この記事はLITALICO Engineers Advent Calendar 2022 カレンダー2の17日目の記事です
はじめに
これは、eKYCに携わったことのないSEのこうなったら良いなという妄想を垂れ流した記事です。個人の妄想・見解です。序盤は妄想の垂れ流しではなく、その前提となる部分について、記載しておりますので、妄想はいらんという方はこちらだけお読みいただければと思います。
eKYCとは何か
定義
electronic Know Your Customerの略。オンライン上で本人確認を完結させる仕組みのことです。eKYCの登場までは、本人確認を行うのに、オンラインで完結することができず、郵送や対面での確認が必要でした。そのため、eKYCの登場で、本人確認までに要する手間や、時間、費用が改善されました。
認証と本人確認の違い
認証というのは、Webサービスなどで、ユーザの身元を証明することを指しますので、認証と本人確認の違いは誤解しやすいですよね。認証の場合は、オンライン上のアカウントを使って良いかどうかの証明となり、オフライン上の本人であるかどうかは関係ないということです。どういうことかというと、Aさんが、あるサービスで、Bというアカウントを作成しました。このBというアカウントは、Aさんの名前と違うものでも良いですよね、例えば、あだ名とか。例えば、認証の方法がID/パスワードであれば、Bというアカウントを作成する際に、ID/パスワードを事前に登録するはずです。以降、このサービスを使う際には、Bというアカウントを使用して良いかどうかを確認してもらえば良いので、わざわざ、Aさんであることを証明する必要はありませんよね。事前に登録したID/パスワードを入力して、Bというアカウントを使う許可をもらえば良いだけです。
「ちょっと、待った、上の図で、指紋認証をしてるじゃん、これは本人確認じゃないの?」と思われた方がいるかもしれません。ここもややこしいですよね。指紋認証も含まれる生体認証と、本人確認は異なります。生体認証は、あくまでも、事前に登録された指紋や輪郭、顔のパーツの位置といった生体情報と、認証する際の生体情報が一致するか確認しているだけなのです。 ID/パスワードを使って行っていることを、生体情報を使って行っているだけなのです。
本人確認の活躍の場面
- 銀行口座や証券口座の開設
- BtoCのシェアリングサービスの登録
- 中古品の買取や、オークションの販売
- チケット購入(転売防止目的)
- 携帯電話の購入
- ふるさと納税のワンストップ特例申請
他にも、様々な場面が考えられますが、法的に本人確認が必要とされている場合や、利用者・運営者などのリスク回避のために本人確認を行う場合が多いイメージです。思い返していただきたいのは、上記のいずれかを行う際に、初回だけ、本人確認書類を郵送したり、宅配便の方が本人確認書類を確認したり、スマホで身分証明書の画像を送ったりしませんでしたか。それらは、正しく、あなたが本人確認に協力したということで、一番最後の場合だと、eKYCを利用したということです。
eKYCの仕組み
サービスによって、異なる部分もありますが、概ね、現在だと3つの方式があります
本人確認書類の画像と、本人の画像を突合する
- 免許証やマイナンバーカードなどの本人確認書類の画像を送ってもらう
- 最近ですと、画像データでの偽造防止のため、その場でカメラアプリを起動し、撮影してもらう方式が多いです
- 続いて、本人の画像を撮影し送ってもらう
- こちらも、偽造防止や、以降のフェーズの突合のため、画像1枚だけの撮影だけではなく、複数枚、様々なアングルで撮影してもらう方式が多いです
- 送られた本人確認書類の画像と、本人の画像を突合して一致するか確認する
- 以前は、人が見てもあったようですが、最近は、AIの画像処理で一致しているか判定する方式が多いです
ICチップ情報と、本人の画像を突合する
- スマホなどで、免許証やマイナンバーカードなどのIC情報を読み取って送ってもらう
- 免許証やマイナンバーカードなどのIC情報から、登録時の顔写真のデータを確認することができます
- 続いて、本人の画像を撮影し送ってもらう
- 免許証やマイナンバーカードなど本人確認書類の登録時の画像と、本人の画像を突合して一致するか確認する
オフラインで本人確認した機関(主に金融機関)に照会する
- オフラインで本人確認した機関に登録した際の情報(カード番号とパスワードなど)を送ってもらう
- オフラインで本人確認した機関のAPIを利用して、照会する
妄想語り(ここから妄想です)
きっかけ1
ファンタジー系の小説を読んでいたときでした。今、異世界転生されたらどうしようと、ファンタジー系小説を読んでいる方でしたら、よくある妄想をしてたときです。最初に、「PCを水に沈めてくれ!」とも思ったのですが、それと同時に、「あ、デジタル資産って相続どうなるんだろう」とも思いました。
気になって調べたところ、デジタル資産も相続対象であること、暗号化資産や、オンライン上の預金、証券など、資産価値の高いものは、登録情報と、遺族からの申請書類を見て、サービサーで、審査を行い、相続の対応を行なってくれるということです。
言い方は悪いですが、資産価値の高くないもの、例えば、オンラインで保存していた思い出の写真のアルバムや、ブログ記事やSMS上に綴った日記などは、そういった対応してもらえるんでしょうか。サービスによっては、対応してくださるでしょうし、サービスによっては、そもそも、身内とはいえ、譲渡できないと判断することもあるのではないでしょうか。
また、資産価値の高いもののサービスは、本人確認をしているか、本人確認はしていなくても、名前や住所を入力してもらいますよね。でも、通常のサービスの中には、本人確認をしていなかったり、名前や住所も入力してもらわなかったりするサービスも多いわけで、そういった場合、サービサーが対応したくても、対応できないケースもあるんじゃないかなと思います。大抵の場合、メールアドレスや携帯電話は入力いただいているので、そちらの所有が故人のものであることを証明できれば、そこから辿ってはいけるかもしれませんが、ハードル高いですよね。
きっかけ2
私、よく、アカウント情報を忘れて、自社のITサポートGの方々に迷惑をかけてしまうのですが(本当に申し訳ないです)、これって、私は、おっちょこちょいだけど、LITALICOの社員であって、社用のメールアドレスや、社員番号などから、私を特定できているから対応いただけるんですよね。
通常のサービスで、パスワードを忘れた場合って、メールやSMSでの認証でパスワードをリセットする仕組みが多いじゃないですか。例えば、ナンバーポータビリティを利用した後や、メインで使ってるメールアドレスを変更した後などで、変更前から使っているアカウントをリセットしようとして、リセット用のメールやSMSがそもそも受け取れなくて、困ったことって、皆さんはありませんか。シングルサインオンで使ってるものだったりすると、阿鼻叫喚ですよね。。
私は結構そういうことが多いので、今の携帯番号とメールアドレスを墓場まで持っていくと決めています(笑
オフとオンを気軽に繋げたい
どちらのきっかけに関しても、各種サービスの登録時に、本人確認できていれば、防げる気がしますよね。他方で、あらゆるサービスの登録時に、本人確認が必要になったら、それはそれで面倒だなとも思ってしまいます。また、サービサーかしてみては、個人情報以上に、免許証やマイナンバーカードの情報を保有するのはリスクですよね。
そこで、妄想の本題なのですが、認証でよく使う情報が、Aのものであるかを証明する仕組みがあればいいんじゃないかなと思っています。具体的には、メールアドレスや、携帯電話番号ですね。本人確認情報とセットで保持しておくことで、eKYCが、ルート認証局のように機能するようにできるのではないかなと思っています。単語の意味で違うとちょっと違うかな、趣旨としては、eKYCによる本人確認が各種認証の最上位に位置する仕組みを作りたいと言うことです。情報銀行に近いといえば、近いのですが、目的や管理する情報が違うイメージです。妄想の話は、データの利活用や提供情報の管理というより、本人確認と紐づくデータセットを管理することで、オンライン上での本人確認の敷居を下げることが目的です。
そのためには、本人確認レベルのような概念が必要かなと思っています。それぞれのレベルで、認可することを変える感じですね。また、上位のレベルで確認ができれば、下位のレベルの処理を代替できるとすれば、かなり便利になると思います。例えば、パスワードリセットは、レベル1の確認の代わりに、レベル3の方法でもできるようにするとかですね。もちろん、逆に、下位を使って、上位の処理を代替するのはダメです。
- レベル3: 従来のeKYC(上で解説したような方式)
- レベル2: 本人確認と紐づけて管理された生体認証での認証
- レベル1: 本人確認と紐づけて管理されたメールアドレス、SMS、認証アプリでの認証
この辺りが気軽にできるようになると、リアルでの関係情報をオンラインに持っていくや、各サービス間のアカウントの紐付き管理、パスワード管理が楽になると思っています。それぞれ、現在のサービスでも実現可能ですが、サービス側の実装によってしまうので、少し使い勝手が悪い部分もあると個人的には思っているのです。例えば、シングルサインオンの仕組みで、各サービス間のアカウントの紐付きを管理できるものの、それぞれ、個別に紐づけるのが面倒だなと思ったりですね。
最後に
妄想に付き合って、最後まで読んでいただいてありがとうございます。
個人的には、eKYCは、オンライン上のアカウントと、オフライン上の本人を繋げるための仕組みであるという理解なので、今回の妄想で書いているようなことは、今後ニーズがあれば、サービス化されるんじゃないかなと思っています。(既に存在していたら申し訳ありません)もちろん、検討事項は多いとは思います。
また、記事を書いている中で思ったのは、自分が使ってるメールやSMSのサービスは、自分が亡くなった後も、メールやメッセージを受信し続けるんだろうなぁと思いました。MLとか登録してますので延々と受信し続けるんだろうなと。それは、個人的には物悲しいと思います。また、サービサーにもよるのですが、そういう場合に、アカウントの改廃をどうするのかを考えないといけないですよね。
現状だと、一般のWebサービスの提供期間が長くとも、20年前後なため、そこまで問題にならないと思います、ですが、これが100年、200年と続いていくと、アカウントの中でのアクティブユーザの割合が下がり続けるわけでビジネスモデルの前提が破綻することもあるのではないでしょうか。使わなくなったアカウントが残り続けるわけですから、そのままにしておくと、コストは増え続けますよね。