eKYCサービスの安全性・危険性は?想定できるセキュリティリスクと対策
安全・高セキュリティな本人確認を実現する「eKYC(オンライン本人確認)」とは?
サービス導入を進めるための具体的なステップを紹介!
→解説資料を無料でダウンロードする
オンライン上で本人確認が完結するeKYCは、多くのサービスで取り入れられていますが、セキュリティ面でのリスクはどのように保証されているのでしょうか。
自社のサービスでぜひeKYCシステムを取り入れたいとお考えの方は、なりすましを防ぐ顔認識の精度や、個人情報を扱うための十分な安全性をまず気にするはずです。
この記事では、eKYCサービスの安全性を、実際の手順に沿ってご説明します。いくつかのeKYCベンダーを検討中なら、比較するための参考にしてください。
目次[非表示]
- 1.eKYCサービス、安全性は問題ない?
- 2.eKYCでオンライン本人確認ができる仕組みとは
- 3.eKYCで想定できるリスク・危険性と対策
- 4.eKYCにおいて想定される不正行為
- 4.1.本人確認書類や身分証の偽造
- 4.2.ディープフェイク・画像生成
- 5.eKYCの流れで解説!安全性で重視すべき4つのポイント
- 6.安全性の高いeKYCサービスは導入が難しい?
- 7.eKYCサービスを選ぶポイント
- 7.1.コスト感は適切か
- 7.2.カスタマイズで自社の要望を満たせるか
- 7.3.一定以上の費用対効果を見込めるか
- 7.4.ユーザーが使用したときに不便でないか
- 8.ネクスウェイ本人確認サービスなら最短2ヶ月で導入可能!
- 9.まとめ
eKYCサービス、安全性は問題ない?
eKYCサービスとは、免許証などの本人確認書類と、リアルタイムで撮影した容貌のデータ送信を行い申込者の同一性を確認する、オンライン本人確認システムです。写真を撮って送るだけという手軽さから、なりすましなどの不正利用が心配であったり、安全性は問題ないのか気になってしまったりする方もいるでしょう。
実はeKYCサービスは、さまざまな手段によって高い安全性が保たれているのです。なりすましなどの不正利用を防止するため、本人確認書類と容貌写真が適合するかどうかの確認に、高精度の画像認識システムやスタッフの目視による突合を行っています。
また、eKYCという本人確認手段は、「犯収法(犯罪収益移転防止法)」という法律のもと、安全に運用されています。eKYCサービスで多く採用されている犯収法の4つの要件は下記の通りです。
犯収法要件 |
概要 |
ホ |
免許証などの身分証の画像と、本人の容貌の画像送信による照合 |
ヘ |
身分証に搭載されているICチップによるデータ送信と、本人の容貌の画像送信による照合 |
ト |
免許証などの身分証の画像または搭載されているICチップによるデータ送信と、銀行APIの顧客情報の照合 |
ワ |
マイナンバーカードのICチップに記録された署名用電子証明書と、電子証明書発行時に設定した暗証番号(PIN)の照合 |
eKYCの安全性についてご説明する前に、まずはeKYCの仕組みを簡単に解説します。
eKYCについてさらに詳しく知りたい方はこちらの記事もご覧ください。
オンライン本人確認「eKYC」とは?特徴や仕組みを徹底解説
安全・高セキュリティな本人確認を実現する「eKYC(オンライン本人確認)」とは?サービス導入を進めるための具体的なステップを紹介! →解説資料を無料でダウンロードする
eKYCでオンライン本人確認ができる仕組みとは
eKYCでオンライン本人確認ができる仕組みは複数ありますが、身分証画像+容貌画像を用いる場合がほとんどです。身分証の画像データのみだとなりすましの危険もあり、本人確認の信ぴょう性が低いためです。
身分証の画像と変貌画像の一致確認及び照合作業は、主に3つの運用方法があります。
- 人による直接目視、突合確認
- AIによる画像識別
- 人とAIの組み合わせ
現在はAIの精度もよくなり判別率も相当高いといえますが、実際には、最終的に人による直接目視、突合確認を行っているサービスが多くなっています。
eKYCの仕組みについてさらに詳しく知りたい方はこちらの記事もご覧ください。
eKYCの仕組みを解説!安全にオンライン本人確認ができる理由とは?
身元確認と当人確認による多要素認証
身元確認と当人確認による多要素認証のことを本人確認といいます。身元確認と当人確認の定義は以下のとおりです。
身元確認 |
身分証明書(主に免許証やマイナンバーカード)からの氏名、住所などの個人情報の確認を行い本人の実在の有無や情報に間違いがないことを確認すること |
|---|---|
当人確認 |
申告者が本人か確認する認証要素(パスワードや生体)を用いて、本人の確認をすること |
eKYCでは身元確認には免許証やマイナンバーカードの画像データを用いて、本人の顔写真と氏名、住所などの個人情報を送信し、確認作業を行います。当人確認には、本人の顔の向きやまばたきによるリアルタイム容貌撮影を行い、なりすまし防止を行っています。
なぜeKYCは「顔認証」を採用している?
なぜeKYCは「顔認証」を採用しているのでしょうか?
一般的に認証方法には、ユーザーが設定したパスワードを用いる場合がほとんどですが、これは安全性が高いとは言えません。パスワードを解読する方法にブルーフォースアタック(総当たり攻撃)というものがあり、4桁のパスワードなら数秒で解読されることもあるためです。
大事な情報を盗まれるのを防止するため、パスワードに代わってセキュリティトークンが使われるようになりました。セキュリティトークンは一定時間ごとにパスワードを作成してくれる小型の機械です。ハッキングされることはないですが、紛失のリスクが高く管理が必要になります。
そこで近年主流となっているのが顔認証です。顔認証は複製することが難しく、紛失によるリスクがないため現在の認証方法では主流になってきています。スマートフォンのカメラ性能の向上も、顔認証によるオンライン本人確認を可能にした要因の一つです。
安全・高セキュリティな本人確認を実現する「eKYC(オンライン本人確認)」とは?サービス導入を進めるための具体的なステップを紹介! →解説資料を無料でダウンロードする
eKYCで想定できるリスク・危険性と対策
オンラインで本人確認ができるeKYCはユーザビリティの高いサービスですが、個人情報を取り扱うため、利用には「情報漏洩」と「誤判定」のリスクを伴います。eKYCがどのような情報を取り扱っているのかを理解し、システムの特性を把握した上で適切な対策を講じましょう。ここでは想定されるリスクについて解説します。
情報漏洩
eKYCでは氏名や住所、顔写真といった個人情報を取り扱うため、個人情報がサイバー攻撃や情報の不正利用によって情報漏洩のリスクがあります。個人情報は個人情報保護法によって保護されており、情報漏洩が発生した際は法律による罰則だけでなく、訴訟や風評被害によって事業が継続できなくなる可能性もあり、個人情報の保管・管理には細心の注意が必要です。
そのため、外部事業者を利用するという選択肢を検討してみるのもよいでしょう。ネクスウェイでも「確認記録保管オプション」というサービスを提供しています。本人確認記録を安全に保管するためのサービスで、eKYCで撮影した本人確認書類やセルフィ画像などのデータを暗号化し、別のサーバーで保管することが可能です。これにより、本人確認記録の安全性が高まり、万が一のデータ漏洩を防止できます。
個人情報保護法についてさらに詳しく知りたい方はこちらの記事もご覧ください。
個人情報保護法を分かりやすく解説|情報の取り扱い方法や改正内容とは
誤判定
eKYCには、稀に本人ではない人が認証を突破してしまう場合や、本人であるにもかかわらず正しく認証されない誤判定が発生しうるリスクがあります。対策としては、デジタル判定と目視によるアナログ判定を組み合わせることで、正しい本人確認を実現するダブルチェックなどが有効です。適切な運用体制を設けることが、リスクの低減につながります。この点においても、外部事業者を利用するという選択肢を検討してみるのもよいでしょう。
eKYCにおいて想定される不正行為
eKYCはオンラインで本人確認を行うことでユーザビリティを高められる便利なサービスです。ただし、不正利用されるリスクがあることも認識する必要があります。
想定される不正利用方法は「本人確認書類や身分証の偽造」と「ディープフェイク・画像生成」の2点です。本項では想定される不正利用方法と対策について解説します。
安全・高セキュリティな本人確認を実現する「eKYC(オンライン本人確認)」とは?サービス導入を進めるための具体的なステップを紹介! →解説資料を無料でダウンロードする
本人確認書類や身分証の偽造
本人確認書類や身分証の偽造は古くからある不正技術ですが、2022年にもマイナンバーカードを偽造してネットバンキングの口座を開設し、詐欺行為に利用される事例がありました。こうした不正を回避するためには、サービス内で同一の顔情報が何度も利用されていないか確認することが重要です。またICチップの偽造は難しいため、「ワ」方式を認証方式に採用するといった対策も有効でしょう。
安全・高セキュリティな本人確認を実現する「eKYC(オンライン本人確認)」とは?サービス導入を進めるための具体的なステップを紹介! →解説資料を無料でダウンロードする
ディープフェイク・画像生成
ディープフェイクとは、高度な画像生成技術を利用し、本物と見分けがつかない偽動画や偽画像を生成する行為をさします。eKYCにおいても他人の顔になりすまし、認証を突破することが可能です。ディープフェイクへの対策としては、モニター画面を撮影していないかを目視にて審査する、本人確認書類の偽造が行われていないか書類の厚みを確認するなど必要性に応じたセキュリティ対策が求められます。
eKYCの流れで解説!安全性で重視すべき4つのポイント
eKYCの基本がわかったところで、さっそくeKYCサービスの手順に沿って高い安全性の理由を解説していきます。これらの4つのポイントは、より自社に適したeKYCサービスを導入するための検討材料にもなります。
- 身分証と容貌の撮影
- マイナンバーカード認証
- 書類の突合確認
- 確認記録の保守・保管
一つずつ、詳しく見ていきましょう。
【安全性ポイント①】身分証と容貌の撮影
まずは、ユーザーによる身分証と容貌の撮影です。撮影方法にはいくつかのパターンがありますが、ほとんどがスマートフォンを使用する前提で行われます。
身分証は正面と裏面の撮影に加え、さまざまな角度からも写してホログラムなどを確認する場合があります。これによって本物の身分証を証明する裏付けとなります。本人の容貌撮影においては、顔の角度を変える静止画撮影や、指示に従ってまばたきをするなどしてなりすましを防止する動画撮影などを行います。
ユーザーが本人であることを証明する重要な段階です。「顔照合システムの精度」「身分証の厚み判定」の安全性について詳しくご説明します。
顔照合システムの精度
顔照合システムは目・鼻・口・輪郭などをデータ化し、個人を認識する仕組みです。各パーツの特徴点の位置を数値化することにより照合を行い、なりすましを防止する仕組みになっています。
AIの技術が用いられるようになった2012年頃は技術的にも未熟でしたが、現在での認証精度は非常に高く、空港や金融機関での本人確認の用途にも使用されています。さらにAIの技術だけに頼らない、人による確認を徹底することにより安全性を保持することが可能になります。
eKYCサービスの多くは、使用している顔認識システムの種類や名称を開示しています。銀行や証券会社などの金融関係など、高いセキュリティが求められる機関での利用実績があるシステムを導入しているサービスなら安心して任せられるでしょう。
身分証の厚み判定
eKYCで免許証などを撮影する際、画像データやカラーコピーを利用したなりすましを防止するため、身分証の厚みを撮影データで判定する方法が多く用いられています。
厚みを撮影することにより、身分証が原本ということを証明できます。撮影形式は静止画と動画の2通りがあり、撮影方法もさまざまです。角度別でフレーム内に静止画を収めるパターンもあれば、本人が身分証を持ちながら角度を変えて厚みを判定させる方法などさまざまです。
どれもガイダンスに従って行うものばかりのため、ユーザーにとって難しさを感じることは少ないでしょう。eKYCサービスを選ぶ際は、これらのガイダンスなどのUIにも注目してみましょう。
安全・高セキュリティな本人確認を実現する「eKYC(オンライン本人確認)」とは?サービス導入を進めるための具体的なステップを紹介! →解説資料を無料でダウンロードする
【安全性ポイント②】マイナンバーカード認証
マイナンバーカードは、簡単な申請で誰でも発行できる顔写真つきの身分証明書です。マイナンバーカードの普及率は令和6年3月末時点で70%を超えています。(出典元:総務相マイナンバーカードの交付・保有枚数等について(令和6年3月末時点))
今後はさらなる普及率の増加に伴い、eKYCで本人確認を行う際メインの身分証になる可能性もあるでしょう。本人確認書類としてのマイナンバーカードの安全性は、顔写真つきであることだけではありません。最も大きな特徴である、「ICチップ読み取り」についてポイントを解説します。
参考:総務省「マイナンバーカードの交付・保有枚数等について(令和6年3月末時点)」
ICチップ読み取り
マイナンバーカードで認証を行う際は、証明書の画像送信と搭載されているICチップに記録された電子証明書のデータを送信することにより、本人確認を行います。この、マイナンバーカードのICチップを読み取る本人確認手段のことを「公的個人認証サービス」と呼びます。マイナンバーカードのICチップは、偽造や外部からの読み取りの心配がないため、安全性・信頼性が高いといえるでしょう。オンライン確定申告のe-Taxや、コンビニでの公的な証明書の発行(住民票の写しなど)にも活用されています。
eKYCでマイナンバーカードのICチップ読み取りをする際は、容貌の撮影は不要とされています。そのため、短時間で申請が完了するのもメリットの一つです。
【安全性ポイント③】書類の突合確認
eKYCでの申請後、大事になってくるのが目視による本人確認書類との突合確認の工程です。現時点では、高性能な顔認証システムと専門スタッフによるチェックを併用することで高いセキュリティを誇るeKYCサービスが多くなっています。
目視確認による安全性について、詳しく解説します。
スタッフによる目視
より安全性の高いeKYCサービスを求めるなら、専門スタッフによる目視確認を実施しているベンダーへのアウトソースも検討しましょう。目視確認だけではなく、機微情報のマスキングや反社チェックも行うサービスもあります。
専門性の高い知識が求められる業務であるため、セキュリティ意識の向上も含めスタッフへの教育を徹底して行っているeKYCサービスなら安心です。ただし、確認業務時間は夜間や休日も対応しているかなど注意が必要です。
【安全性ポイント④】確認記録の保守・保管
確認記録の保守・保管は必ず必要になってきます。日本では犯罪組織への対抗策として本人確認記録や取引記録などを7年間保存し、疑わしい取引は監督官庁の要望により提出する義務が法律で定められています。
これらの確認記録の保守・保管も自社で行うのは負担がかかってしまうほか、紛失・盗難といった安全性のリスクも発生します。
そこで、本人確認業務をeKYCに切り替えることで、書類を紙で保存する必要がなくなるだけでなく、高いセキュリティのデータ管理までアウトソーシングができます。eKYCサービスを選ぶ際は、自社の個人情報データ保管先のセキュリティ能力までしっかりチェックしましょう。
安全・高セキュリティな本人確認を実現する「eKYC(オンライン本人確認)」とは?サービス導入を進めるための具体的なステップを紹介! →解説資料を無料でダウンロードする
安全性の高いeKYCサービスは導入が難しい?
eKYCサービスを選ぶ際には、どのように安全性を保持しているのかに注目しましょう。
例えば、本人確認書類の厚み判定は、AIによる画像認識のみでの判断でも法律違反ではありません。eKYCサービスによっては、本人確認書類の真正性判定は画像認識だけで処理している場合もあります。しかし、現状の認識精度では十分であるとは言い切れないのが実情です。そこで、先ほどの項でご説明したように、「画像認識と合わせてスタッフによる目視確認も実施している」といったeKYCサービスを選ぶことで、より安全性の高いシステムが導入できるのです。
また、一定のセキュリティ基準を満たしているかどうかは、認証マークの取得も判断材料となります。ISIMやプライバシーマーク取得済みの企業の提供するeKYCサービスでは、個人情報保護に積極的に取り組んでいるといえます。
しかし、このように安全性の高いeKYCサービスは導入が難しく、運用までの期間が長くかかってしまうのではないでしょうか?そのような心配がある場合には、eKYCにともなう本人確認業務をアウトソーシングするのがおすすめです。
安全・高セキュリティな本人確認を実現する「eKYC(オンライン本人確認)」とは?サービス導入を進めるための具体的なステップを紹介! →解説資料を無料でダウンロードする
eKYCにともなう本人確認業務をアウトソーシングするメリット
自社のサービスにeKYCを取り入れるため、eKYCのシステムをゼロから構築するという会社はあまりないでしょう。多くの企業が本人確認業務をアウトソーシングしています。
eKYCにともなう本人確認業務をアウトソーシングするメリットは主に以下の2つです。
メリット1 KYC業務を一括管理
一般的な本人確認業務「KYC」は反社チェックや書類審査はもちろんのこと、転送不要郵便の手配までかなりの業務負荷がかかります。eKYCサービスの中でもKYC業務を一括で依頼できるプランを選ぶことで、本人確認に関わる実務・データ管理などをすべてアウトソースすることが可能です。
メリット2 個人情報を扱う環境によるセキュリティ整備の負担の軽減
個人情報を取り扱うためのシステム環境は、構築にも運用にも膨大なコストと労力がかかります。高いセキュリティシステムを導入しているeKYCサービスに依頼することで、セキュリティ面での自社の負担も軽減できます。サービス選定の際には、セキュリティ水準と導入実績に注目してみましょう。
eKYCサービスを選ぶポイント
オンラインサービスの発展に伴い、さまざまなeKYCサービスが展開されるようになりました。eKYCサービスによって特徴が異なるため、eKYCを導入する際には、サービスの特徴を吟味し、自社にあったeKYCサービスを選定する必要があります。
eKYCサービスを選定する際のポイントは主に以下の4つです。
コスト感は適切か
自社が想定しているコスト感で導入できるかどうかは重要なポイントです。
eKYCサービスの料金体系は提供企業によってさまざまですが、初期費用と月額利用料が必要になるサービスも多くあります。初期費用は数十万円から数百万円の範囲で、月額費用は月間の申込数に応じたプランがあります。また、本人確認1件ごとに数十円から数百円の都度課金が発生することもあります。
反社チェックやSMS認証などを外部委託する場合にはオプションとして追加料金がかかりますが、自社サービスに合わせたカスタマイズが可能です。
自社のコスト感を意識し、課題解決につながるサービスを選択しましょう。
カスタマイズで自社の要望を満たせるか
eKYCにはさまざまな方式があるため、自社の要望に対してどこまでサービス側でカスタマイズ可能なのかを確認しましょう。法規制への対応状況や、ブラウザ利用なのかアプリ利用なのか、UI/UXは変更可能かなどが一例です。
システム上のカスタマイズだけでなく、本人確認の手法について郵送など、eKYC以外にも対応しているか確認しましょう。
一定以上の費用対効果を見込めるか
eKYCを活用することで人件費や時間的なコストの削減を見込めますが、導入コストは発生します。そのため、一定以上の費用対効果を見込めるかを確認しておきましょう。
また、eKYCは導入して終わりでなく、使い方やトラブル時の対応の習得、法改正への対応といった運用面の対応も必要です。自社だけで判断できない場合は、ベンダーに相談して費用対効果を見極めましょう。
ユーザーが使用したときに不便でないか
せっかくeKYCを導入したにもかかわらず、ユーザーが使いにくいと感じるサービスになってしまっては本末転倒です。本人確認作業中のユーザー離脱を防ぐためにも簡単な操作で本人確認ができるか、またユーザーが安心して利用できるように、顔写真などの本人情報が漏洩しないセキュリティが確立されているかなども確認しておきましょう。
ネクスウェイ本人確認サービスなら最短2ヶ月で導入可能!
ネクスウェイ本人確認サービスならeKYCサービスを最短2ヶ月という速さで導入できます。「すでに発表が決まっている新規サービスへの導入を急ぎたい」といった企業様にも十分満足していただけるでしょう。
導入スピードの速さだけではなく、安全性の高さも含めたサービスの質にも自信があります。ネクスウェイなら、eKYCだけではなく目視による突合確認を行うBPOサービスも提供しており、KYC業務全般をワンストップで一任できます。
「ネクスウェイ本人確認サービス」のセキュリティ水準に関して詳しく解説します。
世界最高水準のセキュリティと生体認証技術
ネクスウェイ本人確認サービスは、世界最高水準のセキュリティと生体認証技術でサービスを提供しています。日本では主に入出国管理に採用され、海外では運転免許証、ビザなどに使用されているものと同じシステムです。
さらにネクスウェイのBPOサービスでは、ISMS・Pマークを取得済みです。これにより厳重な個人情報管理で、高セキュリティの本人確認体制を構築しています。
ネクスウェイのeKYCサービスは安全性も高く評価されており、金融商品取引業を含む230社以上の企業に選ばれています。
安定した人員体制でリソース不足を解決
ネクスウェイなら、安定した人員体制によって高いサービス品質を落とさず、企業のリソース不足を解決します。スタッフ人員供給力はもちろんのこと、万全な教育体制とマニュアルの整備により、完全アウトソーシング化できるためです。手間のかかる顧客管理や事務作業の軽減により、本来の顧客対応業務にリソースを使うことが可能です。
またネクスウェイでは1件の本人確認に対してオペレーター2名と管理者1名の3名体制でサポートするので安心して委託可能です。土日祝日や夜間も対応可能であるため、「口座開設がしたい」「会員登録がしたい」というユーザーを待たせることなく、離脱を防ぐことができます。
eKYC導入や書類確認、転送郵便の発送代行まで、ワンストップの一括管理により初めての方も安心して導入できます。
まとめ
eKYCサービスを導入する際には、使いやすさや導入までのスピードなど、さまざまな要素で比較・検討をすることでしょう。その中で、安全性というのは一つの重要なポイントとなっていきます。今回は、eKYCサービスの手順に沿って、どのように安全性が保たれているのかを解説しました。
各社eKYCサービスにおける本人確認の方法はすべて同じではありません。利便性の高さと安全性は、ときに反比例をする場合もあります。自社が求める要件とのバランスで最適なeKYCサービスを選ぶことが大切です。
eKYCサービスを導入したいが安全性も重視したいという方は、ぜひネクスウェイ本人確認サービスをご検討ください。
\安全にeKYCを利用したい方必見!/
eKYCサービス導入前に知っておくべき5つのポイント!無料ダウンロード
