2024年4月、日本信用情報機構(JICC)が偽造された本人確認書類を用いたなりすましに対して信用情報を開示してしまったインシデントは、近年急速に普及が進むオンライン上での本人確認、eKYC(electronic Know Your Customer)の課題を浮き彫りにしました。
本記事では、eKYCの基本的な仕組みから限界点、そしてその対策までを分かりやすく解説していきます。
スマホアプリを使ったなりすましを見破れずに情報開示
2024年4月1日、日本信用情報機構(JICC)は、偽造された本人確認書類を使用した申し込みに対して個人信用情報を開示したとして謝罪しました。
スマホアプリを使ったなりすましに対して16件の開示が確認されています。
2024年3月の最終週に、偽造書類が使われた数件の申し込みを見抜き情報開示を防ぐことができました。
ところが、過去の申し込みを遡って調査した結果、16件の偽造書類による情報開示が判明。
不正開示された情報には、本人の特定や契約に関する情報が含まれていました。
2024年3月28日に不正が発覚し、JICCはサービスを停止。
4月5日に機能改修を行い再開しました。
再開後はクレジットカードによる本人認証を導入し、対応できないユーザーには郵送で対応するといった解決策に至っています。
eKYC(electronic Know Your Customer)とは?
スマートフォンの普及に伴い、オンライン上での本人確認へのニーズが高まっています。
ここでは、代表的な手段として普及が進むeKYCの基本的な仕組みと、そのメリットを解説していきます。
eKYCの本人確認の仕組み
eKYCの本人確認手続は、大きく「身元確認」と「当人認証」で構成されています。
身元確認では、本人特定事項(氏名、住所、生年月日など)が記載された証明書(免許証、パスポート、健康保険証など)を提示し、その住所に実際に居住していることを確認します。
これにより、その人物の身元が証明されます。
当人認証は、提示された証明書に記載されている人物が、実際に契約を行う本人であることを確認するプロセスです。
eKYCでは生体認証と呼ばれる仕組みを利用しており、身分証に印刷された顔写真と契約者の顔を見比べることで、本人であることを確認します。
スマートフォンのカメラを使って本人確認書類と契約者の顔をリアルタイムで撮影することで、身元確認と当人認証の両方を同時に実行する仕組みです。
eKYCのメリット
eKYCのメリットは、紙ベースの本人確認の仕組みと比較して、本人確認時間の大幅な短縮や人件費の削減を実現できることなどが挙げられます。
AIを活用した認証システムにより、リアルタイムでの本人確認が可能になり、従来の紙ベースのプロセスでは数週間かかる手続きが最短即日で完了します。
例えば、従来の方法では運転免許証のコピーを郵送する手間がかかりますが、eKYCではスマホで身分証明書と顔を撮影してアップロードするだけです。
事業者側でも、紙ベースの本人確認では書類の仕分け、内容確認、データ入力、保管など多くの手作業が必要ですが、eKYCでは作業を自動化・省力化することもでき、ヒューマンエラーのリスクも軽減されます。
eKYCの問題点
eKYCによってもたらさせるメリットは様々ですが、一方で課題も存在します。冒頭に紹介したようなインシデントも発生しており、限界点を理解することが重要です。
偽造書類を見抜く技術的な課題
現在のeKYCシステムは、高度な画像解析技術やAIを用いて偽造書類の検出を試みていますが、偽造技術も同時に進化しています。
なりすましのリスクを完全に排除することは不可能です。
最近ではマイナンバーカードを含む偽造書類の製造工場が摘発される事例も多く報じられており、高度な偽造書類が市場に出回っています。
中にはWebサイトを開設し、偽造書類の作成を請け負う業者まで出てきている始末です。
今や誰でも簡単に偽造書類を入手できる時代になっているのです。
個人情報を保存することによるデータ漏洩リスク
eKYCの利用には、個人情報の保存に伴うデータ漏洩リスクが大きな課題として存在します。
ユーザーの個人情報や生体データがデジタル形式で保存されるため、不正アクセスやサイバー攻撃の標的になりやすいです。
大量の個人情報が一箇所に集中することで、サイバー犯罪者にとって魅力的なターゲットとなり、ハッキングやデータ盗難のリスクが高まります。
実際に、過去のハッキング事件では多くの企業が顧客情報を流出させ、大きな被害を受けてきました。
不慣れなユーザーの離脱問題
特に高齢者やデジタルデバイスの使用に慣れていない人々にとって、スマホやパソコンを使って本人確認書類を撮影し、アップロードする手続きは難解に感じられることがあります。
適切な撮影方法に関する理解不足から、書類や顔写真がシステムで認識されず、何度もやり直しを強いられるうちに、離脱を招いてしまうことも。
不慣れなユーザーが手続きを完了できない場合、顧客の獲得機会を逃すだけでなく、ユーザー体験の悪化にもつながります。
AIの発達によるさらなる脅威
本人確認書類の偽造において、特に問題視されているのがAIを用いたディープフェイク技術です。
このセクションでは、ディープフェイクの基本概念と、eKYCへ及ぼす危険性について詳しく解説します。
ディープフェイク(deepfake)とは?
ディープフェイク(deepfake)は、人工知能(AI)技術を駆使して、本物そっくりの偽の映像や音声を生成する技術です。
ディープラーニングを活用して、大量のデータから学習し、人間の顔や声を非常にリアルに再現します。
元々はエンターテインメントや映画産業で特殊効果を作るために開発され、例えば、俳優の顔を別の俳優の身体に合成するなど、視覚効果を高めるために利用されたことが由来です。
ディープフェイクはどこまで誤魔化せる?
最近では、前澤友作氏や堀江貴文氏を使った詐欺広告が話題となっており、ディープフェイク技術の悪用が広がっています。
本人が実際に発言したかのような映像を作成し、視聴者を騙して商品やサービスを購入させる手口です。
このような手法は、eKYCの文脈でも重大な脅威となります。
悪意のある第三者がディープフェイクを利用して他人の顔を模倣し、偽造書類と共にeKYCプロセスを通過しようとすることが考えられます。
ディープフェイク技術の進化により、現行のeKYCシステムでは見抜くことが、今後ますます難しい時代になるでしょう。
Infront SecurityによるeKYCの問題点への対策
Infront Securityは、電話番号と端末情報を組み合わせた画期的な認証サービスです。
eKYCと比較してどのようなメリットがあるのか解説していきます。
高い本人担保性
Infront Securityは、個人情報を直接扱わず、電話番号を不可逆的にハッシュ化した値のみを使用するため、プライバシーに関する懸念が大幅に軽減されます。
漏洩すると大きな問題を引き起こす原因となる、ユーザーの生体情報や個人データを収集・保管する必要がそもそも無いことは、eKYCとの大きな違いです。
誰でも簡単
ユーザーはパスワードを覚える必要はなく、煩雑なアカウント管理も不要です。
特別なアプリのインストールを必要とせず、インターネット接続が不安定な環境でも機能するため、どこでも安全かつ簡単にアクセスできます。
認証プロセスはワンタップで完了し、通話は照会後自動的に切断するため、利便性とセキュリティが両立されています。
ユーザーのデジタルツールに対するリテラシーに関わらず、コンバージョン率を極力落とすことのない仕組みです。
高い拡張性
様々なウェブサイトやアプリケーションへ導入でき、ユーザーは同じ電話番号で複数のサービスにログイン可能です。
既存ユーザーのログインや決済での不正抑止以外にも、トライアル商品の転売抑止のための偽アカウント防止や、不正が起きやすい高額商品に限定するなど、認証や決済が必要な場面へ、あらゆる粒度で機動的に導入できる点が支持されています。
まとめ
この記事ではeKYCにまつわる本人確認の問題点について解説してきました。
Infront Securityは、そもそも個人情報を扱わず、ユーザー側での操作も簡単であることから、大手企業を初めとして導入が進んでいます。
詳細については、ぜひお問い合わせください。