このページでは、eKYCの安全性について詳しくまとめています。
eKYC(オンライン本人確認)はインターネットを活用したオンライン作業だけで本人確認を完了できるシステムであり、スムーズな本人確認やなりすましなどの被害、不正な情報使用といったセキュリティリスクへの対策としてもメリットを有しているサービスです。
しかし、高度に重要な情報サービスにおいて個人の信用性を担保するeKYCだからこそ、そもそもeKYCにおいて提供・活用されている個人情報についても、安全管理やセキュリティ対策がどうなっているのか検討することは欠かせません。
そこで、eKYCの安全性を考えるためにもまずはeKYCの運用や導入に当たって想定されるリスクについて、代表的なケースを考えていきましょう。
eKYCサービスへ提供される情報には、個人の身元確認や本人識別のために必要とされる様々な情報が含まれています。
顔認識において照合される個人の写真や、免許証やマイナンバーカードといった身分証明書の画像データや関連情報、その他にもメールアドレスや電話番号、住所や生年月日などその情報は多岐にわたります。
そのため、eKYCサービスを提供している運営元から情報が流出・漏洩してしまうリスクを想定しなければなりません。
顔認識システムによって、あらかじめ登録している顔写真や画像と、現在のシステムに提示されている個人の顔を照合し、本人確認をすることが可能です。しかし、顔認識システムに不具合や不十分さが残されている場合、別人を「登録者本人」として認識し、本人としてアクセス権を発行してしまう恐れもあります。
そのため、誤認識を回避するためには一方向からの顔認識だけでなく、顔の向きを変えたり、まばたきを行ったりと、リアルタイムの容貌変化までカバーした顔認識システムやフローを構築することが必要です。
eKYCの本人確認システムは「犯罪収益移転防止法(犯収法)」にもとづいて運用されており、当該システムの構築要件として一般的には以下の4つが採用されています。
いずれも事前に登録されている情報と、現在の情報とを相互参照して本人確認を行うためのものであり、顔写真だけでなくパスワードやICチップの情報なども含めた多段階認証が利用されていることは重要です。
犯収法にもとづいて要件定義されているeKYCでは、身分証に掲載されている本人画像(顔写真)と、リアルタイムで送信される容貌画像のデータを照合して、間違いなく本人であることを追求しています。
そのため、原則としてeKYCで利用される身分証明書は本人写真付きのものとなっており、例えば免許証やマイナンバーカードといったものが代表的です。
また、リアルタイムで顔を立体的に動かしたりまばたきをしたりすることにより、カメラの前で撮影されているのが事前に用意した写真や動画でなく、今そこにいる本人であることを確認することもポイントです。
マイナンバーカードには表面に記載されている住所や本人画像といった情報の他にも、内蔵されているICチップに様々なデータが記録されています。
特に、マイナンバーカードには発行した際や更新時などに「署名用電子証明書」が記録されており、それに対してアクセスするためにあらかじめ設定している暗証番号(PIN)を入力しなければなりません。
仮に画像認識システムをパスできるような別人がいたとしても、暗証番号は本人のみが知る情報として多段階的に認証作業を行うことで、情報の安全性を確保している点が特徴です。
免許証やマイナンバーカードに記載されている文字情報や、ICチップに記録されている情報、さらに本人によってオンラインで入力された情報との間に差違がないか、人工知能(AI)を活用した画像認識システムや文字認識システム、あるいは専門的な研修を受けた担当者による目視などによってチェックしていることも見逃せません。
現代はAIによる認識能力も向上しており、細かい文字や複雑な漢字などについても識別能力が高まっているとされていますが、やはり一層の信頼性を確保するために最終的には人の目によるダブルチェック体制が取られているケースも多いようです。
eKYCを通して提供されているデータは、さらに各機関などに保管されているデータと照合して真偽を検証されることもあります。また、そこで真実と認められたデータは改めてeKYCに保管され、次の本人確認の際にベース情報として利用されることもあるでしょう。
単一方向からの情報や記録をチェックするのでなく、多角的な相互参照と厳正な情報管理・保管を組み合わせることによって、なりすましや情報誤認といったリスクへ対処している点が重要です。
eKYCをすり抜けて情報を悪用するために、犯罪者などによって様々な技術が悪用されたり不正技術が開発されていたりすることも事実です。
ディープフェイク技術とは、AIの処理能力などを活用して、個人(人物A)の顧客情報の動画や映像データと、別人(人物B)の写真を合成して、まるで最初から人物Bの動画や映像であったかのような合成動画データを作成するシステムです。
高度なディープフェイク技術を用いた場合、例えば本人とは全く関係ない動画をいかにも本人を撮影したものであるかのように合成したり、本人が話していない内容をまるで本人が語っているかのように合成したりすることができます。
昔からある不正技術として、本人確認書類や身分証そのものを偽造するといった手法もあるでしょう。
例えば免許証そのものを偽造して、免許証に掲載されている本人画像を別人のものにすり替えてしまえば、リアルタイムの容貌画像チェックでも別人が真実であると認識されてしまうかも知れません。
また、身分証に内蔵されているICチップのデータを書き換えることで、実在しない人物や住所といったデータを真実であるかのように誤認させることも可能です。
そのため、こういった不正を回避するためにも、あらかじめ別の機関に登録されているデータを相互参照するといったシステムが重要となります。
eKYC(オンライン本人確認)は便利なシステムであり、運用について法的に定められている要件に準じていることもポイントです。そのため、様々な機関やサービスにおいて導入されていますが、一方で犯罪集団などはeKYCのチェックをすり抜ける方法の開発を続けていることも無視できません。
そのため、システムだけに情報セキュリティ対策を頼り切るのでなく、ユーザー自身も情報管理について意識を高めていくことが大切です。
短期間導入・AI自動審査で
業務効率UP可能なeKYC
社内SEと要件定義から
開発設計・導入
金融機関水準の
セキュリティで導入