本人確認には、「身元確認」と「当人認証」の2つの要素があり、一般的に、身元確認と当人認証の両方を組み合わることによって本人確認が行われます。以下にそれぞれの違いを示しました。
本人確認書類を確認することによって、実在性を確認することです。ここで言う実在性とは、申請者が実在するか、申請された情報や属性が正しいか、それが申請者に関するものかなどを指します。具体的に言うと、ユーザーに提示された本人確認の情報に偽造やなりすましなどがないか、申告内容と照らし合わせて確認することです。
実施されるシーンの事例として、Webサービスのユーザー登録や銀行口座の開設、携帯電話の契約などが挙げられます。
確認できること | 実在性 |
---|---|
確認内容例 | 提示された本人確認書類が偽造されていないことを確認 提示された本人確認書類と申告内容を照合し、申請者に関するものであることを確認 |
活用されるケース | ユーザー登録・銀行口座の開設・携帯電話の契約・クレジットカードの申込み |
身元確認の保証レベルは大きく3つに分かれます。最もレベルの低い段階が、自己申告を元にした身元確認です。次に、郵送などの非対面で公的身分証を確認する方法で、最もレベルが高いのは、対面による公的身分証の確認となります。
サービス事業者は、提示された身分証に偽造がないか、身分証と自己申告された顔の容貌が一致するかをチェックして身元を確認します。
当人認証とは、あらかじめ登録されているパスワードや生体情報などが、入力もしくは提示されたパスワードや生体情報と一致するかを照合することです。これにより、その人がその場所で作業しているかをチェックできます。具体的には、パスワードや生体認証によるWebサービスのログイン、ロック解除などがあたります。
当人認証は以下の3要素に分かれており、保証レベルの強度に合わせてどの要素を用いるかを選択します。
確認できること | 当人性 |
---|---|
確認内容例 | 取得されたパスワードや生体情報を、あらかじめ登録されているものと照合し、同一人物であることを確認 |
活用されるケース | ログイン・スマートフォンのロック解除・サービス問い合わせ時の電話等での本人確認 |
当人認証の保証レベルも、身元確認と同様に3段階に分かれています。最も低いのが、顔や指紋などの生体、マイナンバーなどの所持、パスワードの知識の3つの認証要素のうち1つの方法を用いる場合で、次に、3要素のうちの複数の認証方法を用いる場合があたります。
当人認証として最もレベルが高いのは、3要素のうち、内部の情報に対する不正な読み出しが困難な物理装置を含めた複数の方法を用いること。具体的には、マイナンバーカードなどが挙げられます。
身元確認と当人確認は、サービスを利用するまでの段階でそれぞれが関わっています。サービス利用前の登録申請段階では、身元確認を行い、ユーザーを「加入者」とします。その後、ユーザーがサービスを利用するときに本人かを確認するために当人認証を行うのが一般的です。
身元確認の保証レベルの強度と当人認証の保証レベルの強度をそれぞれ定め、組み合わせることによって本人確認全体の強度が決まります。
身元確認の保証レベルをIAL、当人認証の保証レベルをAALと言い、いずれかのレベルが低い場合は本人確認全体としての強度が低く、いずれかが高い場合だと本人確認全体としての強度が高くなる、といった具合です。
例えば、銀行の口座開設・Webサービス利用と、家事代行サービスの登録・利用では保証レベルが異なります。銀行の口座開設では、IAL2(オンライン)とIAL3(対面)のいずれかで身元確認を行い、当人認証では知識要素と所持要素の2要素によるAAL2が必要です。
一方、家事代行などの一般的なWebサービスでは、オンラインによる身元確認(IAL2)で加入者登録ができれば、利用時にはパスワード入力などのAAL1の保証レベルで利用できます。
このことから、銀行の口座開設やサービス利用には、より保証レベルの高い本人確認が行われていると分かります。
安心してサービスを運用したいからと、なるべく保証レベルを上げたい考えは分かりますが、サービスの規模や必要性に見合わない保証レベルを設けてしまうと、それだけ事業者の負担が跳ね上がる可能性が高くなります。
また、サービスを利用するユーザー側にとっても負担となる場合があり、利用者が離れてしまう要因にもなりかねません。
無理のない事業継続のためにも、本人確認は、サービスの規模や必要性に応じた、自社の負担にならない保証レベルの手法を組み合わせることが大切です。
本人確認を実施する上で、身元確認では⼀定の業態において具体的な規制がされているものがあります。
例えば、金融機関などでは本人の「なりすまし」によるマネーロンダリングなどの犯罪を防止するため、実在性を証明する所定の身元確認手法で確認しなくてはなりません。
一方、当人認証では、今のところ明確な規制基準は設定されておらず、事業者の取り組み方に委ねられている現状です。
アメリカの国立標準技術研究所(NIST)が公表している、電子認証に関するガイドラインです。
もともとはアメリカ政府のセキュリティ対策で利用することを前提につくられましたが、政府系システムとの接続要件にも関係してくることから、世界基準のガイドラインとして日本にも影響を与えています。
本人確認の身元確認(Identity Assurance Level)を「IAL」、当人認証(Authenticator Assurance Level)を「AAL」とし、それぞれレベル1~3段階で保証レベルの強度を定義しています。
各府省の法令等に基づいて行われる行政手続をデジタル化する際、オンラインによる本人確認が必要な行政手続を対象にしたガイドラインです。
オンラインの本人確認の手法の決め方や進め方、行政手続きにおける身元確認の保証レベルの定義づけがされています。
法令などで本人確認が義務付けられていない事業者がサービスを運用する際に参考にできる、業界横断的なデジタル本人確認のガイドラインです。本人確認に関する基礎知識や本人確認手法の特徴がまとめられていて、デジタル本人確認の導入や選択に役立ちます。
他にも、マイナンバーカードをはじめとした本人確認に関する最新動向や海外での事例動向が、参考コラムとして掲載されています。
短期間導入・AI自動審査で
業務効率UP可能なeKYC
社内SEと要件定義から
開発設計・導入
金融機関水準の
セキュリティで導入