なんでもわかる・すぐわかる!eKYC導入GUIDE » eKYC導入でしっておきたい基本の「き」 » 民間事業者向けデジタル本人確認ガイドラインとは

民間事業者向けデジタル本人確認ガイドラインとは

民間事業者の担当者が読むべきガイドライン

民間事業者向けデジタル本人確認ガイドラインとは、一般社団法人「OpenIDファウンデーション・ジャパン(OIDF-J)が公表した、民間事業者向けの業界横断的なデジタル本人確認のガイドラインです。

ガイドラインには、デジタル本人確認の導入や選択に必要な基礎知識、本人確認手法の特徴がまとめられている他、マイナンバーカードをはじめとした本人確認に関する最新動向などが盛り込まれています。

法令などで本人確認が義務付けられていない事業者であっても、ガイドラインに沿って本人確認を導入することによって、ユーザーと事業者が互いに安心して利用できる環境をつくれるようになります。

本人確認の導入の是非を検討している民間事業者は、一度は目を通しておくべき情報と言えます。

※参照元:⼀般社団法人OpenID ファウンデーション・ジャパン「⺠間事業者向けデジタル本⼈確認ガイドライン(PDF)」(https://www.openid.or.jp/news/kyc_guideline_v1.0.pdf)

サービスの特徴に応じた本人確認手法選択に活用

民間事業者向けデジタル本人確認ガイドライン(以下「民間ガイドライン」)に則ると、事業者が提供するサービスの特徴や形態に応じて、適した本人確認手法を選べるようになります。

例えば、身元確認と当人認証が必要なサービスはどれか、より簡便で安全な手法はあるかといったことを調べられるのが特徴です。

民間ガイドラインは、あくまでも推奨される本人確認方法が記載されているものであり、ユーザーにサービスを提供するにあたって、必ず導入しなければならないといった義務や決まりではありません。本人確認のガイドブックのような役割を果たしてくれるものと考えておくと良いでしょう。

必要な基礎知識や最新動向をチェックできる

「そもそも、なぜ本人確認が必要か」といった目的や身元確認と当人認証の違い、どんな手法があるかなど、デジタル本人確認に関する基礎知識を学べます。個人情報の漏えい事例や海外の情報など、デジタル本人確認に関する最新の動向チェックにもおすすめです。

ガイドラインには新しい技術に関するコラムなども掲載されていて、本人確認の情報に対する感度を高めたり知見を広げたりするのに適しています。

民間ガイドラインが必要な理由

民間ガイドラインがあると、本人確認が義務付けられていない企業や事業者であっても、それぞれが一定の指針に従って、自社の方針・サービスに合わせたデジタル本人確認の手法を選択できるようになります。

また、デジタルによる本人確認では、その人が本当に実在するかを確認する作業のほかにも「本当に本人がその場所にいて操作(作業)しているか」を確かめる当人認証も必要です。

民間ガイドラインがあれば、当人認証の保証レベルも定義できるため、どの確認手法を選択するかを決めやすくなります。

策定されるまでの経緯

近年、様々な事業やサービスにおいて本人確認のニーズが高まっており、自主的に本人確認を導入する民間事業者が増えてきました。

とは言え、本人確認の方法はひとつではなく、その厳格さも多岐にわたります。法令での本人確認が定められている事業者(金融機関・携帯電話事業者・古物商など)に対しては本人確認方法や使用できる本人確認書類などが規定されている一方で、本人確認の定めがない事業者に対しては、本人確認に関するルールや基準は特に定められていません。

そのため、不必要に厳格な本人確認を行ってしまう事業者や、本人確認の導入そのものを見送ってしまう事業者が増えてきました。

特に、本人確認を導入せずにサービス等を運用したケースでは、不正利用の事例も報告されるようになっています。

それを受けて、民間事業者のデジタル本人確認に際し、一定の規定があったほうが良いのではないかという考えから、ガイドライン策定の動きとなりました。

ガイドラインの策定には民間企業10 社とデジタル庁、有識者によって構成された官民連携のメンバーが参加し、各方面からの議論と検討を重ねた上で作られています。

押さえておくべきポイント

身元確認と当人認証のレベル

ひと口に「本人確認」といっても、デジタルの分野ではその方法はさまざまで、顔や名前を確認するだけではこと足りません。

デジタル本人確認には身元確認と当人認証の2要素があり、組み合わせることによってはじめて強固な保証レベルが保たれるのです。

身元確認とは、個人情報の照合やパスワードなど、本人であるかを確認する作業。一方で当人認証とは、「その時その場所で、本当に当人によって認証作業が行われているか」を調べることです。

どのような手法で身元確認と当人認証の2つをクリアできるか、自社のサービスではどのレベルの認証が必要かをを知っておくことが大切です。

保証レベル・負担を考慮した中間的な手法の必要性

ここで言う「中間的な手法」とは、簡便さと安全のバランスを考えた本人確認手法のことを指します。

いくらサービスの安全性を高めたいからと言って、本人確認書類を提示するのに、カメラの傾きによる厚み確認を取り入れるなど、認証方法を複雑にしていては、ユーザーの負担となり、利用者が離れてしまう原因にもなります。

とは言え、本人確認書類の「画像をアップロードするだけ」といった非常に簡便な手法を選択してしまうと、画像加工による偽造やなりすましによって、不正利用される可能性が高くなってしまいます。

「本人確認書類を送る」という方法だけでなく、その他の様々な手法から、一定の保証レベルを保ちつつ、ユーザーにも自社の負担にもならないような方法を見出せるかがポイントです。

民間事業者向けデジタル本人確認ガイドラインの活用シーン

個々の事業者が導入時に参照する

民間ガイドラインの参照によって、自社のサービスにどんな本人確認を導入すると良いか、より安全で簡便な手法を導入できないかといったことを知るための手引きとなります。

特定の本人確認方法の特徴を参照する、公開されているフレームワークを使ってみるなど、スムーズに手法を選定するのに役立ちます。

本人確認に関わる規程等を整備する際に考え方や手法例等を参考にする

民間ガイドラインに記載されている保証レベルの考え方や手法例を参考にすれば、自社の展開するサービスの本人確認規程等を整備しやすくなります。

情報が網羅的にまとめられているため、ガイドラインそのもののボリュームは大きいですが、必要な情報だけを閲覧できるつくりになっているので、一部の情報だけを調べたい際にも便利です。

編集チームまとめ

官民が連携して策定した民間ガイドラインを活用すれば、自社のサービスに適した、一定のレベルをクリアできる本人確認手法が分かります。記載された考え方や事例を参考にすると、サービスの規程等を整備する際に役立つでしょう。

ただし、本人確認には大きく分けて身元確認と当人認証の2要素があり、その手法は多岐にわたります。

一定の保証レベルを保ちつつ、業務に掛かる負担を考慮したいのであれば、身元確認と当人認証の双方をクリアできるeKYCサービスを導入するのも一手です。