業務のオンライン化で進むeKYC

　近年の行政・民間サービスでは、かなりの手続きでオンライン化が進んでいる。たとえば2020年の持続化給付金では、マイナンバーカードなどを利用してすべての申請をオンラインで行うことができた。

　押印業務など古いビジネス慣習や就業規則が、パンデミック後のテレワークやソーシャルディスタンスの妨げ、さらには日本のデジタルトランスフォーメーション（DX）の障害になるとして、業務のオンライン化、非対面化はますます広がっている。

　しかし、オンライン化によって新たな問題や課題が生じることもある。ディー・エヌ・エーとSOMPOホールディングスの合弁会社、DeNA SOMPO Mobilityが運営する個人間カーシェアサービス「Anyca」では、従業員が登録された顧客の情報を不正に使ってカードローンを組むという事件が発生した。またQUOINE社が運営する仮想通貨取引所「Liquid」では、不正アクセスによって2万8000件もの個人情報が流出した。2つの事件で共通するのは、悪用・流出した個人情報に顔写真データが含まれていたことだ。

　顔写真・セルフィー画像は、オンライン上で完結させる本人確認「eKYC」で欠かせない要素となる。住所・氏名・生年月日、あるいは銀行口座の番号だけで本人確認を行えば、昨年のゆうちょ銀行やドコモ口座など口座連携システムでのインシデントの二の舞を演じることになる。


　アカウント登録時に、リアルタイムでセルフィー画像・動画を送信させればその場で本人確認が可能だ。保存しておけば、後日対面で確認したり不正利用の証拠にもなり得る。確認方法も工夫されている。

　システムによっては、セルフィー画像に自分の免許証やパスポートなど顔写真入りのIDを映り込ませ、AIで同じ顔かを判定させているものもある。セルフィー動画にして、ランダムに選んだ表情や動作を指定すれば、写真などによるなりすまし対策も可能だ。

認証に生体情報を使う場合の課題

　AIなどの認識精度にもよるが、eKYCは今後、さまざまな場面で利用が広がっていくと思われる。同時に問題となるのが、撮影した顔写真データをどう管理するかだ。

　一義的には、アカウント作成時に登録する名前や住所などと同じレベルの個人情報と考えることができる。顔写真のような生体情報は個人情報保護法でも明確に保護すべき対象（個人情報）としている。生体情報は、パスワードのように容易に変更できるものではないため、扱いには十分に配慮する必要がある。

　この議論は、2021年完全施行される改正個人情報保護法の中でもされている。一般に本人確認に利用する生体情報は、そのまま保存するのではなく、照合用の特徴データなどへの変換が推奨される。これはデータサイズの問題もあるが、データを暗号化する（容易に元情報に復元させない）という意味もある。


　他の生体認証システムとの照合をさせないこと、漏えいした場合、それを無効にして照合データを再生成できるようなシステムであることが主な要件となる。さらに、システム全体としての精度（本人拒否率、他人受入率）も保たなければならない。

　ただし、これまでの議論は「生体認証技術としての顔認証」を前提としている。生体情報を鍵として記録する場合の注意やセキュリティ上の課題にフォーカスしており、前述のような「オンラインサービスでの本人確認業務」を想定したものではない。

【次ページ】eKYCでは画像データの扱いがポイントとなる