本人確認の手間とコストが、多くの企業のペインになっている
犯罪収益移転防止法や携帯電話不正利用防止法、古物営業法、労働者派遣法など、本人確認を求める法規制は複数存在する。こうした幅広い法律に対応する本人確認のソリューションを提供しているのが、TRUSTDOCKだ。
同社は、2017年11月にガイアックスの一事業部から独立する形で誕生した。ガイアックスはソーシャルメディアとシェアリングエコノミーを事業領域としているが、どのような経緯でTRUSTDOCKの創業に至ったのだろうか。千葉孝浩CEOはこのように振り返る。
「13年当時、AirbnbやUberなどのシェアリングエコノミーが世界で注目され始めていました。そこでガイアックスはシェアリングエコノミー協会を立ち上げ、C2Cのマーケットを盛り上げようとしていたんです」
「ただし、C2Cサービスは、B2BやB2Cのように、信頼の拠りどころとなる企業が存在しません。家事代行にせよ、スペースシェアにせよ、取引の相手方を信頼できる仕組みがなければ、サービスの利用者は広がらないでしょう。そこで、16年頃より、『シェアリングエコノミー × ブロックチェーン』を技術テーマとして、オンライン上で本人確認が便利になるサービスを研究することにしました」
「その後、本人確認を取り巻く市場のニーズを深堀りしたところ、法規制を受けるフィンテック事業者を中心に、本人確認の手間やコストに大きなペイン(痛み)がある状況が見えてきました。とはいえ、本人確認そのものはガイアックスの事業領域とは異なります。そこで、社会インフラとして本人確認のニーズを満たそうと考え、TRUSTDOCKを立ち上げました」(千葉氏)
本人確認に関連する規制として代表的なものが、犯罪収益移転防止法だ。麻薬など犯罪による収益の洗浄(マネー・ロンダリング)を防止することを目的とし、金融機関やクレジットカード事業者などが「特定事業者」として規制の対象となる。特定事業者は、疑わしい取引について所管行政庁に届け出るとともに、顧客と取り引きする際は、氏名・住所・生年月日などを確認することが義務付けられている。
金融の世界では、すでにオンライン上での手続きや取り引きを可能とする企業が大半である。当然、犯罪収益移転防止法に準拠した運用がなされているはずだ。しかし、相変わらず本人確認に課題を感じる企業は少なくないという。
「オンラインサービスでも、いまだに本人確認だけは郵送やFAXで行われていることが多いですよね。たとえば、今この瞬間に証券取引をやりたいと思っても、本人確認が済んでいなければ、取引を進められません。サービスを提供する企業にとっても、サービスを利用するユーザーにとっても、本人確認は課題です」
「そもそも、法律や規制で管理が義務付けられていない企業は、顧客の公的身分証のコピーがほしいわけではありません。集めた個人情報を管理するのも大変ですからね。あくまでも取引が進むことが大切であって、そのために必要な情報をスマートに確認できるソリューションが必要なのだと思います」(千葉氏)
従来の犯罪収益移転防止法では、本人確認をオンラインだけで完結させる、いわゆるeKYC (electronic Know Your Customer)は認められていなかった。そのため、事業者は転送不要郵便や本人限定郵便などを用いて本人確認を行っていたが、18年11月30日に施行された犯罪収益移転防止法の改正により、転換点を迎えた。ソフトウェアを使用してオンライン上で本人確認を完結させる道が拓かれたのだ。
それでは、犯罪収益移転防止法の改正を受けて、TRUSTDOCKのサービスや、日本の本人確認を取り巻く環境は、どのように変化しているのだろうか。
APIの組み合わせによって、企業ごとのビジネスに合わせた本人確認を構築
TRUSTDOCKでは、犯罪収益移転防止法の改正にもいち早く対応し、eKYCに対応したデジタル身分証アプリ「TRUSTDOCK」と、本人確認API基盤を提供している。
同社が提供する「TRUSTDOCKアップローダー」をWebページに組み込めば、パソコン、スマートフォンを問わず、eKYCの機能を実装できる。サービス事業者は、新たに本人確認用の管理画面を開発する必要はなく、オペレーターの採用や教育コストをかけずに、24時間365日本人確認に対応できるようになるという。
さらに、TRUSTDOCKアップローダーは、「個人番号取得API」や「ハガキ/封筒郵送API」など、eKYCに限らない、本人確認業務を効率化する機能を備えている。サービス事業者は、法規制や運用方針に合わせて、必要な機能を組み合わせることが可能だ。
「私たちは、いわば本人確認に特化した“API商社”なんです。本人確認に求めるレベルは、企業によって違います。法規制を満たせればいいというところもあれば、大手を中心に、さらに高いレベルを求める企業もあります。その反対に、犯罪収益移転防止法のeKYCほどの厳格な本人確認がいらない取り引きや手続きも多い。eKYCが必要がない事業者に、私たちは無理やりeKYCをお勧めするようなことはしません。私たちのサービスは、さまざまなニーズに合わせて、お客さま自身がAPIを組み合わせてご利用いただけます」(千葉氏)
千葉氏が話すように、本人確認の問題は法規制の側面だけでは語りきれない。どの程度の身元確認の確からしさを求めるのか、本人確認にどれだけの手間やコストをかけるか、といった問題は、企業が個々に考える必要がある。TRUSTDOCKの菊池梓COOは、このように話す。
「本人確認が必要になるシーンは増えていますが、常に時間やコストをかけて完璧に確認する必要はないと思っています。もちろん、法規制を守る必要はありますが、シーンによって、本人確認の重さ、軽さはバリエーションがあってしかるべきです。私たちは、多様なニーズに応えられるよう、一つひとつサービスをそろえていきたいと思っています」(菊池氏)
ドコモ本人確認アシストAPIとの連携で、本人確認をさらにスムーズに
TRUSTDOCKのデジタル身分証アプリやAPIにより本人確認を導入する際、一般的に、公的機関が発行した身分証の画像をアップロードし、入力情報との突合・確認が行われる。この手順に、新たな選択肢が加えられた。ドコモの提供する「本人確認アシストAPI」と連携した方法だ。
本人確認アシストAPIは、ドコモが携帯電話回線の契約時などに本人確認した氏名や住所、生年月日、携帯電話番号などの情報を、導入企業と連携し、非対面での本人確認を迅速・低コストで実現させるものだ。
ドコモでは、携帯電話不正利用防止法に基づき、回線契約時に対面で公的身分証を使った、最高レベルの身元確認を行っている。この情報をAPIとして活用することで、本人確認アシストAPIを利用する企業は、自己申告や公的身分証コピーの郵送といった方法に比べて、より確からしさを担保できる。
さらに、ドコモの本人確認アシストAPIでは、SIMカードに書き込まれた回線情報とパスワードを使うことで、複数要素を使った最高レベルの当人認証を行うことが可能だ。オンラインサービスを展開する事業者は、「誰なのか」(身元確認)、「本当にその人からの通信なのか」(当人認証)をそれぞれ確認し、あんしんして取引を行えるようになるというわけだ。
「一般的に使われているメールアドレスによる確認も、確認できているのは『そのメールアドレスの受信ボックスにアクセスできること』だけですよね。SMSやソーシャルアカウント認証も、『どこに住む、何歳の、誰か』という身元確認をするには不十分です。ドコモの本人確認アシストAPIは、対面で公的身分証を使って本人確認したという前提があるため、本人確認の方法として有効と考えます」(千葉氏)
ドコモは国内の回線契約で4割強のシェアを持つことから、本人確認アシストAPIだけで、相当数の本人確認が可能となる。千葉氏と菊池氏は、携帯キャリアだからこその本人確認APIに期待する点もあると話す。
「今は都市部を中心に運転免許証を持たない若い人が増えています。そうした人の身分証としても本人確認アシストAPIを活用できるのではないでしょうか。たとえ身分証を持っていても、常に携帯しているとは限りませんから、いつでもスマホさえあれば本人確認をできるのは便利だと思いますね」(千葉氏)
「本人確認アシストAPIの認証が通るということから、間接的に携帯電話の料金が支払われているということが分かります。これは、お金を貸し付けるフィンテックサービスなど、与信が大事になるビジネスにご活用いただける可能性があります。取引をする相手方の信用力を調べたいというニーズは多いので、今後そうした活用が広がっていくかもしれません」(菊池氏)
デジタルの本人確認は、未来の基本的人権に関わる
ドコモの本人確認アシストAPIに続き、TRUSTDOCKは三菱UFJ銀行の「本人確認サポート(個人)APIサービス」との連携を進めている。これにより、ドコモの携帯回線契約を持つ人に加え、「三菱UFJダイレクト」のアカウントを持つ人も、TRUSTDOCKのアプリやAPIを通じて本人確認を行えるようになる。このように同社が他社との連携を進めているのは、今後の展望を踏まえてのことだ。
「今、オンライン上に個人の資産がどんどん貯まっています。その資産が自分のものだと証明するには、本人確認が不可欠です。さらに、これからオンライン上で重要な契約や合意などが行われていくことも考えると、たとえば電子契約時に署名する人が本人なのかなど、本人確認の重要性はこれからも高まっていく一方だと思います」(菊池氏)
「TRUSTDOCKは、これからもIDプロバイダなどとの連携を広げ、本人確認をカバーできる人を増やしていきます。いずれ、スマートフォンが免許証のような位置づけになって、あらゆる本人確認にカードレスで対応できるようにしていきたいですね」(千葉氏)
このように高まる本人確認ソリューションのニーズに目を向ける一方で、千葉氏は企業の利益だけを追求してはいないという。その理由について、「私たちのビジネスは、基本的人権に触れているという感覚がある」と打ち明けた。
「法規制だけに目を向けていると、個人のプライバシー保護の観点が抜けがちです。でも私は、ユーザーの情報は、企業のものではなくユーザー自身のものと考えています。だからこそデータを慎重に扱い、公益性を大切にしたい」
「たとえば今から50年後、100年後の未来を考えたとき、誰かの犯罪歴によって、その人の子や孫に迷惑がかかるようなことは止めたいんです。監視社会にしたくはありませんから。私たちは今、企業のエージェントとして本人確認のお手伝いをしていますが、個人側のエージェントとして、『その人がその人であること』を証明するためにも汗をかきたいですね。企業と個人の間に立ち、身元証明の第三者機関として、社会全体のDXに貢献していきたいです」(千葉氏)
デジタル化の流れは不可逆だ。デジタルが社会生活の根幹を担う未来に向けて、本人確認がもつ意味や重要性は変わりつつある。個人と企業がともにあんしん・安全に活用できる本人確認のソリューションは、これからのビジネスに不可欠といえるだろう。
サービス担当者の視点
最近、公的身分証の画像アップロードを行なう機会が増えてきたように思いますが、これは画像を管理する企業にも負担がかかりますし、提供をする利用者にとっても、サービス利用に関係しない情報(例えば、運転免許証の運転可能な車両の種類)を渡しているというリスクにつながっています。
本人確認のために、企業が取得したい個人情報と、利用者が提供をする個人情報とは本来一致すべきだと考えています。私たちのAPIを用いた本人確認では、過不足なく情報を連携することで、利用者の身元を企業に伝えることができますし、企業においては、上記の管理コストや情報セキュリティリスクを低減させることができます。
オンラインサービスの活性化を考えているが、本人確認に課題を感じている企業さまは、是非お問い合わせください。課題の整理からご一緒させていただきます。
また、本サービスの利用だけでなく、新しいビジネス創造に向けた協業や、本サービスの営業代行(代理店契約)などのご要望も承っております。お気軽にお問い合わせください。お待ちしております。