このコラムでは、銀行やFintechサービス、仮想通貨取引所などで初めに口座を開設する際に運転免許証などを提出するなどして行う本人確認時の課題と、法律改正で何が可能になったのか、そしてこれからそれはどのように形態を変えていくかについて書きます。(後から自分で見返すためにも書いています!)
本人確認は、ビジネスとして最近少しだけ盛り上がりを見せています。この背景についても説明していきます。本人確認やeKYCについてあんまりよくわかってないという人は、以下のリンクも参考にしてください!
オンラインでの本人確認について
レッドオーシャン化するeKYC市場
2018年の11月に施行された新しい法律により旧式の郵便による本人確認よりももっと簡単な本人確認の仕組みであるeKYCを利用できるようになりました。
しかし、eKYCを実施するのにはオンデマンドでの本人の容貌確認と、オンデマンドでの本人確認書類の確認が必要になります。(どちらも、アプリで撮影されたものであることを確認できる必要があります。)
eKYCを導入したい全ての企業で、このオンデマンドでの本人確認の工程は必要になるので、どこかの企業がいっきに作り上げてしまい、それを必要な複数の企業に低コストで利用してもらうというビジネスモデルが考えられます。
ちょうど僕がeKYCの市場について調べ始めたのは、今年(2019年)の2月でその頃、外部の企業に対してeKYCを行う上で必要な部品を提供していた国内の企業は、2~3社であると記憶しています。
それが2019年8月現在では、以下に示す多くの企業の参入するレッドオーシャンとなっています。(敬称を省略させていただいています。また、カッコの中は親会社の名前です。)
ここに挙げさせていただいた企業には、eKYCを行うためのソフトウエアのみを提供する企業、本人確認そのものも行ってくれる企業、本人の容貌や本人確認書類のオンデマンド取得を必要としない本人確認書類だけに基づいて本人確認を行う企業なども含まれています。
同様に、海外でも本人確認のためのサービスを提供している企業が多く存在しています。代表的な会社を少しだけ列挙させていただきます。
日本での、eKYCビジネスの盛り上がりの背景には、2018年の11月30日に施行された犯罪収益移転防止法があると思います。次いで、ソフトウエアの開発の容易さ、単価の高い金融業界において多くの企業が必要であること、本人確認を行うときのユーザーの個人情報の管理コストが高いことも理由の一つだと思われます。
以下では、大きな要因であった、犯罪収益移転防止法がなぜ改定されたのかについて簡単に説明します。
犯罪収益移転防止法(犯収法)の改定
犯罪収益移転防止法は、マネー・ローンダリング/テロ資金供与防止の目的で特定事業者や特定事業者に関連する企業などに対して制定され、近年組織的な犯罪の増加や、FATF(国際的な組織であるマネーロンダリングに関する金融活動作業部会)からの以下の4点に関する勧告
– テロ資金供与の犯罪化が不完全
– 金融機関、非金融機関に対するマネー・ローンダリングの予防措置や顧客管理に関する要件や義務の欠如
– テロリストの資産凍結に関する仕組みが不完全
– パレルモ条約(国際組織犯罪防止条約)の未締結(その後、組織的な犯罪の処罰及び犯罪収益の規制等に関する法律改正により、2017年8月に締結した)
などもあり、2018年11月に再度改正を行うことになりました。KYCや金融系事業者に関わる法律であるので、個人的にこの法律の管轄は金融庁にあると以前は思っていたのですが、上記のようなテロ対策ということもあり警察庁が管轄の法律です。
(日本は、世界の先進国の中でFATFでの評価が著ししく低く、国際的に法改正への圧力があった一方で、日本のFintechの発展のために金融庁が一部主導してして作られた法律であると思っています。)
ちなみに、特定事業者とは、銀行などの金融機関、クレジット事業者、宝石・貴金属等取扱事業者などのことを指します。(以下参照)
犯罪収益移転防止法の概要本人確認書類自体の真贋
以前のnoteでは、上記で説明した犯収法の改定によって創設された本人確認方法の一つである、ユーザーの容貌と本人確認書類をどちらも撮影してもらいそれをアップロードしてもらう方法について紹介しました。
しかし、このよう方法には、本人各書類の偽造を見破ることができないという可能性があるという問題点があります。例えば、運転免許証などは、インターネット上で幾らかお金を出せば作成可能ですし、スマホで撮影をするので、紙に印刷したものでもいくらか頑張れば可能かもしれません。
運転免許証の偽造、海外サイト野放し 大きさや形は本物と酷似、悪用の犯罪相次ぐ今、多くのeKYCを提供しいている企業は、コモディティー化しつつある顔認証技術をプロダクトの強みとして宣伝していますが、他社との差別化として対策をしっかりとすべきは本人確認書類の真贋の技術だと思っています。
(しかし、アップロードされた画像をもとに真贋判定を行うのはやはりいくらか限界があり、将来的にはICカード(電子署名書)の読み取りに変わっていくとが考えています。)
本人確認書類に埋め込まれているICチップを利用する方法では、スマホなどを用いてユーザーに、ICチップを読み取ってもらい、その情報(電子証明書など)を検証することで、提示された個人情報などの正しさ(公的機関が発行した証明書なのかどうか)が検証可能なので、偽造の可能性が限りなく低くなります。(ICチップは、運転免許証やマイナンバーカード にもついています。)
とはいえ、このICチップを読み取る認証方式にもいくつか問題があります。1点目が、運転免許証やマイナンバーカードの情報を読み取ることができるデバイスが普及していない点です。
現在まで一部のAndroid端末でのみICチップの読み取りが可能で、iOS端末ではできません。(iOS13のアップデートによってこの問題は、解決されそうです。)
2点目が、ICチップから読み取った値を検証するためには、ユーザー自身がその本人確認書類を発行した際に設定した暗証番号を入力する必要があります。(運転免許証の場合は、2つの暗証番号を入力する必要があります。)
このパスワード自体は、本人確認書類のICチップを利用する頻度が少ないこと、作成してから期間が開くことから、多くの人が覚えていないかつ、3回以上間違えたものを入力した場合は、ICチップ自体にロックがかかってしまうため、なかなか多くの人に受け入れてもらえるものとならないのが現状です。
このような背景から、もっと利用しやすくかつ、暗号学的に本人であることを、物理の書類を用いず証明する方法が必要だと感じています。そのような方法として、スマホだけで簡単に本人確認であることを証明できるデジタルな身分証が今後普及していくと考えています。
デジタルな身分証明
ここでは、この文章の結びとして、これまで述べてきた本人確認の方法が今後どのように進展していくのかについて、現在ネット上に公開されている情報をもとに考察していこうと思います。
多くの企業がやりたがっていることは、1度本人確認が終わったアカウントで、他のサービスにログインすればそのサービスでも本人確認が終わったことになるような、サービス間でのKYC情報の共有です。
(例えば、 あるサービスXをFacebookログインを利用してアカウント作成を行うのと同じような要領です。facebookログインを利用することで、サービスXでのユーザー名やプロフィール画像の登録が省略できます。)
現状では、ユーザーは複数のサービスにおいて(例えばXY銀行と、ABC証券を申し込むことを想定します)、複数回 本人確認作業を行う必要があり、企業側も同一人物の本人確認を別々に行っています。 (無駄な重複が発生しています)
企業側がユーザーの本人確認を行う際に、本人の容貌と本人確認書類の顔写真を比較し、また本人確認書類に不正がないかを目視で確認しています。これには、それなりの人件費がかかっていると思われます。
これを前述した、サービス間のKYC情報の共有形式にすることで重複している無駄を省くことができ、ユーザーは本人確認書類をアップロードする必要がないので、KYCのプロセスでの離脱を圧倒的に抑えることが期待されます。
このような、KYC情報の共有化を行おとしている企業も複数社いるので、以下では、それら企業を列挙してみます。
FinTech実証実験ハブ
金融庁が主催している「FinTech実証実験ハブ」の第一号支援案件がまさに、KYCの共通化に関する取り組みです。
この実証実験では、株式会社みずほフィナンシャルグループ、株式会社三井住友フィナンシャルグループ、株式会社三菱UFJフィナンシャル・グループなどの銀行を中心に、証券会社なども参加して行われています。(以下の資料を参考)
本実証実験は、コンソーシアム型のブロックチェーンを用いて顧客の本人確認に関する情報を金融機関共同で実施するシステムで共有する仕組みです。
「FinTech実証実験ハブ」初の支援決定案件の実験結果について ブロックチェーン技術を活用した本人確認 (KYC)高度化プラットフォーム構築の実証 に係る報告書TRUSTDOCK
TRUSTDOCKは、GaiaXからスピンオフした会社です。本人確認を簡単にできるAPIを提供していて、連携がとてもスムーズにできます。GaiaX自身が、シェアリングエコノミーに力を入れていることもあり、シェアリングエコノミー系のサービスを展開しているクライアントが多い印象です。
最近、リリースしたeKYC身分証カメラですが、将来的にデジタル身分証を管理、利用できるような伏線がアプリの中に入っています。
以下のサイトでも、財布から身分証をなくすという話をしています。
テクノロジーの力で「財布から身分証をなくす」メルペイ
メルペイでは、初めにあげたFinTech実証実験ハブでの法律的な解釈を根拠に、メルカリのグループ会社等の本人確認を簡易化する方法を産官協議会に対して、提案しています。メルペイのeKYCは、他のeKYCのシステムよりもきちんと考えられている感じがとてもします。また、特許がエグいなという印象です。
おそらく、LINE等も同じような戦略でeKYCを一回ですむような仕組みを考えていると思います。今年のLINEが共催で開催しているセキュリティーサミットでは、そのような感じを受けました。
株式会社メルペイ〜第2回産官協議会発表資料〜 Join the global conversation in TokyoGMO
GMOでは、かなり前から、ブロックチェーンを用いた KYC情報の共有の提案と、それを実現するためのオープンソースのコードが公開されていました。また、数日前にeKYCのシステムを提供するというリリースを出していました。
なぜGitHubなのか?メタップス
メタップスでも、ブロックチェーンを用いたKYCに関する技術的な研究が行われています。(特に韓国で11件が特許登録され、国内最多数なようです。)
メタップスプラス、日本での「KYC」技術特許を取得 〜本人確認にかかる人的・金銭的コストの削減をブロックチェーン技術で実現〜楽天
楽天では、2016年にHyperledgerと呼ばれるブロックチェーンを用いて、KYCのシステムを構築することを発表していました。
日本初!ブロックチェーン技術を利用した本人確認(KYC)システム共同開発開始〜最先端のFintech採用へ〜このように多くの会社が現在、実現に向けて取り組んでいますが、日本の現在の法律では、このようなKYC情報の共有とそれを利用できるかということは、法律として明文化されておらず、今後どうなるかがはっきりしていないのが現状です。
また、~pay(キャッシュレス)と同じように、複数の企業がKYCの情報を共通化して、利用できるようにするよ!! と言い出すと、複数のサービスで結局本人確認をしなくてはいけないという矛盾になる可能性もあると思います。
長々と読んでいただきありがとうございました!
