オンライン契約の重要技術「eKYC」について考えてみた!

移動体通信事業者(MNO)のオンライン契約専用の新しい料金プランが3月中旬から下旬にかけてスタートしました。NTTドコモは「ahamo」、KDDIおよび沖縄セルラー電話は「povo」、ソフトバンクは「LINEMO」となります。

NTTドコモのahamoは利用者からの要望やキャリアショップでの混乱を抑える目的などから有料にて店頭サポートサービスも始めるようですが、基本的にオンライン契約が主体であることは今後も変わらないでしょう。

こういったオンラインでの契約を行う際に用いられる重要な技術の1つに「eKYC」というものがあります。一般にはまだあまり認知されていない言葉かもしれませんが、この技術があってこそ、安全なオンライン契約というものが可能になっています。

感性の原点からテクノロジーの特異点を俯瞰する連載コラム「Arcaic Singularity」。今回はeKYCの仕組みや安全性について解説します。

as-176-002
多分こういうこと……ではない


■オンライン時代の新しい本人確認技術
eKYCとは、「electronic Know Your Customer」の略称で、無理矢理日本語に訳すなら「電子本人確認」といったところでしょうか。

一般的に店頭や行政機関の窓口などで本人確認を行う際には「運転免許証」や「マイナンバーカード」といった顔写真付きの書類を提示し、応対する人間が契約者の顔を見て「同じ人だな」と判断することで行いますが、オンラインでは基本的にこれができません。

例えば、これまで仮想移動体通信事業者(MVNO)のオンライン契約を行う際などは本人確認書類として「運転免許証」や「パスポート」のコピーなどが用いられることが多くありましたが、これらの書類は簡単にコピーできる上に(そもそもコピーの提示が求められているわけだから当然だが)、それが本人のものであるかどうかを証明する方法がありませんでした。

一応、生年月日や電話による確認などで行われてきましたが、これらも個人情報さえ入手してしまえば簡単に騙せる内容であるため、通信契約のような重要な契約には不向きである点が以前より指摘されていました。

そのため、オンライン契約と言いつつも、

・契約者が本人確認書類をオンラインでサービス側へ送付
・サービス側が本人確認を兼ねて契約者へ契約書類を郵送
・契約者が書類をサービス側へ返送することで契約が完了

このような手順を踏む必要があり、非常に工数(日数)がかかる上に処理が煩雑である点が大きなデメリットとなっていました。

as-176-003
MVNO「mineo」の契約に必要な本人確認の例。基本的に書類のみで行われるため安全性はあまり高くない


このオンライン契約時の本人確認(本人認証)の甘さが大きな事件を引き起こしたのが、2020年8月から9月にかけて騒動となったNTTドコモの「ドコモ口座不正利用事件」です。

この事件については本コラムでも過去に詳しく解説したことがありますが、ドコモ口座の本人確認手段が携帯電話契約と紐付いていた時代のもののままだったことでセキュリティーが甘くなり、なりすましによる詐欺が可能になってしまったというものでした。

皮肉にもこの事件がMNO各社や金融機関がeKYC導入への流れを加速させるきっかけとなったことは間違いありません。

【過去記事】秋吉 健のArcaic Singularity:問題の本質は銀行側にあった。ドコモ口座不正利用事件で発覚した企業のセキュリティー意識の低さを考える【コラム】

as-176-004
事件後、ドコモ口座でもeKYCの導入が行われた


■eKYCアプリ自体がセキュリティーとして機能する
では、eKYCでは具体的にどのような手法が用いられるのでしょうか。

基本的にはスマートフォン(スマホ)などのカメラ機能を用いて契約者本人の顔や本人確認書類を撮影してサービス側へ送信することで行われます。

他にも銀行口座を用いたシステム的な照会方法もありますが、こちらは主に金融機関向けに用意されたもので、携帯電話契約や他のオンラインサービスの契約においては顔や本人確認書類の撮影による個人照会が一般的です。

as-176-005
金融庁「オンラインで完結する自然人の本人特定事項の確認方法の追加」より引用


撮影された写真にはタイムスタンプなどのEXIF情報が付帯するほか、撮影に使用するアプリ自体が「本人をその場で確認した」というセキュリティーとして機能するため、他人が盗んだ写真によってなりすますのが困難であることなどが、この方式が採用された理由の1つです。

eKYCを利用した携帯電話契約については、KDDIやソフトバンク、楽天モバイルが早期から積極的に取り入れていた経緯があり、現在ではMNOすべてで採用されています。

as-176-006
楽天モバイルは発表会において携帯電話会社のeKYC導入について日本初と言っていたが、実際はKDDIやソフトバンクのほうが早かった。ただし、後日修正が行われ、eKYCとeSIMを組み合わせた即日発行(利用)は確かに楽天モバイルが日本初だった


as-176-007
NTTドコモやKDDIが採用しているeKYCソリューション「LIQUID eKYC」


■技術を過信せずリスクコントロールで快適な社会に
eKYCの導入と普及は私たちの生活に常に付いて回る「契約」という負担を大きく軽減してくれます。

利用者のメリットで最も大きいのは上記のように手続きが簡素化することによる契約までの時間の短縮ですが、これはサービス提供側としても利用者が契約手続きの面倒を嫌って躊躇する機会損失の低減につながり、さらに紙の書類をやり取りするコストと資源の節約にもなります。

一方で、個人情報の取り扱いに対するリスクは常に残ります。eKYCアプリそのものに脆弱性(セキュリティホール)があった場合や、企業が個人情報を流出させてしまう危険性です。

紙媒体であっても同様の危険はありますが、データという形のないものだからこそ、より一層厳重な管理体制と万全のソリューションであることが求められます。

as-176-008
ソフトバンクが採用する「Polarify eKYC」。今後さまざまなeKYCソリューションの乱立が予想されるが、いずれにしてもセキュリティーだけは万全にしていただきたい


私たちエンドユーザーが何よりも留意すべきは、どんなに便利なサービスと本人確認手段が普及したとしても、それが100%安全であると過信しないことです。

恐らく今後、eKYCを騙った詐欺アプリや、本人確認と称して個人情報を盗み出そうとする犯罪などが登場してくることは必定です。そういったリスクをあらかじめ想定し、不用意な契約行為を行わないことや、企業情報の不確かなサービスは極力利用しないことなど、自衛していくことが大切です。

逆に言えば、そういったリスクコントロールさえ確実に行うことができれば快適で便利な社会となります。すべてを他人任せや企業任せにするのではなく、自ら率先してリスクコントロールできるよう心がけたいものです。

記事執筆:秋吉 健


■関連リンク
エスマックス(S-MAX)
エスマックス(S-MAX) smaxjp on Twitter
S-MAX - Facebookページ
連載「秋吉 健のArcaic Singularity」記事一覧 - S-MAX