eKYCってなに？

この記事に書いてあること

• eKYCと、その元になっているKYCの違いを整理
• eKYCと深く関わる法律である犯罪収益移転防止法（犯収法） を解説
• 業界用語の「ホ方式」「ヘ方式」「ト方式」「ワ方式」が何なのかを解説
• 2025年6月の改正内容と、2027年4月の改正予定内容を整理

この記事で解決すること

• eKYCが何かざっくり説明できるようになる
• 受託開発でeKYCを組み込むときに、何に気をつけるべきかがわかる
• 「ホ方式」「ワ方式」のような謎ワードに動じなくなる
• 2027年4月改正までに何を考えておくべきかがわかる

必要な前提知識

• 特になし（専門知識不要、実装方法には触れません）

そもそもKYCとは

eKYCの話をする前に、元になっている KYC から。

KYC（Know Your Customer）は「顧客を知る」という意味で、金融機関などが取引の相手が誰かをきちんと確認する手続き のことを指します。
身近な例だと、銀行で口座を作るときに運転免許証を見せる、あの本人確認です。

KYCが必要な理由はざっくり2つです。

1. マネーロンダリング対策：犯罪で得たお金を金融システムを通じて「きれいなお金」に見せかける行為を防ぐ
2. テロ資金供与対策：テロ組織への資金の流れを止める

なぜKYCで防げるのか

マネーロンダリングやテロ資金供与も、「お金の出し手・受け手が誰なのかを隠したい」 という点が共通しています。犯罪で得たお金を匿名の口座に何度も移し替えて出所をわからなくしたり、架空名義の口座を経由してテロ組織へ送金したり、というやり方ですね。

そこでKYCが効いてきます。

• 取引の入口で身元を特定しておくと、口座や取引のすべてが実在の人物に紐づきます。匿名性がなくなるので、「誰のお金が、誰に渡ったか」を後から追跡できるようになります
• 本人確認書類と突合してチェックできるので、そもそも架空名義や他人になりすました口座開設を弾けます。入口で弾けば、犯罪に使える「道具としての口座」が作れません
• 制裁対象者リスト（テロ組織関係者など）との照合が可能になります。身元が特定できていれば、国際的な制裁リストと突き合わせて、該当者との取引を遮断できます

つまりKYCの本質は、「犯罪そのものを取り締まる」ことではなく、犯罪に使える匿名性を金融システムから取り除くこと にあります。身元がバレる前提では、犯罪者側は金融システムを使いにくくなります。

これらは国際的な要請で、日本でも法律で義務化されています。その法律が後述する犯収法（はんしゅうほう）です。

eKYCとは

eKYC（electronic Know Your Customer） は、KYCの手続きを オンラインで完結させる仕組み のことです。

従来のKYCは、

• 店舗の窓口で本人確認書類を提示する
• 本人確認書類のコピーを郵送する
• 本人限定受取郵便で書類を受け取ってもらう

といった方式が主でした。どれも時間がかかるし、ユーザー体験も悪いです。口座開設のために数日〜1週間かかる、なんてことも珍しくありませんでした。

eKYCでは、スマートフォンのカメラで

• 本人確認書類を撮影する
• 自分の顔を撮影する（セルフィー）
• マイナンバーカードのICチップを読み取る

などの方法で、その場で本人確認を完了 できます。ユーザー体験が劇的に改善されるだけでなく、事業者側の事務コストも下がるため、近年多くのサービスが導入しています。

なぜeKYCが必要になったのか

「オンラインで本人確認できるようにしよう」というアイデア自体は前からあったのですが、法律で明確に認められたのは2018年11月の犯収法施行規則改正から です¹。

それまでは、非対面取引の本人確認は

• 本人確認書類のコピー郵送 + 転送不要郵便
• 本人限定受取郵便

といった「書類と郵便」が基本でした。時代に合わないしユーザーも離れる。そこで、2018年の改正により オンラインで完結できる本人確認方法が新設 され、これがいわゆるeKYCの始まりです。

犯罪収益移転防止法（犯収法）とは

eKYCを理解するうえで避けて通れないのが 犯罪収益移転防止法（犯収法） です。正式名称は「犯罪による収益の移転防止に関する法律」で、2007年に制定されました。

ざっくり言うと、

犯罪で得たお金が経済活動に紛れ込まないように、特定の事業者は取引相手の本人確認をちゃんとしなさい

という法律です。

対象となる「特定事業者」

犯収法では、本人確認義務が課される事業者を 特定事業者 と呼びます。主なものは以下です²。

• 銀行、信用金庫、証券会社などの金融機関
• クレジットカード事業者
• 資金移動業者（送金サービスなど）
• 暗号資産交換業者
• 宅地建物取引業者（不動産）
• 弁護士、司法書士、行政書士、公認会計士、税理士など
• 古物商、質屋
• 貴金属取扱業者 など

お金や資産が動く取引に関わる事業者がだいたい該当する、というイメージです。逆に言うと、一般的なWebサービスやSaaSは特定事業者ではないので、犯収法の直接の対象ではありません。

受託開発でeKYCを実装するときの注意

ここは開発者にとって、重要な点です。

受託開発でeKYCを実装する場合、発注元（クライアント）は特定事業者であるケースがほとんど です。金融機関、不動産会社、暗号資産交換業者などから、自社サービスにeKYCを組み込みたいという依頼になります。

このとき、

• 受託開発会社自体は特定事業者ではない（ソフトウェア開発業は対象外）
• しかし、実装する本人確認の方式が犯収法施行規則で定められた方法に該当していないと、クライアント（特定事業者）が犯収法違反になる

という構造になっています。実装者が直接罰せられるわけではないのですが、「それっぽい本人確認」を独自実装してしまうと、クライアントを法令違反の状態に陥れる わけです。

「カメラで免許証撮らせて、セルフィーも撮らせて、目視で照合すればOKっしょ」みたいな雑な実装は絶対にダメです。法定の方式に厳密に準拠する必要があります。

では、その「法定の方式」とは何か。ここでようやく ホ・ヘ・ト・ワ が登場します。

「ホ・ヘ・ト・ワ」とは何なのか

業界では「ホ方式」「ヘ方式」「ト方式」「ワ方式」という独特な呼び方がされます。初見だと絶対に意味がわかりません。

これは 犯収法施行規則 第6条第1項第1号 に列挙された本人確認方法の、条文のイロハ順の項番 がそのまま呼び名になっているだけです。法律用語ではなく、業界の慣習的な呼称です。

かつて（〜2025年6月）の「ホ・ヘ・ト・ワ」

2018年の改正で新設された、オンライン完結型の4つの方式です。

呼称	内容
ホ方式	本人確認書類の画像（写真付き、厚みがわかるように撮影）+ 本人の顔画像（セルフィー）の送信
ヘ方式	本人確認書類のICチップ情報 + 本人の顔画像の送信
ト方式	本人確認書類の画像 or ICチップ情報 + 他の特定事業者への顧客情報照会、または既存銀行口座への少額振込による確認
ワ方式	マイナンバーカードの公的個人認証サービス（JPKI）による電子署名

ここ数年のeKYCサービスの多くは、ユーザー体験の作りやすさから ホ方式 を採用していました。運転免許証を撮影して、自分の顔を撮るだけで完了します。

2025年6月の改正で変わったこと

2025年6月に施行規則が改正され、以下の変更がありました。

• ル方式の新設：スマートフォン搭載のマイナンバーカード機能（「カード代替電磁的記録」）の送信 + 本人確認。スマホ版マイナンバーカードに対応するためのもの
• 条文の項番振り直し：既存方式の条文上の位置がずれ、たとえば従来の「ワ方式」は条文上は「カ」になりました

業界では依然として「ホ方式」「ワ方式（= JPKI方式）」といった従来の呼称が使われ続けているのが実情です。この記事でも以降は従来呼称で書きます。

2027年4月にさらに大きく変わる

2026年3月6日に公布された「令和8年改正」（2027年4月1日施行予定）は、eKYC業界にとって影響がかなり大きい内容です。ポイントは以下です。

• ホ方式（書類画像 + セルフィー）は廃止
• リ方式（書類2点の写し送付 + 転送不要郵便）も廃止
• 原則として マイナンバーカードの公的個人認証（JPKI、旧ワ方式）への一本化³
• ICチップ読み取り + セルフィー（旧ヘ方式）は存続

なぜこんな大きな変更になるのか。理由は明確で、偽造された本人確認書類を使ったなりすまし犯罪が増えたから です。

ホ方式は「書類の画像」を送るだけなので、精巧に偽造された運転免許証を撮影されると、人間・AIのどちらも見抜けないケースが出てきました。特殊詐欺グループが偽造免許証でeKYCを突破し、口座を大量開設して詐欺に使う、という事案が社会問題化しています。

対して、マイナンバーカードのICチップによる公的個人認証（JPKI）は、国が発行した電子証明書 を使うため、偽造が極めて困難です。そのため「原則JPKIに寄せよう」という方針になったわけです。

2026年4月時点のまとめと、これから

現在（2026年4月）の状況を整理すると以下のとおりです。

• 2018年以降、eKYCが法的に可能になり普及
• 2025年6月改正で、スマホ版マイナンバーカード対応（ル方式）が追加
• 多くの事業者がまだ「ホ方式（書類 + セルフィー）」を主軸にしている
• 2027年4月の改正でホ方式が廃止され、JPKI方式への移行が必須に
• 各社、2027年4月に向けてJPKI対応を急いでいる段階

これからeKYCを導入する側、実装する側としては、

• 新規に作るなら、ホ方式ではなくJPKI方式（公的個人認証）を前提に設計する
• ICチップ読み取り + セルフィー（旧ヘ方式）も存続するので、JPKIと組み合わせて選択肢を用意する
• 既存システムでホ方式を使っている場合、2027年4月までに移行計画を立てる

という方針が無難です。「今動いているからホ方式で」という判断は、ほぼ確実に1年以内に作り直しになります。

感想

eKYCは「便利にオンラインで本人確認できる仕組み」という表面的な理解で済ませるには、法律との結びつきが強すぎる 領域だなと改めて感じました。実装時に方式を間違えると、クライアントを法令違反に陥れるリスクがあるので、エンジニアもホ・ヘ・ト・ワ（と、これから主役になるJPKI）の違いくらいは把握しておくのが安全だと思います。

とくに 2027年4月の改正は影響範囲が大きい ので、これからeKYCに関わる方は「JPKI一本化の流れ」を頭に入れておくと良さそうです。

参考

• 犯罪収益移転防止法（e-Gov 法令検索）
• 金融庁：オンラインで完結可能な本人確認方法の概要
• 【2025年6月施行】＆【2027年4月施行】改正犯罪収益移転防止法で変わる！本人確認手法の変更ポイントを解説（TRUSTDOCK）

1. 金融庁「犯罪による収益の移転防止に関する法律施行規則の一部を改正する命令」の公表について（平成30年11月30日） ↩

2. 警察庁 JAFIC「犯罪収益移転防止法の解説、パブリックコメント」（特定事業者の種別を含む法令概要資料へのリンク集） ↩

3. 警察庁 JAFIC「改正事項に関する資料」（2026年3月6日公布・2027年4月施行予定の「令和8年改正」Q&Aを含む、犯収法改正の公式資料一覧） ↩