本人確認にはどのようなレベルがある?求めるセキュリティごとの要件を解説


>>>eKYCの費用感を知りたい方へ|料金表ダウンロードはこちら


昨今、さまざまな手続きのオンライン化に伴って、非対面での本人確認の必要性が高まっています。


しかし必要性を感じながらも、どのような手法を選択して導入すればよいのか迷っている方もいるのではないでしょうか。


あるいはすでにeKYCなどを導入していても、自社のサービスには本当にこれが適しているのか不安をもっている方もいるでしょう。


本人確認は、提供するサービスが取り扱う商品のリスクによってレベルが変わります。サービスに適した本人確認を選ぶには、レベルについて知り、どの程度のセキュリティが自社に必要なのかを考えなければいけません。


本人確認におけるレベルについて解説し、求めるセキュリティごとの確認要件について詳しく説明していきます。


本人確認にはどのようなレベルがある?求めるセキュリティごとの要件を解説


目次[非表示]

  1. 1.本人確認はセキュリティごとに3つのレベルに分けられる
    1. 1.1.本人確認の2つのプロセス
  2. 2.身元確認
    1. 2.1.レベル1:自己申告制 
    2. 2.2.レベル2:郵送や身分証の利用
    3. 2.3.レベル3:対面による身元の確認
  3. 3.当人認証
    1. 3.1.当人認証の三要素とは?
      1. 3.1.1.①生体要素
      2. 3.1.2.②所有要素
      3. 3.1.3.③知識要素
    2. 3.2.レベル1:三要素のうち一つを用いる
    3. 3.3.レベル2:三要素のうち複数を用いる
    4. 3.4.レベル3:三要素のうち耐タンパ性を持つハードウェアを含めた複数を用いる
  4. 4.レベルの高い本人確認を実施するケースとは
    1. 4.1.犯収法によって定められる「リスクの高い取引」
  5. 5.さまざまなセキュリティレベルに対応するならeKYCの導入検討を
    1. 5.1.eKYCとは
  6. 6.eKYCのセキュリティレベルを解説
    1. 6.1.犯収法に準拠した手法
    2. 6.2.高性能な画像認識機能
    3. 6.3.目視による突合確認
  7. 7.セキュリティでeKYCを選ぶなら「ネクスウェイ本人確認サービス」
  8. 8.まとめ



本人確認はセキュリティごとに3つのレベルに分けられる

本人確認は、求められるセキュリティの高いものから順にレベルA、B、Cと区分されています。


そのレベルは、本人確認の2つのプロセスである「身元確認」と「当人認証」の保証レベルの組み合わせによって決定されます。


本人確認の2つのプロセス

本人確認は、「身元確認」と「当人認証」の2つのプロセスから構成されています。


身元確認保証レベル(IAL)と当人認証保証レベル(AAL)もまた、それぞれ低い方からレベル1〜3に分けられています。

IALとAALのうち、どちらかのレベルが下がると本人確認レベルも下がるため、本人確認手法を選ぶときは提供するサービスのリスクとユーザーの利便性の両方を検討しなければなりません。


それでは次に、本人確認のプロセスである身元確認と当人認証について詳しく見ていきましょう。


身元確認


本人確認にはどのようなレベルがある?求めるセキュリティごとの要件を解説

出典元:行政手続におけるオンラインによる本人確認の手法 に関するガイドライン


身元確認とは、提出された身分証から登録する氏名・住所・生年月日などが正しいことを確認、もしくは証明することです。


架空の情報を登録して、サービスを不正利用することを防ぎます。

身元確認保証レベル(IAL)は、以下のように分けられています。


レベル1:自己申告制

レベル2:郵送や身分証の利用

レベル3:対面による身元の確認


各レベルごとに詳しく解説していきます。


レベル1:自己申告制 

保証レベルが最も低いレベル1では、身元確認は自己申告を元にしています。


例えば、web上でサービスのアカウントを作成する時に氏名、住所、生年月日を求めるだけで、特に身分証などの提示を求めないというケースが当てはまります。

ユーザーが知っている情報ということで確認方法の一つにはなりますが、自己申告であり他者でも知りうる情報でもあることから、セキュリティレベルは最も低くなります。


レベル2:郵送や身分証の利用

レベル2では、転送不要郵便の送付や公的身分証を活用した身元確認になります。


登録された住所に申込書などの書類を転送不要郵便で送付し、返送してもらうことで居住の確認をします。

また、運転免許証やマイナンバーカードなどの公的身分証の写しの提出を求めて登録された情報と一致しているかを確認します。


レベル3:対面による身元の確認

最も保証レベルが高いレベル3は、対面で公的身分証を確認する方法です。


確認業務担当者が、対面で直接ユーザーから運転免許証やマイナンバーカードなどの公的身分証の提示を受け、その場で突合します。

対面で身元確認を行わないeKYCの場合、マイナンバーカードの公的個人認証や電子署名を利用するケースも認められています。


当人認証

本人確認にはどのようなレベルがある?求めるセキュリティごとの要件を解説

出典元:行政手続におけるオンラインによる本人確認の手法 に関するガイドライン


当人認証とは、認証の三要素のいずれかを照合することで、作業を行っているのがその人自身であることを示す方法です。

本人と偽ってサービスを利用する、なりすましを防止するために行います。


当人認証は、AALの高さによって三要素のうちのどれを組み合わせて確認するかが変わります。


当人認証の三要素とは?

当人認証における三要素とは、次の3つを指します。


①生体認証

②所有要素

③知識要素


次から、それぞれを詳しく解説いたします。


①生体要素

生体要素は、顔や指紋、目の虹彩などその人だけが持っている生体的特徴をいいます。

生体要素は完全にコピーするのが難しいため、なりすましがやりにくい要素です。


②所有要素

所有要素は、本人だけが持っているモノをいいます。

例えばマイナンバーカードや本人に対して発行されたトークン、スマートフォンの携帯番号(SMS認証)などが挙げられます。


③知識要素

知識要素は、本人だけが知っている知識をいいます。

例えばユーザーが設定したパスワードや、ユーザーだけが知っている秘密の質問の回答などが該当します。


以上の三要素を踏まえて、当人認証のレベル1〜3の違いを見ていきましょう。


レベル1:三要素のうち一つを用いる

レベル2:三要素のうち複数を用いる

レベル3:三要素のうち耐タンパ性を持つハードウェアを含めた複数を用いる


それでは、レベル1から解説していきます。


レベル1:三要素のうち一つを用いる

保証レベル1は、上の三要素のうちの一つを用いて当人認証を行う方法です。

オンライン上でサービスにログインする時、パスワードだけを求めるのもレベル1にあたります。

また、要素としては一つであっても、認証の段階を二つにわけて行う「二段階認証」もあります。


例えば電話番号認証やSMS認証は、登録された電話番号宛に電話をする(あるいはかける)かSMSを送信してパスワードを送り、ユーザーからパスワード入力を受けるという2つの段階を経て確認します。


レベル2:三要素のうち複数を用いる

三要素のうち、2つ以上の要素を用いて当人認証を行う方法です。


よく見られる例は、ユーザーIDやパスワード入力を求めた後(知識認証)にSMS認証(所有認証)を行う方法です。


レベル3:三要素のうち耐タンパ性を持つハードウェアを含めた複数を用いる

耐タンパ性とは、外部からの読み取りや解析がしにくい性質のことです。


耐タンパ性を持つハードウェアとしては、マイナンバーカードが挙げられます。マイナンバーカードの利用には個人情報ICチップの読み取りとPINコードの入力が必要なため、高い耐タンパ性を有しています。


例えば、パスワード(知識認証)とマイナンバーカードのICチップ読み取り(所有認証)によって当人認証を行う方法があります。

マイナンバーカードの耐タンパ性によって、最も信頼度の高い当人認証が可能になるのです。



レベルの高い本人確認を実施するケースとは

本人確認にはどのようなレベルがある?求めるセキュリティごとの要件を解説

レベルAのような高いレベルの本人確認を行うケースとは、どのようなものでしょうか。

それは主に、事業者が取引やユーザーのリスクが高いと判断したケースになります。


なりすましや不正利用の可能性がある、取り扱う情報や金額が大きくなる場合などは、リスクが高いと判断できるでしょう。


犯収法によって定められる「リスクの高い取引」

犯収法では、マネーローンダリングの可能性が高いとみなされる取引をリスクの高い取引と定義しています。このような取引の場合、さらに厳格な本人確認の実施を求めています。


犯収法におけるリスクの高い取引は、次の場合です。


  • 取引相手になりすましの疑いがある場合
  • 本人確認の際、内容を偽っている疑いがある顧客
  • マネーロンダリング対策が不十分と認められる国に居住、所在する人との取引
  • 外国で重要な公的地位にある人物との取引


このような場合は、従来の取引時確認に加え、さらに追加の本人確認書類、取引を行う目的、職業、資産及び収入の状況などの確認も必要になります。


さまざまなセキュリティレベルに対応するならeKYCの導入検討を

セキュリティレベルには3段階あることは前述のとおりですが、提供するサービスの内容やユーザーによって、求められるレベルはさまざまです。


提供するサービスが複数にわたっており、サービスの内容によってセキュリティレベルが違うケースなど、さまざまなセキュリティレベルに対応したいならば、eKYCの導入を検討することをおすすめします。


eKYCとは

eKYCとは、オンラインで完結する本人確認手法です。


事業者が提供するアプリやブラウザから本人確認書類の画像やICチップ情報などの送信を受けたり、すでに本人確認情報を持っている機関に問い合わせることで本人確認を行います。


実施には時間や場所を気にすることなく、スピーディーに進められるので、ユーザーがサービス利用までの時間を短縮できるなどの利点があります。


また事業者にとっても、従来の本人確認業務にかかる負担を減らすことができる手法です。

eKYCについてより詳しく知りたい方はこちらの記事もご覧ください。

  オンライン本人確認「eKYC」とは?特徴や仕組みを徹底解説 オンライン本人確認「eKYC」は新しい本人確認システムであり、その実態はまだわからないという方も多いでしょう。そんなeKYCの仕組みからメリット、安全性、導入のポイントまで詳しく解説します。 ネクスウェイ本人確認サービス/株式会社ネクスウェイ


eKYCのセキュリティレベルを解説

本人確認にはどのようなレベルがある?求めるセキュリティごとの要件を解説


eKYCでよく用いられている手法の多くは、セキュリティレベルにおけるレベルBに対応しており、レベルCについても対応しています。


その他、マイナンバーカードのICチップ情報による公的個人認証の取得というレベルAの手法にも対応しています。


eKYCはユーザビリティを確保しながら、高いリスク対策にも十分なセキュリティ性を持っているのです。


次からは、eKYCの具体的なセキュリティについて説明いたします。


犯収法に準拠した手法

eKYCは、2018年の犯収法改定の際に認められました。犯収法に準拠した手法であるため、セキュリティレベルは高く保証されているといえるでしょう。


eKYCで主に使われている手法は、次の3つです。


●確認時に撮影された本人容貌画像と、写真付き本人確認書類の画像送付を受ける方法(犯収法第6条1項1号ホ)


●容貌画像の送付とともに、写真付き本人確認書類のIC情報を読み取って送信する方法(犯収法第6条1項1号へ)


●本人確認書類の撮影画像の送信を受けた後、銀行やクレジット会社に本人確認情報を照合するか、指定の口座へ事業者から少額を振込むことで確認する方法(犯収法第6条1項1号ト1、2)


eKYCは、耐タンパ性を持つマイナンバーカードにも対応しています。

eKYCと犯収法の関係についてはこちらの記事でも詳しく解説しています。

  e犯罪収益移転防止法とは?概要や本人確認(eKYC)の要件について |株式会社ネクスウェイ 「犯罪収益移転防止法」という法律が2007年に制定されたことによって、オンライン本人確認「eKYC」というサービスが普及しました。スマホで顔写真と身分証を撮影するeKYCは、この「犯収法」によって要件が定められています。犯収法について詳しく解説します。 ネクスウェイ本人確認サービス/株式会社ネクスウェイ


高性能な画像認識機能

eKYCの手法の多くは当人認証に生体認証を用いているため、画像認識機能は高性能なものに限られます。

中には、生体反応を確認するためにまばたきや顔のわずかな動きを検出する機能を備えているものもあります。


目視による突合確認

しばしば誤解されていることですが、eKYCは、全工程が自動で行われるわけではありません。

例えば容貌画像と写真付き本人確認書類画像の送信を受けた後は、目視での確認を行う必要があります。

また、登録内容と本人確認書類の内容に相違がないかの突合確認も実際の人の目によって行われています。

これらは自社のスタッフで行うことになるため、負担になる場合もあるのではないでしょうか。


eKYCサービスには、この目視確認や突合も合わせて委託できるサービスもあります。

本人確認業務を一括して外部に任せたいときには、このような本人確認業務のBPOサービスを提供しているeKYCを選択するのが良いでしょう。

eKYCの安全性に関してはこちらの記事でも詳しく解説しています。

  eKYCサービス、気になる安全性は?セキュリティ面で重視すべきポイントまとめ|株式会社ネクスウェイ オンライン本人確認「eKYC」の安全性を、手順ごとに解説します。スマホやPCで本人確認が完結するeKYCは、どのようなシステムでなりすましなどの不正利用を防止し高い安全性を保っているのでしょうか。 ネクスウェイ本人確認サービス/株式会社ネクスウェイ


セキュリティでeKYCを選ぶなら「ネクスウェイ本人確認サービス」

さまざまなセキュリティレベルに対応し、かつ信頼できるeKYCを選びたいならば、「ネクスウェイ本人確認サービス」をおすすめします。


ネクスウェイ本人確認サービスは、世界最高水準のセキュリティ対策で銀行など100社以上の犯収法特定事業者から選ばれています。


eKYCで行う生体認証には、世界各国の政府や金融機関でも導入されている世界最高水準の照合精度を誇る画像認証技術を提供しています。その技術は、アメリカの入国審査局でも採用されています。


また、eKYC後の目視確認・突合作業のBPOサービスはセキュリティ対策をしたセンターで取り扱っており、取得した個人情報は各種法令に準拠して厳重に管理しているため、安心して本人確認業務を委託できます。


まとめ

今回は、本人確認のレベルについて詳しく解説いたしました。


本人確認には、セキュリティレベルが高い方からレベルA、B、Cに分けられています。

このレベルは、本人確認の2つのプロセスである、身分認証と当人認証それぞれの保証レベルの組み合わせによって決められます。


本人確認を導入する際には、自社サービスに適したセキュリティレベルと、ユーザーの利便性に応じたレベルの本人確認手法を選ぶことが重要になります。


ユーザーの利便性を守りつつさまざまなセキュリティレベルに対応したいと考えるなら、eKYCの導入をご検討ください。

犯収法に準拠した本人確認手法で、レベルAからCまで対応が可能です。

多くのeKYCサービスがある中で、安心安全にeKYCを開発から導入、その後の本人確認業務まで任せたいならば、ぜひネクスウェイ本人確認サービスの導入をご検討ください。



ネクスウェイ本人確認サービス資料のダウンロードはこちらから↓





ネクスウェイ/本人確認サービス
ネクスウェイ/本人確認サービス
本人確認をトータルで支援するKYCクラウドサービス。 eKYCから書類確認業務まで ネクスウェイ本人確認サービス1つで完結します。 本人確認業務に関わる情報、eKYC化のポイント、業界ごとのユースケースなど価値あるコンテンツをお届けしていきます。


\本人確認サービスの費用を知りたい方/

人気記事ランキング

タグ一覧