オンラインサービスの事業者にとって、ユーザー登録のハードルを下げ、なおかつ本人確認の手間と時間を大幅に削減できるソリューションが入手可能となりつつある。携帯キャリアが提供する本人確認API、銀行が提供する本人確認API――。そして、それらを組み合わせることで、利便性と厳密性を併せ持つことも可能だ。
コロナ禍でこれまでにも増して業務が非対面に移行する中、さまざまなサービスで必要となる本人確認(KYC)にも大きな変化が進行中だ。犯罪収益移転防止法(犯収法)が定めたeKYCが普及し始めているだけでなく、公的身分証などで身元を確認済みの情報を、オンラインで確認できるAPIサービスが各種スタートしている。
これらのAPIは、金融機関や通信キャリアが提供を始めており、ユーザーおよび事業者にとって利便性が高いだけでなく、高い確からしさをもって本人確認ができるのが特徴だ。それぞれ異なる特徴を持つ本人確認APIについて、OpenIDファウンデーションジャパンのKYCワーキンググループ座長、本人確認APIを提供する三菱UFJ銀行、NTTドコモの3者に、今後の本人確認の展望を聞いた。
鍵となるのは、シングルサインオンやID連携の標準技術OpenID Connectだ。複数のソリューションを組み合わせると、最初の登録のハードルを下げ、その後にオンラインで本人確認を完結させる仕組みも構築可能となる。サービス拡大の大きなハードルである登録と本人確認の手間を大幅に減らせるシナリオが実現できる。
オンラインサービスの事業者にとって、ユーザー登録のハードルを下げ、なおかつ本人確認の手間と時間を大幅に削減できるソリューションが入手可能となりつつある。それは、性格が異なる複数の本人確認サービスを組み合わせ連携するやり方だ。
オンラインで完結する本人確認には、複数のサービスがある。代表的なものの1つが、NTTドコモなど、携帯キャリアが提供する本人確認サービスだ。携帯回線の申し込み時に登録した質が高い本人確認情報と、スマートフォンによる確実で利便性が高い当人認証を行える。携帯キャリアのサービスは、確実性が高い認証手段でありながら、スマートフォンを使い手軽にサービスにログインできる点で大きな魅力がある。
一方、銀行も信頼性のおける本人確認済みの顧客情報を持つ。法改正により、銀行が提供する本人確認サービスは、法規制下にある業種(証券会社など)でのオンライン本人確認に活用できるようになった。規制業種以外にも適用でき、銀行口座という「お金」の情報にひも付いた銀行のサービスは要注目だ。
こうした複数の本人確認サービスおよびサービスログインの仕組みを組み合わせる技術として、OpenID Connectがある。これらの取り組みを見ていこう。
複数サービス連携のカギとなる技術仕様がOpenID Connectだ。OpenID Connectに関する技術仕様策定や、OpenID Connectを利用したサービス開発を支援するサービスである「SELMID(セルミッド)」の開発に携わっている伊藤忠テクノソリューションズ(以下、CTC)の富士榮尚寛氏(西日本統括本部 西日本ビジネス開発チーム長)は、次のように話す。
「OpenID Connectの利点は、まず簡単なことです。開発者は、苦労せずにサービスに機能を実装できます。利用者にとっては、従来のいろいろなサービスと連携して新しいサービスに手軽にログインできるようになります」
OpenID Connectは多数のサービスで実際に使われている。「例えばFacebookアカウントでECサイトにログインしたり、LINE IDやYahoo! IDで別のサービスにログインしたりする仕組みがあります。これらはOpenID Connectや、そのベースとなっているOAuth2.0の技術標準に則って作られて、エコシステムができ上がっています」(富士榮氏)。共通の技術基盤の上に、さまざまなサービス群が構築されており、「つながる相手」が豊富で多様な点がOpenID Connectの大きな特徴である。
2018年11月の犯収法の改正により、本人確認をオンラインで完結する「eKYC(electronic Know Your Customer)」が可能となった。法規制により本人確認が義務付けられたサービス、例えば証券会社に口座を開設する場合などに適用が可能だ。三菱UFJ銀行は、このeKYCに対応する本人確認サービス「本人確認サポートAPIサービス」を提供している。
eKYCでは、書面の郵送なしにオンラインで本人確認の手続きが完結する。24時間365日サービスを提供できる点もデジタルサービスならではの利便性だ。マネックス証券、SBI証券というネット証券大手2社が、三菱UFJ銀行の「本人確認サポートAPIサービス」を活用中だ。
三菱UFJ銀行の柳澤隆氏(デジタル企画部 調査役)は、「銀行が提供するAPIは、銀行にあるさまざまな情報や機能を外部に開放するのが役割です」と説明する。「これまでは家計簿アプリなどへの入出金明細の提供が中心でしたが、改正犯収法を受け、本人確認済の住所、氏名、生年月日、これらの情報をユーザー同意のもとAPIサービスとして提供しています」
20年5月7日には、NEC、みずほ銀行、三井住友銀行、ふくおかフィナンシャルグループ、横浜銀行、ポラリファイと共同で「マルチバンク本人確認プラットフォーム」を発表した。これはさまざまな事業者が、プラットフォームを通じて各銀行の本人確認済情報を取得できる仕組みだ。
柳澤氏は「我々(三菱UFJ銀行)も個別行として本人確認サポートAPIを提供していきますが、当行の口座を持っていない人もいます。事業者およびお客さまにとって、より使い勝手がいいのは、共通のプラットフォームを提供することです」と説明する。
一方で、携帯キャリアの本人確認アシストAPIは広く使えて確実という特徴がある。スマートフォン(携帯電話)の新規契約時も、携帯電話不正利用防止法に基づき本人確認を行っており、この情報を応用することで質が高い本人確認ができる。また携帯回線にひも付いた確実な認証が行える。
前述した銀行が提供する本人確認サービスと、携帯キャリアが提供する本人確認サービスの違いについて、NTTドコモの栗山盛行氏(ウォレットビジネス部OMOビジネス担当課長)は、次のように説明する。
「NTTドコモが提供する『本人確認アシストAPI』の強みは、普段お客さまがご利用になっているスマートフォンの認証と結びついていることです。またスマートフォンをご利用になっている方が分かることです。もし銀行のサービスと組み合わせて使うことができれば、利便性と信頼性を一層高めることができるでしょう」
例えば、サービスの登録時に銀行が持つ顧客情報とNTTドコモが持つ顧客情報を突き合わせ、「正しい情報であることを確認して次のステップに進む」といった取り組みも可能となる。
本人確認が必要となるサービスといっても、本人確認の厳密さの度合いはさまざまだ。それを大きく分ければ、2つのグループに分類できる。1番目のグループは、犯罪収益移転防止法(犯収法)をはじめ携帯電話不正利用防止法や古物営業法など、法律に基づき本人確認を厳格に実施することが求められる業種の企業だ。例えば証券会社や銀行のような金融機関、クレジットカード事業者などでは、オンライン本人確認を実施しようとすれば、銀行の本人確認APIサービスなど、法律(犯収法)で定められたeKYCサービスを使うことになる。
2番目のグループは、自主規制による本人確認を行っている企業だ。例えばシェアリングエコノミー分野の企業のほか、年齢確認のために本人確認を行うたばこ、公営競技なども含まれる。このグループでは、携帯キャリアの提供するサービスは利便性と確実性の両方を得られて使いやすい。
銀行と携帯キャリアの、それぞれのサービスの強みを組み合わせるやり方も検討されている。三菱UFJ銀行の柳澤氏は、「銀行はインターネットバンキングでログイン認証の機能を提供しています。セキュリティもリスクベース認証を取り入れるなど厳格ですが、例えばスマホアプリを前提としたサービスでは携帯キャリアの認証を組み合わせることでさらに厳格な本人確認を実施できるのではと考えています」と両API連携の方向性について話す。
銀行が提供する本人確認サービスは「お金」や「口座」が紐づくサービスとの相性はとてもいい。一方スマホアプリを前提に複数のサービスに手軽にログインする用途では携帯キャリアのAPIが使いやすい。
OpenID Connectの仕組みをベースに、携帯キャリアのAPI、銀行のAPIと、複数の技術、ソリューションが登場してきている。これらを連携させれば、ユーザーが新たにサービスに会員登録する際のハードルを大幅に下げ、本人確認の手間と時間を大幅に削減できる。
例えば、ユーザー数が多く利用方法が手軽なソーシャルメディアのIDでまず登録し、その後に携帯キャリアや銀行のオンライン本人確認サービスを利用するやり方が可能となってきた。
CTCの富士榮氏は「入口を増やすことが重要です」と語る。「LINEやFacebookのようなユーザー数が多いソーシャルメディアのIDでユーザー層を広げる。そのうえで、携帯キャリアや銀行の本人確認と紐付けて管理できるようにします。モバイル環境からは携帯キャリアのIDでログインし、PCからはFacebook IDでログイン後、お金と結びつくサービスには銀行のIDで再度ログインする。そうした形で、さまざまな種類のオンラインサービスが、それぞれのチャンスをつかんでいけるのではないでしょうか」
NTTドコモの栗山氏は、本人確認やOpenID Connectへの基本的な考え方を次のように語る。「一般のお客さまにとって、サービスに登録するたびにIDとパスワードをサービスごとにいちいち考えないといけないのは面倒です。そのうえ個人情報も入力しなければならないので、登録のハードルは高くなります。NTTドコモの携帯の契約者であれば、回線認証によって簡単にログインでき、さらに本人確認アシストAPIでは本人確認(KYC)の機能もあります。使いやすいログイン時の当人認証と、登録時の本人確認の機能を両方提供できるわけです」
三菱UFJ銀行の柳澤氏は、「銀行の本人確認APIサービスはスタートしたばかりです。今出している情報は、基本3情報と呼ばれる住所、氏名、生年月日だけですが、8月から口座番号、メアド、電話番号等の情報も提供していきます。そうした銀行にあるさまざまな情報を活用することで、口座保有者の利便性を高めていきたいと思います」と話す。
確実性と利便性が高い携帯キャリアのサービス、信頼性が高く、犯収法のeKYCにも対応できる銀行のサービス、それに多くの人々が使えるソーシャルメディアのIDなど複数のサービスを組み合わせ、ハードルが低く手軽で確実なサービス登録と利用が可能になる時代がやってきたのだ。
本人確認業務は、確認を行うスタッフの人件費、確認作業を定型的に行うためのシステム費、本人確認記録の保存をするサーバ費、問い合わせを受けるコールセンター費、対面であれば店舗費用など、多くのコストがかかります。
また、利用者からすると今すぐにサービスを使いたいと思っても、本人確認が結了するまではサービス利用をすることができません(手元に公的身分証がない場合は、申し込みもできません)。
こうした企業の手間の軽減や、利用者の利便性を向上させることで、よりオンラインサービスが利用され、便利な世の中の実現に貢献したいと思って始めたのが「本人確認アシストAPI」です。
全ての企業が、全ての手続きにおいて、個社毎にコストをかけて、本人確認をする必要はありません。他社(携帯電話事業者や金融機関)が保有する身元確認済みのデータを活用することで、本人確認にかかるコストを下げるとともに、本人確認時の離脱を防ぎ、会員増、サービス利用増、売上増などに結びつけられる可能性があります。
顧客へのサービス提供にあたり、オンライン上の本人確認に課題がございましたら、是非お問い合わせください。ご連絡お待ちしております。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:株式会社NTTドコモ
アイティメディア営業企画/制作:ITmedia ビジネスオンライン編集部/掲載内容有効期限:2020年8月30日