯罪収益移転防止法が施行された。オンラインで完結できる本人確認の選択肢が増えたことで、eKYCに対する関心が高まっている。オンラインで本人確認を完結させることは、さまざまなメリットがある一方で、セキュリティ上のリスクも存在する。そこで本記事では注目を浴びるeKYCについて、基本的な仕組みやメリット、そのリスクなどについて詳しく解説する。
eKYCとは
eKYCは「electronic Know Your Customer」の頭文字をとったもので、本人確認の手続き(KYC)を電子的(electronic)な方法で行なう仕組みのことを指す。スマホの普及などによってユーザーの環境が変わり、また2020年4月に犯罪収益移転防止法(犯収法)が改正されたことで注目を集めている。
eKYCでは撮影した免許証等の画像に加え、スマホなどで撮影した本人の画像を送付することで本人確認を完結させる。従来まではオンラインでの本人確認手続きとはいえ、完了には別途本人確認用の書類等を郵送する必要があった。eKYCではそのような手続きが不要となるため、確認に必要な期間を大幅に短縮できるというメリットがある。そのような背景から主に、銀行口座や証券口座の開設、クレジットカード発行など、必要書類等が多い金融業で活用されることが多い。
1) 本人確認の定義
一般的に、本人確認には「身元確認」と「当人認証」の2種類がある。
・身元確認
身元確認とはマイナンバーカードや免許証など、公的な書類等によって本人が実在することと、その情報に間違いがないことを確認することを言う。契約の種類によっては複数の書類を利用して確認することもある。
・当人認証
当人認証とは、IDやパスワード、あるいは生体認証などを用いて、システム認証の対象となる人物が本人であることを確認することである。
eKYCは上記のうち、身元確認を電子的な方法を用いて行なう仕組みといえる。
KYCとeKYCの違い
KYCは2007年に交付された、犯収法に準拠して行なわれる本人確認の手続きである。もともと「犯収法」は、犯罪組織のマネーロンダリングやテロ組織への資金供与など、悪質な行為を抑制するために制定されたという背景がある。
そのため、KYCでは公的書類による身元確認だけでなく、各機関のデータ照合等によるリスクチェックが行なわれる。この場合のリスクチェックとは、取り引きを行なう対象者(企業や個人)が犯罪に関与していないか、あるいは政治的影響力をもつ人物でないかどうかなどをコンプライアンス的視点からチェックすることを指す。そして必要に応じて紙書類の郵送によるチェックが行なわれ、手続き完了には数日、あるいは長い場合には数週間から数ヵ月を要することもある。
eKYCがKYCと大きく異なるのは、これら一連の手順をインターネット上で行なえるため、手続きに必要な期間を大きく短縮できるという点だ。
eKYCが注目を浴びる背景
eKYCに注目が集まるのは、主に以下2つのような理由が挙げられる。
1) 犯罪収益移転防止法の改正
2020年4月から改正犯収法が施行された。具体的にはオンラインで完結する、個人の確認方法として以下4点が追加されている。
・本人確認書類の画像+本人の容貌の画像送信(6条1項1号ホ)
免許証などの本人確認書類の画像に加え、手続きの当事者が本人であることを確認するために、その容貌をスマホなどで撮影し送信する。複数の角度からの撮影や、ビデオ通話機能を利用するケースもある。
・ICチップ情報+顧客の容貌の画像送信(6条1項1号ヘ)
免許証などに埋め込まれたICチップの情報を専用のカードリーダー等で読み取り、本人の容貌の画像と合わせて送信する。
・銀行等への照会(6条1項1号ト(1))
本人確認書類の画像またはICチップの情報の送信に加え、銀行等に対し本人情報の照会をかけることで、本人確認を行なう。
・顧客名義口座への少額振込(6条1項1号ト(2))
本人確認書類の画像またはICチップの情報送信後、サービス提供事業者が本人名義の口座に少額振り込みを行なう。その取り引き明細画像を本人がサービス提供事業者に送信することで本人確認を行なう。
このうち、比較的普及しているのが「本人確認書類の画像+本人の容貌の画像送信(6条1項1号ホ)」である。スマホアプリなどで完結し、特別なデバイス等を必要としないため、ユーザーにとっても利便性が高い。このようにeKYCの選択肢が増えたことで、導入を検討する企業も増加傾向にある。
「犯罪による収益の移転防止に関する法律施行規則の一部を改正する命令」の公表について
https://www.fsa.go.jp/news/30/sonota/20181130/20181130.html
2) 大手決済サービスの不正口座利用への対策
2020年9月、大手決済サービスの口座を不正利用し、個人の銀行口座から第三者によって勝手に引き落としされてしまうという事件が相次いで発生した。攻撃者はまず、被害者の銀行口座番号やキャッシュカードの暗証番号を不正に入手する。次に被害者名義で不正に作成した偽の決済サービス用口座に、被害者個人の銀行口座を登録。そのうえで被害者の銀行口座から、自分が管理する決済サービス用口座へ、不正に資金移動を行なうという手順で事件を引き起こしていた。これらが発生したのは、決済サービスにおける口座開設時の本人確認手続きに不備があったことが要因とされる。
このようなFintechサービスを狙った攻撃は増えつつあり、過去にも大きなトラブルが起きている。こうした背景もあり、オンラインにおける本人確認の安全性を高めることができるeKYCは、企業の注目を集めている。
キャッシュレス決済の基礎知識とセキュリティ視点で気をつけるべきこととは?
https://eset-info.canon-its.jp/malware_info/special/detail/190627.html
3Dセキュアはキャッシュレス決済における安全な認証方法か
https://eset-info.canon-its.jp/malware_info/special/detail/200310.html
eKYC導入のメリット
eKYCを導入する企業や組織にとってのメリットは大きく分けて以下3つとなる。
・手続きの簡素化、迅速化
eKYCを導入することで、本人確認の手続きを簡素化できる。具体的には、郵送による書類のやり取りが不要となるため、本人確認手続きに必要な期間の短縮が可能だ。従来、数週間から数ヵ月かけていた手続きを早ければ即日、あるいは数日で完了できるようになる。eKYCはウェブブラウザーやスマホアプリを使ってどこでも行なうことができ、利用者の時間や場所を問わないため、手続きをスムーズに進められる。
・離脱の抑止
eKYCを導入することで、手続きが簡単になり、見込み顧客の離脱抑止につなげられる。従来までの本人確認手法では、手続き完了までに数週間から長い場合だと数ヵ月を要する場合もあった。手続きに必要な期間が長くなれば、見込み顧客はその間待たされることになる。その間にサービス利用の動機が低下、あるいは他のサービスに目移りするなど、手続き完了に至らないこともあった。eKYCの導入で手続きがスピーディーになれば、こうした手続き途中の離脱リスクを抑制することが可能になる。
・コスト削減
紙の書類のやり取りが減ることで、ペーパーレス化の実現、あるいはコスト削減につなげられる。紙のコストだけでなく、郵便物を送付する手間や郵送代、書類の保管スペースなども削減できる。本人確認作業がオンライン化されれば、確認に必要な工数が減るため、人件費の抑制にもつながる。
eKYCの利用シーン
eKYCはさまざまな用途で利用されている。代表的なものを紹介する。
・銀行口座の開設
銀行口座の開設時にeKYCを導入することで、ユーザーが口座開設をスムーズかつ安全に行なうことができる。これまで数ヵ月かけていた口座開設も、eKYCなら最短即日で行なうことができる。場所も問わないため、ユーザーは外出先でも手続きを完結できるというメリットもある。2019年には大手銀行がeKYCを導入し話題になった。
・CtoCサービスの利用
CtoCサービスとはフリマアプリに代表される、個人間での取り引きサービスのことだが、取り引きの相手が一般ユーザーとなるため、安全性への配慮が必要不可欠となる。サービス提供事業者はeKYCを導入することで安心感や信頼感を得られ、サービスの利用促進にもつなげられる。2020年には大手家事代行サービスでもeKYCによる本人確認を導入している。
・中古品の売買
中古品の売買については古物商法で本人確認が義務づけられている。これまではオンラインで本人確認を行なう際は、郵送でのやり取りが必要で時間がかかっていた。eKYCを導入することで郵送による手続きが不要になり、本人確認をスムーズに行なえるため、取引数を増やすことにつながる。例えば、中古スマホの買い取りサービスなどがeKYCを導入している。
利便性向上に潜むリスク
eKYCを利用することで、企業とユーザーの利便性は向上する。しかし、セキュリティ上のリスクはゼロとはならないことに注意が必要だ。以下、想定されるリスクを挙げていく。
・個人情報の漏えい
eKYCの多くは免許証の公的証明書画像と、スマホなどで撮影した顔の画像を送付することで行なわれる。海外では画像ではなく動画を本人確認に活用しているケースもある。つまり、それだけの個人情報がサーバーにアップされているということだ。
特に、認証に用いられる、顔の画像や動画には、顔だけでなく室内等の情報も記録されている場合がある。万一、サービス提供事業者のサーバーから個人情報が漏えいしてしまえば、極めて機微な情報が漏えいすることになりかねない。
また、eKYCを行なうスマホアプリ等に脆弱性が発見された場合、情報漏えいのリスクは極めて高くなる。eKYCに限ったことではないが、インターネット上に自分の写真や動画をアップするリスクを今一度認識しておくようにしたい。
カメラアプリを使う際に気をつけたいセキュリティのポイント
https://eset-info.canon-its.jp/malware_info/special/detail/200616.html
・スマホの盗難や紛失によるリスク
スマホは私たちの生活にはもはや切り離せないツールとなっている。スマホ内には写真、動画、SNSからオンラインバンキングのようなものまで、秘匿性の高い情報が蓄積されている。いかにサービス事業者側でセキュリティ対策を施したとしても、ユーザー所有のスマホ本体が盗難に遭ってしまえば、対策も無効化されかねない。
二要素認証も場合によっては突破されてしまう危険性がある。盗難や紛失した場合に備え、アンドロイドデバイスマネージャーなど、遠隔からロックできる仕組みを導入しておくとよい。
スマホの紛失時だけじゃない、端末を探す機能(アンドロイドデバイスマネージャー)の利用方法とは?
https://eset-info.canon-its.jp/malware_info/special/detail/200623.html
セキュリティへの疑問を常にもち、「自己防衛」の精神を忘れないこと
eKYCが普及すればオンラインにおける本人確認がスムーズになり、多くの場面でユーザーの利便性は高まることになる。しかし同時に、多くの個人情報をインターネット上でやり取りするということは、リスクも抱えることを意味することも併せて認識しておく必要がある。
どのような安全対策を施したとしても、セキュリティにおいては100%安全という保障も対策も存在しない。また、攻撃者も常に目を光らせ、新しい技術や多くの人が利用するサービスの動向を把握している。彼らはそうしたサービスの盲点を突き、巧みに攻撃を仕掛けてくる。安心してサービスを利用するためにも、サービス提供事業者任せにせず、ユーザー自らが自己防衛を前提に、対策を講じることが重要だ。