【第1回】 2027年の法改正はゴールではない
――実務担当者が気になるタイムリミットとリスク
2027年4月の犯罪収益移転防止法(犯収法)改正を前に、本人確認の在り方は大きな転換期を迎えようとしています。
従来の「写真付き書類の画像を送信する方式(旧ホ方式)(※1)」は原則廃止となり、ICチップの読み取りによる確実な本人確認へ移行することが求められます。
しかし、現場からは「具体的にいつからどう動き出せばいいのか?」という戸惑いの声も聞こえてきます。
今回は、長年認証ビジネスに携わってきたサイバートラスト株式会社 (CTJ) の金子氏、山田氏を招き、法改正に備えた「実務上のタイムリミット」と「社会的なリスク」についてお話を伺いました。
※記載内容は、2026年3月時点のものです。
|
|
|
写真左から:サイバートラスト株式会社 山田 拓輝 様(プロダクトマネージャー)、金子 大輔 様(PKIプロダクト統括部 統括部長)、 |
※1 「旧ホ方式」とは:
犯収法で規定された手法のうち、自身の写真と運転免許証やマイナンバーカードなどの券面を撮影・アップロードし、人物の同一性を確認する手法。
1.「まだ間に合う」は危ない - 開発現場が見ている“本当のスケジュール感”
――2027年4月の犯収法の改正施行に向けて、市場ではどのような動きが出ていますか?
児島: 最近は犯収法対象業界のみならず、2025年に改訂があった盗難特定金属製物品の処分の防止等に関する法律(金属盗対策法) 古物営業法に関係するお客さまからも、「他社はどう動いているのか」「なにをいつ頃から検討を始めればいいのか」といったお問合わせをいただいています。
金融機関はすでに動かれている印象ですが、これからの対応を検討しているお客さまにとって、実務的なデッドラインはどのあたりになるのでしょうか。
金子: おっしゃる通り、銀行などの金融機関ではすでに検討や導入が進んでおり、JPKIの利用開始にあたって必要となるJ-LIS (地方公共団体情報システム機構)への登録手続きを含め、着々と進められています。
一方で、店舗を持たず Webだけで完結するような証券やリユースといった事業者の中には、まだ着手できていないところも見受けられます。
対応期日が迫ると、いわゆる「駆け込み需要」で一斉に動き出すことになり、自社や委託先の開発リソースが不足して間に合わなくなるリスクがあります。
児島: また、すでに対応に着手されていたお客さまからも、「他社動向を見て追加対策を行いたいのだが既存ベンダーでは対応できない」という声を聞くことが増えています。
実際、プラットフォーム側の準備が遅れているケースもあるので、事業者としては「どこから手を付けるのか」が読みづらい状態にもなっていますね。
金子: その「既存ベンダーでは対応できない」という声は、私たちもよく耳にします。
多くのベンダーは従来の「旧ホ方式(画像送信)」には対応していますが、そこから先の対応が分かれているのが現状です。
まず多いのが、既存機能に特化しており、そもそも新しい方式への切り替えに対応できないケース。次に、マイナンバーカードを用いた「カ方式 (JPKI) (※2)」までは導入できたものの、免許証などの「へ方式 (ICチップ読み取り) (※3)」に目を向けた際に、既存ベンダーから「うちではICチップ読み取りは扱っていない」と断られてしまうケースです。
※2 「カ方式」とは:
犯収法で規定された手法のうち、公的個人認証サービス(JPKI)を利用し、マイナンバーカードに搭載された電子証明書によって本人確認を行う手法。本人が暗証番号を入力し、電子証明書による電子署名を行うことで、氏名・住所などの本人情報が公的に確認されるため、高い信頼性をもつ本人確認方法とされている。
※3 「ヘ方式」とは:
犯収法で規定された手法のうち、運転免許証やマイナンバーカードなど、ICチップ付きの本人確認書類を読み取り、あわせて本人の顔を撮影することで、人物の同一性を確認する手法。
(※方式の呼び名は対談当時のものです。)
児島: そうなると、事業者は「カ方式はこの会社」「へ方式はあの会社」といったように、方式ごとに別々のベンダーと契約しなければならなくなりますよね。
金子: おっしゃる通りです。結果として、複数のベンダーを使い分けることになり、調達や運用管理の手間が非常に煩雑になってしまいます。だからこそ、特定の方式だけでなく、法改正に対応した手段を包括的に提供できるパートナーを選ぶことが、結果的に管理コストを下げることにもつながるのです。
山田: 実装スケジュールから逆算すると、もっとシビアな現実が見えてきます。通常、お申し込みをいただいてからサービスインまで、最短でも3カ月、平均すると半年程度は要します。
児島: 市場には「スマホアプリなら1ヵ月で導入できる」といった簡易的なツールもありますが、企業が責任を持って運用する「本人確認業務」として実装する場合、そう簡単にはいかない事情がありますよね。
山田: その通りです。「単にICチップを読み取る機能を入れるだけ」なら短期間でも可能です。しかし、本人確認を「業務」として安全に回す仕組みを作ろうとすると、3ヵ月から半年はどうしても必要になります。
大きな要因の一つが、開発前の「事務手続き」です。重要な個人情報を扱うことになるため、契約前の「セキュリティチェックシート」の確認や「NDA(秘密保持契約)」の締結、個人情報約款の整備など、開発以前の段階で予想以上の時間がかかります。
児島: 確かに、そこで数週間止まってしまうことも珍しくないですね。開発フェーズに入ってからも、技術的に検証すべき項目が意外と多いという声も聞きます。特に「電子証明書」ならではの難しさがあるようですね。
山田: そうですね、特に時間がかかるのが「例外パターンの設計」です。ここが皆さま、最も苦労されるポイントです。
正常に読み取れる場合は良いのですが、電子証明書には「有効期限切れ」の他に、「失効」という一般にはなじみのない概念があります。住所変更や紛失による再発行などで、カード自体はあっても中身の証明書が無効になっている状態です。
児島: エラーが出た時に、「なぜダメなのか」がユーザーに伝わらないと、そこで離脱されてしまいますね。
山田: その通りです。すべてまとめて「エラーです」と一言返すだけで済ませれば開発は早いですが、それではせっかくのお客さまを逃がしてしまう「機会損失」になります。
「有効期限切れなら更新手続きへ」「失効なら別の本人確認書類へ」といったように、エラー理由にお客さまを適切に誘導する UIを作り込もうとすると、要件定義と検証にかなりの時間を要するのが現実です。
児島: そうした「機会損失を防ぐためのUI設計」まで含めると、システム導入には最短でも半年かかると見ておいた方が安全ですね。
DNPでは、そうしたノウハウも含めて、ゼロから開発するのではなく、既存のアプリに組み込める「ソフトウエア開発キット (SDK)」を提供しています。また汎用の本人確認アプリも提供を予定していますので、こうしたパッケージを利用して導入期間を短縮する提案を行っています。
2.「旧ホ方式」を使い続けること自体が、もはやリスクになる
――今回の改正では、免許証などの券面を撮影して送る、いわゆる「旧ホ方式」が原則廃止となります。なぜこのような厳格化が進んでいるのでしょうか?
金子: 大きなきっかけの一つとして、携帯電話ショップでの偽造マイナンバーカードを利用したなりすまし事件が挙げられます。ICチップを読み取らず、券面の目視確認だけで機種変更が行われ、不正利用された事例です。
この事件は「ICチップを読み取らなければ、悪意のある第三者によって画像データが精巧に編集・偽造されても検知が難しく、不正利用されてしまう」という事実を世に知らしめました。
児島: あのニュースは社会的にもインパクトが大きかったですね。
金子: そしてこれは氷山の一角に過ぎません。直近でも精巧な偽造工場が摘発されたり、SNSで偽造カードが売買されていたりと、手口は年々高度化しています。今もそうしたニュースはコンスタントに出ており、リスクはさらに身近になっています。
児島: 偽造技術の進化はすさまじいですよね。特に脅威なのは海外製の生成ツールの存在です。
実在しない人物の免許証画像を、現地の券面の風合いに合わせて自動生成できるソフトまで確認されています。
日本の身分証も、券面自体には高度な偽造防止技術が施されていますが、利用シーンが増えるほど、目視や画像確認だけでは不正利用を防ぎきるのは難しい時代になっていますね。
金子: おっしゃる通りです。画像はどうしても偽造目的での加工の可能性をゼロにできないため、ICチップの電子署名など、データの真正性を確認できる仕組みを併用する重要性が高まっています。
山田: そうした背景もあり、実は犯収法よりも前に、携帯電話不正利用防止法では2026年4月にホ方式のような非対面で広く利用されていた本人確認方法が規制される動きがあります。
これは「画像のみで完結する本人確認方法には慎重な対応が必要」という社会的な認識が高まっていることの表れとも言えます。
児島: それは非常に重い指摘ですね。犯収法の対象ではない事業者でも、これまで「犯収法準拠だから」という理由で旧ホ方式を採用されているケースは多いと思います。
しかし、従来「問題ない」とされてきた方法を見直す動きも出てきそうですね。
金子: そうですね。安全性に関して社会的な期待値が変化している以上、本人確認の厳格化が求められる領域においては、従来型の方式を使い続けることが、結果的にセキュリティリスクとして顕在化する可能性もあると感じます。
山田: その点は、各社が慎重に判断すべき重要なポイントだと思います。
現在は法改正に向けた移行期間でもありますので、施行日に合わせるというより、段階的にIC チップ読み取りを取り入れることで、より信頼性の高い本人確認体制を整えられるのではないでしょうか。
3.駆け込み需要を乗り切るための「現実解」
――多くの企業が一斉に動き出す中で、どのように対応を進めればよいでしょうか?
山田: 先ほど申し上げた通り、ゼロからシステムを開発しようとすると半年以上の期間と多大なコストがかかります。特に法対応間近の駆け込み対応期においては、個別の機能開発(スクラッチ)ではなく、すでにバッケージ化されたソリューションを活用することが現実的な選択肢になります。
児島: 確かに、各社が独自に開発するよりも、SDKのようなパッケージ製品を活用することで、導入期間を短縮できますね。
「法改正だから仕方なく対応する」のではなく、セキュリティリスクを排除し、お客さまに安全にご利用いただくためのビジネス基盤を作る機会ととらえることが重要だと感じました。
金子: はい。ICチップ読み取りへの移行は、単なる規制対応ではありません。利用者の安全を守るための必須事項です。
次回は、具体的にどのような技術を選定すれば、セキュリティと利便性を両立できるのか、技術的な落とし穴と解決策について詳しくお話しできればと思います。
次回予告
第2回は、「失敗しないための「選定基準」」をテーマに、JPKI一本化で生じる機会損失のリスクや、アプリ完結型に潜むセキュリティの課題について、技術的な視点から深掘りします。
このコラムで紹介した製品・サービス
-
金融機関を中心に、本人確認機能を提供
オンライン本人確認(eKYC)総合サービス
eKYC(electronic Know Your Customer)は、オンライン上で安全に本人確認が完結する仕組みのことです。DNPは本人確認や本人認証が必要となるさまざまな場面で、最適な認証の仕組みを組み合わせ、セキュアで安心なサービスとして総合的に提供する「認証DX」を推進しています。 その一環として、2019年より「オンライン本人確認(eKYC)総合サービス」を提供しています。インターネットでの銀行口座開設やシェアリングサービス利用時の本人確認など、さまざまなシーンで本人確認機能をご導入いただけます。
-
【バックオフィスサービス】~オンライン申請での本人確認(eKYC)に対応したバックオフィスサービス~
eKYC審査業務
2018年11月30日に犯収法の施行規則が改正となり、オンラインで完結する本人確認(eKYC)が可能となりました。利用者の利便性が向上する反面、システムの構築や運用環境の整備など、事業者には大きな負担にもなっています。
本人確認アプリの作成、目視による審査業務など、盤石のセキュリティ対策の下、ワンストップで実現できるのが、DNPのeKYCサービスの特長です。
サービス開始以来、複数企業様にご採用いただき、すでに2,000万件以上のeKYC審査を実施しました。
関連タグ
®