採用情報

お問い合わせ

BLOG

電子認証局サービス BLOG

銀行口座からの不正引き出し問題、サービス事業者はどう対応すれば良い?

~ 本人確認、認証の厳格化がカギに ~

キャッシュレス決済の穴

本人認証における課題やシステム上の穴により、預金者本人なりすました口座からの不正引き出しやキャッシュレス決済サービスの不正利用など、さまざまな問題が発生しています。
預貯金を引き出しする場合、実店舗では通帳と印鑑、ATM であればキャッシュカードと暗証番号のように、所持しているものや記憶しているものによって認証されます。

キャッシュレス決済サービスの一部では、口座番号と暗証番号だけあれば、銀行口座からスマートフォンにお金を移すことができるようになっており、なんらかの方法で悪意ある第三者が口座情報などを入手し不正出金されていました。この不正引き出し問題ではキャッシュレス決済サービスと口座を紐づけるための本人認証を行う仕組みが導入されていませんでした。

本人認証にはさまざまな方法があるものの、事前登録された携帯電話番号に認証コードを送信し、そのコードを送信することで認証する方法など、二段階認証や多要素認証などの仕組みは最低限必要と思われます。
サービス事業者がなりすましによる不正を防ぐには、本人確認や認証の厳格化がカギととなり、オンラインで行う認証(eKYC:electronic Know Your Customer)の方法を適切に選択することが重要です。より厳格に本人認証を行うには、マイナンバーカードや運転免許証などの本人を特定する情報と組合せたうえで安全性を担保する必要があります。

重要インフラに求められる厳格な認証

米国立標準技術研究所(NIST)の認証に関するガイドライン「Electronic Authentication Guideline(電子的認証に関するガイドライン)」第 3 版(NIST SP 800-63-3)には、参考にすべき内容が定義されています。
重要インフラにおいて認証情報が漏えいもしくは危殆化した場合、システムの破壊や停止などの社会的影響を考慮すべきです。認証にあたっては、単一要素認証では不十分であり、多要素認証を要件としています。
(参考情報)NIST Special Publication 800-63 Digital Identity Guidelines ( 翻訳版 )

法令順守

口座開設など金融機関の手続きでは、マネーロンダリングやテロ資金供与防止を目的とした、本人確認などについて定めた、犯罪収益移転防止法 ※1(犯罪による収益の移転防止に関する法律)という法律があります。

携帯電話契約では、携帯電話事業者および携帯電話レンタル事業者に対して契約者の本人確認をマイナンバーカードや運転免許証などの身分証明書に基づいて契約を行うことを義務づけた、携帯電話不正利用防止法 ※2 という法律があります。
これは携帯電話がオレオレ詐欺をはじめとする特殊犯罪などの犯罪に利用されていたことを防止するために施行され、その後匿名で契約されたレンタル携帯電話の犯罪利用が問題となり、2008 年 12 月に改正されました。

※1
犯罪収益移転防止法(正式名称:「犯罪による収益の移転防止に関する法律」): 犯罪によって得られた不当な収益を隠す行為を防止するための法律。金融機関等の取引時に顧客が本人と一致しているかを確認する決まりなどを定めています。2018 年 11 月 30 日に「犯罪による収益の移転防止に関する法律施行規則の一部を改正する命令」が公表され、オンラインでのデジタル完結を実現する本人確認方法などを新設しています。
※2
携帯電話不正利用防止法(正式名称:「携帯音声通信事業者による契約者等の本人確認及び携帯音声通信役務の不正な利用の防止に関する法律」)とは、携帯電話事業者に契約者の身分証明書による本人確認を行うことを義務づけた法律。匿名の携帯電話が振り込め詐欺などの犯罪に利用されていたことを受けて 2006 年 4 月に施行された。

コロナ禍で変化する生活様式

キャッシュレス決済サービスに限らず、コロナ禍によって生活様式が変化し、さまざまな手続きをオンラインで行えるケースが増えています。
クレジットカード申込、ローンや融資契約、口座開設、携帯電話契約などを申込~契約完了までのすべてをオンラインでデジタル完結することができ、その際の本人確認もマイナンバーカード、運転免許証などの各種身分証をデジタル情報として提示することで完了することができます。

【口座開設の場合のイメージ】

従来のアナログでの本人確認プロセスでは、転送不要書留郵便を利用する必要があります。

 

オンラインによる本人確認プロセスでは、本人特定事項を確認することでデジタル完結することができます。

 

このような非対面取引における本人特定事項の確認方法については、各種法令によって厳格に規定されていますが、各種法令に対応したオンラインでの本人確認、現況確認、身分証の確認を行うことで、従来書面を用いて行われていた申込や本人確認書類の郵送による対応などを、オンラインでデジタル完結することができます。

本人確認のデジタル完結を実現するプラットフォーム

サイバートラストでは、非対面取引において本人確認をデジタル完結し各種法令に対応したオンラインでの本人確認や現況確認、各種身分証の IC チップ読取りによる真贋判定を実現する「iTrust 本人確認サービス」を提供しています。

本人確認の厳格化が進む中、業務の煩雑化を避けるためには、デジタル完結できる本人確認方法の採用が急務となっています。サイバートラストでは、こうした課題に取り組むサービス事業者を支援するため、「iTrust 本人確認サービス」を活用するサービス事業者向けに新しい署名検証の方法として「券面情報検証サービス API」を提供しています。
従来、券面情報の署名検証は、「iTrust 本人確認サービス eKYC ライブラリ」が券面情報を読み出す際に eKYC ライブラリ自体が行っていましたが、「券面情報検証サービス API」を利用することで、サービス事業者が提供するシステム上から署名検証のリクエストし真贋判定することが可能です。従来の eKYC ライブラリで行う署名検証もそのまま利用可能で、これにより、サービス事業者の事業内容、ニーズにあわせた署名検証の方法を選択いただくことが可能です。

今後もさまざまな手続きがオンライン化する中、リスクに応じた強固な認証を行い、決済サービス側の本人確認を厳格化するなど、安心して決済やチャージができる、より安全性の高い設計が求められます。
サイバートラストは、「iTrust 本人確認サービス」のライブラリや API の提供を通じて、安心・安全なデジタル社会の実現に向けた課題やサービス事業者のニーズに対応します。

本記事に関連するリンク
CentOS 7 延長サポートサービス
デジタルトランスフォーメーションのための電子認証基盤 iTrust
SSL/TLS サーバー証明書 SureServer Prime