銀行などの金融機関において、非対面での本人確認が行えるようになったことで近年注目を集めるようになった「eKYC(electronic Know Your Customer)」。このeKYCはビジネス利用だけでなく、難民が口座を持つことができない「Unbanked(アンバンクト)問題」解決のカギとしても期待されている。eKYCにまつわる本人確認の現状、そしてeKYCが解決しうる社会課題について、eKYCサービス専門の事業者として様々なサービスを提供しているTRUSTDOCKの千葉孝浩代表取締役に聞いた。

──社会のデジタル化があらゆる形で進行する中、オンライン上で「今、サービスに新規契約しようとしている人は本当に本人なのか、また信頼できる相手なのか」を確認できるようにすることの必要性が高まっています。特にコロナ禍の中、非対面で契約を済ませたいというニーズはさらに増えており、eKYCはそのカギとなる技術として注目を浴びつつあります。まずは、eKYCの概要について、教えていただけますか。

千葉氏(以下敬称略):KYC(Know Your Customer)は顧客確認という意味です。それをオンラインで行うのがeKYCになります。顧客確認は「本人確認」とも言い換えられます。この本人確認は、「当人認証」(Authentification)と「身元確認」(Identity Proofing)の2つの概念を含んでいます。

当人認証には、IDやパスワード、秘密の質問などを聞く「知識認証」、クレジットカードや自宅の鍵、スマートフォンなどの所有物を認証する「所有物認証」、身体的特徴や行動的特徴を認証する「生体認証」があります。

「二要素認証」や「多要素認証」といった言葉を聞かれたことがあるかもしれませんが、これは「知識認証」と「所有物認証」など当人認証の手法を複数使うことで、認証の強度を高めることを意味しています。

例えば、WebサイトにIDとパスワードを入力してログインした後に、スマホにショートメッセージでワンタイムメッセージを送るケースです。これはID、パスワードの知識と、携帯電話の所有を認証した二要素認証になります。これとは別に、IDやパスワードの入力後に秘密の質問に対する回答入力を求めるものがありますが、それは知識認証という1つの要素を2段階で認証していることになるので、「2段階認証」ではありますが、多要素認証ではありません。

TRUSTDOCKの代表取締役・千葉孝浩氏
TRUSTDOCKの代表取締役・千葉孝浩氏
TRUSTDOCKは公的個人認証とeKYCに両対応したデジタル身分証アプリと、各種法規制に対応したKYC業務のAPIインフラを提供するKYCの専門機関。企業側のKYC、そして個人側のデジタル身分証アプリという両面から取り組む。シェアサービスやフィンテックのeKYCをはじめ、行政手続きや公営ギャンブルなど、あらゆる業界業種のKYCを、24時間365日運用しているクラウド型KYCサービス。さらには本人確認だけでなく、銀行口座確認や、法人在籍確認、マイナンバー取得など、社会のデジタル化に必要なプロセスも網羅的に提供し、デジタル・ガバメント構築を民間から支援している。千葉氏は経産省のオンラインでの身元確認の研究会での委員や、金融庁主催イベントにて、デジタルIDでの登壇等、KYC・デジタルアイデンティティ分野での登壇・講演活動多数(写真提供:同社)

──それぞれの認証方法に優劣はありますか。「生体認証の方が知識認証より優れている」と感じる人は多いように思いますが。

千葉:概念としては、完全にフラットです。知識認証でも、考え方によっては安全性が高いと言えると思います。「自分の頭の中で考えた文字列や絵や動きを、頭の中だけで記憶として持っている」ということであれば、非常にセキュアだと感じられませんか。これと同様に、世界に一点だけしか存在しないモノである所有物認証もセキュアだと言えます。

ですので、認証の強度を高める場合に、どれか個別の認証要素の強度を高めるのではなく、複数の認証要素を組み合わせることで強度を高めるという考え方を採用しているわけです。