画像送信型eKYCは2027年4月に原則廃止へ
2024年4月、日本信用情報機構(JICC)が偽造された本人確認書類を用いたなりすましに対して信用情報を開示してしまったインシデントは、オンライン本人確認、いわゆるeKYC(electronic Know Your Customer)の構造的な課題を浮き彫りにしました。
そしてこの課題は、ついに制度の変更にまで至りました。2025年6月24日に公布された犯罪収益移転防止法(犯収法)施行規則の改正により、2027年4月1日から、本人確認書類の画像を送信する方式(いわゆる「ホ方式」など)は原則廃止され、非対面の本人確認はマイナンバーカードの公的個人認証(JPKI)に一本化されることが確定しています。携帯電話契約については一足早く、2026年4月1日にすでに同様の改正が施行済みです。
本記事では、eKYCの基本的な仕組みと問題点を整理したうえで、2027年4月の「ホ方式」廃止で何が変わるのか、そして残される課題への対策までを分かりやすく解説していきます。移行対応が急務となる金融機関などの犯収法対象事業者はもちろん、厳格な身元確認を課しにくいECサイトや会員制サービスの事業者にとっても、本人確認と不正対策の在り方を見直すうえで押さえておきたい内容です。
JICCの情報開示インシデント──偽造書類によるなりすましを見破れず
まず、制度変更の背景を象徴する事件を振り返ります。
2024年4月1日、日本信用情報機構(JICC)は、偽造された本人確認書類を使用した申し込みに対して個人信用情報を開示したとして謝罪しました。スマホアプリを使ったなりすましに対して、16件の開示が確認されています。
2024年3月の最終週には偽造書類が使われた数件の申し込みを見抜き、情報開示を防ぐことができました。ところが、過去の申し込みを遡って調査した結果、16件の偽造書類による情報開示が判明。不正開示された情報には、本人の特定や契約に関する情報が含まれていました。
2024年3月28日に不正が発覚し、JICCはサービスを停止。4月5日に機能改修を行い再開しました。再開後は、2024年時点の暫定対応として、クレジットカードによる本人認証を導入し、これを利用できないユーザーには郵送で対応する運用に切り替えています。
この事件は、「本人確認書類の画像を撮影して送信する」という方式そのものが、偽造に対して脆弱であることを広く知らしめるきっかけとなりました。
eKYC(electronic Know Your Customer)とは?
スマートフォンの普及に伴い、オンライン上での本人確認へのニーズが高まってきました。ここでは、eKYCの基本的な仕組みとメリットを解説します。
eKYCの本人確認の仕組み
eKYCの本人確認手続きは、大きく「身元確認」と「当人認証」で構成されています。
身元確認では、本人特定事項(氏名、住所、生年月日など)が記載された本人確認書類(運転免許証、マイナンバーカード、在留カードなど)を提示し、その人物の身元を証明します。
当人認証は、提示された書類に記載されている人物が、実際に契約を行う本人であることを確認するプロセスです。eKYCでは生体認証の仕組みを利用し、身分証の顔写真と契約者の顔を見比べることで本人であることを確認します。
犯収法施行規則では、非対面の本人確認方法が複数定められており、スマートフォンのカメラで本人確認書類の画像と本人の容貌をリアルタイムに撮影・送信する方式が「ホ方式」と呼ばれるものです。このほか、書類のICチップ情報と容貌を送信する「ヘ方式」、そしてマイナンバーカードのICチップに格納された電子証明書を用いる公的個人認証(JPKI)を利用する「ワ方式」などがあります。これまで民間サービスで広く使われてきたのは、導入のしやすさから「ホ方式」でした。
eKYCのメリット
eKYCのメリットは、紙ベースの本人確認と比較して、本人確認時間の大幅な短縮や人件費の削減を実現できることです。
従来の方法では運転免許証のコピーを郵送し、事業者側が目視で確認して転送不要郵便を送るまで数日から数週間かかりますが、eKYCではスマホで撮影してアップロードするだけで、最短即日で手続きが完了します。
事業者側でも、書類の仕分け、内容確認、データ入力、保管といった手作業を自動化・省力化でき、ヒューマンエラーのリスクも軽減されます。オンラインで完結する顧客体験は、口座開設や各種契約のコンバージョン率向上にも寄与してきました。
eKYCの問題点
一方で、eKYC、とりわけ画像送信型の方式には、看過できない課題が存在します。
偽造書類を見抜く技術的な課題
eKYCシステムは高度な画像解析技術やAIを用いて偽造書類の検出を試みていますが、偽造技術も同時に進化しており、なりすましのリスクを完全に排除することはできません。
マイナンバーカードを含む偽造書類の製造拠点が摘発される事例は繰り返し報じられており、Webサイトを開設して偽造書類の作成を請け負う業者まで存在します。「画像として提示された書類が本物かどうか」を画面越しに判定するというアプローチには、構造的な限界があるのです。冒頭のJICCの事例は、まさにこの限界が現実の被害につながったケースでした。
個人情報を保存することによるデータ漏洩リスク
eKYCの利用には、個人情報の保存に伴うデータ漏洩リスクも存在します。ユーザーの本人確認書類の画像や顔写真といった生体データがデジタル形式で保存されるため、不正アクセスやサイバー攻撃の標的になりやすいのです。
大量の個人情報が一箇所に集中することはサイバー犯罪者にとって魅力的なターゲットとなり、実際に過去のハッキング事件では多くの企業が顧客情報を流出させ、大きな被害を受けてきました。
不慣れなユーザーの離脱問題
高齢者やデジタルデバイスの使用に慣れていない人々にとって、スマホで本人確認書類を撮影しアップロードする手続きは難解に感じられることがあります。適切な撮影方法への理解不足から書類や顔写真が認識されず、何度もやり直しを強いられるうちに離脱を招いてしまうケースも少なくありません。
手続きを完了できないユーザーが出れば、顧客の獲得機会を逃すだけでなく、ユーザー体験の悪化にもつながります。
AIの発達によるさらなる脅威──ディープフェイク
本人確認の突破手口として、近年特に深刻化しているのがAIを用いたディープフェイク技術です。
ディープフェイク(deepfake)とは?
ディープフェイク(deepfake)は、AI技術を駆使して本物そっくりの偽の映像や音声を生成する技術です。ディープラーニングにより大量のデータから学習し、人間の顔や声を非常にリアルに再現します。元々は映画産業などで特殊効果を作るために開発された技術ですが、現在では詐欺広告やなりすましへの悪用が広がっています。
ディープフェイクはeKYCをどこまで突破できるのか
懸念は、すでに「将来の脅威」ではなくなっています。
セキュリティ企業のトレンドマイクロの調査では、2024年末以降、アンダーグラウンドのフォーラム上で、暗号資産取引所や金融アプリなどのeKYC認証を突破するためのチュートリアルや、リアルタイム顔交換ツール「Deep-Live-Cam」などを悪用する手順書(プレイブック)が公開・売買されていることが確認されています。つまり、専門知識のない攻撃者でも、手順書に沿ってeKYC突破を試みられる環境が既に整いつつあるのです。
被害の傾向にも変化が表れています。本人確認プラットフォームを提供するSumsub社が世界の400万件超の不正試行を分析した年次レポート「Identity Fraud Report 2025-2026」によると、ディープフェイクや合成ID、ソーシャルエンジニアリングなど複数の手口を組み合わせた「高度な不正」が全不正に占める割合は、2024年の10%から2025年には28%へと急増しました(グローバル統計)。単純な偽造書類の使い回しから、AIを駆使した精巧ななりすましへと、手口の高度化が世界的に進んでいるのです。
「画面越しに撮影された顔と書類の画像」を信頼の根拠とする方式は、生成AIの進化によって、その前提そのものが揺らいでいると言えるでしょう。
2027年4月、「ホ方式」廃止で何が変わるか
こうした状況を受けて、国は非対面本人確認の制度を抜本的に見直しました。
犯収法施行規則の改正──画像送信方式は原則廃止、JPKIへ一本化
2025年6月24日、犯収法施行規則の改正が公布されました(令和7年共同命令第3号)。施行は2027年4月1日です。
この改正により、銀行・クレジットカード会社・資金移動業者など犯収法の対象事業者が行う非対面の本人確認では、本人確認書類の画像や容貌の画像を送信する方式(ホ方式・ヘ方式・ト方式など)が原則廃止されます。今後の非対面本人確認は、マイナンバーカードのICチップに格納された電子証明書を読み取り、真正性を暗号技術で検証する公的個人認証(JPKI)に一本化されます。
画像は「見た目が本物らしいか」しか確認できませんが、JPKIはICチップ内の電子証明書を検証するため、偽造カードや画面に映したディープフェイク映像では突破できません。偽造書類対策として、確認の根拠を「画像の見た目」から「暗号学的な検証」へ切り替える、大きな転換です。
JPKIの制度や仕組み、署名用電子証明書と利用者証明用電子証明書の違いなどの詳細は、こちらの記事で解説しています。 → 関連記事: 公的個人認証(JPKI)とは?仕組み・一本化スケジュール・課題を徹底解説【2026年最新動向】
携帯電話契約は2026年4月に施行済み
携帯電話の契約については、携帯電話不正利用防止法の省令改正により一足早く同様の見直しが行われ、2026年4月1日にすでに施行されています。従来型のeKYC(画像送信方式)や転送不要郵便による本人確認は2026年3月31日で終了し、非対面契約はマイナンバーカード等のICチップ読み取りによる方式に移行しました。対面契約でも、本人確認書類のICチップ読み取りが義務化されています。
携帯電話が先行した背景には、SIMスワップ詐欺や特殊詐欺に悪用される不正契約の急増があります。金融をはじめとする犯収法対象事業者は、この携帯電話での運用を先行事例としつつ、2027年4月に向けた移行準備を進めている段階です。
事業者とユーザーへの影響
事業者にとっては、eKYCベンダーの選定見直しやJPKI対応システムへの改修、社内オペレーションの変更など、施行までの移行準備が急務となります。
ユーザー側の前提条件も整いつつあります。マイナンバーカードの保有枚数は2026年1月末時点で1億枚を突破し、保有枚数率は81.2%に達しました(総務省の交付状況データによる)。2025年6月からは「iPhoneのマイナンバーカード」の提供が始まり、スマートフォン単体でJPKIを利用できる環境も広がっています。
一方で、依然として約2割の人はカードを保有していないほか、カードを持っていてもスマホでのIC読み取りに不慣れなユーザーは一定数存在します。「本人確認の厳格化」と「ユーザーの離脱防止」をどう両立するかは、施行後も事業者に残され続けるテーマです。
JPKI一本化ですべて解決するのか──残る課題
JPKIへの一本化は、偽造書類・ディープフェイクによる「身元確認」の突破に対する強力な対策です。しかし、それだけで不正がなくなるわけではありません。
第一に、JPKIが担うのは契約時などの「身元確認」であり、その後のログインや決済のたびに行う「当人認証」は別の仕組みが必要です。厳格な身元確認を経て作られた正規アカウントであっても、フィッシングなどでパスワードが漏れれば乗っ取られてしまいます。
第二に、マイナンバーカード非保有者や操作に不慣れなユーザーへの導線をどう確保するかという、離脱・機会損失の問題は残ります。
第三に、犯収法の対象外である一般のECサイトや会員サービスでは、そもそも厳格な身元確認を課すこと自体が現実的でない場面も多く、身元確認に頼らない不正対策が引き続き求められます。
Infront SecurityによるeKYCの課題への対策
Infront Securityは、電話番号と端末情報を組み合わせた特許技術による電話発信認証サービスです。JPKIによる身元確認とは異なるレイヤー、すなわち日々のログインや決済における「当人認証」の場面で、eKYCが抱える課題を補完します。
高い本人担保性と、個人情報を持たない設計
Infront Securityは、個人情報を直接扱わず、電話番号を不可逆的にハッシュ化した値のみを使用するため、プライバシーに関する懸念が大幅に軽減されます。漏洩すれば大きな問題となる生体情報や本人確認書類の画像を収集・保管する必要がそもそもない点は、画像送信型eKYCとの大きな違いです。また、認証の根拠となる電話発信は通信キャリアの交換網で本人性が担保されるため、ディープフェイクのような映像の偽装では突破できません。
誰でも簡単
ユーザーはパスワードを覚える必要がなく、煩雑なアカウント管理も不要です。特別なアプリのインストールを必要とせず、認証プロセスはワンタップの発信で完了し、通話は照会後自動的に切断されます。書類の撮影ややり直しが発生しないため、デジタルツールに不慣れなユーザーでも離脱しにくく、コンバージョン率を落としにくい仕組みです。
高い拡張性
様々なウェブサイトやアプリケーションへ導入でき、ユーザーは同じ電話番号で複数のサービスを利用可能です。既存ユーザーのログインや決済での不正抑止のほか、トライアル商品の転売対策としての偽アカウント防止や、高額商品に限定した適用など、認証が必要な場面へあらゆる粒度で機動的に導入できます。
まとめ
本記事では、eKYCの問題点と、2027年4月の犯収法施行規則改正による「ホ方式」廃止・JPKI一本化について解説しました。
偽造書類やディープフェイクによる身元確認の突破は、制度改正によって大きく抑止される見込みです。一方で、日常のログイン・決済における当人認証や、不慣れなユーザーの離脱防止といった課題は、施行後も事業者自身が解決すべきテーマとして残ります。
Infront Securityは、個人情報を扱わず、ユーザー側の操作も簡単な電話発信認証によって、これらの課題に応えるソリューションです。日々のログインや決済における当人認証の強化をご検討の方は、ぜひお気軽にお問い合わせください。
更新履歴
- 2026年7月17日: 犯収法施行規則改正(2025年6月24日公布・2027年4月1日施行)による画像送信方式の原則廃止とJPKI一本化、携帯電話契約の2026年4月施行、ディープフェイクを用いた不正の最新動向を反映し、全面的に更新しました。
- 2024年6月3日: 記事を公開しました。
参考資料
- 牛島総合法律事務所 Client Alert「犯罪収益移転防止法施行規則の改正(非対面本人確認方法の見直し)」 https://www.ushijima-law.gr.jp/client-alert_seminar/client-alert/20250303/
- TRUSTDOCK「2027年4月以降のAML/CFT・本人確認はどう変わるか」 https://biz.trustdock.io/column/after202704-amlcft
- プリマジェスト「犯収法2027年改正のポイント」 https://www.primagest.co.jp/column/hanshuho-2027-kaisei/
- サイバートラスト「携帯電話不正利用防止法改正と本人確認のJPKI一本化」 https://www.cybertrust.co.jp/blog/certificate-authority/business-process-digitalization/act-for-identification.html
- TMI総合法律事務所「非対面本人確認のJPKI一本化に関する解説」 https://www.tmi.gr.jp/eyes/blog/2026/18168.html
- ソフトバンク「本人確認方法の変更について(2026年4月)」 https://www.softbank.jp/biz/news/other/20260101/
- DNP「対面契約時のICチップ読み取り義務化について」 https://www.dnp.co.jp/biz/column/detail/20175316_4969.html
- Apple Newsroom「iPhoneのマイナンバーカード提供開始(2025年6月24日)」 https://www.apple.com/jp/newsroom/2025/06/apple-introduces-my-number-card-on-iphone/
- BCN「マイナンバーカード保有枚数1億枚突破・保有枚数率81.2%(2026年1月末時点)」 https://www.bcnretail.com/market/detail/20260210_596529.html
- 総務省「マイナンバーカード交付状況」 https://www.soumu.go.jp/kojinbango_card/kofujokyo.html
- トレンドマイクロ「ディープフェイクの悪用に関するリサーチ(eKYC突破チュートリアル・Deep-Live-Camプレイブック)」 https://www.trendmicro.com/ja_jp/about/newsroom/press-releases/2025/pr-20250717-01.html
- 日経クロステック「eKYCの身元確認をディープフェイクで突破?」 https://xtech.nikkei.com/atcl/nxt/column/18/01760/083000004/
- Sumsub「Identity Fraud Report 2025-2026」(高度な不正の割合 10%→28%・グローバル統計) https://sumsub.com/fraud-report-2025/
- Sumsub Newsroom「Sumsub's Annual Report: Fraud Shifts to Complex Multi-Step Schemes in 2025」(2025年11月25日) https://sumsub.com/newsroom/sumsubs-annual-report-fraud-shifts-to-complex-multi-step-schemes-in-2025-agentic-ai-scams-poised-to-surge-in-2026/