スマホで簡単本人確認――顔認証技術を生かした、金融機関でも使われるeKYCサービスとは：面倒くさい郵送作業からさようなら

ITを生かした新しい金融サービスが続々登場する中、どうしても「紙」「郵送」の手続きが必要だった本人確認（KYC）の世界が法改正によって大きく変わろうとしている。その変化とは、どういうものなのだろう。

　「FinTech」という言葉が注目を集める通り、金融サービスの姿はITによって大きく変わりつつある。オンラインバンクや株取引、スマートフォン（スマホ）を用いたキャッシュレス決済が広がり、時間や場所を気にせず、さまざまな金融取引ができる環境が整ってきた。

　だが、どうしてもオンラインで完結できない手続きが残っていた。新たに口座を開設する際の「本人確認」だ。窓口での対面手続きや郵送による住所確認といった手続きを実施して、当人の実在を確認し、不正な口座開設やマネーロンダリングを防ぐ。だが、銀行や金融機関にとってはコストの増加に、利用者にとっては煩雑な手続きになり、時間もかかっていた。

　2018年11月30日の「犯罪収益移転防止法」（犯収法）の改正によって状況が変わろうとしている。これまでの転送不要郵便の送付だけでなく、「オンライン本人確認」（eKYC）が認められるようになったのだ。

　eKYCは、幾つかの方法が本人確認の方法として認められた。1つは「顔写真付き本人確認書類のデータ」と「本人の顔写真データ」を送り、画像が一致するかどうかを確認する方法だ。例えばスマートフォンで免許証と自分の顔写真を撮って送信すれば、その場で本人確認手続きを完結できる。もう1つが、APIなどを介して他事業者との取引時の本人確認データを取り寄せ、顔写真付き本人確認書類と照らし合わせる方法だ。

改正した犯収法の概要

ポラリファイの松山次郎氏

　ポラリファイの松山次郎氏（開発部長）は、改正のメリットを次のように説明する。「従来は数日から1週間かかっていた手続きがすぐにできるようになりました。金融機関にとっては今まで取り込めなかったユーザーを取り込むチャンスになり、利便性向上というメリットが得られます」（松山氏）

パスワードに代わる新たな認証手段、生体認証時代を視野に入れソリューション提供

　ただ、eKYCが現実のものになるには、幾つかの技術革新が欠かせなかった。中でも鍵を握るのが、顔写真データを基にした顔認証技術だ。

　本人確認は利便性を保ちつつ、不正を防ぐというセキュリティとのバランスを取らなければならない。eKYCは、セキュリティを確保するために「本人確認書類の写真データが差し替えられていないか」「過去に撮影された写真や動画が流用されていないか」をチェックする必要がある。

　顔認証技術が、本人確認書類上の顔写真とその場で撮影した本人の顔写真を比較し、同一人物かどうかを確認できるレベルの高精度に達したことで、第三者によるなりすましや画像データの悪用防止が可能になった。

　「今回の犯収法改正は、当局が顔認証システムにお墨付きを与えたものと捉えられます。これまで生体認証に消極的だった金融機関も、これをきっかけに積極的になるでしょう」（松山氏）

　三井住友フィナンシャルグループとNTTデータ、アイルランドのDaonの合弁で設立されたポラリファイは、2017年の設立当初から顔認証技術をはじめとする生体認証技術時代の到来を視野に入れてソリューションを提供してきた。

　「そもそもIDとパスワードによる認証は課題が指摘されていました。パスワードの数が多過ぎる上、複雑なパスワードを設定しようとすると覚えきれません。いずれパスワードによる認証の時代は終わりを告げるでしょう。そのとき、パスワードに取って代わるのが生体認証です」（松山氏）

　ポラリファイは、Daonが開発した生体認証技術をコアにしたソリューションを展開してきた。Daonの生体認証技術は、米国の空港での入国審査に採用されるほどの高い精度を誇るが、特長はそれだけではない。

　「Daonが提供する認証方式は、他社が提供する認証エンジンと組み合わせてパッケージ化できます。それだけならば似たようなソリューションはありますが、Daonの場合は組み込むエンジンの精度やサポート体制、費用面などを審査し、それらをテストするノウハウを持っています」（松山氏）

　つまり、組み込んだ技術のサポート体制の確認をユーザーに委ねるのではなく自ら検証し、保証するところがポイントだ。米国や欧州、日本の空港の他、主要クレジットカード会社、金融機関で実績を積んできた。

ユーザーにやさしい操作と偽造防止を両立させた「Polarify e-KYC」

　ポラリファイは、犯収法改正を踏まえ、Daonの技術を生かしたデジタル本人確認サービス「Polarify e-KYC」を2019年6月に発表した。既存のさまざまなスマホアプリやWebサービスに組み込めるSDKの形で提供する。

　犯収法改正は、金融サービスを提供するあらゆる企業にとって新たなチャンスだ。市場に幾つかのeKYCソリューションが登場したが、ポイントとなるのは撮影された画像が「本当にその場で当人を撮影したものか」「偽造されていないか」「使い回しされていないか」を検知する「ライブネスチェック」だ。

　Polarify e-KYCはライブネスチェックを、「ユーザーに顔を振らせる」といった利用者に負担をかける形だけでなく、シームレスな形で実現した。まばたきの微細な動きを自動検知する「アクティブ・ライブネスチェック」と、その際の顔の凹凸に応じた反射や手ブレをチェックする「パッシブ・ライブネスチェック」を組み合わせ、本当にその場で本人が撮影されたものだということを確認する。

Polarify e-KYCの顔写真撮影の様子。まばたきでライブネスチェックを行う

　eKYCは、顔写真と同時に送信する本人確認書類についても偽造や流用を防ぐためのチェックが必要だ。Polarify e-KYCは、画面上にランダムに表示されるガイドに沿って、指定の位置に書類を配置しないと撮影自体ができないようになっていて、同時に「その場で撮影され、かつ背景などの偽造もない」ことを確認する。

Polarify e-KYCの本人確認書類撮影の様子

　その上で画像撮影時の使い勝手にも考慮した。例えば右手で書類を、左手でスマホを持って撮影するのは、操作に慣れていない利用者にとってはハードルの高い作業だ。Polarify e-KYCはガイドを適宜表示することでユーザーを誘導する。

　しかも本人の顔写真を撮影する際には、ガイドに加えて端末の角度や明るさなどもチェックし、その条件を満たさないと撮影できない。これにより品質の高い本人の顔画像データを取得し、ユーザーに「もう一度データを送り直してください」と依頼するといったバックオフィス側のチェック作業にかける手間を減らしている。

サーバ側で照合処理を実施し、「本人確認」後のさまざまな取引もサポート

　Polarify e-KYCのもう1つの特長は、端末側で本人確認処理をするのではなくサーバ側で照合処理をすることだ。ユーザーによってはローカルで処理を完結できることに価値を置くかもしれないが、今後の顧客との関係構築を考えると、サーバ側で処理することにはさまざまなメリットがあると松山氏はいう。

　例えば、過去の申し込み情報の顔写真やウォッチリストと照合し、類似したものがあれば「使い回しの恐れがある」とアラートを出すことが可能だ。また、本人確認作業を経て口座開設などの処理が終わった後も活用できる。例えばオンラインバンクでは、振り込み処理などの取引実行時やロック解除の際に追加認証をすることが多い。このとき、本人確認時に預かった顔写真の画像を基に、その場でスマートフォンから顔認証できる。

　「保存されているのは本人確認書類に基づいた顔写真データなのだから、毎回免許証を出して本人確認をしているようなものです。より強固な認証になります」（松山氏）

サーバ側で照合処理をするメリット

　サーバ側にデータが保存されることを気にする人もいるだろう。だがPolarify e-KYCは顔画像のデータを直接サーバに保存するわけではない。画像を解析して特徴点を抽出し、非可逆的な処理を加えたデータとして保存する。たとえ外部に特徴点データが流出したとしても顔画像は復元できないし、認証エンジンが異なれば流用も不可能だ。

顔認証、生体認証だけでなく統合認証プラットフォームへの進化も

　今後ポラリファイは、得意としてきた生体認証だけでなく、ワンタイムパスワードやSMS認証、振る舞いベース認証など、さまざまな認証方式に対応した統合認証プラットフォームの提供を目指す。

　「いずれは、普段と異なる場所から多額の振り込み依頼などがあった際にパスワードだけでなく生体認証を求めるといった具合に、リスクに応じて追加の認証を求めるリスクベース認証に移行するでしょう。ポラリファイの生体認証技術は、そうした将来の拡張に備えたサービスになっています」（松山氏）

　本人確認や生体認証は金融サービスの世界だけに閉じるものではない。他のさまざまなオンラインサービスはもちろん、スマートシティーや店舗での決済、Mobility as a Serviceをはじめリアルの世界にも活用は広がると見ている。

本人確認や生体認証のデータの活用は広がる

　Appleの「Touch ID」の登場などによって生体認証に対する心理的ハードルは大きく下がったが、センシティブな情報だけに、その扱いに慎重さが求められるのも事実だ。松山氏は「生体認証には課題もありますが、メリットの方がはるかに大きいです。どのようなルールが必要で、どのように使っていくのが適切かを考える方が建設的です」と述べ、これからの認証のあるべき姿を模索していく姿勢を示した。

資料ダウンロード

ID／パスワードの課題を一掃、「生体認証」でUXとセキュリティはどう変わる？

IDやパスワードを使いまわし、手帳など紙で管理するユーザーが多い現状は、利用者と企業双方にとってさまざまな課題をもたらしている。主な3つの課題を挙げるとともに、それらを一掃するとして注目される「生体認証」の有効性を解説する。

本人確認をオンラインで完結、「eKYC」を導入するメリットとは？

犯罪収益移転防止法の施行規則改正により、オンライン上での本人確認「eKYC」が認められたが、2020年4月からは、郵送を介する従来の確認方法は厳格化される。銀行やカード会社だけでなく、宅建業なども向き合うべき課題とは？

提供：株式会社ポラリファイ
アイティメディア営業企画／制作：ITmedia エンタープライズ編集部／掲載内容有効期限：2019年7月31日