本人確認
アカウント開設や顧客との関係を始める前に、企業は通常、申請者が本人であることを確認したいと考えます。本人確認とは、組織やサービスに対して、その人が本人であることを証明するための手続きです。
本人確認とは?
本人確認とは、その人が本人であることを証明するプロセスです。例えば、銀行口座を開設したり、賃貸契約を結んだりする場合、その人が本人であることを確認することが重要です。
強力な本人確認が行われないと、誰かが他人の名前で口座を開いたり、ローンを組んだりして、金融詐欺を行い、その人の信用スコアを台無しにする可能性があります。本人確認は、なりすまし犯罪を防止し、新規口座開設、税還付請求、政府サービスの申請時に、本人であることを確認するために不可欠です。
人が身元を確認する場合、通常、申請者は身元を証明するものとして認められている一連の文書を提示します。一般的な例としては、政府発行の身分証明書、パスポート、出生証明書などです。
本人認証 vs 本人確認
本人認証と本人確認は、似ているが異なる概念です。本人確認は、個人のIDを証明するプロセスです。この確認は一度だけ行われ、将来的にその人を一意に特定するために使用できる固有の情報とその人のIDを結びつけるために使用されます。
一方、ユーザー認証は、ユーザーが特定のアプリケーションやサービスに対して自分本人を証明したいと思うたびに繰り返されます。この認証プロセスでは、アカウントへの接続を提供する前に、その人のIDにリンクされた固有の情報を使用して、その人のIDを認証します。
オンラインでの本人確認はどのように行われるのか?
オンラインおよびデジタルサービスの発展に伴い、銀行やその他の組織で対面ではなくオンラインで口座を開設する人が増えています。その結果、これらの組織にとって、インターネット上でこれらの申請者の本人確認をできることが不可欠です。
オンラインで本人確認は、さまざまな方法で行うことができます。オンライン上での本人確認の最も一般的な方法には、生体情報、ID文書、固有知識、またはワンタイムパスワード(OTP)を使用した確認があります。
生体認証による確認
生体認証データは、ユーザー確認に最適なデータです。生体認証による確認には、顔認識、指紋スキャン、その他、個人特有の物理的属性の測定が含まれます。
生体認証は、ユーザー確認と認証のための最も安全でユーザーフレンドリーな方法です。生体認証データは、他の認証方法と比較して、偽造、盗難、コピーがはるかに困難です。さらに、生体認証スキャナーは身体的属性を収集するため、ユーザーが文書やデバイスにアクセスしたり、固有の情報を記憶したりする必要がなく、より良い顧客体験を提供します。生体認証とは何か、詳しくはこちら。
ID文書による確認
対面で本人確認をする際は通常、政府発行のID、パスポート、出生証明書などの文書を用いて行われます。これらの文書は、ユーザーのIDをオンラインで確認する場合にも使用でき、文書をスキャンまたは写真に撮って検証機関に転送し、有効性と正当性が確認されます。
ナレッジベースによる確認
ナレッジベースによる確認は、本人確認のもう1つの一般的な形態であり、特に電話による本人確認やパスワードリセットプロセスの一部として使用されます。ユーザーは、社会保障番号、誕生日、出生地など、理論的には本人のみが知っている情報を求められます。パスワード紛失後にユーザーの身元を確認しようとする場合、サービス提供者は過去の取引や口座への入金元を尋ねるなど、その人しか知り得ない情報を検証のために使用することもあります。
ナレッジベースの検証システムは、要求された情報が正当な利用者のみが知っているという前提で機能します。しかし、そうでないことがよくあります。例えば、過去の住所や出生地は公になっていることが多く、社会保障番号や政府提供のIDなどの機密情報は、データ侵害で流出していることもあります。
ワンタイムパスワード(OTP)による確認
ワンタイムパスワード(OTP)による確認は、電話番号や電子メールアドレスの所有権に基づいてユーザーの身元を確認するために使用されます。このサービスでは、1回だけ使用できるコードがSMSまたは電子メールで申請者に送信されます。このコードをウェブサイトに入力することで、申請者は該当する電話番号または電子メールアカウントへのアクセス権を持っていることを証明することができます。
OTPは一般的な認証手法ですが、生体認証と同じレベルのセキュリティが確保されているとは言えません。SMSメッセージは傍受される可能性があり、電子メールアカウントは侵害されたり複数の関係者によって共有されたりする可能性があります。また、この形式の本人確認は、ユーザーを騙して攻撃者にOTPを送信させるフィッシング攻撃にも遭いやすい傾向にあります。
デジタル技術を使った本人確認の利点とは?
デジタル技術を使った本人確認は、組織に対して以下のようなメリットをもたらします。
- デジタルアカウントのサポート:顧客はますますオンラインサービスを利用するようになっており、銀行口座のようなリスクの高いアカウントもすべてオンラインで開設することが可能です。デジタル技術を使った本人確認により、このような企業で強力な本人確認が可能になります。
- 便利な確認:対面での本人確認は、顧客が施設に出向いて本人であることを証明する必要があります。デジタル技術を使った本人確認は、どこからでも顧客のIDを確認することができます。
- 強固な確認:最新のデバイスは、高品質な生体情報を収集し、関連書類をスキャンするために必要なセンサーとカメラを備えています。これにより、正確に本人確認することができます。
- ライブ検証:デジタル技術を使った本人確認では、ワンタイムパスワードや、特定のアカウントやデバイスなどへのアクセスを証明するその他の本人確認ツールの使用が可能です。これらのアプローチは、対面での本人確認に使用されることはほとんどありません。
本人確認に関する規制と標準
本人確認は、金融機関など一部の業種の組織にとって極めて重要です。偽のIDで銀行口座を開設することができれば、詐欺などの違法行為に利用される可能性があります。
複数の機関が本人確認のための規制と標準を定めています。主なものは以下の通りです。
- 第5次マネーロンダリグ指令 (AML5):AML5は、マネーロンダリングを防止するために策定されたEUの本人確認法です。影響を受ける金融機関は、Know Your Customer (KYC)およびCustomer Due Diligence (CDD)ポリシーを導入する必要があります。
- 電子識別およびトラストサービスに関する規則 (eIDAS):eIDASは、EU市民が電子IDを使用してEU全域の公共サービスを利用できるようにするために策定されたEUの規則です。
- 顧客識別プログラム (CIP):CIPは、金融機関に対し、顧客が本人であるという合理的な確信を持つことを義務付ける米国の法律です。これは本人確認を義務付け、マネーロンダリングやその他の金融詐欺を防止するためのものです。
デジタル技術を使った強力な本人確認の導入
KYCの要件は通常、金融機関にのみ適用されますが、多くの組織が、アカウント開設を許可する前にユーザーの身元を確認することを希望し、または必要としています。メールアドレスの所有だけで十分な場合もありますが、より強力な本人の証明が必要な場合もあります。
生体認証は、デジタル技術を使った本人確認を実施し、継続的なユーザー認証をサポートするための理想的な手段です。生体認証データは、素早く簡単に収集できるため、非常にユーザーフレンドリーであると同時に、コピーや偽造が困難なため、ユーザー確認や認証プロセスの安全性を確保することができます。