「60分でわかる!デジタル本人確認&KYC超入門」を読んだ
オンラインで本人確認のサービスが増える昨今、その概要がわかる本を読みました。「60分でわかる!デジタル本人確認&KYC超入門」です。
60分でわかる! デジタル本人確認&KYC 超入門 | 株式会社TRUSTDOCK 神谷 英亮, 笠原 基和, 中村 竜人, 渡辺 良光 |本 | 通販 | Amazon
Amazonで株式会社TRUSTDOCK 神谷 英亮, 笠原 基和, 中村 竜人, 渡辺 良光の60分でわかる! デジタル本人確認&KYC 超入門。アマゾンならポイント還元本が多数。株式会社TRUSTDOCK 神谷 英亮, 笠原 基和, 中村 竜人, 渡辺 良光作品ほか、お急ぎ便対象商品は当日お届けも可能。また60分でわかる! デジタル本人確認&KYC 超入門もアマゾン配送商品なら通常配送無料。
eKYCやサービスごとのデジタル本人確認の方法を丁寧に解説しており、日本における本人確認の状況を把握するにはぴったりの本になっています。
特にマイナンバーカードの仕様やデジタル署名の仕組みについては、曖昧に理解していたので、大変助かりました。
下記に内容のまとめを記載します。
自分用としてのメモとして残します。
内容メモ
本人確認は2つに分けられる
- 身元確認
- 実在する本人であることを確認するプロセス
- how: 本人確認書類を提示。提示された本人確認書類と申告内容の一致
- 当人認証
- あらかじめ登録された本人であることを確認するプロセス
- how: パスワードや生体認証情報を照合
アシュアランスレベル(保証レベル)
- 身元確認と当人認証の不正を防ぐ強度を示す
- 政府機関向けの基準として「行政手続きにおけるオンラインによる本人確認の手法に関するガイドライン」で示されている
- https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/f1be078e/20220422_resources_standard_guidelines_guideline_07.pdf
- https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/de38e250/20230629_resources_standard_guidelines_outline_01.pdf
- サービスに合った身元確認の保証レベル(IAL)と当人認証の保証レベル(AAL)の組み合わせを選ぶ必要あり
身元確認の保証レベル(Identity Assurance Level-IAL)
- IAL1: 保証レベル低:身元確認のない自己表明
- IAL2: 遠隔または対面での身元確認
- IAL3: 対面での身元確認
当人認証の保証レベル(Authentication Assurance Level-AAL)
- AAL1: 単一または複数の認証要素
- AAL2: 複数の認証要素
- AAL3: 複数の認証要素に加え体制が確保されたハードウェアトークン
民間事業者向けデジタル本人確認ガイドライン
- 2023年3月、OpenIDファンデーション・ジャパンに加盟する10社とデジタル庁が中心にまとめる
- https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/7e954fba-2ee1-432b-aac8-e5312fb72bb4/7b2753c6/20230328_meeting_administrative_research_working_group_03.pdf
- https://www.openid.or.jp/news/kyc_guideline_v1.0.pdf
本人確認に関する法令
「身元確認」に関して業態によって、個別の法令で規定されている。
「当人認証」に関しては手法を詳細に規定しているものはない
- 犯罪収益移転防止法(犯収法)
- マネー・ロンダリング等の防止
- 金融機関等が対象
- 「身元確認」を求める
- 携帯電話不正利用防止法
- 携帯電話等の不正な利用等の防止
- 携帯電話事業者が対象
- 「身元確認」を求める
- 古物営業法
- 盗品等の売買の未然防止
- 古物商が対象
- 「身元確認」を求める
- 出会い系サイト規制法
- 出会い系サイト等に起因する犯罪からの児童の保護
- インター年と異性紹介事業者
- マイナンバー法
- 個人番号の利用に係るなりすまし犯罪等の防止
- 個人番号取扱事業者
犯罪収益移転防止法における本人確認手法
犯罪収益移転防止法は細かく本人確認の手段を法令で決められている。
- ホ方式
- 本人確認書類の画像(氏名、住所、生年月日、写真、書類の厚みその他の特徴を確認できるもの)+容貌の画像を送信
- ヘ方式
- 本人確認書類のICチップ情報(氏名、住所、生年月日、写真の情報)+容貌の画像を送信
- ト方式(照会型)
- 本人確認書類の画像またはICチップ情報の送信を受けるとともに、他の特定事業者(銀行等)から顧客ID/パスワード等の申告を受ける方法
- ト方式(振込型)
- 本人確認書類の画像またはICチップ情報の送信を受けるとともに、顧客の預金口座に振込を行い、振込金額が記載の通帳の写しの送付を受ける方法
- ワ方式
- 公的個人認証サービスの署名用電子証明書(マイナンバーカードに記載)と電子証明書で確認される電子署名が行われた取引の情報の送信を受ける方法
- ヲ・カ方式
- 民間事業者発行の電子証明書(氏名、住所、生年月日の記載)と電子証明書で確認される電子署名が行われた取引の情報の送信を受ける方法
携帯電話不正利用防止法、古物営業法、出会い系サイト規制法もそれぞれ本人確認の手法は法令で定められている。
マイナンバーカードのアプリケーション
マイナンバーカードにはICチップが搭載され、組み込まれている電子証明書やAP(アプリ)機能を利用可能。
https://www.soumu.go.jp/kojinbango_card/03.html
https://www.soumu.go.jp/main_content/000528384.pdf
- 公的個人認証(JPKI) AP
- 署名用:6桁〜16桁の英数字パスワード
- 利用者証明用:4桁の数字
- 券面AP
- 券面事項入力補助AP
- 住基AP
デジタル署名
電子契約では、公開鍵暗号を利用したいデジタル署名が広く使われている
- 契約者が秘密鍵(署名鍵)で電子契約書に署名をする
- 契約者は相手方に対して3つのファイルを送信
- 電子契約書のデータ
- 署名データ
- 公開鍵(検証鍵)を含む電子証明書
- 相手方は電子証明書が有効であることを確認後、受け取った公開鍵で署名を検証し、電子契約書のデータと比較して改ざんされていないことを確認
プログラマーとしてこの流れを実際にコードで試してみたい。
サンプルのコードがないかを探す
本人確認書類のデジタル化
- 2023年5月11日よりマイナンバーカードの電子証明機能のスマートフォン搭載が開始(Androidのみ)
- 2025年春の後半、AppleがiPhoneにマイナンバーカードの搭載を発表
世界での対応
- アメリカ
- モバイル運転免許証(mDL)
- カルフォルニアなどの州で利用されている
- モバイル運転免許証(mDL)
- EU
- 「デジタルIDウォレット」eIDAS規則改正案により、EU Digital Identity Walletの発行を各加盟国に義務付け
- 2024年6月施行を目指す
- 「デジタルIDウォレット」eIDAS規則改正案により、EU Digital Identity Walletの発行を各加盟国に義務付け
- シンガポール共和国
- Singpass Mobile
- 英国
- Yotti
- 民間初のデジタルID
- Yotti
宣伝
インプレスR&D社よりSwiftの技術解説本を刊行しています。
ここまで日本語で丁寧に説明しているSwift技術本は他にありません!
気になる分野があればぜひチェックしてください。