最近よく耳にするようになったeKYCをご存知ですか?オンラインにて本人確認ができるその意味や利用シーン、またECサイトで導入するべきかどうか、導入する場合はどんなサービスを選択すべきかについて今回の記事では紹介していきます。
KYCは、本人確認の手法のこと
まずはeKYCの前にeのついていないKYCについて確認してみましょう。
KYCはKnow Your Customerの略称で、一般的には「自社の顧客について知る」手段を指します。もっと具体的には、自社と取引をする顧客の身元(住所や氏名)が正しいものであり、不正を試みる犯罪者ではないのか、また、サービスの利用規程にあっているのかなどを確認すること、また、サービス利用時になりすましなどが行われていないかを確認するための手段です。
→高セキュリティのEC構築・運用をトータルサポート。BiNDecがご相談を承ります。
スマホやPCを使って、オンラインでさまざまなサービス利用開始が可能
例えば、証券会社の口座開設のためには利用者の身元を確認します。身元確認では、契約しようとしている名前や住所、年齢などを公的な書類を提出して確認した上で、その書類の内容と契約しようとしている人が、申告どおりの同一の人物かも確認をします。このようなサービス開始時に行われる「本人確認」は特に、「身元確認」とも言います。
厳格な身元確認が必要なときは、名前、住所、生年月日などを証明する書類が必要です。以前なら、運転免許証がもっともポピュラーな証明書でした。ほかによく使われるものとして、住んでいる地域の役所で発行した住民票、パスポート、保険証、年金手帳、また学生では学生証などがあります。
特に、運転免許証とパスポート以外は顔写真付ではないため、書類だけでは提出者本人のものかを確認できないため、身元確認に2つ以上の書類を提出するなどの手間も発生します。また、パスポートは、現住所記載欄が以前はありましたが2020年より表示が廃止されてしまったので住所の証明はできなくなりました。このような流れのなかで、本人の任意で取得できる顔写真付きの身元確認書として利用できるマイナンバーカードは、運転免許証に代わる身分証明書として利用が広がりつつあります。
→高セキュリティのEC構築・運用をトータルサポート。BiNDecがご相談を承ります。
デジタルで本人確認を行えるeKYC
以前は、多くのサービスで、当人が書類を持って窓口に出向き、担当者に身分証明書を確認してもらい、さらに証明書の写真と本人の顔を目視確認するなどの作業を行っていました。このような本人確認(KYC)をオンラインで可能にするために登場したのが、迅速に確認が行えるためのシステム、eKYC(Electronic Know Your Customer)です。
なお、本人確認は、サービス利用開始後にも行われます。例えば銀行口座を開設したあとも、サービスの利用には、本人しか知り得ない情報や指紋や顔認証などの生体認証を用いてサービスが不正に利用されていないか、なりすましなどがないかを都度、確認します。この「本人確認」は特に、「当人認証」とも言います。ログイン時に使われる「パスワード確認」などは、代表的な当人認証です。
KYCの頭に「e」が付いたeKYC(Electronic Know Your Customer)は、ここまで紹介してきたような本人確認、KYCを、デジタル化した手法全般を指します。これ、という1つの手段があるのではなく、用途や確認する内容に合わせて決めることができます。
一般的に、厳格な本人確認を必要とする金融関連や通信会社のサービスでは、高いセキュアレベルのeKYC手法が求められ、法律で要件が決められています。要件となるセキュアレベルは、日本の場合、アメリカのNISTが発行する基準をベースに国内向けに作成された「行政手続ガイドライン」に準拠するのが一般的です。
このガイドラインの示す保証レベルは「身元確認」のレベルが3段階、「当人認証」のレベルが3段階あり、それぞれ、法令やセキュリティ要件に基づいて必要な保証レベルを選択し、eKYCの手法を選択することとなっています。以下がそれぞれのレベルの内容です。
身元確認保証レベル
| 身元確認保証レベル | レベルの定義 |
|---|---|
| レベル1 (IAL1) |
身元識別情報が確認される必要がなく、身元確認の信用度がほとんどない。身元識別情報は、自己表明若しくは自己表明相当である。 |
| レベル2 (IAL2) |
身元識別情報が遠隔又は対面で確認され、身元確認の信用度が相当程度ある。 |
| レベル3 (IAL3) |
身元識別情報が特定された担当者の対面で確認され、身元確認の信用度が非常に高い。 |
当人認証保証レベル
| 当人認証保証レベル | レベルの定義 |
|---|---|
| レベル1 (AAL1) |
認証要求者が身元識別情報と紐付けられており、認証情報の3要素のうち、単要素若しくは複数要素を使うことにより、当人認証の信用度がある程度ある。 |
| レベル2 (AAL2) |
認証要求者が身元識別情報と紐付けられており、認証情報の3要素のうち、複数要素を使うことにより、当人認証の信用度が相当程度ある。 |
| レベル3 (AAL3) |
認証要求者が身元識別情報と紐付けられており、認証情報の3要素のうち、耐タンパ性を有するハードウェアを含む複数要素を使うことにより、当人認証の信用度が非常に高い。 |
出典:デジタル庁「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」
→高セキュリティのEC構築・運用をトータルサポート。BiNDecがご相談を承ります。
法改正で一気に普及が進んできたeKYC
オンラインでサービス手続きや利用が可能になる便利なeKYCですが、日本でeKYCが進んだ契機は、2018年の犯収法(犯罪による収益の移転の防止に関する法律)改定です。この際に、eKYCを利用した本人確認が認められたことで金融機関は相次いでeKYCを導入しました。
これにより、口座開設などの手続きが、オンラインでの身分証の写真送付などで可能になっていきます。携帯電話やスマートフォンの購入・機種変更も、以前は契約のためには店頭に出向かねばなりませんでしたが、eKYCで本人確認が可能になると、オンラインのみでの手続きがどんどんと可能になりました。
ここ数年で、これまで本人確認のために窓口に行ったり郵送書類が必要だった手続きが手軽になったな、という印象を受けた人も多いのではないでしょうか。
金融業界以外でもeKYCを導入する動きへ
金融機関を中心としてeKYCによる完全オンラインのサービス利用登録が進むと、他の業界でも各社の業態に見合ったeKYCを導入する流れが高まってきています。
2019年以降に市場として立ち上がってきた日本のeKYC市場の売上推移は2021年現在で44億円、2024年は120億円、2026年は152億円まで成長すると予想されている注目市場です。
※ITRの調査結果より
→高セキュリティのEC構築・運用をトータルサポート。BiNDecがご相談を承ります。
eKYCの利用すべきサービスはどんなもの?
では、eKYCを利用するべきサービスにはどんなものがあるでしょうか。eKYCが必須となる業種には、法令の定めによって導入が必須となるケースがあります。また、利便性や安心を提供するために自主的に導入することが好ましいケースもあります。
eKYCが必須となるサービス ( )内は対象となる法令
- 金融機関など…マネーロンダリング等を防止する目的(犯収法の対象)
- 携帯電話事業など…携帯電話の不正利用や犯罪などを防止する目的(携帯電話不正利用防止法)
- 古物商…盗品などを売買することを防止する目的(古物営業法)
- マッチングサイト…犯罪からの児童を保護する目的(出会い系サイト規制法)
法律で義務づけられる本人確認内容が定められている主な理由は、金銭などのマネーロンダリングやなりすまし、盗難など、不正に暴力団や犯罪組織に渡ってしまうことを防止し、個人の財産や利益を、大きな損害を与える取引の発生を未然に防ぐためとなっています。
一方で、法律では厳密な本人確認が義務づけされていなくても、eKYCを導入するのが好ましいサービスもあります。
eKYCの導入が好ましいサービス
- レンタル、シェアリングサービス…利用者の不正を防止する目的
- 人材紹介・クラウドソーシング…利用者の安心感の確保
- 地域・行政のサービス…スピーディで的確な本人確認、資格確認をする目的
- 個人間売買サービス、個人輸入販売…本人確認によるサービスの信頼性担保、利用者の安心感確保、不正の防止
- オンラインゲームやマッチングサービス、酒販売…年齢確認
- 不動産や駐車場の契約…契約の際の本人確認をオンライン化
これらのサービスでeKYCを導入する目的はさまざまです。
まず、レンタルやシェアリングサービスでは、商品が破損されたり盗難されることや、盗品などを流通させられるのを防ぐことが主な目的です。
人材紹介やクラウドソーシングでは、仕事や業務を依頼する相手や依頼元の身元を確認し、サービス利用者双方の安心安全に役立てることなどです。
それ以外にも、サービス提供対象の資格(年齢など)を確認などは、これまでは自己申告だけに頼っていたり、必要情報より多くの情報を提出してしまう身分証を使った確認を、より簡単に適切な方法で確認することが可能になります。
→高セキュリティのEC構築・運用をトータルサポート。BiNDecがご相談を承ります。
EC事業ではeKYCは有効? 必要なシーンと事例を紹介
EC関連の事業でもeKYCが有効なシーンは多数あります。高額な商品をネットで販売する事業者、そしてそれを購入するユーザーが増えていること、インターネットならではのグローバルな展開によって海外からどんな利用者が購入しているのかが確かめづらい場合も生まれていることなども、EC事業者を守る意味で、本人確認が有効になってきている理由です。
レンタルやシェアリングを行うEC事業
高額なファッショングッズや家電、自動車などをレンタルしたり、サブスクという形で自由に複数の場所や商品を利用できるサービスが増えています。こういった場合は、法令には取り決めはありませんが、商品の回収や不正利用を考慮して、利用者の身元を確認することがほとんどです。写真付き身分証明書などを用いた「本人確認」をもってサービス利用開始としている例が多いでしょう。
レンタル業と類似しますが、ファッション分野では、高額の商品を個人間レンタルしているプラットフォームサービスで本人確認を取り入れているケースが増えています。例えば、ラグジュアリーファッションのシェアリングサービスHIVE Collectiveでは本人確認の上サービスを利用するようになっています。
また、個人による並行輸入ブランド販売のBUYMAでは、eKYCによる本人確認が導入されており、パーソナルショッパー(商品の提供側になる個人)が登録審査以外にも本人確認を行うことで、より安心して購入者が購入依頼できるようになっています。
また、多くの人にお馴染みとなったメルカリのような個人間売買プラットフォームは、古物商と異なるため本人確認の義務はもともとありませんでしたが、サービスが広がりを見せるうちに現在では本人確認を行うとより多くのサービスが受けられる・信頼面で推奨される方向にシフトしています。売上金をプールできる期間も延びます。このように個人間売買を行うものやオークションなどを行うサービスは、eKYCを利用することが好ましいケースです。
高額商品やバーチャルアイテム販売、転売防止なども適用先に
高額商品、ゲームアイテム、暗号資産を使用して購入するバーチャルアイテムやNFTなども、本人確認をeKYCなどで行うことによって、販売や購入者の安全に努めています。
ダフ屋のような不正な転売防止の観点から、音楽コンサートのチケット販売の本人確認へeKYCを導入する例も現れています。例えばチケットをリセールするためのプラットフォーム、チケット流通センターは、販売側の本人確認をeKYCで実施しています。
インフルエンサーの信頼性担保にも一助
また、ECマーケティングではSNSやインフルエンサーの活用がよくありますが、こういった情報を発信していく個人の方々に向けても、一般のSNSユーザーへの信頼性を高めるために、本人確認を行うケースもあります。Lemon Squareでは、有料キャンペーンに参加するインフルエンサーには、反社チェックを含めたeKYCによる本人確認を取り入れています。
本人確認を必要とする支払い方法
分割払い(ショッピングクレジット)、ショッピングローン、BNPLなどの後払いを扱う場合は、契約を行う過程で本人確認が必要となります。
この場合は、金融サービスを提供する外部委託先が自社に代わって本人確認や決済を行えるようになっています。また、ペイディのようなBNPLサービスでは、本人確認にはスマホアプリと電話番号を使用するため事前登録なしで気軽に利用できることがメリットで、本人確認をした場合には分割払いが手数料が無料になるというしくみになっています。
最初に身元確認が取れていれば、繰り返し同じ商品を販売する場合も確認を省略してスピーディーに契約が行えるメリットなどもあります。
ECサイトのサイバーセキュリティ対策について、詳しくは以下の記事をご覧ください。
→高セキュリティのEC構築・運用をトータルサポート。BiNDecがご相談を承ります。
自社サービスのため選択する「確認保証レベル」をどうするか?
自社サービスでeKYCを採用する際のことを考えてみましょう。大きく「身元確認」と「当人認証」の2つがありますが、まず、サービス開始時に行う「身元確認」は、システムの実装の難易度が高くなる傾向があります。一方、サービス利用時などに随時行う「当人認証」は、IDとパスワードの確認や、SMSや電話を使った二段階認証など自社サイトですでに実装・運用できているケースも多いと言えます。
「身元確認」は、現在ではeKYCのサードパーティサービスが登場しているため、これらを自社のサービスへAPIなどを利用して導入することが一般的になってきています。よく利用されているサービスについては次に紹介しますが、サービス提供会社を決めるより以前に問題になるのが、どのようなセキュアレベルを採用すべきかです。法令に基づく導入は、自ずと選択が絞られますが、民間企業で導入をする際に、よりレベルの高いものを求めようとすると、ユーザーの利便性が下がり使いづらくなったり、導入・運用コストも高くなってしまったりするデメリットが発生します。
業界ガイドラインも参考にして導入を考えよう
どのようなセキュアレベルでのeKYCを導入するかを決めたい企業にとって指針となるのがOpen IDが発行した「民間事業者向けデジタル本人確認ガイドライン」です。さまざまな関連会社とオブザーバーが監修制作にあたっています。ガイドラインのPart III、Part IVなどでeKYCの手法や、自社サービスにあった選択についての考え方が述べられています。
具体的な手法の中で、私たちが現在よく利用しているのは、「身分証のアップロード式」や「犯収法ホ方式」かと思います。
「身分証のアップロード式」では、撮影した身分証をアップロードで送信し、自動判定や目視で審査を行う方法です。手軽でユーザーの作業負担は少ないですが、サービス提供会社では目視確認に時間がかかったり、平面写真のみのために画像の不正加工などのリスクはあります。
「犯収法ホ方式」は金融機関や携帯電話の登録などで利用できる方式で、顔写真付き本人確認書類の裏・表・厚みなどを撮影し、本人の要望をリアルタイムで撮影して送信することで、身分証とその保有者を目視で確認することで行います。このタイプの確認方法は最近非常によく使われていると言えます。
そして、民間ではありませんが、「公的個人認証」方式という、マイナンバーカードのICチップを使って電子的に認証を確認する方式は、行政関連の手続きで急速に増えてきています。
→高セキュリティのEC構築・運用をトータルサポート。BiNDecがご相談を承ります。
eKYCを提供する主なサービス会社
eKYCの手続きを自社サイトで実現するためのしくみを提供するeKYC提供会社が増えています。以下に主要なサービスを紹介します。
TRUST DOCK
導入企業200社以上をもつeKYCの専門企業。金融業などに対応する犯罪収益移転防止法に完全対応のeKYCや、本人確認API基盤を提供するサービス、eKYC対応のデジタル身分証アプリなどを提供します。
LIQUID eKYC
LIQUID eKYCは、導入企業190社業界別売上でシェアNo.1となっているeKYCサービスです。低価格から始められる「ベーシックプラン」は、確認する書類件数で月額利用が計算できるわかりやすいプラン。
GMO顔認証eKYC
GMOグループの提供するeKYC。顔写真付き身分証明書と人物の要望撮影で本人確認を行う「犯収法ホ方式」タイプを提供。金額も低価格からスタートできる従量制課金。
→高セキュリティのEC構築・運用をトータルサポート。BiNDecがご相談を承ります。
eKYCニーズにも対応するShopifyのECサイト
金融サービス、決済サービスを利用するECサイトでは、今後、eKYCのニーズや必要性も増えていくと考えられます。とくに、本人確認を行うことであと払いを可能にするPay系のサービスや金融機関との連動なども、視野に入れる必要があります。
ECプラットフォームのShopifyは、複数の決済会社と連動し、さまざまな支払い方法を可能にします。もしもeKYCの必要な決済サービスや金融サービスも必要であれば、最適なアプリや決済会社との連動などを検討しましょう。
BiNDecは、中規模から大規模Shopifyサイトの構築・運営を行うプロフェッショナルが、さまざまな決済ニーズに合わせた提案・サポートを行っています。
BiNDecのオンライン相談に申込む
